Teil 1: Das neue IT-Sicherheitsgesetz in Deutschland

Im Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten, das zur Erhöhung der Sicherheit informationstechnischer Systeme beitragen soll. Das Gesetz entstand in Folge der im Juni 2011 beschlossenen Cyber-Sicherheitsstrategie für Deutschland. Webseiten-Betreiber hatten nun 2 Jahre Zeit, ihre Anwendungen an die neuen Regulationen anzupassen.

Im Juni diesen Jahres ist zusätzlich auf europäischer Ebene die Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) beschlossen worden. Diese definiert die Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union. Bis Ende Mai 2018 haben die EU-Mitgliedsstaaten nun Zeit, die Richtlinie in nationales Recht umzuwandeln.

Durch das bereits im Juni 2015 in Kraft getretene IT-Sicherheitsgesetz wurde ein Großteil der zu treffenden Maßnahmen in Deutschland bereits abgedeckt.

Das IT-Sicherheitsgesetz betrifft grundsätzlich alle Webseiten-Betreiber.

Im Rahmen des Gesetzes wurden in erster Linie die Anforderungen für Webseiten verschärft. Grundsätzlich verpflichtet das Gesetz alle Betroffenen dazu, ein Mindestmaß an definierten Sicherheitsaspekten einzuhalten. Hierfür müssen diverse technische und organisatorische Maßnahmen getroffen werden.

Das IT-Sicherheitsgesetz führt die rechtliche Verpflichtung zur Durchführung von Software Updates ein.

Betreiber von Webseiten sind dazu verpflichtet, ihre Systeme stets auf dem neuesten Stand der Technik zu halten und sie regelmäßig auf mögliche Probleme und Sicherheitslücken hin zu warten. Zeitnahe Software-Updates sowie ein rasches Einspielen von Sicherheits- und Wartungspatches sind demnach zukünftig Vorgabe.

Unternehmen werden dazu verpflichtet, ihre Systeme gegen Cyber-Attacken zu schützen.

Betreiber von Webseiten, Webshops und anderen Webanwendungen haben durch das Inkrafttreten der neuen Regelungen diverse Maßnahmen zu treffen, um unerlaubte Zugriffe auf IT-Systeme und Daten zu verhindern und Störungen vorzubeugen.

Bei Nicht-Befolgung der neuen Regelungen drohen Unternehmen hohe Bußgelder.

Ebenfalls neu eingeführt wurde eine Meldepflicht, die die Betreiber digitaler Dienste dazu verpflichtet, jegliche Sicherheitsvorfälle an das Bundesministerium für Sicherheit in der Informationstechnik (BSI) zu melden. Das BSI hingegen verpflichtet sich dazu, alle Betreiber in einem jährlichen Lagebericht über die gemeldeten Vorfälle zu informieren.

Im nächsten Teil verraten wir Ihnen alles über das Thema IT-Compliance: Was versteckt sich hinter dem Begriff und welchen Nutzen können Sie aus einer ausgereiften IT-Compliance in Ihrem Unternehmen ziehen?