Erste Verordnung zum IT-Sicherheitsgesetz veröffentlicht

Keine Entwarnung für Unternehmen

Helmut Brechtken Helmut Brechtken

Am 3. Mai 2016 hat das Bundesministerium des Innern die mit Spannung erwartete erste konkretisierende Rechtsverordnung zum IT-Sicherheitsgesetz veröffentlicht, die sogenannte BSI-KritisV. Auf gespanntes Warten folgte in den meisten Fällen Erleichterung: Nur die größten Unternehmen aus den sogenannten kritischen Branchen („KRITIS“) sind von der Verordnung betroffen und müssen bei Nichterfüllung mit hohen Bußgeldern rechnen. Doch können sich alle anderen Unternehmen jetzt entspannt zurücklehnen?

Die Verordnung regelt für die Branchen Energie, Wasser, IT, Telekommunikation und Ernährung Details zur Gültigkeit und zum Umfang für die KRITIS. So werden zum einen die kritischen Dienstleistungen und Bereiche der genannten Branchen klar abgegrenzt, zum anderen Schwellenwerte festgelegt, ab denen das IT-Sicherheitsgesetz zur Anwendung kommt. Als untere Grenze für die Anwendung wurde eine Zahl von 500.000 betroffenen Personen festgelegt. Für Energieversorger ergibt sich hieraus, errechnet aus dem Durchschnittsverbrauch, eine Nettonennleistung von 420 Megawatt pro Jahr als Schwellenwert. Auch für andere KRITIS-Branchen werden in der Rechtsverordnung Schwellenwerte exemplarisch berechnet.

Die Rechtsverordnung gibt den betroffenen Unternehmen für die Erfüllung der gesetzlichen Fristen sechs Monate Zeit. Das bedeutet: Bis zum 4. November 2016 müssen alle betroffenen Unternehmen eine 24/7-Kontaktstelle für die Kommunikation (im Wesentlichen mit dem Bundesamt für Sicherheit in der Informationstechnik – BSI) einrichten und benennen. Wer die Anforderungen nicht erfüllt, dem drohen Bußgelder von bis zu 100.000 Euro. Dies gilt auch bei einer verspäteten sowie einer inhaltlich oder formal inkorrekten Meldung.

Praxishinweis

Unternehmen sollten also jetzt unbedingt prüfen, ob sie vom IT-Sicherheitsgesetz betroffen sind, und die Anpassung ihrer internen Sicherheitsstandards, IT-Prozesse und Systeme in Angriff nehmen. Zudem läuft seit dem 4. Mai 2016 eine Frist von zwei Jahren sowohl zur Etablierung des branchenspezifischen Sicherheitsniveaus als auch zur Überprüfung desselben durch einen Audit. Dies ist für Unternehmen, die hier noch nicht aktiv geworden sind, eine ambitionierte Zeitvorgabe.

Wir beraten Sie bei den einzelnen Schritten bis zum Ziel: von der Risikoanalyse über die Prüfung der IT-Organisation, der IT-Prozesse und -Systeme bis zum „Penetrationstest“ und IT-Awareness-Trainings. Auch die Einführung von IT-Security-Standards begleiten wir bis zur erfolgreichen Zertifizierung. Natürlich bieten wir alternativ auch die Prüfung oder Auditierung des erreichten Sicherheitsniveaus an.

Ausblick

Noch im dritten Quartal 2016 soll die zweite Rechtsverordnung für die KRITIS-Unternehmen in Kraft treten, die nicht bereits von der ersten Verordnung erfasst sind. Für ein entspanntes Zurücklehnen ist es jedoch auch für die Nicht-KRITIS-Branchen und Unternehmen unterhalb der Schwellenwerte zu früh: Es ist damit zu rechnen, dass die Branchenriesen die an sie gestellten Anforderungen im Hinblick auf IT-Sicherheit auch an ihre Partner, Zulieferer und Dienstleister weitergeben werden. Damit erweitert sich der Kreis der indirekt vom IT-Sicherheitsgesetz betroffenen Unternehmen sicher noch deutlich. Für das allgemeine IT-Sicherheitsniveau in den deutschen Unternehmen wäre diese Entwicklung sicherlich ein deutlicher Schritt nach vorn.