Am Samstag, den 25.07.2015 tritt nach rund sechsmonatigen parlamentarischen Beratungen das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft. Zur Pressemeldung

Folgende Änderungen kommen auf Unternehmen zu:

Für Betreiber von Webservern wie zum Beispiel Online-Shops heißt das, ab sofort erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme.

Darüber hinaus gelten für die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen ab morgen neue Pflichten zur Meldung erheblicher IT-Sicherheitsvorfälle Telekommunikationsunternehmen müssen ihre Kunden warnen, sobald sie merken dass der Anschluss des für IT-Angriffe missbraucht wird und sie auf mögliche Wege zur Beseitigung der Störung hinweisen.

Für sonstige Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen gilt eine entsprechende Meldepflicht nach Inkrafttreten einer Rechtsverordnung, die das IT-Sicherheitsgesetz konkretisiert und zurzeit im Bundesministerium des Innern vorbereitet wird.

Auch die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Untersuchung der Sicherheit von IT-Produkten sowie seine Kompetenzen im Bereich der IT-Sicherheit der Bundesverwaltung werden mit Inkrafttreten des IT-Sicherheitsgesetzes erweitert.

Die wichtigsten Neuerungen auf einen Blick:

Ziel des IT-Sicherheitsgesetzes ist es, die beim BSI zusammenlaufenden Informationen über IT-Angriffe auszuwerten und den Betreibern Kritischer Infrastrukturen zur Verbesserung des Schutzes ihrer Infrastrukturen schnellstmöglich zur Verfügung zu stellen.

Mit Inkrafttreten der Rechtsverordnung gilt dann auch die Pflicht für Betreiber Kritischer Infrastrukturen zur Erarbeitung und Umsetzung von IT-Mindeststandards in ihrem Bereich.

Meldepflicht:

Banken, Energieversorger, Wasserwerke oder Krankenhäuser müssen besondere Vorfälle und Attacken in Zukunft melden. Ca. 2000 Unternehmen sind von dieser

Meldepflicht betroffen. Bleibt die Meldung aus, sind Bußgelder von bis zu 100.000€ möglich.

Mindeststandards:

Unternehmen aus den wichtigsten Branchen sollen die Anforderungen gemeinsam festlegen, die ihre Computersysteme dann erfüllen müssen.

Behörden:

Mindeststandards soll es auch für die IT-Systeme von Bundesbehörden geben.