*

Aug
20

Externer Datenschutzbeauftragter - ...IT-Sicherheitsgesetz – Pflichten für Unternehmen zur IT-Sicherheit

Externer Datenschutzbeauftragter Berlin Brandenburg - IT-SicherheitsgesetzAutor: Felix Ginthum, Rechtsanwalt

Am 25. Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Es enthält wichtige Regelungen für die IT-Sicherheit von Unternehmen und Behörden. Schätzungsweise 2000 Unternehmen sollen damit künftig verpflichtet sein ihre IT-Infrastruktur und Netzwerke nach Mindeststandards auszugestalten und Hackerangriffe zu melden.

  

Sinn und Zweck des Gesetzes

Das IT-Gesetz beabsichtigt eine deutliche Verbesserung der Sicherheit informationstechnischer Systeme (IT-Sicherheit) in Deutschland und den Schutz kritischer Infrastrukturen. Kritische Infrastrukturen werden hierbei verstanden, als Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen, bei deren Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit und Ordnung oder andere dramatische Folgen eintreten. Gefahren gehen nicht nur von kriminellen Tätern und Terroristen aus, die Steuerungssysteme kritischer Infrastruktur von jeden beliebigen Ort der Welt aus manipulieren können, sondern auch von Umweltkatastrophen wie, z. B. die Hochwasserkatastrophe im Sommer 2013.

Das Gesetz schreibt daher für Betreiber sog. kritischer Infrastruktur ein Mindestniveau an IT-Sicherheit vor. Ferner müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Sicherheitsvorfälle gemeldet werden. Unterlassen dies die Betreiber, dann drohen Bußgelder bis zu 100.00,00 EUR. Zur Erfüllung der gesetzlichen Anforderungen haben die Betreiber zwei Jahre Zeit, um dann nachzuweisen, dass die Mindestanforderungen gegen Cyberangriffe erfüllt sind.

Darüber hinaus werden Hersteller von Soft- und Hardware zur Mitwirkung bei der Beseitigung von Sicherheitslücken verpflichtet. Telekommunikationsanbieter müssen entsprechend deren Kunden darauf hinweisen, wenn ein Angriff oder ein Missbrauch einer Webseite festgestellt wird. Für diese Angriffserkennung ist es den Telekommunikationsanbieter erlaubt die Verkehrsdaten aufzeichnen und sechs Monate lang zu speichern.

  

Adressaten der Regelung

Das IT-Sicherheitsgesetz hat eine Reihe von Adressaten. So zählen hierzu beispielsweise:

  •  Betreiber von Webangeboten (z.B.: Online-Shop-Betreiber)
  •  Telekommunikationsunternehmen
  •  Betreiber kritischer Infrastrukturen  (z. B.: Kernkraftwerkbetreiber)
  •  Bundesamt für Sicherheit in der Informationstechnik (BSI)

Die Details zum Anwendungsbereich und zum weiteren Adressatenkreis werden in einer Rechtsverordnung bestimmt. Nach den Parlamentariern soll eine Rechtsverordnung auf Grundlage gemäß § 10 Abs. 1 des Gesetzes qualitativ bestimmte Leistungen als kritisch einstufen und Schwellenwerte festlegen. Damit lässt sich derzeit aus dem Gesetzt nicht klar entnehmen, welche Unternehmen von dem neuen Gesetz betroffen sind. Mittelständische Unternehmen werden erst nach Erlass einer Rechtsverordnung Rechtssicherheit erhalten.

Nach den abgestimmten Beurteilungen kritischer Infrastrukturen gehören vor allem die Bereiche Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, aber auch das Finanz- und Versicherungswesen, zu den Regelungsbereichen. Kleinstunternehmen sollen nach der Empfehlung der Kommission vom 06. Mai 2003 hiervon ausgenommen werden.

  

Pflichtenkatalog des Gesetzes

Das IT-Sicherheitsgesetz begründet eine Vielzahl von Pflichten abhängig von dem Bereich, in dem ein Unternehmen tätig ist. Diese sind im Einzelnen:

  

Betreiber kritischer Infrastrukturen

Höchste Anforderungen im Einklang mit dem Zweck des IT-Sicherheitsgesetzes werden an die Betreiber kritischer Infrastrukturen gestellt. Diese müssen ausreichende, dem Stand der Technik entsprechende Sicherheitsmaßnahmen gewährleisten und sich alle 4 Jahre einer Evaluation der Sicherheitsmaßnahmen unterziehen.

  

Betreiber von Webangeboten

Betreiber von Webangeboten sind ebenso verpflichtet, ausreichende, dem Stand der Technik entsprechende technische und organisatorische Vorkehrungen zum Schutz ihrer Kundendaten und der genutzten IT-Systeme zu ergreifen. Damit sind Webunternehmer vor allem verpflichtet auf Webservern veraltete und angreifbare Softwareversionen zu erneuern und müssen auf regelmäßige Software-Updates und Sicherheitspatches achten. Zwar sollen Nicht-kommerzielle Webseiten von Privatpersonen oder Vereinen nicht von den Regelungen erfasst sein. Aber es ist zu beachten, dass ein gewerbliches Angebot von Telemediendiensten bei Privatpersonen und Vereinen auch dann angenommen werden kann, wenn eine Webseite dauerhaft Einnahmen z. B. durch Werbung oder in Form von Bannern generiert.

  

Telekommunikationsunternehmen

Wie bereits ausgeführt, haben Telekommunikationsunternehmen neben der Pflicht ihre Systeme gegen Cyberangriffe zu sichern nunmehr auch die Pflicht, ihre Kunden über mögliche Missbräuche ihrer IT-Systeme zu informieren.

  

Meldepflichten

Zentrales Anliegen des IT-Sicherheitsgesetzes sind vielfältige Meldepflichten über IT-Sicherheitsvorfälle an das BSI. Das BSI ist nach den Regelungen des Gesetzes zentrale Melde- und Aufsichtsstelle, die aus den Meldungen und aufgrund weiterer Informationen und Erkenntnisse, den Betreibern Kritischer Infrastruktur zur Verfügung steht.

  

Folgen für Unternehmen – Experten einschalten

Für Unternehmen, welche vor allem Internetdienstleistungen anbieten,  empfiehlt sich die Implementation einer IT-Compliance und IT-Sicherheitsabteilung. Die Geschäftsführung kann auch Externe zum Schutz des Unternehmens beauftragen. Als ersten Schritt reicht es manchmal die "Basismaßnahmen der Cyber-Sicherheit" des BSI umzusetzen. Für ein tragfähiges Sicherheitskonzept kommt man langfristig nicht umhin firmen Ressourcen einzusetzen oder die IT-Sicherheit im Zusammenhang mit IT-Compliance und Datenschutz-Experten zu überlassen, z. B. einen fachkundigen externen Datenschutzbeauftragen zu bestellen.

  

  

Externer-Datenschutzbeauftragter24.de - ...Ihre Experten für betrieblichen Datenschutz in Berlin und Brandenburg

Benutzername:
User-Login
Ihr E-Mail