16 min Zuletzt auktualisiert: 18.07.2024

IT Sicherheitsgesetz: Rechtliche Aspekte und Auswirkungen

Blog_IT Sicherheitsgesetz- Rechtliche Aspekte und Auswirkungen auf die Geschäftswelt

Mit dem Inkrafttreten des zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT Sicherheitsgesetz 2.0) intensiviert die Bundesregierung ihre Bemühungen, Deutschlands IT-Systeme und digitale Infrastrukturen zu sichern. Das Gesetz erweitert das ursprüngliche IT Sicherheitsgesetz von 2015, welches auch unter IT Sicherheitsgesetz 1.0 (IT-SiG 1.0) bekannt ist. Es konzentriert sich auf die Verbesserung der IT-Sicherheit in Unternehmen, in kritischen Infrastrukturen, in der Bundesverwaltung und für BürgerInnen im Internet. Die Gesetze sind ein zentraler Baustein der Strategie der Bundesregierung, um die digitale Infrastruktur Deutschlands zu stärken. 

Was ist das IT Sicherheitsgesetz 2.0?

Aufgrund der steigenden Anzahl und Komplexität von Cyberangriffen und den damit einhergehenden erhöhten Sicherheitsanforderungen wurde das IT Sicherheitsgesetz 1.0 überarbeitet und das IT Sicherheitsgesetz 2.0 eingeführt. Das Gesetz fordert konkrete Maßnahmen und Schutzvorkehrungen. Darunter die Implementierung geeigneter Sicherheitsmaßnahmen, um unbefugten Zugriff zu verhindern und regelmäßige Sicherheitsüberprüfungen, um den Schutz vor Cyberangriffen zu stärken.

Was sind die Hauptziele des IT Sicherheitsgesetz 2.0?

Zusammengefasst sind die Hauptziele des IT-Sicherheitsgesetz 2.0 die Stärkung der IT-Sicherheit kritischer Infrastrukturen sowie weiterer Unternehmen von öffentlichem Interesse, um potenzielle Angriffsflächen zu minimieren und die Resilienz gegenüber Cyberbedrohungen zu erhöhen. 

Was sind kritische Infrastrukturen?

Die Bundesregierung hat durch das erste IT Sicherheitsgesetz und die nachfolgende KRITIS-Verordnung bestimmte Sektoren von Wirtschaft und Verwaltung, die zum Beispiel besonders starken Schutz vor Ransomware und Cyberangriffen benötigen, adressiert. Laut der Definition des BSI sind kritische Infrastrukturen „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen”. Eine Störung oder ein Ausfall in einer solchen Einrichtung würde schwerwiegende Auswirkungen haben. Zu den kritischen Infrastrukturen im Rahmen des IT Sicherheitsgesetzes gehören insgesamt acht Bereiche:

  • Energie
  • Ernährung
  • Gesundheit
  • Transport und Verkehr
  • Finanz- und Versicherungswesen
  • Internet und Telekommunikation
  • Wasser
  • Siedlungsabfallentsorgung

Erhöhte Sicherheitsanforderungen für BetreiberInnen kritischer Infrastrukturen

BetreiberInnen kritischer Infrastrukturen müssen basierend auf § 8a Abs. 1 des IT Sicherheitsgesetzes angemessene technische und organisatorische Vorkehrungen treffen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme zu verhindern. Dazu gehören unter anderem die Implementierung von Firewalls, Intrusion Detection and Prevention Systemen, die regelmäßige Überwachung und Aktualisierung der Systeme sowie Schulungen und weitere Sensibilisierungsmaßnahmen für Mitarbeitende. Zusätzlich schreibt § 8a des IT Sicherheitsgesetzes vor, dass Sicherheitsaudits durchgeführt werden müssen, um die Wirksamkeit der Sicherheitsmaßnahmen zu bewerten und Schwachstellen zu identifizieren. BetreiberInnen kritischer Infrastrukturen müssen ihre IT-Systeme regelmäßig auf Schwachstellen und Risiken überprüfen und entsprechende Maßnahmen ergreifen.

Die erhöhten Sicherheitsanforderungen sollen die BetreiberInnen dazu motivieren, eine proaktive Sicherheitskultur zu entwickeln und sicherzustellen, dass sie angemessene Schutzmaßnahmen ergreifen, um ihre IT-Systeme vor potenziellen Bedrohungen zu schützen. Laut dem IT Sicherheitsgesetz müssen BetreiberInnen von kritischen Infrastrukturen zudem jedes zweite Jahr  KRITIS-Audits durchführen lassen. Bei der aktuellen Geschwindigkeit der technologischen Entwicklung, vor allem im Bereich Cybersecurity, sind zwei Jahre eine lange Zeitspanne. So wird durch die Teilnahme an KRITIS-Audits sichergestellt, dass die Anforderungen des IT Sicherheitsgesetzes erfüllt werden. Grundsätzlich sind alle WirtschaftsprüferInnen berechtigt, ein solches Audit durchzuführen.  Da aber nicht alle WirtschaftsprüferInnen das fachliche Know-how haben, sollte man vernünftigerweise IT-SpezialistInnen für die Auditierung beauftragen.

Zusätzlich zu BetreiberInnen kritischer Infrastrukturen müssen auch weitere Unternehmen, die im besonderen öffentlichen Interesse stehen, wie zum Beispiel RüstungsherstellerInnen oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung, bestimmte IT-Sicherheitsmaßnahmen umsetzen. Diese Unternehmen werden ebenfalls in den Informationsaustausch mit dem Bundesamt für Sicherheit in der Informationstechnik einbezogen​​.

Stärkung der Rolle des BSI und der Meldepflichten 

Das IT-Sicherheitsgesetz 2.0 erweitert die Verantwortung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und verschärft die Meldepflichten für IT-Sicherheitsvorfälle. BetreiberInnen kritischer Infrastrukturen und Unternehmen, die im besonderen öffentlichen Interesse stehen, sind nun verpflichtet, erhebliche IT-Störungen und Sicherheitsvorfälle dem BSI zu melden. Das BSI fungiert als zentrale Kontaktstelle für diese Meldungen und arbeitet eng mit den betroffenen Unternehmen und Behörden zusammen.

Die Meldepflichten und die gestärkte Rolle des BSI ermöglichen eine effizientere Reaktion auf IT-Sicherheitsvorfälle. Durch die Meldungen kann das BSI schnell auf die Bedrohungslage reagieren, diese analysieren und geeignete Gegenmaßnahmen koordinieren. Dadurch können Schäden begrenzt und die betroffenen Systeme schneller wiederhergestellt werden.

Einführung eines einheitlichen IT-Sicherheitskennzeichens zum Schutz von VerbraucherInnen

Das IT-Sicherheitskennzeichen bietet Herstellern und Dienstleistern in der Informationstechnologie die Möglichkeit, durch eine Selbsterklärung, freiwillig Transparenz zu schaffen und den Verbrauchern zu zeigen, dass ihre Produkte oder Dienste bestimmte Sicherheitsmerkmale aufweisen und relevante IT-Sicherheitsstandards erfüllen.

Dieses Kennzeichen wird vom Bundesamt für Sicherheit in elektronischer Form bereitgestellt. Hersteller und Dienstleister können das Label anschließend auf ihren Geräten, Verpackungen oder Unternehmenswebseiten platzieren.

Auswirkungen des IT Sicherheitsgesetzes 2.0 auf Unternehmen

Mindestanforderungen an Sicherheitsstandards

Das BSI legt Mindeststandards für die Informationstechniksicherheit des Bundes fest. Dies erfolgt in Übereinstimmung mit den jeweiligen Bundesbehörden auf der Grundlage des § 8 Absatz 1 des Bundesgesetzes für die Sicherheit in der Informationstechnik (BSIG). Diese Mindeststandards sind gesetzlich vorgeschrieben und definieren das niedrigste akzeptable Sicherheitsniveau für Informationssysteme.

