Sicherheit per Gesetz
Autorin/Redakteur: Dr. Katja Siegemund, Business Consultant Energie bei QSC/gg
Seit Sommer fordert das IT-Sicherheitsgesetz von den Betreibern kritischer Infrastrukturen verbindliche Maßnahmen zur Gewährleistung der Informationssicherheit. Während die Vorgaben der branchenspezifischen Mindeststandards nicht immer eindeutig sind, liegen die konkreten Umsetzungsfristen dagegen bereits vor: Bis zum 31. Januar 2018 müssen Unternehmen die Forderungen des IT-Sicherheitsgesetzes erfüllt haben.
Die unveränderte angespannte Lage der IT-Sicherheit hat nun – endlich, wie manche sagen – zu einer konkreten Reaktion des Gesetzgebers geführt: im Juli 2015 ist das IT-Sicherheitsgesetz (IT-SiG) in Kraft getreten. Es fordert von Betreibern kritischer Infrastrukturen (KRITIS) die Umsetzung noch zu definierender branchenspezifischer Mindeststandards für die Informationssicherheit. Betroffen sind Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Medien, Gesundheit, Wasser, Ernährung, Transport und Verkehr sowie Finanzdienstleister, also die Bereiche, die für das Fortbestehen von Gesellschaft und Wirtschaft als unverzichtbar erachtet werden.
Ein wichtiger und von Experten schon lange eingeforderter Punkt ist dabei auch die nun durch das IT-SiG geforderte Meldepflicht: IT-Störungen, die zu einem Ausfall oder einer Beeinträchtigung der kritischen Infrastruktur geführt haben oder auch nur führen können, müssen demnach an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.
Bemerkenswert ist zum einen, dass es keine Positivliste von Unternehmen gibt, die unter das Gesetz fallen. Bei den meisten wird es unstrittig sein, aber auf welche Unternehmen das IT-SiG in Grenzbereichen letztlich auch anzuwenden ist, kann daher nur im Einzelfall entschieden werden. Hierfür werden in einer zusätzlichen Rechtsverordnung Schwellenwerte definiert. Anhand dieser müssen alle Unternehmen selbst prüfen, ob sie zu KRITIS zählen oder nicht. Gelegentlich genannte Zahlen von maximal 2.000 meldepflichtigen KRITIS-Betreibern erscheinen aber weit untertrieben, andere Untersuchungen kommen auf bis zu 18.000 Unternehmen.
Auch inhaltlich bleiben die Vorgaben flexibel; Kritiker würden vielleicht sagen: vage. Es dürfte aber tatsächlich schwierig sein, a priori gesetzlich zu definieren, was branchenspezifische Mindeststandards umfassen. Umso mehr, als sich gerade das Feld der IT-Sicherheit überaus dynamisch entwickelt.