MENU
  1. Bildung
  2. Wissen kompakt
  3. IT-Sicherheit
  4. Gesetze und Normen zur IT-Sicherheit

IT-Sicherheitsgesetz und Rechtsverordnung

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) ist am 25. Juli 2015 in Kraft getreten. Das IT-Sicherheitsgesetz ist Ergebnis der Digitalen Agenda, einer Leitlinie der Bundesregierung aus dem Jahr 2014, die unter anderem eine Verbesserung der Sicherheit und des Schutzes von IT-Systemen und Diensten in Deutschland vorsah.

Grundlage des IT-Sicherheitsgesetzes (IT-SiG) war das seit 2009 existierende Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes. Das Gesetz begegnet der neuen Gefährdungslage durch eine wachsende Digitalisierung von Gesellschaft, Wirtschaft und Staat. Ziel des IT-Sicherheitsgesetzes ist es, die Informationssicherheit von Unternehmen, Verwaltungen und Institutionen sowie die digitalen Infrastrukturen besser zu sichern und zu schützen, ebenso wie die Bürger im Internet.

Das Gesetz wurde durch den ersten Teil der Rechtsverordnung des Bundesamts für Sicherheit in der Informationstechnik (BSI), der sogenannten KRITIS-Verordnung, am 3. Mai 2016, ergänzt. Darin wurde festgelegt, dass die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation als Kritische Infrastrukturen (KRITIS) einzustufen sind. Ergänzend kamen die Bereiche Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen am 30. Juni 2017 hinzu.

Zielgruppen des IT-Sicherheitsgesetzes

Das IT-Sicherheitsgesetz richtet sich an Unternehmen sowie an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Es regelt die Anforderungen an Kritische Infrastrukturen (KRITIS) neu: Unternehmen, die als kritisch gelten, müssen ihre IT-Systeme nach dem aktuellen Stand der Technik absichern und ihre Informationssicherheit mindestens alle zwei Jahre überprüfen lassen. Für weitere Unternehmen mit sensiblen Daten sieht auch die DSGVO seit dem 25.05.2018 diese Standards vor. Statt einer zweijährigen Überprüfung wird in der DSGVO eine Art Managementsystem gefordert. So will der Staat die Bereiche besser schützen, deren Funktionsfähigkeit für unsere moderne Gesellschaft unverzichtbar sind.

Das IT-Sicherheitsgesetz verpflichtete zunächst nur Kernkraftwerke und Telekommunikationsbetreiber dazu, Störungsfälle ihrer Informationssicherheit dem BSI zu melden. Telekommunikationsunternehmen unterlagen bis dahin nur einer Meldepflicht gegenüber der Bundesnetzagentur. Mit der Rechtsverordnung 2016 sowie der Ergänzung 2017 wurde die Meldepflicht bei erheblichen IT-Störungen auch auf die anderen KRITIS-Betreiber ausgedehnt. Das BSI selbst wird durch das IT-Sicherheitsgesetz mit zusätzlichen Befugnissen ausgestattet, um besser auf die neuen Bedrohungen der Informationssicherheit und die gestiegenen Anforderungen an die Unternehmen reagieren zu können. Seine Rolle als nationale IT- und Cyber-Sicherheitsbehörde wird durch das Gesetz also ausgebaut und gefestigt. Gleichzeitig wächst die Verantwortung, die das BSI für die IT-Sicherheit in Deutschland trägt.

Konkret verpflichtet das IT-Sicherheitsgesetz das BSI dazu, Informationen zur Abwehr der Gefahren für die IT-Sicherheit von KRITIS-Betreibern zu sammeln und Relevantes an die betroffenen Unternehmen und zuständigen Aufsichtsbehörden weiterzuleiten. Zudem ist das BSI verantwortlich dafür, Mindeststandards für die IT der Bundesverwaltung zu erarbeiten. Außerdem muss das BSI die Öffentlichkeit jährlich in einem Bericht über die aktuellen Gefahren der IT-Sicherheit informieren.

Von dem IT-Sicherheitsgesetz betroffen sind außerdem Betreiber von Webangeboten. So müssen zum Beispiel Online-Shops höhere Anforderungen erfüllen, um die Daten ihrer Kunden und ihre IT-Systeme besser zu schützen. Betreiber nicht-kommerzieller Webseiten fallen nicht unter das Gesetz.

Das IT-Sicherheitsgesetz verpflichtet zudem Telekommunikationsunternehmen dazu, ihre Kunden zu warnen, sollten sie feststellen, dass deren Anschluss missbraucht wird. Zusätzlich sollen sie sie darin unterstützen, das Problem zu beheben.

Lesen Sie hier mehr zum BSI IT-Grundschutz und der Umsetzung der Standards in Unternehmen auf Basis des neuen Kompendiums.

Cyber-Sicherheit in Europa: die NIS-Richtlinie

Die europäische Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) wurde am 29. Juni 2017 verkündet und muss von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Damit will die EU einen einheitlichen Rechtsrahmen zur Stärkung der IT-Sicherheit bei KRITIS-Betreibern und Anbietern digitaler Dienste schaffen.

In Deutschland regelt bereits das IT-Sicherheitsgesetz die Pflichten Kritischer Infrastrukturen. Hinzu kommt das im Juni 2017 verabschiedete Gesetz zur Umsetzung der NIS-Richtlinie, das die Befugnisse des BSI erweitert und die Pflichten zur IT-Sicherheit von Anbietern digitaler Dienste ergänzt. Seit Mai 2018 unterliegen auch Anbieter von Suchmaschinen, Online-Marktplätzen und Cloud-Computing-Diensten der Meldepflicht und müssen Mindeststandards einhalten. Das BSI muss überprüfen, ob sie die neuen Auflagen einhalten.

Standards der Informationssicherheit: ISMS aufbauen und DSGVO umsetzen

Neben Gesetzen und Rechtsverordnungen sorgen in der Praxis spezielle Normen, Grundsätze und Sicherheitsstandards dafür, dass die Unternehmen den Anforderungen an die Informationssicherheit gerecht werden.

Die BSI-Standards etwa sind ein zentraler Bestandteil der IT-Grundschutz-Methodik in Deutschland. Darin festgehalten sind Methoden, Prozesse und geeignete Maßnahmen, um die Informationssicherheit im Unternehmen umzusetzen. Der BSI-Standard 200-1 beispielsweise definiert die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS), zeigt also, welche organisatorischen und technischen Maßnahmen Unternehmen ergreifen müssen, um ihre IT-Sicherheit zu schützen und zu verbessern.

Ein ISMS legt auch fest, wie mit personenbezogenen Daten innerhalb des Geschäftsprozesses umzugehen ist. Der Schutz solcher Daten ist zentraler Bestandteil der Informationssicherheit eines Unternehmens. Mit der neuen EU-Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft getreten ist, werden die Datenschutzniveaus in den Mitgliedstaaten vereinheitlicht. Jedes Unternehmen, kleine und mittelständische ebenso wie große Konzerne, müssen die DSGVO umsetzen.

Ein ISMS, das auf Basis des BSI-Standards 200-1 aufgebaut wurde, ist dabei kompatibel zur internationalen Norm ISO 27001. Unternehmen können also nach einem erfolgreichen Audit ein entsprechendes Zertifikat erhalten.

In unserem Themenbereich Datenschutz erfahren Sie mehr zum Datenschutz in Deutschland und der DSGVO.

Weitere Informationen und passende Seminare

Businesswoman using shield safe protection with connections 3D rendering

IT-Grundschutz als Basis für umfassende Informationssicherheit

TÜVIT: Erfolgreiche ISMS-Einführung und -Zertifizierung nach ISO 27001 und IT-Grundschutz.
Artikel lesen
IT-Sicherheitsgesetz

IT-Sicherheitsgesetz

Erhalten Sie einen umfassenden Einblick in das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, das IT–Sicherheitsgesetz.
Zum Seminar

IT-Grundschutz-Experte (TÜV)

BSI-Standard 100 in täglicher Anwendung schafft Sicherheit und Zuverlässigkeit bei der Verarbeitung von Informationen und Daten.
Zum Seminar

Haben Sie Fragen?

Melanie Braunschweig

Melanie Braunschweig

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

+49 201 31955-42
Fax: +49 201 31955-70

mbraunschweig@tuev-nord.de

Diese Seite weiterempfehlen