Definitionen Was ist das IT-Sicherheitsgesetz?

Redakteur: Manfred Klein

Das IT-Sicherheitsgesetz (ITSiG) wurde 2015 verabschiedet. Es soll nicht nur die Sicherheit von informations­technischen Systemen erhöhen, sondern auch so genannte kritische Infrastrukturen (KRITIS) auf deutschen Boden besser schützen.

Firma zum Thema

Für den Schutz kritischer IT-Systeme – IT-Sicherheitsgesetz
Für den Schutz kritischer IT-Systeme – IT-Sicherheitsgesetz
(© aga7ta - Fotolia)

Das IT-Sicherheitsgesetz entstand sowohl aus militärischen Überlegungen, als auch auf Grund der Zunahme terroristischer Anschläge. Die tragende Rolle bei der Umsetzung spielt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Betroffen von den Regelungen sind die Betreiber von kritischen Infrastrukturen und digitalen Services, Anbieter von eGovernment- und eHealth-Diensten, Telekommunikationsunternehmen, Suchmaschinen und Cloud-Dienste.

All diese Organisationen werden durch das IT-Sicherheitsgesetz dazu verpflichtet, ein definiertes Minimum an IT-Sicherheit zu gewährleisten und einzuhalten. Dafür sind entsprechende technische wie organisatorische Maßnahmen zu ergreifen und nachzuweisen. So fordert das Gesetz zum Beispiel die Einführung eines Information Security Management Systems und eine Meldepflicht gegenüber dem BSI und allen Kunden der genannten Organisationen bei relevanten Vorfällen.

Inhalte des IT-Sicherheitsgesetzes

Das zuvor bereits bestehende BSI-Gesetz wurde durch das ITSiG um klar umrissende Sicherheitsanforderungen an kritische Infrastrukturen erweitert. Zu diesen kritischen Strukturen zählen Einrichtungen und Anlagen, die von großer Bedeutung für das sichere Funktionieren des Gemeinwesens sind, und bei denen ein Schaden bzw. ein Ausfall zu einer Gefährdung der öffentlichen Sicherheit und zu schwer wiegenden Versorgungsengpässen führen könnte.

Im Einzelnen zählen dazu folgende Sektoren:

  • Energie
  • Telekommunikation
  • Informationstechnik
  • Gesundheit
  • Wasser und Ernährung
  • Verkehr und Transportwesen
  • Finanzen und Versicherungen.

Das IT-Sicherheitsgesetz hat somit auch Auswirkungen auf andere Gesetze, beispielsweise auf das Energiewirtschaftsgesetz. Dieses wurde insoweit geändert, als dass sämtliche Betreiber von Strom- und Gasnetzen der Pflicht unterliegen, den Sicherheitskatalog der Bundesnetzagentur lückenlos umzusetzen und ebenfalls ein Information Security Management System zu implementieren.

Änderungen

Im März 2019 wurde ein Entwurf des Bundesinnenministeriums veröffentlicht – das sogenannte IT-Sicherheitsgesetz 2.0 – in dem ein ganzheitlicher Ansatz zum Thema IT-Sicherheit verfolgt wird. Damit werden die Kompetenzen des BSI ausgebaut, neue Straftatbestände im Rahmen der Cybersicherheit eingeführt sowie ein verbrauchergerechtes IT-Sicherheitskennzeichen für Handelsprodukte geschaffen. Darüber hinaus werden Umsetzungsmaßnahmen und Meldepflichten erweitert, die bei Behörden und Unternehmen wahrscheinlich zu einem deutlichen Mehraufwand an finanziellen Mitteln führen.

(ID:47022246)