IT-Sicherheitsgesetz

Was Mittelständler jetzt tun müssen

Das IT-Sicherheitsgesetz ist da – und lässt viele Unternehmen ratlos zurück. Dabei besteht insbesondere für den Mittelstand an der einen oder anderen Stelle bereits aktuell Handlungsbedarf.

  • Das IT-Sicherheitsgesetz lässt viele Unternehmen ratlos zurück.

  • Jan Schneider, Rechtsanwalt

    Autor Jan Schneider ist Rechtsanwalt, Fach­anwalt für IT-Recht und Partner der Sozietät SKW Schwarz Rechtsanwälte am Standort Düsseldorf.

Die IT in hiesigen Unternehmen soll sicherer werden, so stellt es sich die Bundesregierung vor – und hat daher das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ gestrickt – kurz „IT-Sicherheitsgesetz“. Das am 25. Juli 2015 in Kraft getretene Gesetz bringt u. a. für Betreiber sogenannter kritischer IT-Infrastrukturen („Kritis“) die Pflicht zur Etablierung, Aufrechterhaltung und zum Nachweis angemessener technischer und organisatorischer Vorkehrungen zur IT-Sicherheit.

Weiter etabliert das Gesetz für Kritis-Betreiber die Pflicht zur Meldung von (erheblichen) IT-Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Anbieter von Telekommunikationsdiensten und -leistungen müssen darüber hinaus u. a. ihre Nutzer künftig bei Störungen benachrichtigen und auf Maßnahmen zur Erkennung und Beseitigung hinweisen. Bei Zuwiderhandlungen gegen die neuen Regeln drohen bis zu 100.000 Euro Bußgeld. Betroffen sind voraussichtlich rund 2.000 Unternehmen, darunter durchaus auch einige aus dem Mittelstand. Nicht durch das Gesetz verpflichtet werden Kleinstunternehmen, d.h. solche Unternehmen, die weniger als zehn Personen beschäftigen und deren Jahresumsatz bzw. Jahresbilanz zwei Millionen Euro nicht überschreitet.

Wer ist konkret betroffen?

Wer nun gerne wissen möchte, ob sein Unternehmen kritische Infrastrukturen betreibt, der erfährt aus dem IT-Sicherheitsgesetz derzeit lediglich, dass solche Infrastrukturen „kritisch“ sein sollen, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und die darüber hinaus von besonderer Bedeutung für das Funktionieren des Gemeinwesens sind. Näheres soll demnächst durch das Bundesministerium des Inneren (BMI) in einer Rechtsverordnung bestimmt werden.

Im Klartext heißt das derzeit: Wer neben offensichtlichen Fällen wie etwa Krankenhäusern, Energie- und Wasserversorgern sowie manchen Banken und Versicherern in den Anwendungsbereich des Gesetzes fällt, ist weitgehend unklar. Wichtig ist jedenfalls die Erkenntnis, dass nach dem Gesetzestext eine IT-Infrastruktur der genannten Sektorenunternehmen nur dann tatsächlich „kritisch“ ist, wenn sie für das Gemeinwesen erheblich bedeutsam ist – weil durch ihren Ausfall erhebliche Versorgungsengpässe eintreten würden.

Damit fällt beileibe nicht jedes Unternehmen aus den genannten Sektoren unter das Gesetz. Allerdings ist noch völlig offen, wie weit das BMI den Anwendungsbereich per Rechtsverordnung letztlich ziehen wird. Tendenziell dürfte mit einer eher weiten Grenzziehung zu rechnen sein. Zu diesen Themen sind daher derzeit die Branchen- und Wirtschaftsverbände gefragt, die im Rahmen der Gestaltung der Rechtsverordnung per Gesetz anzuhören sind.

Was ist zu tun?

Für viele Unternehmen heißt die selbstauferlegte Devise daher derzeit: Erst einmal abwarten. Das mag naheliegen, weil die betroffenen Unternehmen für die Etablierung der Sicherheitsmaßnahmen grundsätzlich zwei Jahre lang Zeit haben – wobei diese Frist auch erst dann beginnt, wenn die besagte Rechtsverordnungen Kraft getreten ist.

Dennoch ist das Zuwarten nicht in jedem Fall eine gute Idee. So dürfte es für einige Unternehmen beispielsweise Sinn ergeben, bei demnächst anstehenden größeren Investitionen in die eigene IT-Infrastruktur zu überlegen, inwieweit eine mögliche Anwendbarkeit des IT-Sicherheitsgesetzes auf das betroffene Unternehmen hierauf Einfluss haben könnte. Auch eine Überprüfung der vorhandenen IT-Infrastruktur in Bezug auf die Sicherheitsaspekte kann sich für potentiell unter das Gesetz fallende Unternehmen bereits jetzt anbieten, um das Risiko etwaig erforderlicher Investitionen frühzeitig zu bewerten.

Akuter Handlungsbedarf für Zulieferer

Ernst wird es auch schon jetzt für die Zulieferer und sonstigen Dienstleister (nennen wir sie kurz „Zulieferer“) der Unternehmen aus den im Gesetz genannten Sektoren. Denn die (potentiellen) Kritis-Betreiber müssen sicherstellen, dass ihre Zulieferer die künftigen IT-Sicherheitsstandards einhalten. Unter dieser Prämisse sehen sich die Zulieferer, auch solche aus dem Mittelstand, zunehmend mit entsprechenden Forderungen ihrer Auftraggeber konfrontiert.

Daher liegt es für die Zulieferer bereits jetzt nahe, den Stand der eigenen IT-Sicherheitsvorkehrungen und auch die zugehörigen Dokumentationen kritisch zu überprüfen. Dabei müssen auch unbedingt die eigenen Partner in der Liefer- und Leistungskette einbezogen werden (z.B. externe Rechenzentrumsbetreiber). Insbesondere eine aussagekräftige und auch rechtssicher gestaltete Dokumentation der Sicherheitsvorkehrungen kann als Informationsdokument, als vertrauensbildende Maßnahme oder gar als „Nachweis“ einen wichtigen Mehrwert für die Auftraggeber darstellen. Unter dieser Prämisse dürften für die Zulieferer künftig auch Zertifizierungen und ähnliche qualifizierten Nachweise im Bereich der IT-Sicherheit an Attraktivität gewinnen.

Unbedingt sollten Zulieferer zudem bereits jetzt prüfen, inwieweit ihre Produkte und Dienste zukünftig auf die unterschiedlichen Anforderungen der Auftraggeber im Bereich der IT-Sicherheit Rücksicht nehmen müssen. Beispielsweise wird ein Kritis-Betreiber für manche Dienste eine höhere Verfügbarkeit und Ausfallsicherheit benötigen als ein nicht unter das Gesetz fallender Auftraggeber. Eine umsichtige Gestaltung des Produkt- und Leistungsportfolios mit alternativen Optionsmöglichkeiten ist insofern der Schlüssel zu einer kundenorientierten und gleichzeitig wirtschaftlichen Umsetzung der gesetzlichen Anforderungen.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok