IT-Sicherheitsgesetz - Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme

Bei vielen fast schon wieder in Vergessenheit geraten: Im Rahmen der "Digitalen Agenda" der Bundesregierung hat der Bundestag am 12.06.2015 ein Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) beschlossen, um Mindeststandards für die IT-Sicherheit in Deutschland zu setzen.

Das Ziel des IT-Sicherheitsgesetzes ist es, die Verfügbarkeit, aber auch die Integrität und Vertraulichkeit der IT-Systeme zu schützen. Betreiber Kritischer lnfrastrukturen werden verpflichtet, einen Mindeststandard an IT-Sicherheit einzuhalten und dem Bundesamt für Sicherheit in der lnformationstechnik (BSI) IT-Sicherheitsvorfälle zu melden. Die beim BSI zusammenlaufenden Informationen sollen dort gesammelt und ausgewertet und die darüber gewonnenen Erkenntnisse den Betreibern kritischer Infrastrukturen zur Verbesserung des eigenen Schutzes zur Verfügung gestellt werden.

Wen betrifft das IT-Sicherheitsgesetz?
Im Besonderen adressiert das IT-Sicherheitsgesetz Betreiber sogenannter "kritische Infrastrukturen" (KRITIS). Hierzu zählen insbesondere Energieversorger, Unternehmen aus der Informations- & Telekommunikationstechnik, Transport & Verkehr, das Gesundheitswesen, die Wasserversorgung, Ernährungsinstitutionen, das Finanzwesen, Versicherungsfirmen, der Staatsapparat mit seiner öffentlichen Verwaltung sowie Einrichtungen der Medien und Kultur. Den Grund sieht der Gesetzgeber in den weitreichenden gesellschaftlichen Folgen eines Ausfalls und in der besonderen Verantwortung für das Gemeinwohl solcher Einrichtungen und Anlagen.

Welche Maßnahmen sieht das IT-Sicherheitsgesetz für Betreiber kritischer Infrastrukturen vor?
Betreiber Kritischer Infrastrukturen sind verpflichtet, "angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen zum Schutz derjenigen informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind". Ferner sind "organisatorische und technische Vorkehrungen und sonstige Maßnahmen" zu ergreifen. Die Maßnahmen sind nach einer Übergangszeit von zwei Jahren nach Inkrafttreten der Rechtsverordnung umzusetzen.

Wie können Unternehmen diese Vorgaben erfüllen?
Die Bundesnetzagentur (BNetzA) hat zusammen mit dem BSI einen Katalog von Sicherheitsanforderungen erstellt und veröffentlicht. Ein "angemessener Schutz" wird gesetzlich dann vermutet, wenn dieser IT-Sicherheitskatalog eingehalten und dies vom Netzbetreiber dokumentiert ist.

Die 3 Kernforderungen im IT-Sicherheitskatalog:

  • Einführung eines Information-Security-Management-System (ISMS)
  • Zertifizierung nach ISO 27001
  • Benennen eines IT-Sicherheitsbeauftragten gegenüber dem BSI

Das IT-Sicherheitsgesetz sieht vor, dass Verpflichtete alle zwei Jahre gegenüber dem BSI die Erfüllung der Anforderungen nachweisen. Den Nachweis haben sie gegenüber dem BSI dadurch zu führen, dass sie dem BSI mindestens alle zwei Jahre "eine Aufstellung der zu diesem Zweck durchgeführten Sicherheitsaudits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel" übermitteln.