Suchen

Das IT-Sicherheitsgesetz IT-Sicherheit in der EU – Blick in die Zukunft

| Autor / Redakteur: Detlef Klett und Mareike Gehrmann / Stephan Augsten

Deutschlands IT-Systeme und digitalen Infrastrukturen sollen die sichersten weltweit werden, fordert Bundesinnenminister de Maizière. Diese Forderung soll nun durch das IT-Sicherheitsgesetz, kurz IT-SiG, umgesetzt werden.

Firmen zum Thema

Das IT-SiG richtet sich vorrangig an Betreiber kritischer Infrastrukturen, doch wer gehört eigentlich dazu?
Das IT-SiG richtet sich vorrangig an Betreiber kritischer Infrastrukturen, doch wer gehört eigentlich dazu?
(Bild: fotohansel - Fotolia.com)

Erstmals ist mit dem IT-SiG ein übergreifender Rechtsrahmen für die Gewährleistung von IT-Sicherheit in Deutschland geschaffen worden. Hierbei greift der Gesetzgeber vor allem auf etablierte Standards wie den BSI IT-Grundschutz zurück.

Das IT-SiG – ein Anfang

Das IT-SiG richtet sich primär an Betreiber kritischer Infrastrukturen (KRITIS). Gemäß § 8a IT-SiG sind sie dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer IT-Systeme zu treffen. Dabei haben ihre Umsetzung stets den „Stand der Technik“ einzuhalten.

Die anzulegenden Standards können allerdings von den KRITIS-Betreibern und ihren Branchenverbänden branchenspezifisch erarbeitet werden. Durch Zertifizierungen ist jedoch die Einhaltung dieser Standards im Zweijahresrhythmus nachzuweisen. Zudem wird eine Wissensbasis angestrebt. Zur Erstellung dieser verpflichtet § 8b IT-SiG zur Meldung von durch Cyberangriffe verursachte erhebliche Störungen mit Auswirkungen auf die Versorgungssicherheit oder die öffentliche Sicherheit, unmittelbar an das BSI.

Keine Auskunft enthält das IT-SiG allerdings darüber, wer genau als KRITIS-Betreiber anzusehen ist. Es enthält in § 2 Abs. 10 IT-SiG lediglich die Aussage, dass die Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen kritische Infrastrukturen darstellen.

Eine Konkretisierung nimmt die Rechtsverordnung des Bundesministeriums des Innern (BMI) vor, die aktuell im Entwurfsstadium vorliegt (BSI-KritisV). Infolge eines dreistufigen Verfahrens soll danach eine Bewertung als „kritisch“ oder „nicht kritisch“ vorgenommen werden. Von besonderer Bedeutung ist dabei die dritte Stufe. Danach gilt ein Betreiber als „kritisch“, sofern er die Versorgung von 500.000 Menschen sicherstellt.

Eine solche Verallgemeinerung erscheint nicht zielführend. Im Sektor der dezentral erfolgenden Wasserversorgung stehen die Schwellenwerte unter Umständen nicht in angemessenem Verhältnis zur Relevanz der Bevölkerungsvorsorge mit Wasser. Sinnvoll erscheinen vielmehr qualitative Kriterien, beispielsweise die Berücksichtigung etwaiger Domino-Effekte. Zu denken ist dabei an einen KRITIS-Betreiber, der selbst die „500.000er Schwelle“ nicht überschreitet, jedoch Unternehmen versorgt, welche wiederum die Versorgung einer Vielzahl von Menschen sicherstellen.

Neben KRITIS-Betreibern zählen gemäß § 8 Abs. 6 IT-SiG auch Hersteller von IT-Produkten zu den Adressaten. Von diesen kann das BSI die Mitwirkung an Störungsbeseitigungen verlangen. Ebenfalls ist eine schrittweise Ausweitung des IT-SiG auf bislang nicht benannte Sektoren zu erwarten.

