Tipps zum IT-Sicherheitsgesetz

Was KMUs jetzt beachten sollten

| Redakteur: Ines Stotz

TÜV Süd-Experte bei einem ISO 27001-Audit
TÜV Süd-Experte bei einem ISO 27001-Audit (Bild: TÜV Süd; © Thomas Straub)

Der Bundestag hat das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ beschlossen. Das sogenannte IT-Sicherheitsgesetz stellt an Unternehmen der kritischen Infrastruktur Mindestanforderungen für die IT-Sicherheit und verpflichtet sie zur Meldung von Datenpannen und Cyber-Attacken. Kleine und mittelständische Unternehmen (KMUs) in diesem Bereich fallen durch das Gesetzesraster. Was das für sie bedeutet, wissen die Experten von TÜV Süd.

Zur kritischen Infrastruktur – KRITIS – zählen Unternehmen aus den Branchen Energieversorgung, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanzwesen und Versicherungen sowie Gesundheit und Lebensmittel. Das IT-Sicherheitsgesetz ist eine Zusammenfassung von bereits bestehenden Gesetzen und legt nicht konkret fest, was Betreiber kritischer Infrastrukturen zur Absicherung ihrer IT realisieren müssen, was auf Grund der Schnelllebigkeit in diesem Bereich auch nicht zielführend wäre. Stattdessen schafft es einen Rahmen, der durch noch zu erlassende Rechtsverordnungen und abzustimmende Sicherheitsstandards konkretisiert werden muss.

Eine gute Wahl ist die ISO 27001

KMUs fallen zwar durch das Raster der Gesetzgebung und müssen demnach die Anforderungen an die IT-Sicherheit nicht zwingend erfüllen, doch häufig arbeiten sie als Zulieferer für größere Unternehmen, die sehr wohl das IT-Sicherheitsgesetz beachten müssen. Daher sollten KMUs damit rechnen, dass ihre Auftraggeber die Einhaltung gewisser Standards von ihnen fordern.

„Eine gute Wahl ist dafür die ISO 27001“, erläutert Alexander Häußler, Produktmanager ISO 27001 bei TÜV Süd. „Diese Norm ist aktuell der international anerkannteste Standard zum Thema Informationssicherheit. Außerdem lässt sie eine gewisse Flexibilität zu, durch die sich spezielle Gegebenheiten einzelner Unternehmen berücksichtigen lassen.“

Grundsatz der Norm ist ein risikobasiertes Vorgehen, so dass die implementierenden Unternehmen je nach Geschäftsmodell entsprechend priorisiert vorgehen können. Denn für Betriebe mit hohen Verfügbarkeitsanforderungen sind andere Überlegungen wichtiger als für solche, bei denen das Thema Vertraulichkeit den höchsten Stellenwert hat.

TÜV Süd unterstützt

„Unternehmen aus den im IT-Sicherheitsgesetz genannten Branchen sollten sich möglichst bald mit der Sicherheit ihrer Informationstechnik auseinandersetzen“, ergänzt Alexander Häußler. „Denn sobald die Rechtsverordnung in Kraft tritt, haben sie nur sechs Monate Zeit, eine Kontaktstelle für das Bundesamt für Sicherheit in der Informationstechnik zu benennen, und innerhalb von zwei Jahren müssen die definierten Mindeststandards umgesetzt sein.“ Wer schon jetzt die Voraussetzungen für ein gesundes und nachhaltiges Management von Informationen schafft, kann den gesetzlichen Neuerungen gelassen entgegensehen.

TÜV Süd unterstützt Unternehmen dabei unter anderem mit Vor-Audits, durch die festgestellt werden kann, inwieweit die Anforderungen der ISO 27001 bereits umgesetzt sind oder welche Maßnahmen noch sinnvoll sind. Außerdem ist die Zertifizierung nach ISO 27001 möglich.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43554893 / Sicherheits-Policies)