Deutlich weniger Unternehmen als anfangs vorhergesagt, sind von dem im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz (ITSG) betroffen. Sven Steinert, Experte für Informationssicherheit und Datenschutz bei AirITSystems, im Kommentar, warum Unternehmen mit kühlem Kopf an die Sache herangehen sollten.
Als im vergangenen Jahr die Bundesregierung das IT-Sicherheitsgesetz beschloss, schlug die Neuigkeit landesweit große Wellen. Dass der Gesetzesentwurf nicht klar definierte, welche Unternehmen tatsächlich als Betreiber kritischer Infrastrukturen (KRITIS) gelten, verunsicherte viele. Dazu trugen maßgeblich auch die angedrohten Bußgelder bei, die zukünftig bei nicht ausreichenden Schutzmaßnahmen fällig werden. Nicht wenige Unternehmen ergriffen daraufhin Hals über Kopf mehr oder weniger sinnvolle Security-Maßnahmen, in der Hoffnung die noch schwammig formulierten Gesetzesinhalte irgendwie zu erfüllen. Doch erst vor Kurzem hat das Bundesinnenministerium in einem Referentenentwurf der Rechtsverordnung für die ersten Branchen Richtwerte veröffentlicht, die klar machen, welche Unternehmen wirklich unter das ITSG fallen. Und es zeigt sich: Es sind deutlich weniger betroffen, als von vielen angenommen.
Strategisches Vorgehen statt Aktionismus
Natürlich ist es immer richtig, die IT-Sicherheit im eigenen Unternehmen voranzutreiben und auf dem neuesten Stand zu halten. Weniger gut hingegen ist hysterischer Aktionismus, bei dem der ganzheitliche Blick auf der Strecke bleibt. So entstehen unter Umständen erst Schlupflöcher, die Cyberangriffe ermöglichen. Mit dem Referentenentwurf haben Unternehmen aus dem Energiesektor, der Wasserwirtschaft sowie Ernährung, Informationstechnik und Telekommunikation jetzt Gewissheit, ob tatsächlich Handlungsbedarf entsprechend der ITSG-Vorgaben besteht. Grundsätzlich gilt: Sind 500.000 Menschen von der Versorgungsleistung des Unternehmens abhängig, fällt es unter die Meldepflicht nach dem ITSG. Für den Energiesektor betrifft das beispielsweise Betriebe, die im Jahr 450 Megawatt Strom erzeugen.
ISMS zentraler Baustein des ITSG
Dreh- und Angelpunkt des ITSG ist ein nach ISO 27001 zertifiziertes Information Security Management Systems (ISMS). Unternehmen weisen damit de facto nach, dass sie die im ITSG geforderten Sicherheitsstandards erfüllen. Sobald der Referentenentwurf rechtsgültig wird, haben sie sechs Monate Zeit diese umzusetzen. Da jetzt ersichtlich ist, wen das ITSG betrifft, sind die Unternehmen nun in der Lage, die geforderten Maßnahmen strategisch anzugehen. Wer selbst nicht über das Know-how für den Aufbau eines ISMS verfügt, greift am besten auf einen professionellen Security-Dienstleister zurück. So ist sichergestellt, dass die Maßnahmen zu einer erfolgreichen Zertifizierung führen und den Vorgaben des ITSG entsprechen. Für die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr laufen aktuell die Verhandlungen zu den Schwellenwerten. Hier bleibt also noch abzuwarten, welche Unternehmen handeln müssen.
Über AirITSystems
Die AirITSystems wurde 2001 als Gemeinschaftsunternehmen der Flughäfen Hannover Langenhagen GmbH und der Fraport AG gegründet. AirITSystems ist Anwender, Systemhaus und Betreiber und bietet Kunden individuelle IT und Sicherheitslösungen.
Unsere Herkunft ist der Flughafen: Das heißt Komplexität pur, höchste Sicherheitsanforderungen und 24-Stunden-Betrieb. Als Airport-Betreiber gehen wir tagtäglich mit den Lösungen um, die wir selbst entwickelt haben. Unsere Kunden profitieren von diesem Vorteil an Erfahrung, der uns von anderen IT und Sicherheitsanbietern unterscheidet. Unsere Lösungen sind skalierbar für alle Anforderungen, jede Unternehmensgröße und jede Branche. Und immer passend zu den wirtschaftlichen Anforderungen unserer Kunden.
AirITSystems
Andrea Langner
FON 0511 977 40 93
A.Langner@airitsystems.de