Gesetzesänderung

23.06.2021

Die Organisation der IT-Sicherheit in Unternehmen

Wir vertiefen das Thema der IT-Sicherheit. Die Funktionsfähigkeit von IT-Systemen wird immer wichtiger. Das steigende Risiko der Cyber-Kriminalität für Unternehmen wird vom Bundeskriminalamt in seinem Bundeslagebilder „Cybercrime 2020“ eindrucksvoll beschrieben. Die registrierten Straftaten im Cyber-Crime Bereich betragen 108.000 Delikte im Jahr 2020. Die Steigerung im Vergleich zum Vorjahr beträgt 7,9%. Vor allem richten sich die Angriffe gegen Unternehmen. Damit befasst sich die Untersuchung „Cyber-Angriffe gegen Unternehmen in Deutschland“, Ergebnisse einer repräsentativen Unternehmensbefragung 2018/2019. Die beschriebenen Cyber-Angriffe liefern Beispiele dafür, was Unternehmen droht. 46% alle befragten Unternehmen gaben an, schon einmal Opfer einer Cyber-Angriffs geworden zu sein. Mit wachsendem Cybercrime-Risiko steigt der Bedarf von Schutzmaßnahmen. Die gesetzliche Regelung des IT-Sicherheitsrechts wird in chronologischer Reihenfolge vorgestellt. Die Pflicht zu IT-Sicherheitsmaßnahmen treffen in erster Linie Unternehmen der kritischen Infrastruktur, wozu Unternehmen wie Stadtwerke zählen, die lebenswichtige Versorgung anbieten.

Das Zweite IT-Sicherheitsgesetz ist am 27.5.2021 im Bundesgesetzblatt veröffentlicht worden. Es handelt sich um ein Artikelgesetz, das insbesondere das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) ändert. Es enthält neue Pflichten für Unternehmen, sowie Anforderungen an das Bundesamt für die IT-Sicherheit. Der Kreis der Betreiber kritischer Infrastrukturen und der Verpflichteten nach dem BSIG wurden erweitert. Nach der Definition der kritischen Infrastruktur kommen weitere 240 Betreiber hinzu.

Unternehmen müssen selbst prüfen, ob sie in dem Anwendungsbereich des BSI-Gesetzes fallen. Vor allem kommen nach § 8f BSIG Unternehmen im „besonderen öffentlichen Interesse“ hinzu, die den Unternehmen kritischer Infrastrukturen gleichgestellt werden. Dazu gehören große Unternehmen, Störfallbetriebe, das heißt volkswirtschaftlich besonders wichtige Unternehmen, weil sie in sicherheitsrelevanten Branchen aktiv sind oder aufgrund ihrer Größe und entsprechender wirtschaftlicher Leistungsfähigkeit bestmöglich sichergestellt werden muss, dass Cyber-Angriffe oder sonstige IT-Störungen nicht zu länger andauernden Produktionsausfällen führen können. Große Unternehmen werden im Interesse der Volkswirtschaft zur IT-Sicherheit gezwungen. Dabei haben sie den Stand der Technik anzuwenden, Schutzmaßnahmen über dem Durchschnitt zu organisieren. Der jeweils aktuelle Entwicklungsstand der Technik beim Erkennen und beim Abwehren von Risiken für die IT-Sicherheit muss jeweils ermittelt werden. Das IT-Grundschutz–Kompendium des BSI liefert einen verbindlichen Maßstab zum Stand der Technik. Der Gesetzgeber will die technischen Richtlinien des BSI als Wiedergabe des Standes der Technik ansehen.

Das IT-Grundschutz-Kompendium haben wir in unserem Compliance-Management-System „Recht im Betrieb“ integriert. Wie bei allen Pflichten kann man über den Unternehmenssachverhalt aus dem IT-sicherheitsrelevanten Bereich die Schutzmaßnahmen aufrufen. Wir haben die Unternehmenssachverhalte als Risiken für die IT-Sicherheit verlinkt mit den jeweiligen Schutzmaßnahmen, die das BSI formuliert hat. Damit wählen wir bei der Organisation der IT-Sicherheit den sicheren Weg. Das BSI ist die zentrale Stelle in der sämtliche Erfahrungen über die Angriffe durch die Meldepflichten gesammelt werden. Die Schutzmaßnahmen werden auf dem aktuellen technischen Niveau empfohlen. Es fehlt zwar an verbindlichen Verfahren für die Erstellung des Kompendiums. Wer allerdings die Pflichten einhält, um die gelisteten Risiken einzuhalten, vermeidet den Vorwurf, die IT-Sicherheit im Unternehmen nicht organisiert zu haben.

Zur besseren Übersicht werden wir eine Synopse im System bereitstellen und die wichtigsten Änderungen durch das Zweite IT-Sicherheitsgesetz kommentieren.

Vorherige Nächste

Neuste Artikel

Neuste Gesetzesänderungen

Neuste Veranstaltungen