Meldepflicht für IT-Sicherheitsvorfälle drastisch erweitert

PrintMailRate-it

veröffentlicht am 13. Juni 2017 

​Das ursprüngliche Gesetz, welches 2015 verabschiedet wurde, ist auf weitere Branchen deutlich ausgedehnt worden. Fortan müssen deutschlandweit mehr als 1.600 Einrichtungen schwere IT-Sicherheitsvorfälle verbindlich melden.
 

 
Das IT-Sicherheitsgesetz veranlasst Unternehmen mit kritischen Infrastrukturen (KRITIS-Betreiber), wie etwa Strom- und Wasserversorgung, Finanzen oder Ernährung, verbindlich einen Mindeststandard einzuhalten und diesen alle 2 Jahre nachzuweisen. Ein Ausfall solcher Einrichtungen hätte dramatische Folgen für Wirtschaft, Staat und Gesellschaft in Deutschland. Ziel des IT-Sicherheitsgesetzes ist es auch KRITIS-Betreiber zu verpflichten, IT-Störungen an das „Bundesamt für Sicherheit in der Informationstechnik” (BSI) zu melden. Hier ist zu beachten, dass nur außergewöhnliche IT-Störungen, welche nicht automatisiert mithilfe der als Stand der Technik beschriebenen Maßnahmen abgewehrt werden, sondern nur mit erheblichem Ressourcenaufwand bewältigt werden können, an das BSI mitzuteilen sind. Dazu gehören neue, bisher nicht veröffentlichte Sicherheitslücken, unbekannte Schadprogramme sowie außergewöhnliche und unerwartete technische Defekte mit IT-Bezug.
 
Das Gesetz wurde aktuell durch eine Verordnung vom Kabinett erweitert, die regelt, welche Firmen aus den Sektoren Transport, Verkehr, Finanzen, Versicherungen und Gesundheit unter die Vorgaben des IT-Sicherheitsgesetzes fallen. Zu den insgesamt über 900 neuen betroffenen Einrichtungen gehören u.a. Krankenhäuser, Medikamenten- und Bargeldversorgung, Versicherungsdienste sowie IT-Anlagen im Schienen- und Straßenverkehr. Die Hauptaufgabe des Gesetzes ist es, dass Firmen aus solchen kritischen Bereichen verpflichtet sind, sich selbst besser vor Cyberattacken zu schützen.
 

Was kann man aus einer solchen Meldung auf das eigene Unternehmen übertragen?

Die Ausdehnung des IT-Sicherheitsgesetzes zeigt, dass bei vielen Unternehmen noch ein hoher Bedarf besteht, die eigene IT-Infrastruktur abzusichern und effizient zu schützen. Gerade der digitale Wandel bietet Hackern viele neue Möglichkeiten, erheblichen Schaden im Unternehmen und folglich auch in der Gesellschaft anzurichten.
  • Überprüfen Sie, ob Sie ein aktuelles Notfallkonzept bzw. –handbuch haben. Bauen Sie eines auf, wenn das Vorliegende nur einen rudimentären Anschein erweckt.
  • Ruhen Sie sich nicht auf aktuell funktionierenden Sicherheitskonzepten und Cyber-Abwehrstrategien aus. Etablieren Sie einen Regelkreis und testen Sie diesen laufend. Lernen Sie aus den Ergebnissen.
  • Haben Sie Zweifel? Dann ist es angeraten, den aktuellen Stand der IT-Sicherheit im Unternehmen zu bestimmen und das Sicherheitsniveau schrittweise anzuheben.
     

 Mitteilungen zu dem Thema „IT-Sicherheit und IT-Recht”

Sollten Sie auch künftig an – für Sie kostenlosen – Mitteilungen zu dem Thema „IT-Sicherheit und IT-Recht” interessiert sein, füllen Sie bitte das folgende Kontaktformular aus.
 
Pflichtfelder sind mit * gekennzeichnet.
Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu