IT-Sicherheitsgesetz 2.0

Neue Anforderungen für Unternehmen ab 1. November 2021

Neues Gesetz – Mehr Pflichten

Bereits mit dem IT-Sicherheitsgesetz von 2015 wurden Betreiber von kritischer Infrastruktur verpflichtet, Sicherheitsvorkehrungen zu treffen, um Störung ihrer Systeme, Komponente und Prozesse zu vermeiden. Dieses Jahr ist das „IT-Sicherheitsgesetz 2.0“ in Kraft getreten (Bundesgesetzblatt) und bringt verschieden Neuerungen mit sich. Es räumt dem Bundesamt für Sicherheit in der Informationstechnik (BSI) neue Kompetenzen ein und es beinhaltet strengere Vorgaben. Diese betreffen nicht nur Betreiber kritischer Infrastruktur wie bisher, sondern nun auch Unternehmen im besonderen öffentlichen Interesse.

Unternehmen im besonderen öffentlichen Interesse

Unternehmen im besonderen öffentlichen Interesse sind laut dem Gesetz Unternehmen, die Rüstungsgüter herstellen (§ 2 Abs. 14 BSIG), volkswirtschaftlich erheblich bedeutend sind, oder Gefahrstoffbetriebe, die der Störfallverordnung unterliegen.

Pflichten für Unternehmen

Unternehmen im besonderen öffentlichen Interesse sind sind nun ebenfalls dazu verpflichtet, Sicherheitspannen an das BSI zu melden (§ 8f Abs. 7 BSIG). Pannen sind sicherheitsrelevante Vorfälle, die zu einem „Ausfall oder zu einer erheblichen Beeinträchtigung der Erbringung der Wertschöpfung“ (§ 8f Abs. 7 BSIG) geführt haben oder das Potenzial dazu haben. Es sind demnach also nicht alle Störungen meldepflichtig, sondern vor allem Vorfälle wie Cyberangriffe und Sicherheitspannen.

Darüber hinaus sind Unternehmen verpflichtet bestimmte Mindeststandards einzuhalten und Auskünfte über den Status von IT-Sicherheitszertifikaten und den Schutz relevanter Systeme zu erteilen. Sie müssen sie sich registrieren lassen und eine Kontaktstelle benennen. Da BSI sammelt die Informationen und nutzt diese für die Behebung von auftretenden Störfällen und zum präventiven Schutz von anderen Unternehmen.

Frist zu beachten

Ab dem 1. November 2021 sind Unternehmen, die dem Sektor der Gefahrstoffe unterliegen, zur Meldung von IT-Störfällen an das BSI verpflichtet. Die anderen zwei Kategorien von Unternehmen im besonderen öffentlichen Interesse sind hiervon zunächst bis 2023 ausgenommen.

Es ist leicht zu erkennen, dass die Sicherheitsanforderungen an Unternehmen mit dem IT-Sicherheitsgesetz 2.0 stetig wachsen. Wir unterstützen und beraten Sie bei der Wahl von professionellen IT-Security-Lösungen sowie geeigneter Cyber-Sicherheitsmaßnahmen für einen umfassenden Schutz in Ihrer IT-Systeme.

 

Kontaktieren Sie uns