{"id":14597,"date":"2019-06-19T11:57:29","date_gmt":"2019-06-19T09:57:29","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=14597"},"modified":"2019-06-17T10:00:32","modified_gmt":"2019-06-17T08:00:32","slug":"it-sicherheitsgesetz-das-muessen-branchen-bis-30-juni-tun","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=14597","title":{"rendered":"IT-Sicherheitsgesetz: Das m\u00fcssen Branchen bis 30. Juni tun"},"content":{"rendered":"\n

Am 30. Juni l\u00e4uft die Frist f\u00fcr die Umsetzung der ersten Verordnung der \u00c4nderung der BSI-Kritisverordnung ab. Was so juristisch daherkommt, hat f\u00fcr die betroffenen Branchen weitreichende Folgen. Unternehmen, die die Vorschriften nur unzureichend umsetzen, drohen im schlimmsten Fall hohe Bu\u00dfgelder. Eva-Maria Scheiter, GRC-Spezialistin bei NTT Security (Germany), gibt n\u00fctzliche Tipps, um Strafzahlungen zu vermeiden.<\/p>\n\n\n\n

\"\"
Eva-Maria Scheiter, Managing Consultant GRC bei NTT Security (Quelle: NTT Security)<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

F\u00fcr\nFinanz- und Versicherungsinstitute, Gesundheit, Transport und Verkehr wird es\nab 30. Juni ernst. Dann l\u00e4uft die zweij\u00e4hrige Frist zur Umsetzung der j\u00fcngsten \u00c4nderungsverordnung<\/a>\ndes IT-Sicherheitsgesetzes ab. Die betroffenen Branchen m\u00fcssen nachweisen, dass\nihre kritische IT-Infrastruktur alle \u00c4nderungsvorschriften des BSI erf\u00fcllt.\nEva-Maria Scheiter, Managing Consultant GRC beim Sicherheitsspezialisten NTT\nSecurity, sieht Banken und Versicherer in einer guten Position, denn sie\ngeh\u00f6ren bereits zu den stark regulierten Branchen. Sie r\u00e4t den betroffenen\nOrganisationen, ihre bereits etablierten Vorgaben und Prozesse mithilfe der Orientierungshilfe<\/a>\nzu Nachweisen gem\u00e4\u00df \u00a7 8a (3) des BSI G zu \u00fcberpr\u00fcfen und sich im Zweifel\nkompetente Beratung ins Haus zu holen.<\/p>\n\n\n\n

Scheiter\nempfiehlt au\u00dferdem, die Prozesse zur obligatorischen Meldung von IT-Sicherheitsvorf\u00e4llen<\/a>\nzu definieren, zu etablieren und wie bei einer Feuer\u00fcbung mit den Mitarbeitern\nzu trainieren. Denn steht das Haus erst in Flammen, ist zum Etablieren von\neffizienten Meldewegen keine Zeit mehr. Etwas knifflig zu managen seien die\nAbh\u00e4ngigkeiten zwischen den einzelnen kritischen Infrastrukturkomponenten, von\ndenen jede einzelne den GRC-Vorschriften des BSI entsprechen m\u00fcsse,\nunterstreicht die Sicherheitsexpertin. Wird eine Infrastrukturkomponente\nkompromittiert, hat der Vorfall unter Umst\u00e4nden Auswirkungen auf andere\nKomponenten und kann Fehlfunktionen verursachen.<\/p>\n\n\n\n

Unternehmen\nund Organisationen k\u00f6nnen den Nachweis, dass ihre kritische IT-Infrastruktur\n(Systeme, Komponenten und Prozesse) auf dem \u201eStand der Technik\u201c ist und dass\nsie Risiken gem\u00e4\u00df anerkannter Standards wie ISO 27001 managen, zum Beispiel\n\u00fcber entsprechende Zertifikate f\u00fchren. Diesen Nachweis m\u00fcssen die Unternehmen\nalle zwei Jahre erneut erbringen.<\/p>\n\n\n\n

Des\nWeiteren schreibt das BSI-Gesetz gem\u00e4\u00df \u00a7 8b (3) den Betreibern kritischer\nInfrastrukturen vor, eine Kontaktstelle zu benennen, die jederzeit \u2013 24 Stunden\nam Tag, sieben Tage die Woche \u2013 erreichbar ist. Als Kontaktstelle ist zum\nBeispiel ein Funktionspostfach, nicht die pers\u00f6nliche Mail-Adresse eines\neinzelnen Mitarbeiters, geeignet, an die das BSI auch seine\nSicherheitsinformationen schickt. Betreiber sind au\u00dferdem verpflichtet, dem BSI\njede IT-St\u00f6rung zu melden. Darunter fallen St\u00f6rungen der Verf\u00fcgbarkeit, Integrit\u00e4t,\nAuthentizit\u00e4t und Vertraulichkeit ihrer informationstechnischen Systeme,\nKomponenten oder Prozesse, die zu einem Ausfall oder einer erheblichen\nBeeintr\u00e4chtigung gef\u00fchrt haben oder f\u00fchren k\u00f6nnten.<\/p>\n\n\n\n

Das IT-Sicherheitsgesetz<\/a> hat zum Ziel, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Im Fokus stehen Infrastrukturdienstleister, deren Ausfall oder Beeintr\u00e4chtigung dramatische Folgen f\u00fcr Wirtschaft, Staat und Gesellschaft h\u00e4tten. Darunter fallen zum Beispiel Strom- und Wasserversorgung, Telekommunikation, Informationstechnik, Ern\u00e4hrung und Verkehr. Das seit Juli 2015 g\u00fcltige IT-Sicherheitsgesetz ist ein sogenanntes Artikelgesetz. Es wird durch \u00c4nderungsverordnungen f\u00fcr die einzelnen Branchen erg\u00e4nzt und pr\u00e4zisiert.<\/p>\n\n\n\n

Weitere Informationen: www.nttsecurity.com<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Am 30. Juni l\u00e4uft die Frist f\u00fcr die Umsetzung der ersten Verordnung der \u00c4nderung der BSI-Kritisverordnung ab. Was so juristisch daherkommt, hat f\u00fcr die betroffenen Branchen weitreichende Folgen. Unternehmen, die die Vorschriften nur unzureichend umsetzen, drohen im schlimmsten Fall hohe Bu\u00dfgelder. Eva-Maria Scheiter, GRC-Spezialistin bei NTT Security (Germany), gibt n\u00fctzliche Tipps, um Strafzahlungen zu vermeiden.<\/p>\n","protected":false},"author":1,"featured_media":14598,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[4,37],"tags":[2964,490,1993,7098,5834,9558,2965],"class_list":["post-14597","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","category-security","tag-bank","tag-bsi","tag-grc","tag-it-sicherheitsgesetz","tag-kritis","tag-ntt-security","tag-versicherung"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14597","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14597"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14597\/revisions"}],"predecessor-version":[{"id":14599,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14597\/revisions\/14599"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/14598"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14597"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14597"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14597"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}