IT-Sicherheitsgesetz (KRITIS)

Mit dem IT-Sicherheitsgesetz (IT-SiG) sind Betreiber kommerzieller Webangebote, Telekomminikationsunternehmen und sogenannte Betreiber kritischer Infrastrukturen (KRITIS) in den Sektoren Energie, Wasser, Ernährung, Finanzen, Transport und Verkehr sowie Gesundheit künftig gesetzlich verpflichtet, ein Mindestniveau an IT-Sicherheit einzuhalten.

Wer ist betroffen?

Was der Gesetzgeber im Hinblick auf den Betrieb von kritischen Infrastrukturen erwartet, klärt eine erste Rechtsverordnung, die betroffenen Organisationen in den kritischen Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung definiert.
Anfang 2017 sollen per Änderungsverordnung auch die Anlagen in den Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen identifizierbar werden.
Somit ist der erste Schritt, die Klärung, ob die eigene Organisation oder Teile davon als kritische Infrastruktur gelten.

Sofort handeln?

Umgehend aktiv werden sollten Betreiber kommerzieller Webangebote und Telekommunikationsunternehmen. Sie sollten bewerten, ob die bisher umgesetzten technischen und organisatorischen IT-Sicherheitsmaßnahmen (TOM) und das implementierte Informationssicherheitsmanagementsystem (ISMS) eine angemessene Absicherung nach dem gesetzlich geforderten Stand der Technik gewährleisten.
Dabei sollte analysiert werden, inwiefern sektor- oder branchenspezifische Merkmale bei der Implementierung von Sicherheitsmaßnahmen zu berücksichtigen sind oder ob bereits branchenspezifische Mindeststandards bestehen.
Sanktionen

Kommt es zu einer vorsätzlichen oder fahrlässigen Verletzung der Pflichten, kann das zu einer Geldbuße bis zu 50.000 EUR führen. Das Bußgeld umfasst auch Fälle, wo die umgesetzten Maßnahmen nicht den Stand der Technik berücksichtigen.

Wir unterstützen Sie individuell