Informationen zum IT-Sicherheitsgesetz & EU-Richtlinie
Mit dem im Juni im Bundestag verabschiedeten IT-Sicherheitsgesetz entstehen für Betreiber “kritischer Infrastrukturen” neue Pflichten zur Einführung von Abwehrmaßnahmen, Nachweis- und Meldepflichten. Darunter fallen nach derzeitigem Stand: Energieversorger, Verkehrsunternehmen, Kreditinstitute, Börsen, Clearing-Stellen sowie Unternehmen aus dem Bereich Medizinversorgung. Aber auch Unternehmen aus den Bereichen elektronischer Geschäftsverkehr, Online-Payment, soziale Netzwerke, Suchmaschinen, Cloud-Computing-Services sowie App-Stores sind in der Pflicht. Wer konkret betroffen sein wird, steht indes noch nicht fest – im IT-Sicherheitsgesetz ist die Rede von rund 2000 Unternehmen.
Für den europäischen Binnenmarkt wird im Sommer zusätzlich die EU-Richtlinie zur Cybersicherheit verabschiedet.
Auf was sollten sich Unternehmen vorbereiten?
• Die Pflicht zur Einführung von angemessenen, technischen und organisatorischen Maßnahmen für mehr IT-Sicherheit; da der angestrebte Schutzzweck deutlich angehoben wird, muss auch bei den “angemessenen” Maßnahmen nachgebessert werden
• Die Pflicht zur Durchführung eines Sicherheits-Audits
• Eine Meldepflicht bei Sicherheitsvorfällen gegenüber den zuständigen Behörden – in Deutschland wäre das das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Gefordert ist nun ein aktives Vorgehen, um Netzwerke und IT-Sicherheitssysteme ausreichend zu schützen und Schwachstellen aufzuspüren. Dies macht natürlich zusätzliche Investitionen erforderlich. Allerdings muss jedem Unternehmen – auch solchen, die nicht von der neuen Gesetzgebung betroffen sind – klar sein: Ein Cyberangriff aufgrund nicht ausreichender Sicherheitsinfrastruktur kostet nicht nur Geld durch Datenabfluss oder Betriebsausfälle, sondern bedeutet auch einen erheblichen Imageschaden und Vertrauensverlust.