IT-Sicherheitsgesetz

Mehr Sicherheit, aber auch mehr Bürokratie

Das neue IT-Sicherheitsgesetz bringt für die Unternehmen eine verpflichtende Störmeldung und neue Berichtspflichten. Damit wird Compliance noch komplizierter.

Eine Folge hat die digitale Agenda schon mal: Durch das jüngst beschlossene IT-Sicherheitsgesetz werden wohl etwa 425 neue Arbeitsplätze in den bundesdeutschen Behörden entstehen. Denn wie praktisch jedes Gesetz, so bringt auch dieses wieder eine Menge an zusätzlicher Bürokratie mit sich.

Das IT-Sicherheitsgesetz gehört zur digitalen Agenda und setzt Mindeststandards für die IT-Security. Darüber hinaus sieht es Meldepflichten für Cyberangriffe in Unternehmen mit kritischen Infrastrukturen vor. Dazu gehören Betreiber aus den Branchen Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz-und Versicherungswesen.

Diese Unternehmen sollen erhebliche Störungen ihrer Systeme an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Dieses wiederum muss den Namen des Betreibers nur dann nennen, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Infrastruktur geführt hat.

Bei der Frage, was eine erhebliche Störung ist, findet sich im Gesetzentwurf keine Aussage. Vermutlich können die Unternehmen hier die Auslegung des Telekommunikationsgesetzes durch das BSI einfach übernehmen. Ein erheblicher Störfall ist demnach einer mit 100.000 Stunden Gesamtausfall. Ein Beispiel: Wenn ein Cloudservice mit etwa 25.000 aktiven Kunden ausfällt, wird der Störfall nach vier Stunden „erheblich“ im Sinne des Gesetzes.

Erhebliche Störungen

Es ist allerdings fraglich, ob die bisher gültige Schwelle bleibt. Angesichts der zahlreichen Unternehmen mit einem kleineren Kundenstamm muss sie vermutlich gesenkt werden. Denn wenn ein Unternehmen lediglich wenige tausend Kunden hat, muss es einen Störfall nur melden, wenn er länger als ein bis zwei Tage anhält.

Die Kunden dieses Unternehmens werden aber sicherlich bereits nach wenigen Stunden auf die Barrikaden gehen und den Störfall als „erheblich“ einschätzen. Hier wird das BSI also noch seine Kriterien schärfen müssen. Doch die Meldepflicht ist nicht alles. Das Gesetz verpflichtet die Unternehmen dazu, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen zu treffen.

Ohne Kontrolle ist eine solche Regel natürlich zahnlos, deswegen müssen die Firmen regelmäßig ihre Sicherheitsvorkehrungen nachweisen. Vor allem das BSI entwickelt sich dadurch zur Schaltstelle bei der Ausführung des Gesetzes. Allerdings ist völlig unklar, wie groß der Aufwand für das BSI ist. Klar ist allerdings bereits jetzt, dass auf Unternehmen ab zehn Mitarbeitern und mehr als zwei Millionen Euro Jahresumsatz noch mehr Berichtspflichten zu kommen.

Konzernen dürften die neuen Regeln keine Probleme bereiten, denn ihre Compliance-Abteilungen sind mit formulargestählten und juristisch beschlagenen Mitarbeitern gesegnet. Außerdem haben zumindest IKT-Anbieter sowie Banken und Versicherungen bereits jetzt Sicherheitsvorkehrungen, die Mindeststandards weit übertreffen. Doch unter den Betreibern kritischer Infrastrukturen gibt es auch kleinere, mittelständische Unternehmen, die zusätzliche Kosten übernehmen müssen.

Der IT-Branchenverband Bitkom hat nachgerechnet und kommt auf Ausgaben von bis zu 1,1 Milliarden Euro pro Jahr - je nachdem wie viele Unternehmen in der Praxis tatsächlich betroffen sein werden. Die Bundesregierung geht von etwa 2000 betroffenen Unternehmen aus, hat sich aber die genaue Festlegung dieser Zahl für eine Ausführungsverordnung zum Gesetz vorbehalten.

Bildquelle: Jakob Ehrhardt / pixelio.de

 Der aktuelle Entwurf des IT-Sicherheitsgesetzes

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok