Viele Branchen betroffen

IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz betrifft "Diensteanbieter" von "Telemedienangeboten" und als kritische Infrastruktur eingestufte Unternehmen.

Das "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)" (Details siehe Bundesgesetzblatt) besteht aus diversen Änderungen des BSI- / Atom- / Energiewirtschafts- / Telekommunikations- / Telemedien- / Bundesbesoldungs- und BKA-Gesetzes.

Betroffen sind durch die Änderung des Telemediengesetzes und Telekommunikationsgesetzes "Diensteanbieter" von "Telemedienangeboten". D. h. jeder der gewerblich ein Internetangebot betreibt, wie z. B. einen Onlineshop. Diese müssen,

  • "soweit technisch möglich und wirtschaftlich zumutbar"
  • "technische und organisatorische Vorkehrungen" zur Sicherheit treffen.
  • Verschlüsselung ist dabei als eine Maßnahme explizit genannt.

In der Pflicht: Unternehmen als kritische Infrastruktur

Das IT-Sicherheitsgesetz zielt inbesondere darauf, dass Betreiber besonders wichtiger kritischer Infrastrukturen über eine ausreichende IT-Sicherheit verfügen.

Über die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) ist festgelegt, welche Unternehmen davon betroffen sind.

Eine Benachrichtigung o. ä. durch das BSI erfolgt hier nicht. Jedes Unternehmen muss für sich prüfen, ob es gemäß der Kriterien als kritisches Unternehmen eingestuft wird. Kriterien hierfür sind die als kritisch anzusehenden Dienstleistungen und Prozessschritte, sowie der von einer kritischen Infrastruktur bereitgestellte Versorgungsgrad.

Ein Unternehmen, welches als kritische Infrastruktur eingestuft wird, muss diverse Anforderungen erfüllen. Orientierung hierzu gibt die Broschüre Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Beispielsweise müssen Betreiber kritischer Infrastrukturen IT-Sicherheitsvorfälle melden.