IT-Sicherheitsgesetz ist nun in Kraft getreten
Das Gesetz legt sowohl ein vom BSI festgelegtes Mindestniveau an IT-Sicherheit und führt Betreiber sogenannter “kritischer Infrastrukturen” eine Meldepflicht für Sicherheitsvorfälle ein. Bei Zuwiderhandlungen droht ein Bußgeld von bis zu 100.000 Euro.
Das “Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme”, auch als IT-Sicherheitsgesetz bekannt, das der Bundestag Mitte Juni verabschiedet hat wurde, nun im Bundesgesetzblatt veröffentlicht (PDF) und ist mit Wirkung zum 25. Juli in Kraft getreten. Es schreibt Mindeststandards für die IT-Sicherheit sowie eine Meldepflicht von Sicherheitsvorfällen für Betreiber sogenannter “kritischer Infrastrukturen” vor.
Die neuen Bestimmungen gelten für Einrichtungen, “die für das Funktionieren des Gemeinwesens von zentraler Bedeutung sind”. Dazu zählt der Gesetzgeber Banken, Krankenhäuser, Energieunternehmen die Wasserversorger, Telekommunikationsunternehmen sowie das Finanz- und Versicherungswesen. Alles in allem sind nun etwa 2000 Unternehmen verpflichtet, Angriffe auf ihre IT-Systeme unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Zudem müssen sie ein vom BSI festgelegtes Mindestniveau an IT-Sicherheit einhalten. Bei Zuwiderhandlungen drohen bis zu 100.000 Euro Bußgeld.
Das IT-Sicherheitsgesetz erweitert auch die Kompetenzen des BSI sowie der Bundesnetzagentur und die Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich der Computerkriminalität. “Mit der zunehmenden digitalen Durchdringung unseres Lebens wird Cybersicherheit immer mehr zu einem zentralen Baustein der inneren Sicherheit in unserem Land. Unser Ziel ist es daher, dass die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit gehören”, erklärte Bundesinnenminister Thomas de Maizière (CDU). Mit dem IT-Sicherheitsgesetz komme man bei der Stärkung derIT-Systeme einen wichtigen Schritt voran.
Schon früh stieß das geplante IT-Sicherheitsgesetz auf Kritik seitens der Opposition und der Internetwirtschaft. Einigen geht es nicht weit genug, andere beklagen beispielsweise zusätzliche Bürokratie und Rechtsunsicherheit. Der Verband der deutschen Internetwirtschaft e.V. (eco) hatte mehrfachn gefordert, der Schwerpunkt müsse eindeutig auf Versorgungsdienstleistungen und den Betreibern kritischer Infrastrukturen liegen. Die weitere Belastung von Internet- und Telekommunikationsunternehmen lehnte er ab.
Der Bitkom sieht vor allem die im IT-Sicherheitsgesetz vorgesehenen Bußgelder kritisch. Untem Strich überwiegen für den Bitkom jedoch die Vorteile. “Die Betreiber kritischer Infrastrukturen werden in die Pflicht genommen, den Schutz vor Cyberangriffen zu erhöhen und ihre IT-Sicherheitsmaßnahmen auf dem neuesten Stand zu halten”, so Bitkom-Sicherheitsexperte Marc Bachmann anlässlich der Verabschiedung des Gesetzes im Bundestag. Das Schutzniveau der Wirtschaft insgesamt könne sich dadurch mittelfristig erhöhen.
Anderen, zum Beispiel der Zurich Versicherung, geht die Meldepflicht des IT-Sicherheitsgesetzes dagegen nicht weit genug. “Wir brauchen ein erhöhtes Risikobewusstsein bei den Unternehmen und einen gewissen Standard, an dem sie sich orientieren können”, so Zurich-Sprecherin Miriam Marx. “Das Gesetz sollte daher auf den gesamten Mittelstand ausgeweitet werden, um das Risikobewusstsein zu erhöhen. Den Fokus nur auf ‘kritische’ Branchen zu setzen, reicht längst nicht aus.” Aber auch sie wünscht sich, dass klar definiert wird, was denn nun “kritisch” ist und was nicht.
[mit Material von Rainer Schneider, ZDNet.de]
Tipp der Redaktion: Im Zeitalter der Cyberattacken gerät das BSI immer stärker in den Mittelpunkt der öffentlichen Aufmerksamkeit. Doch wie arbeitet das BSI? Ist das Amt vorbereitet, wenn Hacker eine Cyberattacke starten? Hartmut Isselhorst, Leiter der Abteilung Cybersicherheit, erklärt, was im Ernstfall passiert – und ob Firmen und Bürger genug für ihre Sicherheit tun.