Meldepflichten durch IT-Sicherheitsgesetz

Das "Gesetz zur Eröhung der Sicherheit informationstechnischer Systeme", kurz IT-Sicherheitsgesetz ist seit dem 25. Juli 2015 in Kraft und und nun in der Version 2.0 in Kraft getreten.
Ziel des Gesetzes ist, die IT-Sicherheit in Deutschland zu verbessern.
 
Von den Regeln des IT-Sicherheitsgesetzes betroffene Branchen sind:
  • Energie,
  • Informationstechnik und Telekommunikation,
  • Transport und Verkehr,
  • Gesundheit,
  • Wasser,
  • Ernährung sowie
  • Finanz- und Versicherungswesen.
Kriterien für die Einbeziehung in den Anwendungsbereich des IT-Sicherheitsgesetzes sind die als kritisch anzusehenden Dienstleistungen und Prozessschritte sowie der von einer Kritischen Infrastruktur bereitgestellte Versorgungsgrad.
Für Betreiber von Webservern wie zum Beispiel Online-Shops gelten damit ab sofort erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme. Telekommunikationsunternehmen sind verpflichtet, ihre Kunden zu warnen, wenn ihnen auffällt, dass der Anschluss des Kunden - etwa als Teil eines Bot-Netzes - für IT-Angriffe missbraucht wird. Gleichzeitig sollen sie ihre Kunden auf mögliche Wege zur Beseitigung der Störung hinweisen. Im Gesetz wird der Begriff „Stand der Technik“ genutzt, um konkrete Vorgaben zu vermeiden und einer kontinuierlichen Fortentwicklung Rechnung zu tragen. Interpretiert werden kann dies mit der Einhaltung von nationalen oder internationalen Standards oder erprobter Vorbilder im jeweiligen Bereich.
 
Einzelheiten zur Anwendung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Anwendung des IT-Sicherheitsgesetzes auf seiner Website wie folgt konkretisiert:
  1. Sofort von den Regelungen des Gesetzes betroffen sind die Inhaber von Genehmigungen nach dem Atomgesetz. Diese müssen IT-Sicherheitsvorfälle, die zu einer Gefährdung der nuklearen Sicherheit führen können, bereits ab Inkrafttreten des Gesetzes an das Bundesamt für Sicherheit in der Informationstechnik melden.
  2. Auch die Betreiber von öffentlichen Telekommunikationsnetzen und öffentlich zugänglichen Telekommunikationsdiensten unterliegen ab Inkrafttreten des Gesetzes neuen Pflichten. Sie müssen ab sofort nicht nur Ausfälle, sondern auch Beeinträchtigungen, die zu beträchtlichen Sicherheitsverletzungen führen können, an die Bundesnetzagentur melden. Sofern Telekommunikationsdienstanbietern Störungen auf den Systemen ihrer Nutzer bekannt werden, haben sie diese unverzüglich darüber zu benachrichtigen. Sie müssen ihre Nutzer im Rahmen des Möglichen und Zumutbaren auch auf Hilfsmittel zur Erkennung und Beseitigung von Störungen hinweisen.
  3. Anbieter geschäftsmäßig erbrachter Telemediendienste - also insbesondere Webseitenbetreiber - müssen ab Inkrafttreten des Gesetzes technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern.
  4. Für andere Betreiber Kritischer Infrastrukturen im Sinne des BSI-Gesetzes und des Energiewirtschaftsgesetzes wird das IT-Sicherheitsgesetz mit den Pflichten zur Absicherung ihrer IT nach dem Stand der Technik und zur Meldung erheblicher IT-Sicherheitsvorfälle dann wirksam, wenn das Bundesministerium des Innern in einer Rechtsverordnung festgelegt hat, welche Einrichtungen als Kritische Infrastrukturen im Sinne des IT-Sicherheitsgesetzes gelten.“
  5. Noch gibt es viele Unklarheiten hinsichtlich Umsetzung und Anwendbarkeit des Gesetzes, welches Zeit und Praxis erst noch konkretisieren müssen. Fest steht jedoch, dass das neue Gesetz einen höheren Stellenwert der IT-Sicherheit in den Managementprozessen- und -entscheidungen nach sich ziehen wird.
Weitere Informationen zum IT-Sicherheitsgesetz hat das BSI im Rahmen einer Liste häufiger Fragen (FAQ) zusammengestellt.
Ende 2016 soll die Verordnung die Identifizierung in allen Sektoren umfassend regeln. In der Verordnung wird dann für jeden Sektor eine Liste mit Dienstleistungen/ Prozessschritten und - soweit notwendig - Typen von Anlagen enthalten sein. Schwellenwerte werden ebenfalls branchenspezifisch (je nach Sektorbeschaffenheit auf Ebene der Dienstleistung, eines Prozessschrittes oder darunter) ausgewiesen werden. Anhand dieser Listen wird jedes Unternehmen bestimmen können, ob es eine Kritische Infrastruktur im Sinne des IT-Sicherheitsgesetzes betreibt.
(Quelle: DIHK, BSI)

Ansprechpartner

Lothar Probst
Kompetenzfelder: Recht sichern/Zukunft gestalten
Schwerpunktthemen: Prüfungen/Innovation und Digitalisierung
t: 0355 365 1211
f: 0355 36526 1211
lothar.probst@cottbus.ihk.de