BRANDMAUER_IT_SECURITY_Verlauf_1920x800px_200707

BRANDMAUER IT Security Blog

So bleiben Sie in Sachen IT und IT Sicherheit stets auf dem neuesten Stand

Welche gesetzliche Grundlage gibt es für IT-Sicherheitsbeauftragte?

Eric Weis | 04.04.2017 12:00:32 | Lesezeit ca. X Minuten

Wenn Sie regelmäßiger Leser unseres Blogs sind, dann wissen Sie bereits, warum das Thema der IT Sicherheit für Ihr Unternehmen ein besonders wichtiges ist. Ferner dürfte Ihnen hinlänglich bekannt sein, welche Aufgaben ein IT-Sicherheitsbeauftragter für Organisationen übernehmen kann.

Um Ihren diesbezüglichen Wissensstand zu komplettieren, werfen wir heute einen Blick auf die gesetzlichen Grundlagen, aus denen die Notwendigkeit der Position eines IT-Sicherheitsbeauftragten im Unternehmen hervorgeht. „Warum sollten diese Gesetzestexte für mich als Geschäftsführer wichtig sein?“ – werden Sie sich jetzt vielleicht zunächst fragen. Die Antwort darauf ist relativ simpel: weil Sie sich sonst schnell in der persönlichen Haftung befinden. Dies gilt besonders dann, wenn Sie sich nicht auf ein etwaiges Schadensrisiko vorbereitet haben, also zum Beispiel die IT Sicherheit in Ihrem Unternehmen nicht ausreichend implementiert worden ist. Doch schauen wir uns die entsprechenden gesetzlichen Regelungen im Detail an.

 

Gesetzliche Anforderungen zur IT Sicherheit im Allgemeinen

Grundsätzlich gibt es eine Vielzahl an Vorschriften und Gesetzesanforderungen an die IT. Dazu gehört beispielsweise das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das Aktiengesetz, das GmbH-Gesetz oder das Handelsgesetzbuch, dort insbesondere § 317 Abs. 4. Basierend auf diesen Gesetzen ergeben sich für den Geschäftsführer entsprechende Pflichten in Sachen IT Sicherheit.

Eine Pflicht, einen IT-Sicherheitsbeauftragten im Unternehmen zu installieren, ist allerdings aus den zuvor genannten gesetzlichen Grundlagen nicht ganz so einfach abzuleiten, wie das zum Beispiel bei einem Datenschutzbeauftragten der Fall ist. Denn dieser wird vom Gesetzgeber in § 4f des Bundesdatenschutzgesetzes direkt gefordert.

Eine solche explizite gesetzliche Anforderung für einen IT-Sicherheitsbeauftragten ist hingegen nicht zu finden. Jedenfalls nicht für alle Unternehmen, worauf ich inhaltlich gleich noch näher eingehen werde.

Was sich allerdings aus den gesetzlichen Grundlagen ableiten lässt, ist eine direkte Verantwortung der Geschäftsführung für die IT Sicherheit im Unternehmen, die bis hin zu einer persönlichen Haftung Ihrerseits führen kann. Wenn man sich diesbezüglich professionell aufstellen will, kommt schnell der IT-Sicherheitsbeauftragte ins Spiel.

 

Jetzt Blog abonnieren!

 

Vorsicht: Für diese Unternehmen ist ein IT Sicherheitsbeauftragter Pflicht

Wie zuvor beschrieben, existiert keine gesetzliche Grundlage, die ein jedes Unternehmen dazu verpflichtet, einen IT-Sicherheitsbeauftragten im Unternehmen zu haben. Aber: Wie so oft gibt es Ausnahmen und Sie sollten genau prüfen, ob Sie nicht eine solche sind. Stichwort „Persönliche Haftung“.

Rechtliche Basis für meine Ausführungen bildet das IT-Sicherheitsgesetz (IT-SiG). Dieses hat zum Ziel, die Sicherheit zum einen der informationstechnischen Systeme und zum anderen der digitalen Infrastrukturen in Deutschland zu erhöhen. Die dort enthaltenen Vorgaben verändern und ergänzen dabei andere Gesetze – wie beispielsweise das Energiewirtschaftsgesetz (EnWG). Und genau in jenem sind Sondervorschriften für Energieversorger enthalten.

Da Letztere Betreiber einer sogenannten kritischen Infrastruktur sind, gelten im Hinblick auf die IT Sicherheit weiterführende Regelungen, als das bei anderen Unternehmen der Fall ist. So haben Betreiber von Energieversorgungsnetzen – nach dem IT-Sicherheitskatalog der Bundesnetzagentur (§ 11 Absatz 1a ENWG) – bis zum 31. Januar 2018 Zeit, ein Informationssicherheits-Managementsystem (ISMS) einzuführen und sich gemäß ISO 27001 zu zertifizieren.

Unternehmen – welche dem Energiewirtschaftsgesetz unterliegen – müssen also gemäß den gesetzlichen Vorgaben ein ISMS implementieren. Und genau daraus geht die Forderung und damit quasi die Pflicht nach einem IT-Sicherheitsbeauftragten hervor, der Sie in der Einführung eines solchen Systems berät und während des gesamten Prozesses kompetent begleitet.

 

BRANDMAUER IT Sicherheitscheck

 

Fazit

Direkte gesetzliche Forderungen nach einem IT-Sicherheitsbeauftragten gibt es also nur wenige. Aber: Es existieren Normen, wie unter anderem die ISO 27001 oder die VdS 3473, die eine solche Position im Unternehmen voraussetzen bzw. mindestens notwendig machen. Auch ganz ohne gesetzliche Grundlagen würden übrigens viele Gründe für die Schaffung der Stelle eines IT-Sicherheitsbeauftragten sprechen. Denn: IT Sicherheit ist ein wichtiger Baustein für die Wirtschaftlichkeit und Zukunftsfähigkeit von Unternehmen und – eine entsprechende Vorbereitung vorausgesetzt – kann dazu beitragen, eine persönliche Haftung Ihrerseits im Schadenfall zu verhindern.

Themen: IT-Sicherheitsbeauftragter

Autor: Eric Weis

Eric Weis startete 2005 seine Karriere im IT-Business. Ein klassischer Start als IT-Systemadministrator legte dabei den fachlichen Grundstein, um später in nationalen und internationalen IT-Sicherheitsprojekten als Projektleiter zu agieren. Seit 2015 ist der IT-Experte außerdem Chief Information Security Officer und Auditor der ISO/IEC 27001. Weitere Zertifizierungen nach ITQ13 und VDS zeugen von seiner Leidenschaft für die IT Sicherheit. Seine tiefgehenden IT-Kenntnisse, gepaart mit seinen kommunikativen Fähigkeiten, machen Ihn zum Bindeglied zwischen der IT Organisation und dem Management. Eric Weis kann komplexe IT-Themen verständlich in alle Zielgruppen transportieren!

Telefon: (+49) 7272 92975 200
E-Mail: e.weis@brandmauer.de

Aktuellste Beiträge

Cyberversicherung

Schützen Sie Ihr Unternehmen im Falle einer Cyberattacke!

Cyberversicherung

Mehr erfahren
Managed IT Security Training Service

Mitarbeiter für IT-Sicherheit sensibilisieren ab 2 Euro pro User/Monat

Security Online Training

Mehr erfahren

Blog abonnieren

Gratis Downloads für Ihre IT Sicherheit
Serverlandschaft_ IT Services_550x300_170526

Keine Planungs- und Betriebssicherheit?

Managed IT Services

Mehr erfahren