IT-Sicherheitsgesetz

IT-SIG 2.0 – Fakten und Wünsche

Überarbeitung des IT-Sicherheitsgesetzes

Das IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) ist im Juli 2015 in Kraft getreten. Seither sind Betreiber besonders gefährdeter Infrastrukturen (sogenannter Kritischer Infrastrukturen) verpflichtet, ihre IT-Systeme und -Prozesse nach dem „Stand der Technik“ zu schützen. Welche Unternehmen konkret betroffen sind, legt die BSI-Kritisverordnung fest. Um jedoch der Gefährdungslage weiterhin begegnen zu können, wird das Gesetz von 2015 weiterentwickelt werden. Das überarbeitete IT-SiG 2.0 soll Ende 2019 verabschiedet werden. Hierbei können auch Wünsche und die Klärung von offenen Punkten berücksichtigt werden.

 

IT-SIG 2.0

Derzeit nähern wir uns der Prüfphase des zweiten Korbes Kritische Infrastrukturen. Ende 2019 soll dann das überarbeitete IT SiG 2.0 verabschiedet werden.
Es wird erwartet, dass weitere Sektoren dazukommen werden. Dabei könnten auch die produzierende Großindustrie und Hersteller von Komponenten für kritische Infrastrukturen weiteren Meldepflichten unterworfen werden. Ebenso wird angenommen, dass die Schwellenwerte abgesenkt werden. Voraussichtlich rückt der Mittelstand damit stärker in den Fokus. Unklar ist hierbei noch, ob sich diese Überlegungen auf die reine Meldepflicht oder auch auf die Umsetzung von Sicherheitsmaßnahmen beziehen.

 

Meldepflichten

Die aktuell geltenden Meldepflichten nach §8b BSI-Gesetz werden oft nicht vollumfänglich erfüllt. Viele Unternehmen fürchten drohende Imageschäden und melden daher eher „konservativ“. Auch die enge Verflechtung zwischen dem Bundesamt in der Informationstechnik (BSI) und dem Bundesinnenministerium (BMI) – und damit auch den weiteren Behörden wie dem Bundeskriminalamt und dem Verfassungsschutz – werden kritisch betrachtet. Es ist daher anzunehmen, dass die Meldepflichten angepasst werden, um ein besseres Lagebild zu erhalten. Hierbei formiert sich bereits Widerstand aus der Wirtschaft. Eine weitere Hürde bei der Meldung von Vorfällen war Betreibern zufolge oft die unklare Definition eines Vorfalls. Hierzu hat das BSI eine Webseite mit Erläuterungen zur Meldepflicht eingerichtet. Ziel des BSI war es hierbei, pragmatische Beispiele zu nennen, um die für viele Betreiber unklare Gesetzesdefinition besser zu erläutern.

BSI - MELDEPFLICHT


BSI-Kritisverordnung

Ebenfalls zu erwarten ist eine Anpassung der BSI Kritisverordnung, da sich mehr und mehr Grauzonen abzeichnen, welche klarer abgegrenzt werden sollten. Sektoren, die von Aufsichtsbehörden wie der Bundesnetzagentur und der BaFin betreut werden, unterliegen oft eigenen KRITIS-Anforderungen. Diese sind zumeist viel konkreter als die allgemeinen Anforderungen gemäß BSIG. Wünschenswert wäre hier ein möglichst offener Austausch zwischen den Behörden, um die erworbenen Erfahrungen besser nutzen zu können. Nur so können wir alle davon profitieren und die IT-Landschaft sicherer gestalten. Das Thema bleibt spannend und wird uns noch die nächsten Jahre begleiten. 


Daniel Jedecke
Managing Consultant
HiSolutions AG, Bonn