Wie wirkt sich das IT-Sicherheitsgesetz konkret aus?

16:14 15 Juni in IT-Sicherheitsgesetz OnePage

Unternehmen mit KRITIS werden durch das IT-SicherheitsG zur Einhaltung bestimmter Mindest-Sicherheitsstandards bei ihren IT-Systemen verpflichtet.

Betreiber KRITIS sind gem├Ą├č ┬ž 8a Abs. 1 Satz 1 des Gesetzes ├╝ber das Bundesamt f├╝r Sicherheit in der Informationstechnik (BSIG) verpflichtet, sp├Ątestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach ┬ž 10 Abs. 1 BSIG angemessene organisatorische und technische Vorkehrungen zur Vermeidung von St├Ârungen der Verf├╝gbarkeit, Integrit├Ąt, Authentizit├Ąt und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die f├╝r die Funktionsf├Ąhigkeit der von ihnen betriebenen KRITIS ma├čgeblich sind.

Die Zielrichtung dieser Anforderung war die Entwicklung eines allgemein g├╝ltigen Informationssicherheits-Managementsystems (ISMS), welches zu der Zertifizierung nach DIN ISO/IEC 27001-2:2015 auf Basis von BSI IT-Grundschutz konform geht.

Betroffene Unternehmen werden verpflichtet, organisatorische und technische Vorkehrungen zur Vermeidung von St├Ârungen ihrer informationstechnischen Systeme, Prozesse oder Komponenten oder Prozesse zu treffen, welche von ma├čgeblicher Relevanz f├╝r die Funktionsf├Ąhigkeit der betriebenen KRITIS sind.

Diese Ma├čnahmen haben ÔÇ×angemessenÔÇť zu sein und m├╝ssen dem ÔÇ×Stand der TechnikÔÇť entsprechen. Eine entsprechende Angemessenheit ist gegeben sein, wenn der erforderliche Aufwand der Ma├čnahmen nicht au├čer Verh├Ąltnis zu den Folgen eines Ausfalls oder einer Beeintr├Ąchtigung der betroffenen KRITIS steht.

In Anbetracht des angestrebten Schutzes von KRITIS sind die Anforderungen an die n├Âtigen Schutzma├čnahmen allerdings vergleichsweise hoch, so dass eine Ber├╝cksichtigung anfallender Kosten nicht die h├Âchste Priorit├Ąt beansprucht.

Die getroffenen Ma├čnahmen m├╝ssen dar├╝ber hinaus von den Betreibern von KRITIS in Sicherheits- und Notfallkonzepten niedergelegt werden und die Umsetzung ist zu dokumentieren.

Das BSI hat in ┬ž 9 BSIG Zertifizierungs-Standards manifestiert, deren Umsetzung und Einhaltung in den Unternehmen durch Auditoren ├╝berpr├╝ft wird.

Setzen Unternehmen ihre aus dem IT-SicherheitsG resultierenden Pflichten nicht um oder ergreifen sie Ma├čnahmen, die nicht dem ÔÇ×Stand der TechnikÔÇť entsprechen, so drohen Bu├čgelder bis zu 50.000 EUR.

Der Gesetzgeber r├Ąumt betroffenen Unternehmen f├╝r die Umsetzung der erforderlichen Ma├čnahmen eine ├ťbergangsfrist von zwei Jahren ein.