mi | Management
Das neue
IT-Sicherheitsgesetz
Was ist zu tun?
Durch das IT-Sicherheitsgesetz
(IT-SiG) werden KRITIS-Unternehmen
dazu verpflichtet,
umfassende Maßnahmen zur
Etablierung eines angemessenen IT-Sicherheitsniveaus
und damit zum Schutz der Versorgungssicherheit
vorzunehmen. Für den
KRITIS-Sektor Ernährung gilt seit 2016 eine
Rechtsverordnung, nach der die betroffenen
Molkereien nach einer zweijährigen Umsetzungsfrist
bis Mai 2018 die Anforderungen
des IT-SiG umgesetzt haben mussten.
Ein wesentliches Instrument dabei ist die
Einführung eines Informationssicherheits-
Managementsystems (ISMS).
Die digitale Transformation nimmt immer
dynamischere Züge an und eröffnet
den Unternehmen vielfältige Nutzeneffekte.
Doch mit der massiven Umstellung auf
elektronische Prozesse entstehen in den
Unternehmen auch zwangsläufig mehr
Angriffsflächen für den Datendiebstahl
bzw. die Datenmanipulation. Darauf hat die
22 7 2019 | moproweb.de
Bundesregierung mit ihrem 2015 in Kraft
getretenen IT-Sicherheitsgesetz (IT-SiG) reagiert.
Es verfolgt das Ziel, deutschlandweit
eine signifikante Verbesserung der Sicherheit
informationstechnischer Systeme (ITSicherheit)
zu erreichen.
Dabei zielt die Bundesregierung auf Unternehmen
aus den KRITIS-Sektoren ab, die
ein Mindestniveau an IT-Sicherheit einhalten
sollen. Darunter fallen Unternehmen, die
mit ihren Dienstleistungen von zentraler
Bedeutung für das Funktionieren des Gemeinwesens
sind und bei einem Ausfall ihrer
technischen Infrastruktur Versorgungsengpässe
oder erhebliche Gefährdungen für
die öffentliche Sicherheit erzeugen können.
Sogenannte Schwellenwerte entscheiden
darüber, welche KRITIS-Unternehmen
das IT-SiG umsetzen müssen. Nach der
seit Mai 2016 gültigen Rechtsverordnung
belaufen sie sich für den KRITIS-Sektor
Ernährung auf ein jährliches Produktionsvolumen
von 434.500 Tonnen bei Agrarerzeugnissen
und 350 Millionen Liter bei
Getränken. Die gleichen Werte gelten auch
für die Be- und Verarbeitung von Agrarrohstoffen,
die Herstellung von Lebensmitteln
sowie für Anlagen zur Lagerung
sowie der Distribution von Lebensmitteln.
Wer diese Schwellenwerte überschreitet,
die von den Unternehmen jährlich neu
ermittelt und dokumentiert werden müssen,
unterliegt den Anforderungen des ITSicherheitsgesetzes.
Erste Unternehmen
bereits abgemahnt
Die KRITIS-Unternehmen sind in der Pflicht,
Störungen der Verfügbarkeit, Integrität, Authentizität
und Vertraulichkeit ihrer Systeme,
die zu einer Beeinträchtigung oder gar einem
Ausfall der Funktionsfähigkeit führen können
oder bereits geführt haben, dem Bundesamt
für Sicherheit in der Informationstechnik
(BSI) als zentraler Meldestelle mitzuteilen.
Für die direkte Kommunikation mit ihr muss
jedes KRITIS-Unternehmen sechs Monate
nach in Kraft treten eine Kontaktperson benennen,
die diese Aufgabe übernimmt und
jederzeit erreichbar ist. Für die betroffenen
Unternehmen des Ernährungssektors ist dies
seit November 2016 der Fall.
Die wesentlichen Konsequenzen entstehen
jedoch nach Ablauf der Umsetzungsfrist
bis Mai 2018. Es muss dann nachgewiesen
werden, dass die Mindestanforderungen
an die IT-Sicherheit nach dem „Stand der
Technik“ erfüllt sind. Ebenso ist ein Nachweis
des Sicherheitsniveaus an das BSI zu senden
(gemäß § 8a (3) BSI-Gesetz), den es alle zwei
Jahre zu wiederholen gilt.
Für das Nichtbeachten kann jeweils ein
Abbildung 1: Prüfgrundlage (Quelle: BSI) Bußgeld in Höhe von bis zu 100.000 Euro