Notice: Trying to get property of non-object in /var/www/html/assets/plugins/polylang/include/links.php on line 48

Notice: Trying to get property of non-object in /var/www/html/assets/plugins/polylang/include/links.php on line 52

Notice: Trying to get property of non-object in /var/www/html/assets/plugins/polylang/include/links.php on line 52

Notice: Trying to get property of non-object in /var/www/html/assets/plugins/polylang/include/links.php on line 57

IT-Sicherheitsgesetz

Am 25. Juli 2015 ist das IT-Sicherheitsgesetz als Artikelgesetz in Kraft getreten.
Es enthält insgesamt 11 Artikel, die 8 Gesetze verändern.

Wer ist betroffen?

  • KRITIS – Ein großer Teil des IT-Sicherheitsgesetzes betrifft ausschließlich Kritische Infrastrukturen (KRITIS).
    Diese umfassen Unternehmen aus den Branchen: Energie, Transport und Verkehr, Informationstechnik und Telekommunikation, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, sowie Regierung und Verwaltung.
  • Telemediendienstanbieter – Außerdem ändert das IT-Sicherheitsgesetz unter anderem das Telemediengesetz (TMG), sodass auch alle Betreiber gewerblicher Telemedien (= Telemediendienstanbieter, alle Unternehmen mit Webseiten oder eigenen Apps, die Internet voraussetzen etc.) betroffen sind.
  • Beispiele dafür sind: Unternehmenswebseiten, Webseiten die Einnahmen durch Werbung generieren (auch von Privatpersonen und Vereinen!), Onlineshops (im WWW, über App, …) und viele mehr.

Was wird gefordert?

Betroffene Unternehmen müssen
“… technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern”.
Darüber hinaus fordert das Gesetz den Nachweis z.B. durch Audits und Zertifikate der ergriffenen Maßnahmen.

Der Stand der Technik:

Da sich die Welt der Informationstechnik schneller verändert, als Gesetze erlassen werden können, fordert das IT-Sicherheitsgesetz allgemein
“Maßnahmen nach dem Stand der Technik.” Der aktuelle Stand der Technik lässt sich in “existierender nationaler oder internationaler Standards wie DIN oder ISO-Standards oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich” finden. Um die schon vorhandenen Standards (z.B. ISO 27000 Familie) für die Anforderungen an die Kritischen Infrastrukturen zu konkretisieren und zu ergänzen, sollen branchenspezifische Mindeststandards durch die Branchenverbände entwickelt und vom BSI abgenommen werden.

Weitere Anforderungen an Telekommunikationsunternehmen:

  • Erhebung von Bestands- und Verkehrsdaten im Rahmen von Sicherheitsaktivitäten wird erlaubt
  • Überprüfung durch die Bundesnetzagentur (mind. alle 2 Jahre)
  • Bei Störungen Nutzer informieren und auf technische Hilfsmittel zur Erkennung und Behebung der Störung hinweisen

Weitere Anforderungen an Unternehmen Kritischer Infrastrukturen:

  • Branchenspezifische Mindeststandards für die IT-Sicherheit
  • Informationssicherheits-Managementsystem (ISMS) – z.B. ISO 27001
  • Meldepflicht gegenüber Kunden und BSI
  • Melde- und Alarmierungskontakte für BSI und andere öffentliche Institutionen
  • Alle 2 Jahre: Nachweis der Sicherheit in Form von Penetrationstests/Sicherheitsaudits, Prüfungen oder Zertifizierungen

Betreiber Kritischer Infrastrukturen können natürlich gleichzeitig Telemediendienstanbieter sein!

Branchenspezifische Mindeststandards

Die Branchen werden dazu verpflichtet, bestimmte Sicherheitsstandards für IT-Sicherheit auszuarbeiten. Bisher wurde von der Bundesnetzagentur der IT-Sicherheitskatalog erstellt. Dieser gilt für Netzbetreiber und fordert die Einführung eines Informationssicherheits-Managementsystems (ISMS) sowie den Nachweis der Umsetzung und Effektivität des ISMS durch ein Zertifikat gemäß ISO/IEC 27001. Darüber hinaus existieren derzeit keine branchenspezifischen Standards.
Wir informieren Sie hier, sobald neue rechtskräftige branchenspezifische Mindeststandards veröffentlicht werden.

Anforderungen an Betreiber gewerblicher Webseiten (Telemediengesetz)

Unternehmen, die eine Webseite betreiben, müssen (soweit dies technisch möglich und wirtschaftlich zumutbar ist) technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um
Schutz vor unerlaubtem Zugriff auf technische Einrichtungen, Schutz personenbezogener Daten, sowie Schutz vor Störungen, auch durch äußere Angriffe zu gewährleisten.

Für kleine und mittlere Unternehmen, die als Webseitenbetreiber von dem Telemediengesetz betroffen sind, bietet als (technisch möglich und wirtschaftlich zumutbare) Maßnahme speziell auf die Anforderungen des IT-Sicherheitsgesetzes zugeschnittenen Quick-Check an.

Paket Webpräsenz
Paket Webshop