Header graphic for print
Datenschutz News & Trends
Rubrik: Compliance, Datensicherheit, Kundendatenschutz

IT-Sicherheitsgesetz in Kraft getreten – Neue Compliance-Anforderungen für Unternehmen

1402872_Newsletter_Half_LandscapeNach einem langwierigen Gesetzgebungsverfahren mit mehreren Entwurfsfassungen ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) am 25. Juli 2015 mit einigen Änderungen in Kraft getreten und normiert neue, teilweise bußgeldbewehrte Pflichten für Unternehmen.

Ziel des Gesetzes ist es, Unternehmen und Nutzer vor den zunehmenden Bedrohungen im Netz durch Cyberangriffe, Cyberspionage und Cyberkriminalität zu schützen. Das IT-SiG sieht Änderungen u.a. im BSIG, TMG, TKG, AtG und EnWG vor. Dieser Beitrag fasst die wesentlichen Neuerungen für Unternehmen zusammen.

Verpflichtungen für Betreiber Kritischer Infrastrukturen

Betreiber Kritischer Infrastrukturen (BKI) sind Unternehmen wie Energie- und Wasserversorger, IT- und Telekommunikationsunternehmen, Transport- und Verkehrsunternehmen, Krankenhäuser, Labore und Pharmaunternehmen, Ernährungswirtschaft und Lebensmittelhandel sowie Banken, Finanzdienstleister, Börsen, Zahlungsdienstleister und Versicherungen. Eine genauere Eingrenzung soll durch eine noch zu erlassende Rechtsverordnung vorgenommen werden. Eine Ausnahme gilt nach § 8c Abs. 1 BSIG für Kleinstunternehmen. Gemäß § 8a BSIG haben BKI organisatorische und technische Vorkehrungen und sonstige Maßnahmen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme, Komponenten oder Prozesse nach dem Stand der Technik zu treffen. Darüber hinaus sind BKI nach § 8b Abs. 4 BSIG verpflichtet, Störungen der IT-Systeme, die zu Ausfällen oder Beeinträchtigungen der Kritischen Infrastruktur führen können oder geführt haben, unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) anzuzeigen. Bei Verstößen gegen diese Pflichten drohen Bußgelder von bis zu 100.000 Euro.

Neue Verpflichtungen für Webseitenbetreiber

Betreiber von geschäftsmäßig angebotenen Telemedien (z.B. Webseiten, Online-Shops) haben nach dem neu eingeführten § 13 Abs. 7 TMG technische und organisatorische Vorkehrungen nach dem Stand der Technik zu treffen, die sicherstellen, dass kein unerlaubter Zugriff auf die genutzten technischen Einrichtungen (Nr. 1) möglich ist und diese ferner gegen Verletzungen des Schutzes personenbezogener Daten (Nr. 2 lit. a)) und gegen Störungen (auch Angriffe) (Nr. 2 lit b)) geschützt sind. Hierdurch sollen beispielsweise Manipulationen von Webseiten für Drive-by-Downloads verhindert werden. Verstöße gegen § 13 Abs. 7 Satz Nr. 1 und Nr. 2 lit. a) TMG können nach § 16 Abs. 2 Nr. 3, Abs. 3 TMG mit einer Geldbuße von bis zu 50.000 Euro geahndet werden.

Weitere Adressaten des IT-Sicherheitsgesetzes

Das IT-SiG normiert für Betreiber öffentlicher Telekommunikationsdienste und -netze, Betreiber von Atomanlagen und Energieversorger neue Pflichten zum Schutz ihrer IT-Systeme (siehe § 11 Abs. 1b EnWG, § 109 Abs. 2 Satz 2, Satz 3,  TKG) sowie neue Meldepflichten (siehe § 11 Abs. 1c EnWG, § 44b AtG § 109 Abs. 5, Abs. 8 TKG). Die Verpflichtungen nach dem EnWG gelten lediglich Betreiber von Energieanlagen, die durch Rechtsverordnung gemäß § 10 Abs. 1 BSIG als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind. Den Pflichten nach dem TKG unterliegen alle Anbieter von öffentlichen Telekommunikationsdiensten und Betreiber von öffentlichen Telekommunikationsnetzen.

Ausblick

Das IT-SiG bringt für zahlreiche Unternehmen weitere Compliance-Anforderungen. Bei Verstößen drohen den Unternehmen empfindliche Bußgelder. Von diesen Pflichten sind nicht nur unmittelbare Adressaten des Gesetzes betroffen, sondern mittelbar auch deren technische Dienstleister, da zu erwarten ist, dass die betroffenen Unternehmen die neuen gesetzlichen Pflichten an ihre Dienstleister weitergeben werden. Da das Gesetz nur kurze bzw. keine Umsetzungsfristen vorsieht, ist eine zeitnahe Analyse der eigenen IT-Infrastruktur unter technischen und rechtlichen Gesichtspunkten geboten.

Dr. Marcus Schreibauer (Partner) / Jan Spittka (Senior Associate)

 

Diese Webseite verwendet Cookies. Wenn Sie diese Webseite nutzen, akzeptieren Sie die Verwendung von Cookies. Mehr erfahren

Ich stimme zu