Das IT-Sicherheitsgesetz

IT-Sicherheit in der EU – Blick in die Zukunft

| Autor / Redakteur: Detlef Klett und Mareike Gehrmann / Stephan Augsten

Das IT-SiG richtet sich vorrangig an Betreiber kritischer Infrastrukturen, doch wer gehört eigentlich dazu?
Das IT-SiG richtet sich vorrangig an Betreiber kritischer Infrastrukturen, doch wer gehört eigentlich dazu? (Bild: fotohansel - Fotolia.com)

Deutschlands IT-Systeme und digitalen Infrastrukturen sollen die sichersten weltweit werden, fordert Bundesinnenminister de Maizière. Diese Forderung soll nun durch das IT-Sicherheitsgesetz, kurz IT-SiG, umgesetzt werden.

Erstmals ist mit dem IT-SiG ein übergreifender Rechtsrahmen für die Gewährleistung von IT-Sicherheit in Deutschland geschaffen worden. Hierbei greift der Gesetzgeber vor allem auf etablierte Standards wie den BSI IT-Grundschutz zurück.

Das IT-SiG – ein Anfang

Das IT-SiG richtet sich primär an Betreiber kritischer Infrastrukturen (KRITIS). Gemäß § 8a IT-SiG sind sie dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer IT-Systeme zu treffen. Dabei haben ihre Umsetzung stets den „Stand der Technik“ einzuhalten.

Die anzulegenden Standards können allerdings von den KRITIS-Betreibern und ihren Branchenverbänden branchenspezifisch erarbeitet werden. Durch Zertifizierungen ist jedoch die Einhaltung dieser Standards im Zweijahresrhythmus nachzuweisen. Zudem wird eine Wissensbasis angestrebt. Zur Erstellung dieser verpflichtet § 8b IT-SiG zur Meldung von durch Cyberangriffe verursachte erhebliche Störungen mit Auswirkungen auf die Versorgungssicherheit oder die öffentliche Sicherheit, unmittelbar an das BSI.

Keine Auskunft enthält das IT-SiG allerdings darüber, wer genau als KRITIS-Betreiber anzusehen ist. Es enthält in § 2 Abs. 10 IT-SiG lediglich die Aussage, dass die Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen kritische Infrastrukturen darstellen.

Eine Konkretisierung nimmt die Rechtsverordnung des Bundesministeriums des Innern (BMI) vor, die aktuell im Entwurfsstadium vorliegt (BSI-KritisV). Infolge eines dreistufigen Verfahrens soll danach eine Bewertung als „kritisch“ oder „nicht kritisch“ vorgenommen werden. Von besonderer Bedeutung ist dabei die dritte Stufe. Danach gilt ein Betreiber als „kritisch“, sofern er die Versorgung von 500.000 Menschen sicherstellt.

Eine solche Verallgemeinerung erscheint nicht zielführend. Im Sektor der dezentral erfolgenden Wasserversorgung stehen die Schwellenwerte unter Umständen nicht in angemessenem Verhältnis zur Relevanz der Bevölkerungsvorsorge mit Wasser. Sinnvoll erscheinen vielmehr qualitative Kriterien, beispielsweise die Berücksichtigung etwaiger Domino-Effekte. Zu denken ist dabei an einen KRITIS-Betreiber, der selbst die „500.000er Schwelle“ nicht überschreitet, jedoch Unternehmen versorgt, welche wiederum die Versorgung einer Vielzahl von Menschen sicherstellen.

Neben KRITIS-Betreibern zählen gemäß § 8 Abs. 6 IT-SiG auch Hersteller von IT-Produkten zu den Adressaten. Von diesen kann das BSI die Mitwirkung an Störungsbeseitigungen verlangen. Ebenfalls ist eine schrittweise Ausweitung des IT-SiG auf bislang nicht benannte Sektoren zu erwarten.

Ergänzendes zum Thema
 
Über Detlef Klett und Mareike Gehrmann

Ergänzendes zum Thema
 
Über die IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2016

Die NIS-Richtlinie der EU

Der europäische Gesetzgeber wird in diesem Jahr eine neue Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) erlassen. Sie sieht eigene Anforderungen an die IT-Sicherheit von KRITIS-Betreibern und Anbietern digitaler Dienste vor. Ähnlich wie im IT-SiG wird den KRITIS-Betreibern auferlegt, technische und organisatorische Sicherheitsmaßnahmen zu ergreifen. Darüber hinaus trifft sie eine Pflicht zur Meldung relevanter Störungen.

Dennoch wird eine Anpassung des IT-SiG notwendig werden. Zweifelhaft ist bereits, ob das Verfahren zur Ermittlung der KRITIS-Betreiber mit der NIS-Richtlinie vereinbar sein wird. Die Ermittlung soll nicht lediglich anhand eines Schwellenwertes wie der „500.000er Regel“, sondern anhand eines Bündels verschiedener Kriterien bestimmt werden. Auch vor dem Hintergrund der Schaffung eines Behördennetzwerks zur Cybersicherheit, wird im Zuge der Umsetzung der NIS-Richtlinie mit einer Anpassung der BSI-KritisV zu rechnen sein.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44033729 / Compliance und Datenschutz )