•  
    • Bewirb dich jetzt!
    •  
      • Start
      • Leistungsprofil
        Leistungsprofil
        • IT-Infrastruktur
          IT-Infrastruktur
          • Beratung
          • Lösungen
            Lösungen
            • Storage und Backup
            • IT- & Organisations-Check
            • Log- und Eventmanagement
            • Netzwerk
            • Virtualisierung
            • Applikationen
            • Microsoft 365
          • Branchen
          • Kompetenzen
        • IT-Security
          IT-Security
          • Beratung
          • Lösungen
            Lösungen
            • Prozessorientiertes ISMS
            • IT-Security Check
            • Awareness-Schulung
            • Zugangsmanagement
            • Gateway
            • Endgeräte
            • Verschlüsselung
            • Schwachstellenmanagement
          • Branchen
          • Kompetenzen
        • IT-Service
          IT-Service
          • Lösungen
            Lösungen
            • IT-Dokumentation
            • IT-Monitoring
            • Schnittstellentechnologie
          • Kompetenzen
          • Kunden
        • ISMS und BCMS
          ISMS und BCMS
          • Lösungen
            Lösungen
            • Informationssicherheits-managementsystem (ISMS)
            • Informationssicherheits-Risikomanagement
            • Business Continuity Management (BCM)
            • Tool für prozessintegriertes Managementsystem
            • Sicherheitskonzepte und Sicherheitsrichtlinien
          • Branchen und Kunden
          • Kompetenzen
        • Support- und Managed Services
          Support- und Managed Services
          • Beratung
          • Lösungen
            Lösungen
            • SHD User Help Desk
            • Cloud Backup
              Cloud & Managed Services
              • Self-Service
              • Virtualisierung
              • Full-Service
            • IT- & Organisations-Check
            • Basisunterstützung
            • Betriebsunterstützung
            • Betriebsverantwortung
            • Cloud-Strategie
          • Kompetenzen
          • Kunden
        • Digitalisierung von Prozessen
          Digitalisierung von Prozessen
          • Beratung
          • Lösungen
            Lösungen
            • Digitales Wachstumspaket
            • Investitionsmanagement
            • Prozessdokumentation
            • HR: E-Recruiting
            • Kaufmännische Prüfung
            • Rechnungseingang
            • HR: Fehlzeitenmanagement
          • Branchen
          • Kompetenzen
          • Kunden
        • Branchenspezifische IT-Lösungen
          Branchenspezifische IT-Lösungen
          • Healthcare
            Healthcare
            • KHZG
            • ISMS
          • Energie & Versorgung
          • Öffentliche Verwaltung
          • Transport & Logistik
          • Industrie & Handel
          • Automotive
        • Branchenspezifische IT-Lösungen
          • Healthcare
          • Energie & Versorgung
          • Öffentliche Verwaltung
          • Transport & Logistik
          • Industrie & Handel
          • Automotive
      • Über SHD
        Über SHD
        • Entwicklung
        • Standorte
        • Partnerschaften
        • Engagement
      • Referenzen
      • Aktuelles
        Aktuelles
        • News
        • Veranstaltungen
        • Fachartikel
        • Podcast
      • Karriere
        Karriere
        • Bewerbungsprozess
        • Stellenangebote
          Stellenangebote
          • Einsteiger
          • Erfahrene
          • Schüler & Studenten
        • Jobs, die begeistern!
          Jobs, die begeistern!
          • Senior System Engineer
          • Softwareentwickler
          • IT-Consultant / Project Manager
          • BPM Consultant
          • Technology Consultant
          • Service Manager im Helpdesk
      • Kontakt
        Kontakt
        • Ansprechpartner
     
    • Startseite
    • Aktuelles
    • Fachartikel
    •  IT-Sicherheitsgesetz (ITSiG) verabschiedet – und nun?

    IT-Sicherheitsgesetz (ITSiG) verabschiedet – und nun?

    In der letzten Ausgabe der SHD.NEWS hatten wir in einem Artikel verschiedene Vorgehensmodelle zur Einführung von Informationssicherheitsmanagementsystemen (ISMS) in Unternehmen beschrieben und schon dort angedeutet, dass die Implementation solcher Systeme durch das IT-Sicherheitsgesetz befördert wird. Nun sind das IT-Sicherheitsgesetz und auch die ersten »Durchführungsbestimmungen« offiziell beschlossen, so dass wir in diesem Artikel speziell auf das Gesetz, seine Rahmenbedingungen und Folgen für die Unternehmen eingehen wollen.

    Hintergrund für den Beschluss der deutschen Bundesregierung für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ist die über die letzten Jahre permanent erhöhte Bedrohungslage durch Cyberangriffe. Zahlreiche Angriffe aus der jüngsten Vergangenheit mit enormen Schadenssummen und noch viel höherem Schadenspotenzial sind ein beredter Beleg dafür. Exemplarisch sei hier nur der erfolgreiche Angriff auf das Netz des Bundestages vom Sommer dieses Jahres genannt.

    Das sogenannte IT-Sicherheitsgesetz (ITSiG) wurde am 17. Juli durch den Bundestag verabschiedet. Es verpflichtet im Kern die betroffenen Unternehmen dazu, Maßnahmen zu ergreifen, um ein Mindestmaß an Informationssicherheit im Unternehmen zu gewährleisten und nachzuweisen.

    Folgende Unternehmen fallen unter den Geltungsbereich dieses Gesetzes:

    • Betreiber von Webangeboten
    • Telekommunikationsunternehmen
    • Betreiber kritischer Infrastrukturen (KRITIS)

    Hier stellt sich sofort die nächste Frage: Was ist unter kritischen Infrastrukturen zu verstehen? Zu den Betreibern kritischer Infrastrukturen werden die in Abbildung 1 aufgeführten Sektoren gezählt. Diese Sektoren werden wiederum in 29 Branchen untergliedert, die hier aus Platzgründen nicht alle aufgeführt werden können.

