MITTELSTAND aktuell IT-Sicherheitsgesetz
ÜBERBLICK ZUM IT-SICHERHEITSGESETZ Hintergrund Am 25.07.2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Zweck des IT-Sicherheitsgesetzes ist die „signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT-Sicherheit) in Deutschland“ und der „Schutz kritischer Infrastrukturen, welche gerade für das Funktionieren des Gemeinwesens zentral sind.“ Inhalt: Verpflichtung, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme zu treffen, unter Berücksichtigung des Standes der Technik. Konkrete Vorfälle müssen dem BSI gemeldet werden. Das Gesetz gilt nur für Betreiber Kritischer Infrastrukturen (KRITIS), dies sind nach § 2 Abs. 10 BSIG Einrichtungen, Anlagen oder Teile aus den Sektoren: Energie (z.B. Stromversorgung), Informationstechnik und Telekommunikation (z.B. Sprachkommunikation), Transport und Verkehr (z.B. Personenverkehr), Gesundheit (z.B. medizinische Versorgung), Wasser (z.B. Trinkwasserversorgung), Ernährung sowie Finanz- und Versicherungswesen (z.B. Kreditpapierhandel), die von hoher Bedeutung (Qualität) für das Funktionieren des Gemeinwesens sind, da Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe (Quantität) oder Gefährdungen für die öffentliche Sicherheit nach sich ziehen. Die Regierung spricht bei den Adressaten von rund 2000 Unternehmen in Deutschland, Kleinstunternehmen (< 10 Beschäftigte und Jahresumsatz < EUR 2 Millionen) sind nicht betroffen.
Aktueller Stand Die genauen Änderungen der einzelnen Gesetze sowie die Festlegung branchenspezifischer Sicherheitsstandards werden im Rahmen von Rechtsverordnungen durch das BMI, das BSI und die betroffenen Ressorts (z.B. BMWi) erarbeitet.
Umsetzung der Schutzmaßnahmen muss innerhalb von 2 Jahren erfolgen, die Nennung einer zentralen Meldestelle für das BSI innerhalb von 6 Monaten nach Inkrafttreten der Rechtsverordnung. Im ersten Quartal 2016 sollen Rechtsverordnungen für die Sektoren Energie, IT und TK, Wasser und Ernährung, Ende 2016 für die Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen erstellt werden. Die Einhaltung der Rechtsverordnungen müssen alle zwei Jahre überprüft werden. Meldungen beim BSI sind kostenpflichtig und gelten für alle Unternehmen, von denen jeweils 500.000 oder mehr Bürger von einer Versorgungsleistung abhängig sind (zusätzlich 700 Unternehmen in Deutschland, Stand Febr. 2016).
Kritische Punkte für den Mittelstand Schutzmaßnahmen im Sinne der Sicherheitsstandards, die durch die Rechtsverordnungen festgelegt werden, müssen auch durch mittelbar betroffene Unternehmen (z.B. Dienstleister von Betreibern kritischer Infrastruktur) durchgeführt werden – dadurch sind aller Voraussicht nach weitaus mehr Unternehmen als die genannten 2000 betroffen u.a. auch der Mittelstand. Aktuell besteht große Rechtsunsicherheit aufgrund der fehlenden Verordnungen. Die Auslegung des Gesetzes ist nicht eindeutig, durch zu viele vage und nicht offiziell definierte Formulierungen z.B. „Stand der Technik, geeignete Maßnahmen“. Finanzieller und bürokratischer Aufwand, hohe Strafen Umsetzung der Meldepflicht öffnet Türen für Verschleierungspolitik. Konkrete Handlungsempfehlungen fehlen. Erfüllung der branchenspezifischen Sicherheitsstandards müssen von KRITISBetreibern alle zwei Jahre durch geeignete Audits, Prüfungen oder Zertifizierung nachgewiesen werden (bisher keine feste Form).
Kontakt: Der BVMW vertritt im Rahmen der Mittelstandsallianz 270.000 kleine und mittlere Unternehmen. Über 300 Repräsentanten haben jährlich rund 700.000 direkte Unternehmerkontakte. Der BVMW organisiert mehr als 2.000 Veranstaltungen pro Jahr.
Bundesverband mittelständische Wirtschaft (BVMW) e. V. Bereich Volkswirtschaft & Politik Leipziger Platz 15, D-10117 Berlin Tel.: +49 (0)30 533206-0, Fax: +49 (0)30 533206-50
[email protected], www.bvmw.de
