Quo Vadis? Die Schonfrist ist vorüber, denn Ende Juli tritt das IT-Sicherheitsgesetz endgültig in Kraft. Viele Unternehmen sind nicht oder nur unzureichend vorbereitet. Das kann sich doppelt rächen, denn neben einem wirtschaftlichen Schaden droht der Gesetzgeber mit empfindlichen Strafen.
Das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“, kurz IT-Sicherheitsgesetz, gilt bereits seit 25. Juli 2015.Für Betreiber kritischer Infrastrukturen wurde eine zweijährige Übergangsfrist gebilligt, die jetzt am 26. Juli 2017 abläuft.
Ist mein Unternehmen betroffen?
Zu den kritischen Infrastrukturen zählen folgende Sektoren und Branchen:
- Energie (Strom, Gas, Öl und Wärme): Stadtwerke, Kraftwerke, Stromnetze, Gasförderung, Gasnetz
- Ernährung: Nahrungsmittelherstellung, Lager, Verteilung
- Finanz- und Versicherungswesen: Banken, Versicherungen, Finanzdienstleister, Börsen
- Gesundheit: Krankenhäuser, Krankentransport, Arztpraxen, Apotheken
- Informationstechnik und Telekommunikation (IT, Telekommunikation und Internet): Telekommunikationsunternehmen, Internetprovider, Kabelprovider, Mobilfunk, IT-Hoster, Netzbetreiber
- Medien und Kultur: Zeitungen, Rundfunk, Fernsehen, Medien
- Staat und Verwaltung (Bundes-, Landes- und Kommunalverwaltung): Ministerien, Sicherheitsbehörden
- Transport und Verkehr: Flughäfen, Fluglinien, Logistikunternehmen, Häfen und Wasserstraßen, Bahnbetreiber, Bahnnetze, öffentlicher Verkehr
- Wasser: Wasserversorgung, Wasserwerke, Wassernetze
Schutz und Sicherung nach dem jeweiligen „Stand der Technik“
Das Gesetz definiert ein Mindestniveau an IT-Sicherheit für Systeme und Daten, das einzuhalten ist. Zudem sieht es Pläne für Notfallwiederherstellung und Business Continuity (Workaround bei Ausfällen) vor.Die Betreiber sind verpflichtet, angemessene Sicherheitsmaßnahmen zu etablieren (§ 8a Absatz 1 BSIG) Diese „[…] angemessene[n] organisatorische[n] und technische[n] Vorkehrungen zur Vermeidung von Störungen […] ihrer informationstechnischen Systeme, Komponenten und Prozesse“ müssen nicht nur „nach Stand der Technik“ getroffen werden, sondern auch gegenüber dem Bundesamt für Sicherheit in der Informationstechnik nachgewiesen werden.
Meldepflicht bei „erheblichen Störungen“
Außerdem beinhaltet es eine Meldepflicht, die vorschreibt, bei „erheblichen Störungen“ das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Kenntnis zu setzen.Das sind Störungen, die den Betrieb einer Kritischen Infrastruktur beeinträchtigen, gar zu deren Ausfall führen können oder bereits geführt haben.In etlichen Unternehmen, die mit der Umsetzung der notwendigen Maßnahmen und Prozessanpassungen in Verzug geraten sind, wird das Ende der Schonfrist Hektik auslösen.
Hohe Strafen bei Nichteinhaltung
Es drohen empfindliche Strafen mit Bußgeldern von bis zu 100.000 Euro. Hinzu kommen eventuell Schadensersatzforderungen sowohl von Vertragspartnern wie auch von geschädigten Dritten.
Gehen Sie auf Nummer sicher
Sie möchten sichergehen, ob Ihr Unternehmen auf das IT-Sicherheitsgesetz ausreichend vorbereitet ist? Auf Wunsch führen unsere IT-Consultants in Ihrem Hause ein Audit durch und prüfen Ihre IT-Infrastruktur auf Herz und Nieren, ob die notwendigen Kriterien erfüllt sind