Mehr Sicherheit durch mehr Pflichten, oder?!

Das IT-Sicherheitsgesetz und der Stand der Technik

von - 01.03.2016
Die oben genannten Pflichten lassen nach der Bedeutung des Begriffes „Stand der Technik“ fragen. Das ist ein unbestimmter Rechtsbegriff, den das BSI mit folgender Definition zu fassen sucht: 
 „Was zu einem bestimmten Zeitpunkt Stand der Technik ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards wie DIN oder ISO-Standards oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln. Da sich die notwendigen technischen Maßnahmen je nach konkreter Fallgestaltung unterscheiden können, ist es nicht möglich, den Stand der Technik allgemeingültig und abschließend zu beschreiben.“
Wen treffen welche Pflichten?
In vier Punkten lässt sich zusammenfassen, was auf die Unternehmen mit der Einführung des IT-Sicherheitsgesetzes zukommt:
  • Die Betreiber von Webangeboten müssen ausreichende, dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme ergreifen.
     
  • Die Telekommunikationsunternehmen müssen ihre Systeme ausreichend gegen Cyberangriffe sichern und sie müssen ihre Kunden über mögliche Missbräuche ihrer Anschlüsse informieren.
     
  • Die KRITIS müssen ausreichende und dem Stand der Technik entsprechende Sicherheitsmaßnahmen implementieren und diese alle 4 Jahre evaluieren lassen. Zudem besteht für sie eine Meldepflicht bezüglich erheblicher IT-Sicherheitsvorfälle. Das betrifft zunächst nur die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen. Die Meldepflicht für andere KRITIS (aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung und Finanz- und Versicherungswesen) tritt erst nach Verabschiedung der demnächst folgenden Rechtsverordnung in Kraft.
     
  • Die Befugnisse und Kompetenzen des BSI werden durch das Gesetz erheblich ausgeweitet; das soll eine sachgerechte Auswertung aller gesammelten Unternehmensdaten gewährleisten. Damit avanciert es zur zentralen Melde- und Aufsichtsstelle über IT-Sicherheitsvorfälle. Die gewonnenen Erkenntnisse stellt das BSI allen KRITIS zur Verfügung, damit diese ihre IT angemessen schützen können.
Letztlich werden also keine konkreten technischen Maßnahmen vorgegeben. Damit soll der Gefahr vorgebeugt werden, veraltete Maßnahmen gesetzlich vorzuschreiben. Folglich müssen die Sicherheitsvorkehrungen auf dem Stand der Technik gehalten und, bei Bedarf, kontinuierlich erneuert werden.
Seite
  1. Teil: Mehr Sicherheit durch mehr Pflichten, oder?!
  2. Teil: Das IT-Sicherheitsgesetz und der Stand der Technik
  3. Teil: Verstöße gegen das neue IT-Sicherheitsgesetz
  4. Teil: Prof. Dr. Gerald Spindler im Interview mit com!
Verwandte Themen

Mehr zum Thema