Das IT-Sicherheitsgesetz ist da!

Das IT-Sicherheitsgesetz (IT-SiG) ist am 25. Juli 2015 in Kraft getreten und damit gewann der Schutz Kritischer Infrastrukturen (KRITIS) hierzulande an Bedeutung. Mithilfe verschärfter Regularien möchte es die Bundesregierung schaffen, wichtige deutsche Wirtschaftsbereiche vermehrt und effizienter vor Cyberangriffen zu schützen. Verantwortlich für die Definition von KRITIS zeigt sich das Bundesamt für Sicherheit in der Informationstechnik (BSI): darunter fallen sämtliche Einrichtungen sowie Institutionen, die für das nationale Gemeinwesen eine relevante Rolle spielen. Organisationen also, bei denen Ausfälle sowie Beeinträchtigungen zu nachhaltig einwirkenden Versorgungsengpässen, zu bedeutenden Störungen innerhalb der allgemeinen Sicherheit oder zu anderen weitreichenden Konsequenzen führen.

Wen betrifft das IT-SIG?

KRITIS

Sektor Staat & Verwaltung

Verwaltungen auf Bundes-/Landes-/
Kommunal- ebene, Ministerien sowie Sicherheitsbehörden (gesonderte Regelungen; UP-Bund)

Sektor Energie

Bereiche Strom, Öl, Gas und Wärme, Stadt- und Kraftwerke

Sektor Gesundheit

Krankenhäuser und -transporte, Arztpraxen sowie Apotheken

Sektor Finanz- & Versicherungswesen

Versicherungen, Banken, Börsen und Finanzdienstleister

Sektor Ernährung

Nahrungsmittelhersteller, Lager sowie Verteilung

Sektor Wasser

Wassernetze, -versorgung und -werke

Sektor Medien & Kultur

Rundfunk, TV, Medien und Zeitungen 
(hier gelten jedoch Ländergesetze, im IT-SIG nicht geregelt)

Sektor Transport & Verkehr

ÖPNV, Flughäfen und -linien, Logistikunternehmen, Bahnbetreiber und -netze, Häfen sowie Wasserstraßen

Sektor IT & Telekommunikation

IT-/Telekommunikations-/Internet-Unternehmen, darunter Internet- und Kabelprovider, Netz- und Mobilfunkbetreiber sowie IT-Hoster)

Fragen & Antworten zum Thema IT-SIG

Welche Aufgaben kommen mit dem IT-SiG auf Sie zu?

Betroffene Unternehmen und Institutionen haben zwei Jahre Zeit, um ein ISMS zu etablieren. Und diese Übergangszeit sollte genutzt werden, denn bei Nichtbeachtung drohen Geldbußen von bis zu 100.000 Euro.

Insbesondere zahlreiche KMU haben derzeit kein ISMS etabliert. Hier kann jedoch eine schlanke Sicherheitsorganisation Abhilfe schaffen: selektiv lassen sich Best Practice-Ansätze verwenden, die der ISO 27001 oder dem BSI IT-Grundschutz entspringen

Gibt es Ausnahmen?

Eine Ausnahme bilden Kleinstunternehmer: Firmen mit weniger als 10 Mitarbeitern und einem Jahresumsatz, der unter 2 Mio. Euro liegt, sind nicht vom IT-Sicherheitsgesetz betroffen. Unternehmen, die unsicher sind, ob sie zu KRITIS gehören, können sich ans BSI wenden und dort nachfragen.

Betreiber von Webservern zählen zwar nicht zu KRITIS, sind jedoch dennoch vom IT-SiG betroffen. Jeder, der einen Webserver betreibt, etwa für einen Online-Shop, ist per Gesetz verpflichtet, technische sowie organisatorische Maßnahmen zu ergreifen, die dem Schutz der Kundendaten und dem der verwendeten IT-Systeme zugute kommen. Das bedeutet, dass jeder Webshop, aber auch Blogger, die beispielsweise Bannerwerbung einblenden und damit kommerzielle Blogs betreiben, sämtliche Angebote auf dem neuesten Stand der Technik halten müssen. Es gilt, zu verhindern, dass Daten manipuliert oder gestohlen werden (Verschlüsselung), jedoch auch, dass Computerviren oder Trojaner den Rechner des Nutzers infizieren (Viren- und Hacker-Schutz).

Welche Aufgaben kommen mit dem IT-SiG auf Sie zu?

Betreiber von Kritischen Infrastrukturen sind per IT-Sicherheitsgesetz verpflichtet, Sicherheitsvorfälle zu melden, Mindeststandards der IT-Sicherheit einzuhalten und deren Umsetzung regelmäßig nachzuweisen. Konkret:

Setzen Sie auf unsere Unterstützung!

Ihre Sicherheit ist unser Fokus: Seit 18 Jahren vertrauen namhafte Unternehmen auf unsere langjährige und zertifizierte Expertise. Die Sicherheit von Daten und Informationen ist für Unternehmen erfolgskritisch: Daten müssen vertraulich, integer und verfügbar sein. Die Prävention von ungewolltem Datenabfluss – sei es durch Wirtschaftsspionage oder Anwendungsfehler –, Datenmanipulationen, die größtenteils unbemerkt ablaufen, sowie daraus entstehende mangelnde Datenverfügbarkeit hat somit höchsten Stellenwert für jedes Unternehmen in nahezu jeder Branche.

Sie suchen Know-how und Expertise, Kundennähe und kompetente Beratung, auf die Anforderungen Ihres Unternehmens zugeschnitten? Möchten Sie bestmöglichst ausgebildet werden hinsichtlich Informationssicherheit nach ISA+, ISO 27001 und auf höchstem Niveau beraten werden und entsprechende Awareness-Maßnahmen ergreifen? Dann sind Sie bei uns genau richtig:

Beratung

Mit mehr als 18 Jahren Erfahrung unterstützen wir Ihren Weg, unter Berücksichtigung des IT-Sicherheitsgesetztes.

Betreuung

Haben Sie Fragen oder Probleme? Gerne stehen Ihnen unsere zertifizierten Experten unterstützend zur Seite.

Prüfung

Wir führen eine Informationssicherheitsanalyse durch, um den aktuellen Reifegrad Ihrer IT-Sicherheit zu ermitteln.

Schulung

Ausbildung zum IT-Sicherheitsbeauftragten. Ausbildung Ihrer IT in ISO 27001-Grundlagen.