Das neue IT-Sicherheitsgesetz 2.0
Das neue IT-Sicherheitsgesetz ist in Kraft getreten. Es enthält durch Änderungen des Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) zahlreiche neue Pflichten für Unternehmen sowie Anforderungen an das Bundesamt für die IT-Sicherheit (BSI) zur Stärkung der IT-Sicherheit in Deutschland. Der Gesetzgeber betont, dass die Gewährleistung von Cyber-Sicherheit nicht statisch sein kann, sondern eine ständige Anpassung und Weiterentwicklung der Abwehrstrategien erforderlich ist. Die Erfahrungen aus der Anwendung des 1. IT-Sicherheitsgesetzes sowie den Erkenntnissen aus Cyberangriffen bestimmen die Neuregelungen des IT-Sicherheitsgesetzes.
Erweiterter Kreis der Betreiber kritischer Infrastrukturen
Erweitert wurde der Kreis der Betreiber kritischer Infrastrukturen und der Verpflichteten nach dem BSIG. Nach den bisherigen Definitionen der BSI-KritisV sind rund 1.600 Kritis-Betreiber nach § 8a und 8b BSIG zur IT-Sicherheit verpflichtet. Mit der Definitionserweiterung kommen etwa 240 weitere Kritis-Betreiber dazu. Sie sind zum größten Teil der Stromerzeugung zuzurechnen. 160 sind dem Kritis-Sektor Energie zuzuordnen. Unternehmen haben sich selbst zu prüfen, ob sie unter die BSI-KritisV fallen, vor allem ob sie die Schwellenwerte erreichen.
Neue IT-Sicherheitspflichten für „Unternehmen im besonderen öffentlichen Interesse“
In § 2 Abs. 14 BSIG werden die Pflichten des BSIG auf „Unternehmen im besonderen öffentlichen Interesse“ ausgeweitet, die nicht Betreiber kritischer Infrastrukturen nach Abs. 10 sind, sondern nach § 60 Abs. 1 Nr. 1 u. 3 der Außenwirtschaftsverordnung geregelt sind, wozu zum Beispiel Rüstungsexporte gehören. Außerdem zählen die größten Unternehmen in Deutschland dazu, die von erheblicher volkswirtschaftlicher Bedeutung hinsichtlich der Wertschöpfung sind und als dritte Gruppe zählen Störfallbetriebe dazu, die der Störfallverordnung unterfallen.
Zur besseren Übersicht werden wir am Ende des Volltextes des BSIG eine Synopse bereitgestellt und die wichtigsten Änderungen durch das Zweite IT-Sicherheitsgesetz kommentiert.
Außerdem haben wir das IT-Grundschutz-Kompendium des BSI in unserem Compliance-Management-System „Recht im Betrieb“ integriert. Wie bei allen Pflichten kann man über den Unternehmenssachverhalt aus dem IT-sicherheitsrelevanten Bereich die Schutzmaßnahmen aufrufen. Wir haben die Unternehmenssachverhalte als Risiken für die IT-Sicherheit verlinkt mit den jeweiligen Schutzmaßnahmen, die das BSI formuliert hat. Damit wählen wir bei der Organisation der IT-Sicherheit den sicheren Weg. Das BSI ist die zentrale Stelle in der sämtliche Erfahrungen über die Angriffe durch die Meldepflichten gesammelt werden. Die Schutzmaßnahmen werden auf dem aktuellen technischen Niveau empfohlen. Es fehlt zwar an verbindlichen Verfahren für die Erstellung des Kompendiums. Wer allerdings die Pflichten einhält, um die gelisteten Risiken einzuhalten, vermeidet den Vorwurf, die IT-Sicherheit im Unternehmen nicht organisiert zu haben.