Twitter Kontakt

FAQ zum IT-Sicherheitsgesetz

Warum gibt es das IT-Sicherheitsgesetz?

Jährlich entsteht deutschen Unternehmen durch Cyber-Attacken ein Schaden von rund 13 Mrd. Euro. Dabei sind die potentiellen Risiken für Staat und Gesellschaft noch gar nicht mit eingerechnet. Das BSI will mit dem IT-Sicherheitsgesetz die Informationssicherheit bei den Betreibern kritischer Infrastrukturen (KRITIS) verbessern. Es schreibt strengere Sicherheitsstandards zur Erhöhung des Schutzes von IT-Systemen und –diensten vor. So soll die digitale Infrastruktur Deutschlands eine der sichersten der Welt werden.

Für wen gilt das IT-Sicherheitsgesetz?

Das IT-Sicherheitsgesetz gilt für Betreiber kritischer Infrastrukturen (KRITIS). Es regelt, ab welchem Schwellenwert ein kritischer Versorgungsgrad vorliegt. Dieser beläuft sich für diese Sektoren auf 500.000 versorgte Personen.

Die erste Rechtsverordnung des Gesetzes wurde für die Sektoren Energie, Informationstechnik und Telekommunikation, Ernährung und Wasser erarbeitet. Die zweite Verordnung wird bis Frühjahr 2017 erwartet. Dies wird die Sektoren Finanzen, Gesundheit sowie Transport und Verkehr betreffen.

Wo befinden sich die größten Schwachstellen in meiner IT?

Die meisten Cyber-Attacken werden auf Sicherheitslücken in Web-basierten Anwendungen ausgeführt. Auch mobile Applikationen stehen regelmäßig unter Beschuss. Cloud-basierte Anwendungen gelten gemeinhin als sicher, allerdings muss man hier in Betracht ziehen, dass schwache Passwörter oder unsichere Geräte eine willkommene Angriffsfläche für Cyber-Kriminelle bieten. Auch unsichere Konfigurationen stellen eine Gefahr dar.

Was muss ich als KRITIS-Unternehmen umsetzen?
  • Sie müssen Ihr Unternehmen beim BSI registrieren.
  • Sie müssen in Ihrem Unternehmen eine Kontaktstelle zum BSI benennen.
  • Sie müssen erhebliche IT-Sicherheitsvorfälle dem BSI melden.
  • Sie müssen bestimmte Mindeststandards umsetzen, die Ihre IT nach dem Stand der Technik absichern. Sollten sich für einen bestimmten Bereich noch keine Standards etabliert haben, besteht die Möglichkeit branchenspezifische Sicherheitsstandards nach dem Stand der Technik auszuarbeiten.
  • Sie müssen die Standards alle zwei Jahre mittels Audit überprüfen lassen.
Was bedeutet „nach dem Stand der Technik“?

Da die technische Entwicklung der Gesetzgebung immer einen Schritt voraus ist, verzichtet der Gesetzgeber darauf, konkrete Maßnahmen zu benennen. Stattdessen beruft er sich auf national und international gängige Normen und Standards, wie beispielsweise die Norm ISO/IEC 27001 oder auf erprobte Maßnahmen aus der Praxis.

Wann muss mein Unternehmen diese Maßnahmen umgesetzt haben?

Nach Inkrafttreten der Verordnung gelten folgende Fristen:

  • für die Meldepflicht erheblicher IT-Sicherheitsvorfälle 6 Monate.
  • 2 Jahre, um IT-Sicherheitsstandards nach dem Stand der Technik zu implementieren und nachweislich überprüfen zu lassen (Audit).
Welche Kosten kommen auf mein Unternehmen zu?

Für folgende Posten müssen Sie mit Kosten rechnen:

  • das Einrichten einer Meldestelle.
  • die Festlegung der Sicherheitsstandards und deren Implementierung.
  • regelmäßige Sicherheitsaudits, Zertifizierungen oder Prüfungen.

Die genauen Kosten sind von Unternehmen zu Unternehmen verschieden.

Wann macht sich mein Unternehmen potentiellen Verstößen schuldig?
  • Wenn Sie erhebliche Störungen Ihrer Infrastruktur nicht umgehend und ordnungsgemäß melden.
  • Wenn Sie es versäumen, die erforderliche Kontaktstelle nicht oder nicht rechtzeitig zu benennen.
  • Wenn Sie Ihre IT-Systeme nicht den Vorgaben entsprechend auf den Stand der Technik bringen oder sie nicht auf diesem Stand halten.
  • Wenn Sie es versäumen, die Audits durchführen zu lassen.
Welche Konsequenzen drohen meinem Unternehmen, wenn ich die Maßnahmen nicht rechtzeitig umsetze?

Bei Nichterfüllen der Auflagen drohen Ihnen Strafen bis zu einer Höhe von 100.000 Euro. Wenn Sie es versäumen eine Störung zu melden, kann das Bußgeld geringer ausfallen. Hinzu kommen mögliche Schadensersatzansprüche von geschädigten Kunden. Auch sollte man den potentiellen Imageverlust nicht außer Acht lassen.