    Als Artikelgesetz beinhaltet das ITSiG eine Reihe anderer Gesetze und Vorschriften. Auch wenn es primär als Gesetz für die Betreiber kritischer Infrastrukturen (KRITIS) gedacht war, ist davon auszugehen, dass auch Zulieferer, Dienstleister oder Kooperationspartner solcher Betreiber mittelbar vom ITSiG betroffen sein werden, sofern ihre Leistungen Einfluss oder Auswirkungen auf die Sicherheit der betrachteten Infrastrukturen haben.

    Abbildung 1: Sektoren kritischer Infrastrukturen

    »Stand der Technik« – ein unbestimmter Rechtsbegriff

    Für die direkt betroffenen Unternehmen fordert das ITSiG angemessene organisatorische und technische Maßnahmen unter Einhaltung des »Stands der Technik«. Der »Stand der Technik« ist dabei keine direkt messbare Größe, sondern ein Grundsatz für die Festlegung von Maßnahmen und die branchenspezifische Präzisierung von Anforderungen.

    Die branchenspezifischen Mindeststandards für die Informationssicherheit werden dabei flankiert durch die Anforderungen an ein Managementsystem für Informationssicherheit (ISMS) sowie einer Meldepflicht für Unternehmen gegenüber Kunden und dem BSI. Um im Rahmen der regelmäßigen Nachweispflicht festzustellen, ob und inwieweit der »Stand der Technik« eingehalten wurde, bedarf es einer fachlichen sowie branchenbezogenen Interpretation der umgesetzten Maßnahmen. Dies ist für die Energiebranche bereits erfolgt und soll deshalb hier exemplarisch kurz beschrieben werden:

    Am 12.08.2015 hat die Bundesnetzagentur (BNetzA) einen Sicherheitskatalog verabschiedet, aus dem für Energienetzbetreiber eine Reihe konkreter Verpflichtungen zur Umsetzung des IT-Sicherheitsgesetzes erwachsen. Dies sind die beiden Hauptpunkte:

    • Meldepflicht für Sicherheitsvorfälle an das BSI: Ansprechpartner IT-Sicherheit bis 30.11.2015
    • Implementierung eines ISMS mit entsprechendem Nachweis auf Basis einer ISO27001-Zertifizierung bis 31.01.2018

    Bei der Implementierung des ISMS sind neben der DIN ISO/IEC 27001 weiterhin die Normen DIN ISO/IEC 27002 und DIN ISO/IEC TR 27019 zu berücksichtigen. Die DIN ISO/IEC 27001 legt hierbei die Leitlinien und allgemeine Prinzipien für die Initiierung, Umsetzung, den Betrieb und die Verbesserung des Informationssicherheitsmanagements in einer Organisation fest. Darauf aufbauend enthält die DIN ISO/IEC 27002 Umsetzungsempfehlungen für die verbindlichen Maßnahmen des Anhangs A der DIN ISO/IEC 27001. Die DIN ISO/IEC TR 27019 schließlich erweitert diese in verschiedenen Kategorien um Besonderheiten im Bereich der Prozesssteuerung der Energieversorgung.

    SHD unterstützt Sie gern mit zertifizierten ISO27001-Auditoren und erfahrenen Security-Consultants sowohl bei der Implementierung eines ISMS und Vorbereitung auf eine ISO27001-Zertifizierung als auch bei der Umsetzung von Maßnahmen, die aus einer entsprechenden Risikoanalyse (Pflichtbestandteil von ISO27001) abgeleitet werden.

    Weiterführende Informationen

    IT Security Lösungen von SHD

    Jetzt SHD.News als E-Paper abonnieren

    • News
    • Veranstaltungen
    • Fachartikel
    • Podcast

    Veranstaltungen

    01.03.2023 - 01.03.2023 |
    SHD bewegt: Cyber-Resilienz

    weitere

    Ansprechpartner

    Christian Müller

    Christian Müller
    Technology Consultant

    Tel.: +49 (351) 42 32 - 160
    christian.mueller(at)shd-online.de

     

     
     
     
    SHD - Standorte
    <strong>SHD Geschäftsstelle Hamburg</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Berlin</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Lausitz</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Leipzig</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Nürnberg</strong><br />Kontaktinformationen<strong>SHD Hauptsitz Dresden</strong><br />KontaktinformationenSHD-StandorteCompass Gruppe
    Zertifizierungen

    SHD ist zertifiziert nach ISO 9001 und ISO 27001

    Social Media
    •  
    •  
    •  
    •  
    •  
    •  
    •  
    Portfolio
    • IT-Infrastruktur
    • IT-Security
    • IT-Service
    • ISMS und BCMS
    • Support- und Managed Services
    • Digitalisierung von Prozessen
    Kundenmagazin

    Alles Wichtige aus IT-Welt und SHD auf einen Blick

    SHD-News abonnieren

    © 2023 SHD System-Haus-Dresden GmbH
    • Start
    • Datenschutzinformation
    • Datenschutzinformation: Social-Media-Präsenzen
    • Sitemap
    • Impressum
    • Kontakt

    Schön, dass Sie sich für unser Angebot interessieren!

    Dürfen wir Ihnen regelmäßig interessante Neuigkeiten zu aktuellen IT-Themen senden?

    Newsletter abonnieren

    Schon von unserem Podcast gehört?

    Mit 'IT aufs Ohr' immer über aktuelle IT-Trends informiert sein.

    Podcast abonnieren

    Consent-Einstellungen