Aktuelles
Top Thema Sicherheitsgesetz

 

Update zum IT-Sicherheitsgesetz

Am 25.07.2015 hat die Bunderegierung das neue "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" (IT-Sicherheitsgesetz) verabschiedet. Seitdem herrscht bei vielen Unternehmen Unklarheit über mögliche Auswirkungen und Folgen. Was bedeutet das Gesetz konkret, wer ist eigentlich davon betroffen?
Die wichtigsten Fakten und den aktuellen Stand haben wir hier zusammengefasst:

Ziel der Bunderegierung ist es, in Deutschland einen Standard für digitale Sicherheit zu etablieren und insbesondere als kritisch eingestufte Infrastrukturen zu schützen. Zu diesem Zweck enthält das IT-Sicherheitsgesetz (ITSiG) umfangreiche Änderungen und Ergänzungen für bereits bestehende Gesetze, insbesondere das BSI-Gesetz (BSIG), das Energiewirtschaftsgesetz (EnWG), das Atomgesetz (AtG), das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG).

Der Anwendungsbereich und die Umsetzung des Gesetzes wird in einer noch ausstehenden Rechtsverordnung spezifiziert werden. Derzeit sind die detaillierten Anforderungen und  die Umsetzung bis auf wenige Anwendungsbereiche noch nicht  geklärt, daher ist eine branchenspezifische Betrachtung notwendig.

Branchenspezifische Unterschiede

  • Für Betreiber von Atomanlagen, Betreiber von Strom- und Gasnetzen sowie Betreiber öffentlicher Telekommunikationsnetze besteht eine Meldepflicht von erheblichen IT-Sicherheitsvorfällen (im Anwendungsbereich des Gesetzes).
  • Für die Betreiber von Strom- und Gasnetzen hat die Bundesnetzagentur (BNetzA) die Umsetzung des IT-Sicherheitsgesetzes über den Sicherheitskatalog gem. §11 Absatz 1a EnWG(Energiewirtschaftsgesetz) spezifiziert. Davon betroffen ist jeder deutsche Netzbetreiber unabhängig von der Anzahl der Anschlüsse.
    Kernforderung ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß ISO/IEC 27001 unter Berücksichtigung der Anforderungen der ISO/IEC TR 27019 sowie deren Zertifizierung durch eine hierfür zugelassene, unabhängige Stelle bis zum 31.01.2018.
  • Für die Betreiber von Energieanlagen folgt in Kürze ein weiterer Sicherheitskatalog gem. §11 Absatz 1b EnWG, der die Umsetzung regeln soll. Hier steht allerdings noch die Definition aus, ab welcher Anzahl betroffener Haushalte Energieanlagen als kritische Infrastruktur gelten. Die Rechtsverordnung, die das definiert, wird für 31.03.2016 erwartet.
  • Für die Betreiber kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen ist derzeit  noch offen, ob und wie sie betroffen sind. Auch dies wird in der ausstehenden Rechtsverordnung im Einzelnen festgelegt werden.
  • Über die durch das IT-Sicherheitsgesetz herbeigeführten Änderungen des Telemediengesetzes (TMG) ergeben sich zudem Anforderungen für die Anbieter geschäftsmäßig erbrachter Telemediendienste - also insbesondere Betreiber kommerzieller Webseiten, Online-Shops und Webportale.
    Für sie gelten seit Inkrafttreten des Gesetzes am 25.07.2015 erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen betriebenen IT-Systeme. Mit Inkrafttreten des IT-Sicherheitsgesetzes müssen technische und organisatorische Maßnahmen nach dem Stand der Technik ergriffen werden, um sowohl unerlaubte Zugriffe auf technische Einrichtungen und Daten als auch Störungen zu verhindern.

Das BSI definiert den "Stand der Technik" wie folgt:
"Stand der Technik" ist ein gängiger juristischer Begriff. Die technische Entwicklung ist schneller als die Gesetzgebung. Daher hat es sich in vielen Rechtsbereichen seit vielen Jahren bewährt, in Gesetzen auf den Stand der Technik abzustellen, statt zu versuchen, konkrete technische Anforderungen bereits im Gesetz festzulegen. Was zu einem bestimmten Zeitpunkt Stand der Technik ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards wie DIN oder ISO-Standards oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln. Da sich die notwendigen technischen Maßnahmen je nach konkreter Fallgestaltung unterscheiden können, ist es nicht möglich, den Stand der Technik allgemeingültig und abschließend zu beschreiben."
Quelle: https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/Strategie/IT-SiG/FAQ/faq_it_sig_node.html

Für die praktische Umsetzung bedeutet das die Etablierung ITIL-konformer Prozesse für den Betrieb, regelmäßig durchgeführte Sicherheitsanalysen zur Prüfung und Notfallvorsorge insbesondere beim Umgang mit Sicherheitsvorfällen.
Optimal für den Nachweis sind der Aufbau und die Zertifizierung eines Information Security Management Systems (ISMS) gemäß ISO/IEC 27001, welches sich auch nur für einzelne Teilbereiche, zum Beispiel den Betrieb eines Webshops oder das Rechenzentrum eines Online-Marktplatzes etablieren lässt. 
Quellen und weitere Informationen: BMI, BSI, BNetzA

Interesse an einer unverbindlichen Beratung?

Wenn Sie detaillierte Informationen zum Thema IT-Sicherheitsgesetz oder über die ISMS-Einführung benötigen, helfen wir Ihnen gerne weiter: Kontakt zu r-tec