Wie wirkt sich das IT-Sicherheitsgesetz konkret aus?

16:14 15 Juni in IT-Sicherheitsgesetz OnePage

Unternehmen mit KRITIS werden durch das IT-SicherheitsG zur Einhaltung bestimmter Mindest-Sicherheitsstandards bei ihren IT-Systemen verpflichtet.

Betreiber KRITIS sind gemäß § 8a Abs. 1 Satz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Abs. 1 BSIG angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen KRITIS maßgeblich sind.

Die Zielrichtung dieser Anforderung war die Entwicklung eines allgemein gültigen Informationssicherheits-Managementsystems (ISMS), welches zu der Zertifizierung nach DIN ISO/IEC 27001-2:2015 auf Basis von BSI IT-Grundschutz konform geht.

Betroffene Unternehmen werden verpflichtet, organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Prozesse oder Komponenten oder Prozesse zu treffen, welche von maßgeblicher Relevanz für die Funktionsfähigkeit der betriebenen KRITIS sind.

Diese Maßnahmen haben „angemessen“ zu sein und müssen dem „Stand der Technik“ entsprechen. Eine entsprechende Angemessenheit ist gegeben sein, wenn der erforderliche Aufwand der Maßnahmen nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen KRITIS steht.

In Anbetracht des angestrebten Schutzes von KRITIS sind die Anforderungen an die nötigen Schutzmaßnahmen allerdings vergleichsweise hoch, so dass eine Berücksichtigung anfallender Kosten nicht die höchste Priorität beansprucht.

Die getroffenen Maßnahmen müssen darüber hinaus von den Betreibern von KRITIS in Sicherheits- und Notfallkonzepten niedergelegt werden und die Umsetzung ist zu dokumentieren.

Das BSI hat in § 9 BSIG Zertifizierungs-Standards manifestiert, deren Umsetzung und Einhaltung in den Unternehmen durch Auditoren überprüft wird.

Setzen Unternehmen ihre aus dem IT-SicherheitsG resultierenden Pflichten nicht um oder ergreifen sie Maßnahmen, die nicht dem „Stand der Technik“ entsprechen, so drohen Bußgelder bis zu 50.000 EUR.

Der Gesetzgeber räumt betroffenen Unternehmen für die Umsetzung der erforderlichen Maßnahmen eine Übergangsfrist von zwei Jahren ein.