IT-Sicherheitsgesetz: erste Umsetzungsstufe von Kritis zum 30.6.2019 fällig
15. Juni 2019 18:24 Uhr | Dr. Ulrich Kampffmeyer | Permalink
Im Rahmen des IT-Sicherheitsgesetzes (ITSG, Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme; gültig seit 2015) wird nun die erste Umsetzung nach BSI-KritisV (Kritis, Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz; verabschiedet 2016) zum 30. Juni 2019 fällig. Für die betroffenen Unternehmen hat dies eine ganze Reihe von systemtechnischen und organisatorischen Maßnahmen nach sich gezogen. Und natürlich auch das Thema Dokumentation und Nachprüfbarkeit spielt hier eine erhebliche Rolle. Ein klassisches Thema für Dokumentenmanagement-Lösungen. Ähnlichen wie bei Thema GoBD-Verfahrensdokumentation oder DSGVO-Verfahrensverzeichnis stehen hier Übersichten zur nach Sicherheitskriterien klassifizierten IT-Landschaft, Informationslandkarten, ständig aktuelle Anweisungen und SLAs sowie Prüfrichtlinien, Prüfverfahren und Prüfergebnisse auf dem Aufgabenzettel. lauscht man in die Branche hinein, ist hier allerdings bisher relativ wenig passiert. Ständige Nachrichten über Hacks, Datendiebstahle, Einbrüche und Schadsoftwareplatzierungen dürfte sich aber der Druck nunmehr erhöhen. Für Unternehmen und Behörden, die die Vorgaben bisher nur unzureichend umgesetzt haben, drohen empfindliche Strafen und Bußgelder. Betroffen sind dabei mehr Unternehmen und Organisationen, als man bisher meinen möchte. Neben Organisationen der öffentlichen Verwaltung sind auch Finanzinstitute, Energieversorger, Krankenhäuser, Logistik-Unternehmen, Polizei, Feuerwehr, Versicherungen, Telekommuniksations-Firmen, bestimmte Rechenzentren und Plattformanbieter betroffen. Das ITSG generiert zusätzlichen Overhead in vielen Bereichen der IT und Organisation. Eine einheitliche GRC-Strategie (Governance-RiskManagement-Compliance) und Plattform für InfoGov-Anforderungen (Information Governance), die auch die Anforderungen von Handelsrecht, BDSG, Qualitätsmanagement und anderen dokumentationslastigen Anwendungen abdeckt, kann hier hilfreich sein.
IT-Sicherheitsgesetz 2.0: auch für e-Akte- & ECM-Anbieter relevant?
Im Entwurf für das überarbeitete IT-SiG IT-Sicherheitsgesetz 2.0 werden jetzt auch „Unternehmen im besonderen öffentlichen Interesse“ als KRITIS-relevant aufgeführt. Der „Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ schließt Rüstungshersteller, Raumfahrtunternehmen, Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen, Unternehmen mit volkswirtschaftlicher Bedeutung, Chemie-Unternehmen und andere ein. Der Geltungsbereich des IT-SiG würde so erheblich ausgeweitet.
Dies dürfte auch für Softwarehersteller von E-Government-Lösungen wie elektronischen Akten, Authentifizierung und Vorgangsbearbeitung ebenso für Anbieter solcher Lösungen in der Cloud relevant werden. Auch diese müssten nach den neuen Regelungen sich den UP-KRITIS-Pflichten unterwerfen. Insider gehen auch davon aus, dass es zukünftig zu weiteren Anpassungen und Ergänzungen in Bezug auf das IT-SiG und andere Gesetze im sicherheitsrelevanten Bereich kommen wird, z.B. durch die europäische NIS-Richtlinie. Auch ECM- und DMS-Anbieter müssen sich wohl auf verstärkte Sicherheits- und Kontrollverfahren einrichten wenn sie ihre Produkte in der öffentlichen Verwaltung oder anderen KRITIS-relevanten Unternehmen platzieren wollen. Dies betrifft die Anbieterunternehmen ebenso wie die Sicherheitsanforderungen an deren Produkte und Dienstleistungen. Auch das Thema Dokumentation der Systeme und Prozesse dürfte damit wichtiger werden und die Entwicklung von sich selbst dokumentierenden und überwachenden Systemen fördern. Hier wird auch ein wichtiger Anwendungsbereich für Analytics, Künstliche Intelligenz und Maschinenlernen liegen.
Heute am 23.4.2021 sah es im Bundestag für die Akzeptanz des IT-SiG 2.0 nicht sehr gut aus. Informationspflichten für das BSI bei bekanntwerdenden Sicherheitslücken, Ausweitung des Geltungsbereiches, Haftungsfragen. Der Bitkom-Präsident Achim Berg dazu:
„Deutschland muss seine IT- und Cyber-Sicherheit angesichts wachsender Bedrohungen und steigender Schäden dringend stärken. Das IT-Sicherheitsgesetz 2.0. wird dabei allerdings kaum helfen. Mit ihm wird ein stark kritisiertes Gesetzesvorhaben auf den letzten Metern der Legislaturperiode ins Ziel geschleppt. Den Herausforderungen durch wachsende Bedrohungen wird es nicht gerecht. Mit den erst unmittelbar vor der abschließenden parlamentarischen Beratung bekanntgegeben Änderungen endet ein bizarrer Gesetzgebungsprozess.“ Weiter wird kommentiert „Das IT-Sicherheitsgesetz 2.0 schafft eine Kombination aus technischer Zertifizierungsmaschinerie und politisch-regulatorischem Gutdünken mit fragwürdigem Mehrwert für die IT-Sicherheit. Rechts-, Planungs- und Investitionsunsicherheiten werden als Kollateralschäden in Kauf genommen, vor allem mit Blick auf den 5G-Netzausbau.“