Neues IT-Sicherheitsgesetz - Neue Pflichten für die IT-Sicherheit in Unternehmen

Im Juni 2015 hat die Bundesregierung das IT-Sicherheitsgesetz (IT-SiG) verabschiedet, durch das die IT-Sicherheit von Unternehmen sowie der Schutz der Bürger im Internet erhöht werden sollen. Durch das IT-SiG wurde jedoch kein neues Gesetz geschaffen, sondern verschiedene, bereits bestehende Gesetze ergänzt. Seit dem ersten Entwurf im August 2014, über den wir bereits seinerzeit berichtet hatten (http://www.schalast.com/news/101), hat das Gesetz noch einige Änderungen erfahren. Im Folgenden wird ein kurzer Überblick gegeben, wer durch das Gesetz verpflichtet wird, was zu tun ist und was kritisch gesehen wird.

1. Wen trifft das IT-Sicherheitsgesetz?

Das Gesetz und die hieraus resultierenden Pflichten gelten nur für „Betreiber kritischer Infrastrukturen“. Solche kritischen Infrastrukturen sollen insbesondere solche sein, (i) die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und (ii) die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Kleinstunternehmen jedoch sind ausgenommen von den Verpflichtungen des IT-SiG.

2. Wesentliche Pflichten

Betreiber kritischer Infrastrukturen werden durch das neue Gesetz verpflichtet, angemessene organisatorische und technische Vorkehrungen zu treffen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme zu vermeiden. Sie sind insbesondere verpflichtet, (i) aufgestellte Mindestanforderungen an die IT-Sicherheit einzuhalten, (ii) Sicherheitsaudits nachzuweisen, (iii) Verfahren für die Meldepflichten von erheblichen IT-Sicherheitsvorfällen einzurichten sowie (iv) eine Kontaktstelle zu betreiben. 

Telekommunikationsanbieter trifft zudem die Pflicht, die Nutzer über Störfälle (z.B. Missbrauch einer Webseite, Datenverluste, Angriff auf einen Computer u.ä.) benachrichtigen. Für die Angriffserkennung dürfen sie nunmehr auch Verkehrsdaten erheben und sechs Monate speichern, was von Datenschützern als unberechtigte Art der Vorratsdatenspeicherung kritisiert wird.

Des Weiteren sind betroffene Unternehmen verpflichtet, Störungen an das Bundesamt für Sicherheit in der Informationstechnik („BSI“) zu melden. Solche Vorfälle sind grundsätzlich durch eine eigens vom Unternehmen zu benennende Kontaktstelle – und damit wohl anonym – zu übermittelt. Nur wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der kritischen Infrastruktur geführt hat, ist eine Nennung des konkreten Betreibers durch die Kontaktstelle erforderlich. Zur Aufklärung oder Warnung der Öffentlichkeit sowie bei Auskunftsverlangen Dritter kann das BSI unter bestimmten Voraussetzungen die gemeldeten Informationen weitergeben und veröffentlichen. Auf Grund der Sensibilität solcher Informationen besteht für die betroffenen Unternehmen jedoch insbesondere im Fall von etwaigen Veröffentlichungen die Gefahr einer erheblichen Imageschädigung. Zudem ist fraglich, ob die schutzwürdigen Interessen der betroffenen Betreiber hinreichend durch das IT-SiG geschützt werden. Eine genaue Veröffentlichungspraxis wird sich noch entwickeln müssen.

Die IT-Sicherheitsmaßnahmen sind innerhalb von zwei Jahren zu implementieren. Andernfalls kann eine Geldbuße von 50.000,00 Euro bis zu 100.000,00 Euro verhängt werden.

3. Kritik & Konsequenzen

Durch das neue IT-Sicherheitsgesetz wird erheblich in die Organisation der IT-Systeme der betroffenen Unternehmen eingegriffen, ohne dass eine ausreichende Klarheit darüber geschaffen wird, wen die Pflichten des Gesetzes genau treffen. Die zahlreichen unbestimmten Begriffe des IT-SiG wie „kritische Infrastrukturen“ oder „Stand der Technik“ machen es schwer abzusehen, ob und in welchem Umfang Maßnahmen von welchem Unternehmen ergriffen werden müssen. Dies stellt Unternehmen vor erhebliche Herausforderungen, um die Anforderungen des IT-SiG entsprechend umzusetzen. Da das neue Gesetz zudem nicht klar bestimmt, welche Maßnahmen konkret erforderlich sind, wird für die Praxis bedeutsam sein, branchenspezifische Sicherheitsstandards festzulegen. 

Klarheit soll eine separate Rechtsverordnung zum IT-SiG schaffen, in der unter anderem definiert werden soll, wer konkret als „Betreiber kritischer Infrastrukturen“ im Sinne des Gesetzes verpflichtet ist. Wann diese Rechtsverordnung erlassen wird, ist derzeit jedoch noch nicht absehbar.

Wir empfehlen daher, bestehende IT-Prozesse sowie die Infrastruktur sämtlicher Geschäftsbereiche und insbesondere deren Verfügbarkeit, Vertraulichkeit und Integrität zu überprüfen, um zu ermitteln, welche Maßnahmen nach dem neuen Gesetz getroffen werden müssen. Gerne berät Sie unser IT, IP & Compliance-Team bei den erforderlichen Anpassungen an die Anforderungen des neuen IT-Sicherheitsgesetzes.