Ergänzendes zum Thema
Über Detlef Klett und Mareike Gehrmann

Detlef Klett
Detlef Klett
( Bild: TaylorWessing )

Detlef Klett und Mareike Gehrmann sind Fachanwälte für Informationstechnologierecht bei der national und international operierenden Kanzlei Taylor Wessing in Düsseldorf. Detlef Klett wird zudem seit über acht Jahren fortlaufend im JUVE-Handbuch als „häufig empfohlener An-walt“ im IT-Recht gelistet.

Sie sind spezialisiert auf die rechtliche Beratung in Fragen des Informationstechnologierechts, des Datenschutzrechts sowie des Telekommunikationsrechts.

Neben führenden Wirtschaftsunternehmen beraten sie die öffentliche Hand, insbesondere das Bundesministerium des Inneren und seine nachgelagerten Bereiche. Als regelmäßig konsul-tierte Experten verfügen sie auf höchster Bundesebene über umfangreiche Erfahrungen im Bereich der IT-Sicherheit.

Mareike Christine Gehrmann
Mareike Christine Gehrmann
( Bild: TaylorWessing )

Dabei behandeln sie das hochaktuelle und zukunftsträchtige Thema des BSI-Gesetzes nicht nur juristisch, sondern erarbeiten, gemeinsam mit führenden technischen Experten, zukunfts-trächtige allumfassende Lösungen.

Ergänzendes zum Thema
Über die IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2016

Im Juni und Juli veranstaltet die Vogel IT-Akademie an vier verschiedenen Tagen und Orten die IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2016. In diesem Jahr liegen die thematischen Schwerpunkte unter anderem auf aktuellen Bedrohungen, Sicherheit in der Industrie 4.0 sowie Datenschutzrecht und Sicherheitsgesetzen.

Auf dem Ganztagsprogramm stehen Keynotes unabhängiger Security-Experten, spannende Fachvorträge und Workshops mit Umsetzungsbeispielen aus der Praxis sowie Roundtables zum Meinungs- und Erfahrungsaustausch. Teilnehmer können sich außerdem über neueste Security-Technologien informieren. Unser Matchmaking-Tool erlaubt es dabei, bequem persönliche One-on-One-Meetings mit passenden Ansprechpartnern zu vereinbaren.

Die Veranstaltungsorte und -termine lauten:

  • Donnerstag, 09. Juni 2016, Frankfurt am Main
  • Dienstag, 28. Juni 2016, München
  • Dienstag, 05. Juli 2016, Hamburg
  • Donnerstag, 07. Juli 2016, Neuss

Die Teilnahmegebühr beträgt 289 Euro (zzgl. MwSt.). Registrieren Sie sich auf Security-Insider.de und zahlen Sie unter Angabe des Anmeldecodes „SEC-SEI-REG“ auf ITSecurity-Conference.de nur 149 Euro (zzgl. MwSt.). Begleitende Informationen rund um die Konferenz finden Sie unter dem Hashtag #ITSECCON auf Twitter.

Die NIS-Richtlinie der EU

Der europäische Gesetzgeber wird in diesem Jahr eine neue Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) erlassen. Sie sieht eigene Anforderungen an die IT-Sicherheit von KRITIS-Betreibern und Anbietern digitaler Dienste vor. Ähnlich wie im IT-SiG wird den KRITIS-Betreibern auferlegt, technische und organisatorische Sicherheitsmaßnahmen zu ergreifen. Darüber hinaus trifft sie eine Pflicht zur Meldung relevanter Störungen.

Dennoch wird eine Anpassung des IT-SiG notwendig werden. Zweifelhaft ist bereits, ob das Verfahren zur Ermittlung der KRITIS-Betreiber mit der NIS-Richtlinie vereinbar sein wird. Die Ermittlung soll nicht lediglich anhand eines Schwellenwertes wie der „500.000er Regel“, sondern anhand eines Bündels verschiedener Kriterien bestimmt werden. Auch vor dem Hintergrund der Schaffung eines Behördennetzwerks zur Cybersicherheit, wird im Zuge der Umsetzung der NIS-Richtlinie mit einer Anpassung der BSI-KritisV zu rechnen sein.

(ID:44033729)