Die Mindeststandards gelten für:

  • Behörden auf Bundesebene,
  • Rechtliche Einrichtungen des öffentlichen Rechts, einschließlich ihrer Vereinigungen, unabhängig von ihrer Rechtsform, wenn dies von der zuständigen Bundesbehörde angeordnet wird, sowie
  • Öffentliche Unternehmen, die mehrheitlich im Besitz des Bundes sind und IT-Dienstleistungen für die Bundesverwaltung erbringen, wie es im § 8 Absatz 1 Satz 1 des BSIG festgelegt ist.

Strafen und Sanktionen bei Nichtbeachtung

Im § 14 des BSIG wurden neue Bußgeldregelungen eingeführt. Diese betreffen die Nichterbringung von erforderlichen Nachweisen, die Nichterreichbarkeit vorgeschriebener Kontaktstellen und das Verweigern der Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnik. 

Die Bußgelder reichen von 100.000 € bis zu 20 Mio. €. Hier sind einige Beispiele für die Höchstbeträge:

  • Bei Nichteinhaltung einer Anordnung des BSI zur Behebung von Sicherheitsmängeln: bis zu 20 Mio. €;
  • Wenn Nachweise nicht erbracht werden: bis zu 10 Mio. €;
  • Wenn die erforderlichen Sicherheitsmaßnahmen gemäß § 8a Absatz 1 des BSIG nicht umgesetzt werden: bis zu 10 Mio. €;
  • Bei Nichtregistrierung: bis zu 500.000 €;
  • Bei Nichtmeldung von Sicherheitsvorfällen: bis zu 500.000 € und
  • Bei Nichterreichbarkeit der vorgeschriebenen Kontaktstelle: bis zu 100.000 €.

Auswirkungen im Bereich Datenschutz

Auch der Datenschutz in Unternehmen wird vom IT Sicherheitsgesetz 2.0 beeinflusst. Das Gesetz legt großen Wert auf angemessene IT-Sicherheitsmaßnahmen, um personenbezogene Daten zu schützen. Unternehmen müssen sicherstellen, dass ihre IT-Sicherheitsstrategien die Datenschutzvorschriften einhalten und vor unbefugtem Zugriff, Datenverlust oder Missbrauch schützen. Das BSI hat nun die Befugnis, Protokolldaten, die bei der Nutzung von Bundeskommunikationstechnik anfallen, bis zu 18 Monate lang zu speichern. Dies betrifft Informationen, die während der Kommunikation zwischen BürgerInnen und Behörden entstehen. Diese erweiterte Datenspeicherung ermöglicht es dem BSI, Sicherheitsrisiken genauer zu überwachen und auf Bedrohungen effektiver zu reagieren.

Außerdem kann das BSI Informationen, einschließlich persönlicher Daten, von BetreiberInnen kritischer Infrastrukturen anfordern, wenn es Störungen gibt. Dies gibt dem BSI die Möglichkeit, schnell zu handeln und geeignete Maßnahmen zur Problembehebung zu ergreifen. Das Hauptziel des Gesetzes ist es, Datenschutz als integralen Bestandteil der Informationssicherheit zu etablieren und Unternehmen bei der Umsetzung angemessener Datenschutzmaßnahmen zu unterstützen. Gleichzeitig erhält das BSI erweiterte Befugnisse zur Datenspeicherung und Informationsanforderung, um seinen Verpflichtungen nachzukommen.

Effekte auf Geschäftspraktiken

Das IT Sicherheitsgesetz 2.0 hat einen erheblichen Einfluss auf die IT-Sicherheitsstrategie und Geschäftspraktiken von Unternehmen. Die Sicherheit und der Schutz kritischer Infrastrukturen müssen nun höchste Priorität haben. Unternehmen müssen ihre Sicherheitsmaßnahmen überprüfen und gegebenenfalls anpassen, um den verschärften Anforderungen gerecht zu werden. Dies erfordert die Integration wirksamer Sicherheitslösungen, regelmäßige Systemaktualisierungen und vor allem Schulungen und die nachhaltige Sensibilisierung der Mitarbeitenden zu Sicherheitsthemen. Darüber hinaus müssen Unternehmen ihre Datenschutz- und Compliance-Richtlinien überarbeiten, um den rechtlichen Anforderungen des IT Sicherheitsgesetzes 2.0 gerecht zu werden. Verstöße gegen diese Vorschriften können mit erheblichen Geldbußen von bis zu 20.000.000 EUR oder 4 % des weltweiten Unternehmensumsatzes geahndet werden.

