19.08.2019 | Vor ungefähr vier Jahren wurde das erste IT-Sicherheitsgesetz verabschiedet und ging am 3. Mai 2016 mit dem „Warenkorb“ der Branchen Energie, Informations-Technik und Telekommunikation, Wasser sowie Ernährung an den Start. Ungefähr zwei Jahre später, am 30.06.2017, kamen in einem zweiten „Warenkorb“ die Branchen Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr dazu.

Die betroffenen Unternehmen hatten jetzt jeweils zwei Jahre Zeit, ihre kritischen Prozesse und Assets, die bestimmte Schwellwerte (Kenngrößen) überschritten, abzusichern und die Umsetzung der vorgeschriebenen Maßnahmen dem BSI nachzuweisen sowie Kontaktschnittstellen zum BSI zu implementieren.

Richtlinien für die vorgeschriebenen Maßnahmen waren entweder die ISO27001, der BSI-Grundschutzkatalog oder ein mit dem BSI vereinbarter Branchenstandard, der sog. B3S-Katalog. B3S steht dabei für Branchenbasierter Sicherheits-Standard zur IT-Sicherheit.

Seit dem 27.03.2019 liegt der Referentenentwurf zum neuen IT-Sicherheitsgesetz 2.0 vor. Dieser ist noch nicht verabschiedet, was aber für 2019 noch erwartet wird. Ab dann haben die betroffenen Unternehmen wieder zwei Jahre Zeit, die notwendigen Maßnahmen umzusetzen und nachzuweisen.

Neu dabei sind die Ausweitung der Befugnisse des BSI auch in das Straf- und das Strafverfahrensrecht und u.a. die voraussichtliche Einführung eines Sicherheitskennzeichens. Veränderungen gibt es auch im Zusammenhang mit dem Schutz kritischer Infrastrukturen. Dies wird einen ähnlichen Ruck durch die Unternehmen geben, wie letztes Jahr die DSGVO.

Gab es im ersten Sicherheitsgesetz noch einen verhältnismäßig „geringen“ Strafrahmen von 100.000 Euro je Verstoß, orientiert sich das IT-SiG 2.0 an den Bußgeldern der DSGVO mit maximalen „Geldbußen von bis zu 20.000.000 Euro oder von bis zu vier Prozent des gesamten, weltweit erzielten jährlichen Unternehmensgruppen-Umsatzes, je nachdem, welcher der Beträge höher ist“.

Wird nur ein geringer Teil davon in IT-Sicherheit investiert, bekommt man schnell eine Win-Win-Situation. IT-Sicherheit erhöht sich, Geschäftsgeheimnisse, Produktionsabläufe und personenbezogene Daten werden geschützt und mögliche Bußgelder sinken, denn ein Ignorieren dieser Compliance-Anforderungen wird teurer.

Neu hinzugekommen sind die Branchen Abfallwirtschaft, Rüstungsindustrie, Kultur und Medien sowie Unternehmen, die von erheblicher volkswirtschaftlicher Bedeutung sind. Da diese Begrifflichkeiten sehr weit gefasst werden können, ist hier die Konkretisierung abzuwarten.

Auch wenn es sich bisher nur um einen Referentenentwurf handelt, der zurzeit noch diskutiert wird, liegt eine Zielvorgabe ziemlich klar auf der Hand. Dies sollten von den Unternehmen bereits jetzt in deren Sicherheitsstrategien berücksichtigt werden.