IT-Sicherheitsgesetz und Normen in Deutschland

IT-Sicherheitsgesetz und Normen in Deutschland

Beitrag aktualisiert am 08.01.2024

Zur Themenwelt Informationssicherheit

Was ist das IT-Sicherheitsgesetz?

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) ist am 25. Juli 2015 in Kraft getreten. Das IT-Sicherheitsgesetz ist Ergebnis der Digitalen Agenda, einer Leitlinie der Bundesregierung aus dem Jahr 2014, die unter anderem eine Verbesserung der Sicherheit und des Schutzes von IT-Systemen und Diensten in Deutschland vorsah.

Grundlage des IT-Sicherheitsgesetzes (IT-SiG) war das seit 2009 existierende Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes. Das Gesetz begegnet der neuen Gefährdungslage durch eine wachsende Digitalisierung von Gesellschaft, Wirtschaft und Staat.

Ziel des IT-Sicherheitsgesetzes

Ziel des IT-Sicherheitsgesetzes ist es, die Informationssicherheit von Unternehmen, Verwaltungen und Institutionen sowie die digitalen Infrastrukturen besser zu sichern und zu schützen, ebenso wie die Bürger im Internet.

Das Gesetz wurde durch den ersten Teil der Rechtsverordnung des Bundesamts für Sicherheit in der Informationstechnik (BSI), der sogenannten KRITIS-Verordnung, am 3. Mai 2016, ergänzt. Darin wurde festgelegt, dass die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation als Kritische Infrastrukturen (KRITIS) einzustufen sind. Ergänzend kamen die Bereiche Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen am 30. Juni 2017 hinzu. Im Mai 2021 ist die Aktualisierung des IT-Sicherheitsgesetzes als das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 bzw. IT-SiG 2.0) in Kraft getreten.

Für wen gilt das IT-Sicherheitsgesetz?

Das IT-Sicherheitsgesetz richtet sich an Unternehmen sowie an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Es regelt die Anforderungen an Kritische Infrastrukturen (KRITIS) neu: Unternehmen, die als kritisch gelten, müssen ihre IT-Systeme nach dem aktuellen Stand der Technik absichern und ihre Informationssicherheit mindestens alle zwei Jahre überprüfen lassen. Für weitere Unternehmen mit sensiblen Daten sieht auch die DSGVO seit dem 25.05.2018 diese Standards vor. Statt einer zweijährigen Überprüfung wird in der DSGVO eine Art Managementsystem gefordert. So will der Staat die Bereiche besser schützen, deren Funktionsfähigkeit für unsere moderne Gesellschaft unverzichtbar sind.

Das IT-Sicherheitsgesetz verpflichtete zunächst nur Kernkraftwerke und Telekommunikationsbetreiber dazu, Störungsfälle ihrer Informationssicherheit dem BSI zu melden. Telekommunikationsunternehmen unterlagen bis dahin nur einer Meldepflicht gegenüber der Bundesnetzagentur. Mit der Rechtsverordnung 2016 sowie der Ergänzung 2017 wurde die Meldepflicht bei erheblichen IT-Störungen auch auf die anderen KRITIS-Betreiber ausgedehnt.

Die Verantwortung des Bundesamts für Sicherheit in der Informationstechnik (BSI)

Das BSI selbst wird durch das IT-Sicherheitsgesetz mit zusätzlichen Befugnissen ausgestattet, um besser auf die neuen Bedrohungen der Informationssicherheit und die gestiegenen Anforderungen an die Unternehmen reagieren zu können. Seine Rolle als nationale IT- und Cyber-Sicherheitsbehörde wird durch das Gesetz also ausgebaut und gefestigt. Gleichzeitig wächst die Verantwortung, die das BSI für die IT-Sicherheit in Deutschland trägt.

Konkret verpflichtet das IT-Sicherheitsgesetz das BSI dazu, Informationen zur Abwehr der Gefahren für die IT-Sicherheit von KRITIS-Betreibern zu sammeln und Relevantes an die betroffenen Unternehmen und zuständigen Aufsichtsbehörden weiterzuleiten. Zudem ist das BSI verantwortlich dafür, Mindeststandards für die IT der Bundesverwaltung zu erarbeiten. Außerdem muss das BSI die Öffentlichkeit jährlich in einem Bericht über die aktuellen Gefahren der IT-Sicherheit informieren.

Von dem IT-Sicherheitsgesetz betroffen sind außerdem Betreiber von Webangeboten. So müssen zum Beispiel Online-Shops höhere Anforderungen erfüllen, um die Daten ihrer Kunden und ihre IT-Systeme besser zu schützen. Betreiber nicht-kommerzieller Webseiten fallen nicht unter das Gesetz.

Das IT-Sicherheitsgesetz verpflichtet zudem Telekommunikationsunternehmen dazu, ihre Kunden zu warnen, sollten sie feststellen, dass deren Anschluss missbraucht wird. Zusätzlich sollen sie sie darin unterstützen, das Problem zu beheben.

Lesen Sie hier mehr zum BSI IT-Grundschutz und der Umsetzung der Standards in Unternehmen auf Basis des neuen Kompendiums.

Der Nachfolger des IT-Sicherheitsgesetzes 2.0

Am 17. Oktober 2024 wird das IT-Sicherheitsgesetz 2.0 vom NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) abgelöst. Dabei handelt es sich um die deutsche Umsetzung der EU-Richtlinie NIS2. Die genauen Inhalte des Artikelgesetzes stehen noch nicht fest, doch angesichts der europäischen Vorlage und erster Referentenentwürfe müssen sich Unternehmen auf folgende Änderungen einstellen:  

  • Der Geltungsbereich wird stark erweitert. Vom NIS2UmsuCG werden auch viele mittlere und kleinere Unternehmen aus Bereichen wie der Lebensmittelbranche und der Industrie betroffen sein. Insgesamt gehen Expertinnen und Experten von mindestens 30.000 betroffenen Unternehmen aus. 

  • Die Anforderungen werden verschärft. Allerdings unterscheidet die NIS2 in dieser Hinsicht zusätzlich zu kritischen Anlagen zwischen „wesentlichen“ und „wichtigen“ Unternehmen. Außerdem ist die Unternehmensgröße ausschlaggebend dafür, welche Cybersicherheitsmaßnahmen im Einzelfall notwendig sind. 

  • Bei Verstößen drohen empfindliche Strafen. 

Erfahren Sie jetzt mehr darüber, welche Auswirkungen die NIS2 auf deutsche Unternehmen hat, und lesen Sie unseren Beitrag „Die NIS2-Richtlinie - was sie für Unternehmen bedeutet“.

Info-Webinar zu NIS-2, KRITIS, CER, CRA und Co.

In unserem Webinar geben wir Ihnen innerhalb einer Stunde einen umfassenden Überblick über die aktuelle und neue EU-Gesetzgebung zur Cybersicherheit, einschließlich NIS-2, KRITIS, CER und CRA.  Außerdem bereiten wir Sie darauf vor, Ihr Unternehmen im Rahmen dieser Gesetze zu schützen. 

Jetzt für 0,- Euro teilnehmen

Standards der Informationssicherheit: ISMS aufbauen und DSGVO umsetzen

Neben Gesetzen und Rechtsverordnungen sorgen in der Praxis spezielle Normen, Grundsätze und Sicherheitsstandards dafür, dass die Unternehmen den Anforderungen an die Informationssicherheit gerecht werden.

Die BSI-Standards etwa sind ein zentraler Bestandteil der IT-Grundschutz-Methodik in Deutschland. Darin festgehalten sind Methoden, Prozesse und geeignete Maßnahmen, um die Informationssicherheit im Unternehmen umzusetzen. Der BSI-Standard 200-1 beispielsweise definiert die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS), zeigt also, welche organisatorischen und technischen Maßnahmen Unternehmen ergreifen müssen, um ihre IT-Sicherheit zu schützen und zu verbessern.

Ein ISMS legt auch fest, wie mit personenbezogenen Daten innerhalb des Geschäftsprozesses umzugehen ist. Der Schutz solcher Daten ist zentraler Bestandteil der Informationssicherheit eines Unternehmens. Mit der neuen EU-Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft getreten ist, werden die Datenschutzniveaus in den Mitgliedstaaten vereinheitlicht. Jedes Unternehmen, kleine und mittelständische ebenso wie große Konzerne, müssen die DSGVO umsetzen.

Ein ISMS, das auf Basis des BSI-Standards 200-1 aufgebaut wurde, ist dabei kompatibel zur internationalen Norm ISO 27001. Unternehmen können also nach einem erfolgreichen Audit ein entsprechendes Zertifikat erhalten.

In unserem Themenbereich Datenschutz erfahren Sie mehr zum Datenschutz in Deutschland und der DSGVO.