Um das Niveau der IT-Sicherheit in Deutschland zu erhöhen und eine dauerhaft gute Qualität zu gewährleisten, ist im Juli 2015 das IT-Sicherheitsgesetz in Kraft getreten. Wir zeigen Ihnen, welchen Zweck das Gesetz verfolgt, an wen es sich richtet und welche Pflichten damit einhergehen.
Zweck des Gesetzes
In erster Linie soll mit dem Gesetz die „Verbesserung der Sicherheit informationstechnischer Systeme (IT-Systeme) in Deutschland“ erreicht werden. Darüber hinaus sollen „kritische Infrastrukturen, welche gerade für das Funktionieren des Gemeinwesens zentral sind“ geschützt werden. Software-Hersteller und Hardware-Hersteller werden dazu verpflichtet, etwaigen Sicherheitsmängeln entgegenzuwirken. Außerdem werden Betreiber „kritischer Infrastrukturen“ angesprochen, dass sie ein bestimmtes Niveau an IT-Sicherheit einhalten und Vorfälle, die die IT-Sicherheit betreffen umgehend dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Bei Nichteinhaltung drohen ihnen empfindliche Strafen.
Was sind kritische Infrastrukturen?
Mit kritischen Infrastrukturen sind Versorgungssysteme und Infrastrukturen gemeint, die erhebliche Auswirkung auf unsere Gesellschaft haben können. Ziel ist es, Risikofaktoren zu minimieren und so die Aufrechterhaltung sämtlicher Infrastrukturen zu gewährleisten.
Das BBK hat hierzu folgende Definition verfasst:
„Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“
An wen richtet sich das IT-Sicherheitsgesetz?
Das IT-Sicherheitsgesetz richtet sich in erster Linie an folgende Adressaten:
- An das Bundesamt für Sicherheit in der Informationstechnik (BSI)
- An Unternehmen der Telekommunikation
- An Betreiber von Online-Shops und anderen Webangeboten
- An Betreiber von kritischen Infrastrukturen (KRITIS)
Welche Pflichten werden durch das Gesetz begründet?
Abhängig davon, welchem Adressat das jeweilige Unternehmen zugeordnet ist, ergeben sich unterschiedliche Pflichten, die zu beachten sind:
Die Pflicht Sicherheitsvorfälle dem BSI zu melden
Dem Melden von Vorfällen, die die IT-Sicherheit betreffen, kommt im IT-Sicherheitsgesetz eine zentrale Rolle zu. Hierzu fungiert das Bundesamt für Sicherheit in der Informationstechnik als Meldestelle. Da es auch als verwaltendes Organ verstanden wird, leitet es alle Meldungen an diverse Betreiber kritischer Infrastrukturen weiter. Somit haben diese die Möglichkeit auf die Gefahren zu reagieren und entsprechende Schutzmaßnahmen zu treffen.
Unternehmen der Telekommunikation
Telekommunikationsunternehmen haben laut Gesetz zwei große Aufgaben. Zum einen müssen sie gewährleisten, dass all ihre Systeme angemessen gegen Cyberattacken gesichert sind. Zum anderen müssen Kunden unverzüglich über Angriffe oder Missbräuche der Anschlüsse informiert werden.
Betreiber von Online-Shops und anderen Webangeboten
Für Betreiber von Online-Shops und anderen Webangeboten lassen sich ebenfalls zwei Pflichten nennen. Einerseits müssen die Kundendaten nach aktuellem Stand des Datenschutzes gesichert sein und alle Maßnahmen ergriffen werden, die dies gewährleisten. Gleiches gilt für deren IT-Systeme. Auch diese müssen nach aktuellem Stand der Technik gesichert werden.
Betreiber von kritischen Infrastrukturen (KRITIS)
Kritischen Infrastrukturen kommen laut IT-Sicherheitsgesetz besondere Pflichten zu. Sie sind nicht nur dazu verpflichtet, sämtliche IT-Sicherheitsvorfälle zu melden, sondern müssen sich darüber hinaus alle vier Jahre einer Evaluation unterziehen. Dabei wird geprüft, ob die vorhandenen Sicherheitsmaßnahmen dem aktuellen Stand der Technik entsprechen.