apsec Tipps & Tricks zum IT-Sicherheitsgesetz

Höchste Zeit, um sich über Pflichten, Fristen, deren Umsetzungsmöglichkeiten und eventuelle Konsequenzen zu informieren.

Applied Security GmbH

Großwallstadt, 30.05.2017

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: „IT-Sicherheitsgesetz“) ist eine Anpassung bzw. Erweiterung des BSI-Gesetzes vom August 2009. Es verpflichtet Betreiber kritischer Infrastruktur unter anderem dazu, ein sogenanntes Informationssicherheitsmanagementsystem (ISMS) einzuführen. Weiter stattet es das Bundesamt für Sicherheit in der Informationstechnik mit neuen Aufgaben und Rechten aus und manifestiert so dessen Funktion als zentrale Meldestelle für die Sicherheit in der Informationstechnik.

Betreiber kritischer Infrastruktur (KRITIS), die mit Inkrafttreten des IT-Sicherheitsgesetzes am 17.07.2015 die unten aufgeführten Pflichten zu erfüllen haben, sind Einrichtungen oder Anlagen, deren Funktionieren eine hohe Bedeutung für das Gemeinwesen aufweisen.

Die KRITIS aus den Branchen Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung werden mit dem ersten Teil der BSI-KRITIS-Verordnung, die im Mai 2016 in Kraft getreten ist, qualitativ und quantitativ identifiziert, indem sie anhand bestimmter Schwellenwerten bemessen werden. Der zweite Teil der BSI-KRITIS-Verordnung für die Branchen Finanzen und Versicherungen, Transport und Verkehr sowie Gesundheit wird voraussichtlich für das 2. oder 3. Quartal 2017 erwartet.

Das Gesetz verpflichtet die mit der Verordnung näher bestimmten Betreiber kritischer Infrastrukturen dazu

  • dem BSI bestimmte sicherheitsrelevante Vorfälle zu melden.
  • binnen 6 Monaten nach Inkrafttreten der Verordnung eine Kontaktstelle für die Kommunikationsstrukturen zum Krisenmanagement zu benennen.
  • binnen 2 Jahren nach Inkrafttreten der Verordnung ein ISMS einzuführen und damit die vom BSI festgelegten Mindeststandards in der Informationssicherheit zu erfüllen.
  • mindestens alle 2 Jahre einen Nachweis der Einhaltung des geforderten Mindeststandards (z. B. durch Audits, etc.) zu erbringen.

Bei Nichteinhaltung oder unzureichender Umsetzung dieser Forderungen ist mit einem Bußgeld von bis zu 100.000,00 EUR zu rechnen. Höchste Zeit also für die Betreiber kritischer Infrastrukturen im Sinne des Gesetzes aktiv zu werden, um damit nicht nur ein unnötiges Bußgeld zu vermeiden, sondern einen erheblichen Beitrag zur Absicherung Deutschlands und Europas zu leisten.



Neuer Kommentar