Skip to content

IT-Sicherheitsgesetz betrifft nicht nur KRITIS Unternehmen!

IT-Sicherheitsgesetz betrifft nicht nur KRITIS Unternehmen!

Wie Sie vermutlich mitbekommen haben gilt in Deutschland mittlerweile ein IT-Sicherheitsgesetz, welches Betreiber von kritischen Infrastrukturen dazu verpflichtet, ein gewisses Mindestmaß an IT Sicherheit einzuhalten. Dazu zählen unter anderem die Bereiche Energie, Wasser, Verkehr, Telekommunikation, Finanz- und Versicherungswesen, Ernährung, Gesundheit, Informationstechnik, usw. Wenn Sie sagen, dass Sie sowieso nicht in einer dieser Branchen agieren und daher auch nicht von dem Gesetz betroffen sind, könnten Sie jetzt durchaus überrascht werden. Denn: agieren Sie bspw. in der Lieferkette eines Energieversorgers, so sind auch Sie potenziell betroffen. Mehr zu den Hintergründen erfahren Sie im folgenden Artikel.

 

IT-Sicherheitsgesetz und KRITIS – was Sie wissen sollten

Erst einmal ein paar grundlegende Dinge, über die Sie Bescheid wissen sollten:

 

KRITIS Unternehmen - Was versteht man darunter?

Der Begriff KRITIS Unternehmen bezeichnet die Firmen, die in Branchen agieren, die zu der sogenannten kritischen Infrastruktur zählen. Beispielsweise gehören Energieversorger oder Telekommunikationsunternehmen dazu. Allgemein sind mit KRITIS die Unternehmen gemeint, die Basisdienste für unsere Gesellschaft anbieten und bei deren Ausfall es zu kritischen Versorgungsengpässen kommen kann.

 

Was bedeutet das IT-Sicherheitsgesetz für KRITIS-Betreiber?

Das IT-Sicherheitsgesetz schreibt KRITIS Unternehmen vor, einen gewissen Standard bezüglich der IT Sicherheit einzuhalten mit dem Ziel, größere Ausfälle in der Versorgungssicherheit zu vermeiden. Wie KRITIS-Betreiber dieses IT-Sicherheitsniveau realisieren, lässt der Gesetzgeber für viele Branchen offen. Betrachtet man sich jedoch den aktuellen Stand der Technik, so ist damit die Einführung eines Informationssicherheits-Managementsystem (ISMS) gemeint.  Denkbar wäre beispielsweise der "IT-Grundschutz" nach BSI oder ein ISMS nach ISO/IEC 27001.  

Für Energieversorger z.B. wurden Sondervorschriften im Energiewirtschaftsgesetz (EnWG) geändert. Nach dem IT-Sicherheitskatalog der Bundesnetzagentur haben Betreiber von Energieversorgungsnetzen ein Informationssicherheits-Managementsystem (ISMS) gemäß ISO/IEC 27001 einzuführen und zu zertifizieren.

 All das wäre für Sie vermutlich nicht weiter relevant, wenn Sie nicht gerade zu den Energieversorgern gehören. Allerdings erhöht sich die Zahl der vom Gesetz betroffenen Unternehmen in Deutschland durch den Passus in der DIN ISO/IEC 27001:2015-03, Annex.15 (Lieferantenbeziehung) auf schätzungsweise 200.000.

 

Was das IT-Sicherheitsgesetz für Sie bedeutet

Solche KRITIS Unternehmen, die eine ISO27001 vorweisen müssen,  müssen außerdem nachweisen können, dass auch in ihrer Lieferkette ein Mindestmaß an IT Sicherheit herrscht. Wenn Sie nun in dieser Lieferkette agieren, dann sind auch Sie indirekt vom IT-Sicherheitsgesetz betroffen und es kann sein, dass Ihr Unternehmen diese speziellen Anforderungen erfüllen muss. So müssen Sie beispielsweise nachweisen können, dass Ihr Unternehmen für Ihren Kunden kein Sicherheitsrisiko darstellt.

Bereiten Sie sich also besser vor! Denn wenn plötzlich eine Anfrage eines KRITIS Unternehmens zur Sicherheitsprüfung Ihres Unternehmens kommt, stehen Sie unter Druck. Viele Probleme der IT Sicherheit lassen sich nun mal nicht in einigen Tagen beheben! Vor allem nicht, wenn Sie weiterhin Ihrem Tagesgeschäft nachgehen wollen. IT Sicherheit in einem Unternehmen zu etablieren ist ein fortlaufender Prozess, der Sorgfalt erfordert und daher nicht überstürzt in kurzer Zeit durchgeführt werden kann. Fangen Sie also lieber schon heute an, IT Sicherheit in Ihrem Unternehmen zu verankern, damit Sie auf Eventualitäten vorbereitet sind!

 

Mehr über den IT-Sicherheitscheck erfahren? Hier klicken!

 

Diese Vorteile kann Ihnen das IT-Sicherheitsgesetz bringen

Und außerdem: Betrachten Sie dieses Gesetz nicht als Verpflichtung, sondern als Chance! Sicherlich bringt das Thema einige Aufgaben und Kosten mit, aber im Endeffekt profitiert Ihr Unternehmen von einer besseren IT Sicherheit. Digitalisierung, Internet der Dinge, Cloud-Computing, usw.: all das können Sie nur mit einer guten IT Sicherheit angehen! Weiterhin stärkt eine gute IT Sicherheit Ihre Position in der Lieferkette von KRITIS Unternehmen und bessert das Image Ihres Unternehmens auf. Nutzen Sie die Chance, die das IT-Sicherheitsgesetz Ihnen bietet, und gehen Sie mit einer guten IT Sicherheit etwas beruhigter in eine Zukunft, in der Cyberattacken zu einer immer größeren Gefahr werden.

 

Erfahren Sie hier mehr darüber, was Digitalisierung mit IT Sicherheit zu tun hat!

 

Fazit

Wenn Sie nicht hundertprozentig ausschließen können, dass Sie nicht vom IT-Sicherheitsgesetz betroffen sind, sollten Sie dies schnellstmöglich prüfen. Denn möglicherweise, haben Sie doch irgendwelche Anforderungen im Zuge des Gesetzes zu erfüllen. Seien Sie besser darauf vorbereitet, Ihr Unternehmen zertifizieren zu lassen! Nicht das Gesetz, sondern Ihr Kunde entscheidet, ob Sie Zulieferer bleiben oder nicht. Und auch wenn Sie nicht vom IT-Sicherheitsgesetz betroffen sind, sollten Sie auch etwas in Sachen IT Sicherheit tun. Andernfalls ist Ihr Unternehmen potenziell von Cyberattacken bedroht. Und Sie wissen - ein IT-Sicherheitsvorfall kann teuer werden!