Zum Jubiläum eine Novellierung
Bereits seit 2016 findet jährlich der „IT-Sicherheitsrechtstag“ des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) in Berlin statt. Initiiert wurde die Veranstaltung durch die TeleTrusT-Arbeitsgremien „AG Recht“ und „AK Stand der Technik“. Mit der Fachtagung wird angestrebt, Interessierten die aktuellen Gesetzesvorschriften im Bereich der Informationssicherheit zu erläutern und praxisnahe Lösungsansätze zu ihrer konformen Umsetzung zu skizzieren.
Der Fokus der diesjährigen Jubiläums-Veranstaltung war die vorgesehene Novellierung des IT-Sicherheitsgesetzes, das sogenannte IT-Sicherheitsgesetz 2.0 (Link zur Veranstaltung). Das IT-Sicherheitsgesetz, wir erinnern uns, trat 2015 in Kraft und hatte von Anfang an die Betreiber kritischer Infrastrukturen (KRITIS-Betreiber) im Fokus. Durch zwei darauffolgende Verordnungen (KRITIS-VO) wurden die Vorgaben an die Betreiber kritischer Infrastrukturen und die einzuhaltenden technischen und organisatorischen Sicherheitsmaßnahmen konkretisiert.
Über die anstehende Novellierung des IT-Sicherheitsgesetzes referierten:
- Andreas Könen, Bundesministerium des Innern, für Bau und Heimat
- Martin Schallburch, Digital Society Institut am ESMT, Berlin
- Karsten Bartels, HK2, Vorstand Bundesverband IT-Sicherheit e.V. (TeleTrusT)
- Dr. Dennis-Kenji Kipker, Universität Bremen
Die Vorträge beschäftigten sich mit dem Ressortentwurf 2020 des IT-Sicherheitsgesetzes 2.0, der seinerseits eine Reihe von Fragen politischer, rechtlicher und technischer Art aufwirft.
In der anschließenden Podiumsdiskussion, moderiert durch Tomasz Lawicki, Senior Manager bei m3 management consulting GmbH und Leiter des „AK Stand der Technik“ bei TeleTrusT, wurden kritische Fragen zum IT-SiG 2.0 diskutiert und Vorschläge zur Anpassung aufgezeigt.
Auswirkungen auf KRITIS-Betreiber erwartet
Betreiber kritischer Infrastrukturen sind Organisationen, Unternehmen und Einrichtungen mit großer Bedeutung für das Gemeinwesen. Deren Beeinträchtigung kann zum Beispiel zu Versorgungsengpässen oder Störungen der öffentlichen Sicherheit führen. Das IT-Sicherheitsgesetz formuliert die Vorgaben an die Sicherheitsmaßnahmen der KRITIS-Betreiber und verpflichtet sie den definierten Stand einzuhalten oder zu berücksichtigen.
In der nachfolgenden Grafik sind die KRITIS-Sektoren (innerer Ring) und die dazugehörigen Branchen (äußerer Ring) weiter aufgeführt.
Abbildung 1: KRITIS-Sektoren und relevante Branchen (in Anlehnung an kritis.bund.de)
Aufgrund der erwarteten Verschärfung des IT-Sicherheitsgesetzes, unter anderem durch Ausweitung der Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI), kann ebenfalls mit weiteren Auswirkungen auf die KRITIS-Betreiber sowie ihre Zulieferer gerechnet werden. So können beispielsweise durch das Herabsetzen der Schwellwerte in der KRITIS-VO weitere Unternehmen unter die Vorgaben des IT-SiG fallen. Ebenfalls können die Berichtspflichten der KRITIS-Betreiber an das BSI erweitert und die Dienstleister der KRITIS-Betreiber stärker in die Pflicht genommen werden.
Die konkreten Auflagen aus der Novellierung des IT-Sicherheitsgesetzes werden, wie gehabt, durch die KRITIS-Verordnung konkretisiert. Üblicherweise steht den betroffenen Anwenderunternehmen für die Umsetzung der Auflagen eine Übergangsfrist von zwei Jahren nach der Veröffentlichung der Verordnung zu. Diese Zeit ist zwingend erforderlich, da die Umstellung oftmals umfassende Änderungen nach sich zieht. Daher sollte man rechtzeitig mit den Vorbereitungen und der Umsetzung starten.
Wie geht es nun weiter?
Nach aktuellen Erkenntnissen wird voraussichtlich noch im Oktober über den Ressortentwurf der Novellierung des IT-Sicherheitsgesetzes abgestimmt und eine Verbandsanhörung Ende Oktober eingeleitet.
Zu diesem Zeitpunkt wird also eine neue, dritte Version des Entwurfs öffentlich bekannt gegeben.
Sobald die aktualisierte Version des Ressortentwurfs des IT-Sicherheitsgesetzes bekannt ist, erfahren Sie hier mehr über die Inhalte und möglichen Auswirkungen.
Gerne informieren wir Sie über die anstehenden Änderungen, unterstützen Sie bei der Entwicklung einer individuellen Sicherheitsstrategie und der Auswahl geeigneter Sicherheitsmaßnahmen.
Wir freuen uns über eine Nachricht von Ihnen.