Warum ist IT-Sicherheit für alle Unternehmen wichtig, nicht nur für kritische Infrastrukturen?

IT-Sicherheit ist von entscheidender Bedeutung für alle Unternehmen, unabhängig von ihrer Größe oder Branche. Sie schützt vor Cyberangriffen, bewahrt sensible Daten, gewährleistet die Betriebskontinuität und hilft, gesetzlichen Anforderungen gerecht zu werden. Unternehmen, die in IT-Sicherheit investieren, können nicht nur ihre Reputation schützen, sondern auch einen Wettbewerbsvorteil erlangen. Da Cyberkriminelle keine Unterschiede machen, ist die Gewährleistung der IT-Sicherheit ein unabdingbarer Aspekt der modernen Unternehmensführung und schützt nicht nur das Unternehmen selbst, sondern auch seine KundInnen, GeschäftspartnerInnen und die Gesellschaft vor den verheerenden Auswirkungen von Cyberangriffen.

Tipps zur Implementierung des IT Sicherheitsgesetzes

Die erfolgreiche Implementierung des IT Sicherheitsgesetzes erfordert eine Reihe konkreter Maßnahmen. Im Folgenden finden Sie Tipps, wie Sie die Vorgaben des Gesetzes effektiv umsetzen können, um die Sicherheit Ihrer IT-Systeme zu gewährleisten:

  • Benennen Sie eine(n) IT-Sicherheitsbeauftragten, der/die für die Umsetzung und Überwachung der IT-Sicherheitsmaßnahmen in Ihrer Organisation verantwortlich ist.
  • Schützen Sie kritische IT-Systeme und -Infrastrukturen vor Angriffen, indem Sie Sicherheitsmaßnahmen wie Firewalls, Intrusion Detection Systems und regelmäßige Sicherheitsupdates implementieren.
  • Richten Sie Zugriffskontrollen ein und verwalten Sie die Berechtigungen sorgfältig, um sicherzustellen, dass Mitarbeitende nur auf die für ihre Aufgaben erforderlichen Daten und Systeme zugreifen können.
  • Schulen Sie Ihre Mitarbeitenden regelmäßig zur Stärkung Ihrer IT-Sicherheit und für den Umgang mit Sicherheitsvorfällen.
  • Entwickeln Sie Notfallwiederherstellungpläne und sichern Sie Daten regelmäßig, um die schnelle Wiederherstellung von IT-Systemen nach einem Sicherheitsvorfall sicherzustellen.
  • Implementieren Sie klare Sicherheitsrichtlinien und -verfahren, die von allen Mitarbeitenden befolgt werden müssen, darunter sichere Passwörter, Software-Aktualisierungen und die Meldung von Sicherheitsvorfällen.
  • Planen Sie regelmäßige Sicherheitsaudits und Überprüfungen, um sicherzustellen, dass Ihre Sicherheitsmaßnahmen den gesetzlichen Anforderungen entsprechen und wirksam sind.

Die Rolle von Mitarbeiterschulungen und Weiterbildung

In der heutigen digitalen Welt sind Cyber-Sicherheitsverletzungen bedauerlicherweise zur Regel geworden, und sie werden oft durch menschliches Versagen begünstigt, was Angriffserkennung umso wichtiger macht. Das Bundesamt für Sicherheit in der Informationstechnik unterstreicht die Bedeutung regelmäßiger Schulungen für die Belegschaft. In diesem Kontext bieten Lernprogramme und Schulungen eine Möglichkeit, Mitarbeitende von potenziellen Risikofaktoren zu wertvollen VerteidigerInnen der IT-Sicherheit Ihres Unternehmens zu transformieren. Solche Schulungen fördern eine langanhaltende Sicherheitskultur und tragen dazu bei, dass Teammitglieder zu wichtigen Schutzschilden gegenüber den ständig präsenten Cyberbedrohungen werden. Die Investition in die IT-Sicherheit eines Unternehmens ist entscheidend, um die IT-Infrastruktur zu schützen und die Sicherheit von Daten zu gewährleisten.

