Teil 1: Das neue IT-Sicherheitsgesetz in Deutschland
- Teil 1: Das neue IT-Sicherheitsgesetz
- Teil 2: IT Compliance in Zusammenarbeit mit der Agentur
- Teil 3: Wie Sie die Maßnahmen richtig umsetzen
Das neue IT-Sicherheitsgesetz in Deutschland
Im Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten, das zur Erhöhung der Sicherheit informationstechnischer Systeme beitragen soll. Das Gesetz entstand in Folge der im Juni 2011 beschlossenen Cyber-Sicherheitsstrategie für Deutschland. Webseiten-Betreiber hatten nun 2 Jahre Zeit, ihre Anwendungen an die neuen Regulationen anzupassen.
Die NIS-Richtlinie für EU-Mitgliedsstaaten
Im Juni diesen Jahres ist zusätzlich auf europäischer Ebene die Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) beschlossen worden. Diese definiert die Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union. Bis Ende Mai 2018 haben die EU-Mitgliedsstaaten nun Zeit, die Richtlinie in nationales Recht umzuwandeln.
Durch das bereits im Juni 2015 in Kraft getretene IT-Sicherheitsgesetz wurde ein Großteil der zu treffenden Maßnahmen in Deutschland bereits abgedeckt.
Wer ist von dem neuen Gesetz betroffen?
Das IT-Sicherheitsgesetz betrifft grundsätzlich alle Webseiten-Betreiber.
Doch was genau verbirgt sich hinter dem Gesetz und worauf müssen Webseiten-Betreiber achten?
Im Rahmen des Gesetzes wurden in erster Linie die Anforderungen für Webseiten verschärft. Grundsätzlich verpflichtet das Gesetz alle Betroffenen dazu, ein Mindestmaß an definierten Sicherheitsaspekten einzuhalten. Hierfür müssen diverse technische und organisatorische Maßnahmen getroffen werden.
Das IT-Sicherheitsgesetz führt die rechtliche Verpflichtung zur Durchführung von Software Updates ein.
Betreiber von Webseiten sind dazu verpflichtet, ihre Systeme stets auf dem neuesten Stand der Technik zu halten und sie regelmäßig auf mögliche Probleme und Sicherheitslücken hin zu warten. Zeitnahe Software-Updates sowie ein rasches Einspielen von Sicherheits- und Wartungspatches sind demnach zukünftig Vorgabe.
Unternehmen werden dazu verpflichtet, ihre Systeme gegen Cyber-Attacken zu schützen.
Betreiber von Webseiten, Webshops und anderen Webanwendungen haben durch das Inkrafttreten der neuen Regelungen diverse Maßnahmen zu treffen, um unerlaubte Zugriffe auf IT-Systeme und Daten zu verhindern und Störungen vorzubeugen.
Bei Nicht-Befolgung der neuen Regelungen drohen Unternehmen hohe Bußgelder.
Ebenfalls neu eingeführt wurde eine Meldepflicht, die die Betreiber digitaler Dienste dazu verpflichtet, jegliche Sicherheitsvorfälle an das Bundesministerium für Sicherheit in der Informationstechnik (BSI) zu melden. Das BSI hingegen verpflichtet sich dazu, alle Betreiber in einem jährlichen Lagebericht über die gemeldeten Vorfälle zu informieren.
Im nächsten Teil verraten wir Ihnen alles über das Thema IT-Compliance: Was versteckt sich hinter dem Begriff und welchen Nutzen können Sie aus einer ausgereiften IT-Compliance in Ihrem Unternehmen ziehen?
Wir freuen uns, wenn Ihr diesen Beitrag teilt.
Kommentare
Ute
Was bedeutet den Zeitnah? Gibt es dafür eine zeitliche Vorgabe?
Muss ich nun jeden Übergriff auf meine Webseite, in der ein Schadecode zum Beispiel eingefügt wurde dem BSI melden? Was passiert dann bei einer „Selbstanzeige“?
Luisa Sofie Faßbender
Hallo Ute!
Zeitnah bedeutet im Kontext von Software-Updates „sofort, sobald eine stabile Version (major) veröffentlicht wurde“. Es gibt keine feste zeitliche Vorgabe, allerdings empfehlen wir das sofortige Einspielen eines stabilen Software-Updates, da Sicherheitslücken unserer Erfahrung nach sehr zeitnah ausgenutzt werden. Ganz ausführlich erläutern wir das aber noch einmal in Teil 3.
Zur zweiten Frage:
Die Meldepflicht gilt nur für die Betreiber kritischer Infrastrukturen. Darunter fallen die Sektoren Informationstechnik, Telekommunikation, Energie, Ernährung, Finanz- und Versicherungswesen, Gesundheit und Wasser. Erst, wenn die KRITIS 500.000 Menschen oder mehr versorgt, besteht eine Meldepflicht. Betreiber Kritischer Infrastrukturen, die nicht unter die BSI-Kritisverordnung fallen, können freiwillige Meldungen über außergewöhnliche IT-Störungen über die Meldestelle der Allianz für Cyber-Sicherheit abgeben.