IT-Sicherheitsgesetz 2.0
Wie der Gesetzentwurf die Schlagkraft des Bundesamts für Sicherheit in der Informationstechnik (BSI) gegenüber Cyberkriminalität erhöhen soll

Mit fortschreiten der Digitalisierung und zunehmender Vernetzung der Informations- und Kommunikationstechnologie sowohl im privaten als auch im beruflichen Bereich nehmen auch die Fälle von Cyberkriminalität weiterhin zu. Mit nahezu jedem Dritten deutschen Betrieb ist hiervon der deutsche Mittelstand besonders betroffen, was nicht zuletzt auch aus dem aktuellen Lagebild zur Cyberkriminalität des Bundeskriminalamts vom 11. November 2019 hervorgeht.

Betreiber kritischer Infrastrukturen

Als wesentlichen Beitrag zur Gewährleistung der Informationssicherheit hat die Bundesregierung im Jahr 2015 das sog. IT-Sicherheitsgesetz verabschiedet, welches dezidierte Vorgaben für Betreiber kritischer Infrastrukturen (KRITIS), wie sie beispielsweise Energieversorgungsunternehmen, vorsieht. Danach haben die „KRITIS-Betreiber“ besondere organisatorische und technische Vorkehrungen zur Sicherung ihrer Infrastruktur zu treffen und die ordnungsgemäße Erfüllung regelmäßig nachzuweisen.

In diesem Kontext hat das Institut der Wirtschaftsprüfer bereits im Jahr 2018 mit der Verabschiedung des Prüfungsstandards 860 als „lex generalis“ den Weg für einen kriterienbasierten Prüfungsansatz, der neben gesetzlichen oder aufsichtsrechtlichen insbesondere auch branchenspezifische Anforderungen aufgreift, geebnet und sukzessive spezifische Prüfungshinweise ergänzt. Dabei wird die Prüfung kritischer Infrastrukturen
i. S. d. BSI-Kritisverordnung über den Prüfungshinweis 9.860.2 konkretisiert.

Geplante Neufassung des IT-Sicherheitsgesetzen (ITSiG 2.0)

In 2019 hat nun auch das Bundesministerium des Innern, für Bau und Heimat auf die Entwicklung der Cyberkriminalität reagiert und einen Entwurf zur Neufassung des IT-Sicherheitsgesetztes veröffentlicht. Nachdem die erste Fassung politische Kontroversen ausgelöst hat, wurde eine überarbeitete Entwurfsfassung im Mai 2020 veröffentlicht.

Vorgesehen ist insbesondere eine Ausweitung der Kontrollbefugnisse des BSI, zusätzliche Regelungen für Hersteller von IT-Produkten, die Verpflichtung von Telekommunikations- und Telemedienanbietern in Bezug auf Sicherheitsmaßnahmen sowie neue Betreiberpflichten. Letztere greifen dabei sog. Unternehmen im besonderen öffentlichen Interesse auf, die folgende drei Kategorien vorsehen:

  • Rüstungs-, ,Raumfahrt- und IT-Sicherheitsunternehmen
  • Unternehmen von wirtschaftlicher Bedeutung auf Grund ihrer besonderen Wertschöpfung
  • Chemieunternehmen die der Gefahrstoffverordnung unterliegen

Fazit

Insbesondere mit Blick auf den deutschen Mittelstand, der nicht zu Unrecht mit seinem nachhaltigem Handeln und einem beeindruckenden volkswirtschaftlichem Zahlenwerk auch als Motor der deutschen Wirtschaft bezeichnet wird, ist der Informationssicherheit eine zunehmend bedeutsame Rolle zuzusprechen. Verschärfte Regelungen in Bezug auf die IT-Sicherheit sowie den damit verbundenen IT-technischen Erfordernissen sind insoweit nicht von der Hand zu weisen und zwingend im Blick zu behalten.

Ein frühzeitiges und adäquates Handeln zur Sicherstellung der unternehmenseigenen Informationssicherheit sowohl im Dienstleistungs- als auch produzierenden Gewerbe sollte im Zuge der weiteren Ausrichtung der Unternehmensstrategie mit im Fokus stehen, nicht zuletzt um den eigenen Fortbestand entsprechend sicherzustellen.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden