IT-Sicherheitsgesetz passiert den Bundesrat: QSC hilft Unternehmen bei der Umsetzung
Das neue IT-Sicherheitsgesetz kommt: Am 10. Juli hat der Bundesrat der Vorlage des Parlaments vom Juni 2015 zugestimmt. Das IT-Sicherheitsgesetz (IT-SiG) tritt damit in Kraft, sobald es Bundespräsident Joachim Gauck unterzeichnet hat und der Text im Bundesgesetzblatt veröffentlicht wird. Die QSC AG unterstützt ihre Kunden bei der Einführung und Fortführung eines so genannten Informationssicherheits-Managementssystems.
Das IT-SiG fordert von Betreibern kritischer Infrastrukturen (KRITIS) spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung die Einhaltung eines branchenspezifischen Mindeststandards an IT-Sicherheit.
Zu diesen kritischen Infrastrukturen zählen die folgenden Sektoren:
• Information- und Telekommunikation,
• Transport und Verkehr
• Energieversorgung
• Ernährung
• Finanz- und Versicherungswesen
• Gesundheit
• Medien und Kultur
• Staat und Verwaltung
• Wasser
Die umzusetzenden Mindeststandards orientieren sich an der internationalen Normenreihe 2700x und werden um branchenspezifische Anforderungen ergänzt. Dies bedeutet als Basis die Einführung eines Informationssicherheits-Managementssystems (ISMS, engl. Information Security Management System) wie in der ISO/IEC 27001 beschrieben.
Die Erfüllung der Mindestanforderungen ist im Zwei-Jahres-Rhythmus nachzuweisen. Weiterhin fordert das IT-SiG eine Meldepflicht für IT-Sicherheitsvorfälle in kritischen Infrastrukturen und die Einrichtung einer Kontaktstelle für die Störungsmeldungen spätestens sechs Monate nach Erlass der Verordnung. Im letzten Gesetzesentwurf wurden außerdem Bußgelder definiert.
Wie sollten Betreiber kritischer Infrastrukturen nun vorgehen?
Zunächst sollten betroffene Unternehmen eine genaue Analyse durchführen, um so festzustellen, welche konkreten Anforderungen sie erfüllen müssen und welche hiervon ggf. bereits erfüllt oder teilweise erfüllt werden. Darauf basierend sollten alle weiteren Maßnahmen geplant werden.
Um den gesetzlichen Anforderungen gerecht zu werden und die Durchführung von Informationssicherheitsmaßnahmen koordinieren, überprüfen, bewerten und verbessern zu können, muss eine ISMS im Unternehmen etabliert werden. Zwar ist eine solche Einführung mit ca. 1.5 Jahren Umsetzungszeit recht aufwändig, jedoch bietet es auch unabhängig von gesetzlichen Forderungen viele Vorteile für das Unternehmen. Ein ISMS verbessert die Verfügbarkeit von IT-Systemen und Prozessen und verringert somit die Risiken in der Informationsverarbeitung. Letztlich fördert eine nachweisbare Informationssicherheit (ISO 27001 Zertifikat) auch Vertrauen bei Kunden und Kooperationspartnern.
Die Einführung eines ISMS benötigt Zeit und Know-how
Das IT-SiG wird noch diesen Sommer als Rechtverordnung erlassen. Damit beginnt die Zwei-Jahres-Frist zur Umsetzung der Mindeststandards.
Dabei sind sich die Experten einig: die Einführung eines ISMS dauert je nach Unternehmensgröße und –zielen ca. ein bis zwei Jahre. Damit ist der Zeitrahmen eng, um den gesetzlichen Forderungen nachzukommen. Verfügt ein Unternehmen nicht ad hoc über entsprechende Ressourcen und Know-how, so muss auch die Zeit für die (Be)schaffung dieser mit einkalkuliert werden.
Zeitgleich werden außerdem mindestens 2000 Unternehmen vor derselben Aufgabe stehen, ein ISMS etablieren zu müssen, so dass mit einem Ansturm auf externe Berater sowie mit zunehmendem Zeitdruck auch auf damit verbundene Preissteigerungen zu rechnen ist. Zu langes Warten erhöht in diesem Fall also nicht nur das Risiko von Strafzahlungen aufgrund nicht fristgerechter Umsetzung, sondern auch das Risiko vermeidbarer höherer Kosten.
Der ISMS Service der QSC AG unterstützt Kunden bei der Einführung und Fortführung eines ISMS
Im Zuge der wachsenden Bedeutung von IT-Sicherheit bietet die QSC AG bereits seit einiger Zeit einen ISMS Service an und erweitert damit die ganzheitliche Betreuung ihrer Kunden. Dieser ISMS Service bietet verschiedene aufeinander aufbauende Servicevarianten und individuelle Einstiegsmöglichkeiten.
(Ergänzung 11.12.2015:)
Inzwischen sind weiterführende Blog-Beiträge zu diesem Thema erschienen: