12.10.2015 Das IT-Sicherheitsgesetz schafft einen verlässlichen Rahmen

Das am 25. Juli 2015 in Kraft getretene IT-Sicherheitsgesetz soll verbindliche Mindestanforderungen an die IT-Sicherheit für die kritischen Infrastrukturen durchsetzen, flankiert durch eine Verpflichtung zur Meldung erheblicher IT-Sicherheitsvorfälle. Das Gesetz steht im Spannungsfeld grundlegender Fragen im Bereich der Cyber-Sicherheit:

  • Wie viel Regulierung durch den Staat brauchen wir?
  • Wie viel Selbstregulierung wollen wir dem Markt überlassen?

Hier hat die Erfahrung der letzten Jahre gezeigt, dass ein rein freiwilliger Ansatz nicht immer zum nötigen Engagement in der Wirtschaft führt und nicht flächendeckend bzw. in allen sicherheitsrelevanten Bereichen wirkt. Durch die gesetzlichen Vorgaben soll nun das IT-Sicherheitsniveau der Betreiber Kritischer Infrastrukturen (KRITIS) und damit die Netzsicherheit erhöhen. Aus unserer Sicht ermöglicht die nun realisierte Meldepflicht IT-sicherheitsrelevanter Vorfälle verbesserte Lagebilder. Als nationale Sicherheitsbehörde begrüßt das BSI dieses Gesetz darum ausdrücklich.

Neue Aufgaben für das BSI

Die Rolle des BSI als zentrale Stelle für Belange der IT-Sicherheit für die Wirtschaft, insbesondere im TK- und EnWG-Bereich, wird durch das Gesetz gestärkt. Damit wird die bereits heute bestehende Erwartungshaltung der Wirtschaft an die Rolle des BSI auch gesetzlich nachvollzogen. Mit der Übertragung von mehr Verantwortung auf das BSI durch Erweiterung der bisherigen operativen Aufgaben wächst aber auch die Verpflichtung des BSI, dieser Verantwortung gerecht zu werden und bei Bedarf rasch praxistaugliche Empfehlungen anzubieten. Dies gilt vor allem auch für die Aufgabe, IT-Produkte und Software zur Unterstützung der KRITIS-Betreiber auf Sicherheitslücken zu untersuchen. Hier werden wir schon aus Ressourcengründen in erster Linie Produkte untersuchen, die für die Sicherheit der KRITIS-Betreiber besonders relevant sind. Das können z.B. Kryptogeräte, Router oder Virtualisierungssysteme sein.

Contact Picture

Michael Hange

Präsident des Bundesamtes für Sicherheit in der Informationstechnik

Zitat

„Ich bin davon überzeugt, dass sich die Herausforderungen der IT-Sicherheit auch in Zukunft nur kooperativ lösen lassen. Cybersicherheit entsteht durch das Zusammenwirken aller Akteure. “

Michael Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik

Breite Kooperation bleibt wichtig

Ich bin davon überzeugt, dass sich die Herausforderungen der IT-Sicherheit auch in Zukunft nur kooperativ lösen lassen. Cybersicherheit entsteht durch das Zusammenwirken aller Akteure. Durch das Gesetz werden der UP KRITIS und die Allianz für Cyber-Sicherheit darum nicht überflüssig, schon allein aufgrund der Anzahl an Unternehmen: Vom Gesetz betroffen sind etwa. 500 bis 2.000 Unternehmen. Es gibt in Deutschland jedoch rund 3,5 Millionen Unternehmen. Eine enge Zusammenarbeit mit allen Akteuren der IT- und Internetbranche auf dem Gebiet der IT-Sicherheit ist daher ein prioritäres Anliegen des BSI.

Was tut das BSI?

Das BSI wird auch in Zukunft eine zivile, auf Prävention ausgerichtete Fachbehörde sein. Wir werden organisatorische Anpassungen vornehmen: die für Cyber-Sicherheit zuständige Abteilung C wird umstrukturiert und noch besser auf die neuen Aufgabengebieten ausgerichtet. 50 Stellen, die für 2016 bewilligt wurden, werden zügig besetzt werden. Die Meldungsstruktur im BSI ist aber schon heute aufgebaut und einsatzbereit. Hier können wir auf Erfahrungen zurückgreifen, die wir mit der Bundesverwaltung gewonnen haben, in der es bereits seit langem eine Meldepflicht für IT-Sicherheitsvorfälle gibt.

Nächste Schritte

Diese Meldepflicht betrifft zunächst nur die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen, eine Meldepflicht für andere KRITIS-Betreiber tritt erst nach Verabschiedung der noch zu erstellenden Rechtsverordnung in Kraft. Der Zeitplan des Bundesinnenministeriums für diese Rechtsverordnung sieht ein Inkrafttreten für vier der sieben Sektoren (IKT, Energie, Wasser, Ernährung) im 1. Quartal 2016 und für die übrigen drei Sektoren (Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen) bis Ende 2016 vor.

Ab dem Inkrafttreten der Verordnung haben betroffene Unternehmen dann zwei Jahre Zeit, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern und – sofern nicht andere Spezialregelungen bestehen – diese Sicherheit mindestens alle zwei Jahre überprüfen zu lassen. Binnen sechs Montane müssen sie zudem dem BSI eine Kontaktstelle für Vorfallsmeldungen benennen.

Diesen Beitrag teilen

Ihr Kommentar

Ihr Kommentar

* = Pflichtfelder

Der Inhalt dieses Feldes wird nicht öffentlich angezeigt

Diese Frage hat den Zweck zu testen, ob sie ein menschlicher Benutzer sind und um automatischem Spam vorzubeugen.

Captcha

Bitte geben Sie alle Zeichen ein.

 

Contact Picture

Michael Hange

Präsident des Bundesamtes für Sicherheit in der Informationstechnik