Skip to content

    Welche gesetzliche Grundlage gibt es für IT-Sicherheitsbeauftragte?

    Welche gesetzliche Grundlage gibt es für IT-Sicherheitsbeauftragte?

    Wenn Sie regelmäßiger Leser unseres Blogs sind, dann wissen Sie bereits, warum das Thema der IT Sicherheit für Ihr Unternehmen ein besonders wichtiges ist. Ferner dürfte Ihnen hinlänglich bekannt sein, welche Aufgaben ein IT-Sicherheitsbeauftragter für Organisationen übernehmen kann.

    Um Ihren diesbezüglichen Wissensstand zu komplettieren, werfen wir heute einen Blick auf die gesetzlichen Grundlagen, aus denen die Notwendigkeit der Position eines IT-Sicherheitsbeauftragten im Unternehmen hervorgeht. „Warum sollten diese Gesetzestexte für mich als Geschäftsführer wichtig sein?“ – werden Sie sich jetzt vielleicht zunächst fragen. Die Antwort darauf ist relativ simpel: weil Sie sich sonst schnell in der persönlichen Haftung befinden. Dies gilt besonders dann, wenn Sie sich nicht auf ein etwaiges Schadensrisiko vorbereitet haben, also zum Beispiel die IT Sicherheit in Ihrem Unternehmen nicht ausreichend implementiert worden ist. Doch schauen wir uns die entsprechenden gesetzlichen Regelungen im Detail an.

     

    Gesetzliche Anforderungen zur IT Sicherheit im Allgemeinen

    Grundsätzlich gibt es eine Vielzahl an Vorschriften und Gesetzesanforderungen an die IT. Dazu gehört beispielsweise das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das Aktiengesetz, das GmbH-Gesetz oder das Handelsgesetzbuch, dort insbesondere § 317 Abs. 4. Basierend auf diesen Gesetzen ergeben sich für den Geschäftsführer entsprechende Pflichten in Sachen IT Sicherheit.

    Eine Pflicht, einen IT-Sicherheitsbeauftragten im Unternehmen zu installieren, ist allerdings aus den zuvor genannten gesetzlichen Grundlagen nicht ganz so einfach abzuleiten, wie das zum Beispiel bei einem Datenschutzbeauftragten der Fall ist. Denn dieser wird vom Gesetzgeber in § 4f des Bundesdatenschutzgesetzes direkt gefordert.

    Eine solche explizite gesetzliche Anforderung für einen IT-Sicherheitsbeauftragten ist hingegen nicht zu finden. Jedenfalls nicht für alle Unternehmen, worauf ich inhaltlich gleich noch näher eingehen werde.

    Was sich allerdings aus den gesetzlichen Grundlagen ableiten lässt, ist eine direkte Verantwortung der Geschäftsführung für die IT Sicherheit im Unternehmen, die bis hin zu einer persönlichen Haftung Ihrerseits führen kann. Wenn man sich diesbezüglich professionell aufstellen will, kommt schnell der IT-Sicherheitsbeauftragte ins Spiel.

     

    Jetzt Blog abonnieren!

     

    Vorsicht: Für diese Unternehmen ist ein IT Sicherheitsbeauftragter Pflicht

    Wie zuvor beschrieben, existiert keine gesetzliche Grundlage, die ein jedes Unternehmen dazu verpflichtet, einen IT-Sicherheitsbeauftragten im Unternehmen zu haben. Aber: Wie so oft gibt es Ausnahmen und Sie sollten genau prüfen, ob Sie nicht eine solche sind. Stichwort „Persönliche Haftung“.

    Rechtliche Basis für meine Ausführungen bildet das IT-Sicherheitsgesetz (IT-SiG). Dieses hat zum Ziel, die Sicherheit zum einen der informationstechnischen Systeme und zum anderen der digitalen Infrastrukturen in Deutschland zu erhöhen. Die dort enthaltenen Vorgaben verändern und ergänzen dabei andere Gesetze – wie beispielsweise das Energiewirtschaftsgesetz (EnWG). Und genau in jenem sind Sondervorschriften für Energieversorger enthalten.

    Da Letztere Betreiber einer sogenannten kritischen Infrastruktur sind, gelten im Hinblick auf die IT Sicherheit weiterführende Regelungen, als das bei anderen Unternehmen der Fall ist. So haben Betreiber von Energieversorgungsnetzen – nach dem IT-Sicherheitskatalog der Bundesnetzagentur (§ 11 Absatz 1a ENWG) – bis zum 31. Januar 2018 Zeit, ein Informationssicherheits-Managementsystem (ISMS) einzuführen und sich gemäß ISO 27001 zu zertifizieren.

    Unternehmen – welche dem Energiewirtschaftsgesetz unterliegen – müssen also gemäß den gesetzlichen Vorgaben ein ISMS implementieren. Und genau daraus geht die Forderung und damit quasi die Pflicht nach einem IT-Sicherheitsbeauftragten hervor, der Sie in der Einführung eines solchen Systems berät und während des gesamten Prozesses kompetent begleitet.

     

    Neuer Call-to-Action (CTA)

     

    Fazit

    Direkte gesetzliche Forderungen nach einem IT-Sicherheitsbeauftragten gibt es also nur wenige. Aber: Es existieren Normen, wie unter anderem die ISO 27001 oder die VdS 3473, die eine solche Position im Unternehmen voraussetzen bzw. mindestens notwendig machen. Auch ganz ohne gesetzliche Grundlagen würden übrigens viele Gründe für die Schaffung der Stelle eines IT-Sicherheitsbeauftragten sprechen. Denn: IT Sicherheit ist ein wichtiger Baustein für die Wirtschaftlichkeit und Zukunftsfähigkeit von Unternehmen und – eine entsprechende Vorbereitung vorausgesetzt – kann dazu beitragen, eine persönliche Haftung Ihrerseits im Schadenfall zu verhindern.