IT-Sicherheitsgesetz

Jetzt wird´s ernst

Am 30. Juni läuft die Frist für die Umsetzung der ersten Verordnung der Änderung der BSI-Kritis-Verordnung ab. Was so juristisch daherkommt, hat für betroffene Unternehmen weitreichende Folgen, schlimmstenfalls drohen hohe Bußgelder. Doch wie lassen sich Strafzahlungen vermeiden?

Sichere Arbeitsplätze

Das IT-Sicherheitsgesetz hat zum Ziel, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen.

Für Finanz- und Versicherungsinstitute, Gesundheit, Transport und Verkehr wird es ab dem 30. Juni 2019 ernst. Denn dann läuft die zweijährige Frist zur Umsetzung der jüngsten Änderungsverordnung des IT-Sicherheitsgesetzes ab. Die betroffenen Unternehmen müssen nachweisen, dass ihre kritische IT-Infrastruktur alle Änderungsvorschriften des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erfüllt. Eva-Maria Scheiter, Managing Consultant GRC beim Sicherheitsspezialisten NTT Security, sieht Banken und Versicherer in einer guten Position, denn sie gehören bereits zu den stark regulierten Branchen. Sie rät den betroffenen Organisationen, ihre bereits etablierten Vorgaben und Prozesse mithilfe der Orientierungshilfe zu Nachweisen gemäß § 8a (3) des BSI G zu überprüfen und im Zweifel auf kompetente Beratung zu setzen.

Scheiter empfiehlt außerdem, die Prozesse zur obligatorischen Meldung von IT-Sicherheitsvorfällen zu definieren, zu etablieren und wie bei einer Feuerübung mit den Mitarbeitern zu trainieren. Denn steht das Haus erst in Flammen, ist zum Etablieren von effizienten Meldewegen keine Zeit mehr. Etwas knifflig verwalten, lassen sich laut Maria Scheiter die Abhängigkeiten zwischen den einzelnen kritischen Infrastrukturkomponenten, von denen jede einzelne den GRC-Vorschriften des BSI entsprechen müsse. Wird eine Infrastrukturkomponente kompromittiert, hat der Vorfall unter Umständen Auswirkungen auf andere Komponenten und kann Fehlfunktionen verursachen.

Auf dem Stand der Technik

Unternehmen und Organisationen können den Nachweis, dass ihre kritische IT-Infrastruktur (Systeme, Komponenten und Prozesse) auf dem „Stand der Technik“ ist und, dass sie Risiken gemäß anerkannter Standards wie ISO 27001 verwalten beispielsweise über entsprechende Zertifikate führen. Diesen Nachweis müssen die Unternehmen alle zwei Jahre erneut erbringen.

Desweiteren schreibt das BSI-Gesetz gemäß § 8b (3) den Betreibern kritischer Infrastrukturen vor, eine Kontaktstelle zu benennen, die jederzeit – 24 Stunden am Tag, sieben Tage die Woche – erreichbar ist. Als Kontaktstelle ist zum Beispiel ein Funktionspostfach, nicht die persönliche Mail-Adresse eines einzelnen Mitarbeiters, geeignet, an die das BSI auch seine Sicherheitsinformationen schickt. Betreiber sind außerdem verpflichtet, dem BSI jede IT-Störung zu melden. Darunter fallen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer erheblichen Beeinträchtigung geführt haben oder führen könnten.

Das IT-Sicherheitsgesetz hat zum Ziel, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Im Fokus stehen Infrastrukturdienstleister, deren Ausfall oder Beeinträchtigung dramatische Folgen für Wirtschaft, Staat und Gesellschaft hätten. Darunter fallen Strom- und Wasserversorgung, Telekommunikation, Informationstechnik, Ernährung und Verkehr. Das seit Juli 2015 gültige IT-Sicherheitsgesetz ist ein sogenanntes Artikelgesetz. Es wird durch Änderungsverordnungen für die einzelnen Branchen ergänzt und präzisiert.

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok