Bedeutung der Vorschriften für Industrie und Wirtschaft

Ein Blick auf das neue IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz ist seit 25. Juli 2015 in Kraft. Ziel des Gesetzes ist es, die Sicherheit von IT-Systemen in Deutschland durch Verbesserung ihrer ­Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität zu stärken. Doch was ­genau bedeuten die neuen Vorschriften für Industrie und Wirtschaft?

IT-Sicherheitsgesetz

Unternehmen, für die IT-Sicherheit bereits vor dem Inkrafttreten des IT-Sicherheitsgesetzes eine große Rolle spielte, werden von den Gesetzesänderungen kaum tangiert werden.

Unternehmen jedweder Branche, die Apps, Webseiten oder andere Telemedien anbieten, müssen fortan den Stand der Technik beachten, und zwar über das erstmalige Inverkehrbringen hinaus auch beim ständigen Verwenden. Dies gilt nicht nur dort, wo personenbezogene Daten (z.B. Name, Anschrift, Kreditkartennummer) von Nutzern gespeichert werden, etwa in Online-Shops, sondern auch bei allen anderen Telemedien.

Durch die neuen Regelungen soll die Verbreitung von Schadsoftware eingedämmt werden. Unternehmen, für die IT-Sicherheit bereits vor dem Inkrafttreten des IT-Sicherheitsgesetzes eine große Rolle spielte, werden von den Gesetzesänderungen kaum tangiert werden. Alle anderen Unternehmen sollten handeln, um Bußgelder oder Ansprüche Dritter zu verhindern.

Von den Gesetzesänderungen sind auch Unternehmen bestimmter Sektoren betroffen, die sogenannte „kritische Infrastrukturen“ betreiben. Kritische Infrastrukturen sind Einrichtungen, Anlagen oder Teile davon, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Diese Voraussetzung soll dann vorliegen, wenn durch einen Ausfall oder eine Beeinträchtigung der kritischen Infrastruktur erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Dies ist ein Artikel aus unserer Print-Ausgabe 11/2015. Bestellen Sie ein kostenfreies Probe-Abo.

Die Beantwortung der Frage, welche Unternehmen unter diese Definition fallen, fällt schwer, da die hohe Bedeutung für das Funktionieren des Gemeinwesens kaum rechtssicher festgestellt werden kann. Daher hat sich der Gesetzgeber entschieden, in einer Rechtsverordnung Schwellenwerte festzulegen, wie z.B. den Marktanteil eines Energieversorgers in einer bestimmten Region. Diese Rechtsverordnung wird voraussichtlich im Jahre 2016 in Kraft treten. Die Bundesregierung erwartet, dass deutschlandweit rund 2.000 kritische Infrastrukturen von den neuen Regelungen betroffen sein werden. Den Betreibern drohen erhebliche Bußgelder, wenn sie ihren gesetzlichen Pflichten nicht nachkommen. Die Identifikation der Pflichten und die vertragliche Bindung von etwaigen IT-Dienstleistern sind daher besonders wichtig.

Konkrete Maßnahmen

Doch welche Pflichten müssen Betreiber kritischer Infrastrukturen befolgen? Sie haben eine Reihe von Maßnahmen umzusetzen, die in ihrer konkreten Ausgestaltung auch von der konkreten kritischen Infrastruktur und ihrer Sektorenzugehörigkeit abhängen. Hierunter fallen etwa folgende Pflichten:
– Umsetzung angemessener organisatorischer und technischer Vorkehrungen zur Vermeidung von Störungen der IT binnen zwei Jahren nach Inkrafttreten der ­genannten Verordnung – der Stand der Technik soll dabei zu jeder Zeit berücksichtigt ­werden.
– Mindestens alle zwei Jahre müssen Nachweise der umgesetzten Vorkehrungen durch ­Sicherheitsaudits, Prüfungen oder Zertifizierungen erbracht werden.
– Soweit erhebliche Störungen auftreten, müssen diese dem BSI unverzüglich gemeldet werden, auch wenn sie nur zu einer Beeinträchtigung führen können. Die vom BSI erlangten Informationen können in Grenzen auch Dritten zur Verfügung gestellt werden.
– Von den betroffenen Unternehmen sind Kontaktstellen einzurichten und dem BSI zu benennen.

Im Einzelfall kann durch die zuständigen Behörden festgelegt werden, welche konkreten Pflichten von den Betreibern zu befolgen sind, und welche technischen und organisatorischen Maßnahmen umgesetzt werden müssen.

Welche technischen Anforderungen verlangt der „Stand der Technik“? Der Gesetzgeber verwendet diesen Begriff in mehreren Gesetzen und stellt dadurch sicher, dass auch neueren technischen Entwicklungen stets Rechnung getragen wird. Für die Bestimmung des Standes der Technik ist auf einschlägige internationale, europäische und nationale Normen und Standards abzustellen (z.B. DIN- oder ISO-Normen oder BSI-Richtlinien) sowie auf vergleichbare Verfahren, Einrichtungen und Betriebsweisen, die mit Erfolg in der Praxis erprobt wurden. Die Rechtsabteilung sollte von den handelnden Technikern eng eingebunden werden, wenn es darum geht zu bestimmen, welche umzusetzenden Anforderungen im Detail für die konkreten Systeme erforderlich, aber auch angemessen sind, und wann Ausnahmen zulässig sind. Dabei sollte insbesondere der steten Weiterentwicklung der Technik Rechnung getragen werden, etwa durch Monitoring und regelmäßige Updates. Unternehmen, welche ihre IT nicht selbst betreiben, sind auf die Unterstützung von Dritten angewiesen.

Bei der Gestaltung der zu ­verwendenden Verträge ist es ­besonders wichtig, solche IT-Dienstleister eng zu binden. Hierzu zählt, die im konkreten Einzelfall bestehenden Pflichten zu beschreiben und Klauseln zu vereinbaren, aufgrund derer ­eingetretene Nachteile und Schäden ersetzt werden. Unternehmen müssen sich auf ihre IT-Dienstleister verlassen können, wenn sie selbst nicht über das nötige technische Know-how verfügen, um alle Anforderungen zu erfüllen, die die geänderten Gesetze verlangen.

Nicht alle Unternehmen sind von den Auswirkungen des IT-Sicherheitsgesetzes im gleichen Maße betroffen. Wie hoch der Investitions- und Umsetzungsbedarf ist, hängt insbesondere davon ab, welche Vorschriften auf das konkrete Unternehmen anwendbar sind. Allen beteiligten Unternehmen ist zu em­pfehlen, ihren Geschäftsbetrieb mit juristischem Sachverstand zu durchleuchten und Handlungsbedarf frühzeitig zu iden­tifizieren.

* Die Autoren sind Rechtsanwälte bei CMS Hasche Sigle am Standort München und Experten auf dem Gebiet IT-Recht.

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok