IT-Sicherheitsgesetz: Ist Ihr Unternehmen betroffen?

Veröffentlicht am 10 Sep. 2015 von

 

Seit dem 25. Juli 2015 gilt in Deutschland das neue IT-Sicherheitsgesetz. Viele Organisationen müssen sich daher jetzt auf strengere Standards beim Schutz ihrer IT-Infrastruktur einstellen. Sind die neuen Vorschriften auch für Ihr Unternehmen relevant? Wir geben Ihnen einen Überblick.

 

Betreibt Ihr Unternehmen kommerzielle Internet-Angebote wie eine Firmenwebsite, einen Online-Shop oder eine Web-Anwendung?

 

Wenn ja, müssen Sie ab sofort technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern. Konkret bedeutet das: Sie müssen Software-Updates und Sicherheits-Patches auf Ihren Web-Servern rasch einspielen und aktuelle Verschlüsselungsverfahren zum Schutz von Kundendaten verwenden. Wenn Sicherheitslücken (wie zum Beispiel mit dem Heartbleed-Bug vergleichbare Programmierfehler) nicht rechtzeitig geschlossen werden, drohen künftig Bußgelder von bis zu 50.000 Euro.

 

Zählt Ihr Unternehmen zu den Betreibern kritischer Infrastrukturen (KRITIS)?

 

Für Unternehmen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen gelten künftig neue Mindeststandards und Meldepflichten im Bereich IT-Sicherheit. Nach Schätzung des Gesetzgebers betrifft dies rund 2.000 Organisationen aus den Branchen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. (Welche Unternehmen konkret als KRITIS-Betreiber gelten, wird in einer noch zu verabschiedenden Rechtsverordnung festgelegt.)

 

Wenn Ihr Unternehmen zu den KRITIS-Betreibern gehört, gelten für Sie folgende Vorschriften:

 

  • Sie sind verpflichtet, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern und diese Sicherheit mindestens alle zwei Jahre überprüfen zu lassen. (Die konkreten Mindestanforderungen werden ebenfalls noch in einer Rechtsverordnung spezifiziert.)
  • Erhebliche Sicherheitsvorfälle müssen Sie künftig dem Bundesamt für Sicherheit in der Informationstechnik melden. Die Meldepflicht tritt nach der Verabschiedung der zu erstellenden Rechtsverordnung in Kraft. Bei Verstößen gegen die Meldepflicht drohen Bußgelder von bis zu 100.000 Euro.

 

Ist Ihr Unternehmen ein Telekommunikationsanbieter oder ein Betreiber von Kernkraftwerken?

 

Wenn ja, gelten die neuen Pflichten zur Meldung erheblicher IT-Sicherheitsvorfälle für Ihre Organisation schon heute.

 

Für Telekommunikationsunternehmen tritt mit dem IT-Sicherheitsgesetz zudem eine weitere neue Vorschrift in Kraft: Sie müssen ab sofort ihre Kunden warnen, wenn sie bemerken, dass der Anschluss des Kunden – etwa als Teil eines Botnetzes – für IT-Angriffe missbraucht wird. Gleichzeitig sind die Provider verpflichtet, ihre Kunden auf mögliche Wege zur Beseitigung der Störung hinzuweisen.

 

Weitere Fragen zum neuen IT-Sicherheitsgesetz werden auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik beantwortet.

Grimm-Michael

Mit freundlichen Grüßen
Michael Grimm