Folgt ein IT-SiG 3.0?

Seit geraumer Zeit kursieren Spekulationen über die Erweiterung des IT Sicherheitsgesetzes zu einem “IT-SiG 3.0”. Es ist vorhersehbar, dass es durch die Umsetzung der NIS 2-Richtlinie zu maßgeblichen Anpassungen in der deutschen Gesetzgebung im Bereich der Cybersicherheit kommen wird. Der Anwendungsbereich soll neu gestaltet und der Adressatenkreis deutlich erweitert werden. In Zukunft müssen alle mittelständischen und großen Unternehmen in den von dem IT-SiG 3.0 genannten Branchen Cybersicherheitsverpflichtungen erfüllen. Nur Kleinst- und kleine Unternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz oder einer Jahresbilanz von nicht mehr als 10 Mio. Euro sollen von der Anwendung ausgenommen werden. Es wird angenommen, dass mindestens 30.000 weitere Unternehmen erfasst werden sollen.

In Zukunft soll es im Wesentlichen eine Unterscheidung zwischen den BetreiberInnen von kritischen Anlagen (früher kritische Infrastrukturen), besonders wichtigen Einrichtungen (früher wichtige Einrichtungen gemäß der NIS 2-Richtlinie) und wichtigen Einrichtungen geben. Die AdressatInnen haben wichtige Aufgaben gemäß den §§ 30 ff. BSIG, wie z. B. die Implementierung von Risikomanagementmaßnahmen und eine ständige Bereitstellung von Nachweisen, die Meldung von Cybersicherheitsvorfällen, die Registrierung der BetreiberInnen beim BSI und teilweise die Unterrichtung von Cyberangriffen betroffenen eigenen KundInnen. Je nachdem, ob es sich um eine kritische Einrichtung, eine besonders wichtige Einrichtung oder eine wichtige Einrichtung handelt, wird die Implementierung von Risikomanagementmaßnahmen innerhalb der Pflichten eingestuft. Nur BetreiberInnen von kritischen Anlagen sind verpflichtet, Systeme zur Angriffserkennung einzusetzen. Es ist möglich, dass die Bußgelder bis zu 20 Millionen Euro betragen. Einige Bußgelder werden je nach Betreiber von kritischen Anlagen, besonders wichtigen oder bedeutenden Einrichtungen abgestuft.

Fazit

Insgesamt hat das IT Sicherheitsgesetz 2.0 erhebliche Auswirkungen auf Unternehmen und deren IT-Sicherheit. Die Einhaltung strenger Sicherheitsstandards und der Schutz wichtiger Infrastrukturen erfordern einen verstärkten Fokus. Um den Anforderungen des Gesetzes gerecht zu werden, müssen Unternehmen ihre IT-Sicherheitsstrategien überprüfen, geeignete Maßnahmen ergreifen und Mitarbeitende ständig auf dem aktuellen Stand der Dinge halten, da nicht nur der Bereich IT-Sicherheit, sondern auch Datenschutz als kritische Felder tangiert werden.

Um ihr Unternehmen vor Risiken und Verstößen gegen geltenden IT-Sicherheits- sowie vor Datenschutzvorschriften und damit verbundenen Geldbußen oder Schadensersatzforderungen zu schützen, müssen ihre Mitarbeitenden kontinuierlich für einen verantwortungsvollen Umgang mit personenbezogenen Daten sowie im Umgang mit gängigen IT-Sicherheitsrisiken sensibilisiert und regelmäßig geschult werden.

E-Learning für mehr IT-Sicherheit im Unternehmen

Die Zahl der Cyberangriffe auf Unternehmen steigt täglich. Deshalb empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine regelmäßige Schulung der Belegschaft. Starten Sie gleich jetzt damit und stärken Sie ihre menschliche Firewall.

Unsere Auszeichnungen

Comenius-Siegel-2024 DBA Siegel

Unsere Partner


lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.6345575261236 von 5 Sternen 2634 Bewertungen auf ProvenExpert.com