IT-Sicherheitsgesetz ist durch den Bundesrat

von Dr. Axel Spies, veröffentlicht am 13.07.2015

Das IT Sicherheitsgesetz haben wir im Blog schon mehrfach andiskutiert.  Am Freitag wurde es im Bundesrat  (BT-Drs.: 18/4096) in der von der Bundesregierung geänderten Fassung (BT-Drs.: 18/5121) beschlossen. Das Gesetz wird nun dem Bundespräsidenten zur Unterschrift vorgelegt. Es gibt keine Zusatzrunde im Vermitlungsausschuss. In Kraft tritt es einen Tag nach der Veröffentlichung im BGBl.

Der Kernpunkt des Gesetzes ist, dass Betreiber kritischer Infrastrukturen wie Energieversorger und Anbieter von TK-Diensten Mindeststandards zur IT-Sicherheit einhalten und erhebliche Störungen melden müssen. Andernfalls drohen Bußgelder bis zu 100.000 Euro. Sie dürfen Verbindungsdaten speichern, um Störungen abzuwehren. Dies führt derzeit zu einer "freiwilligen Vorratsdatenspeicherung" zwischen drei Tagen und sechs Monaten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll zur internationalen Zentralstelle für IT-Sicherheit ausgebaut werden.

Was halten Sie von dem neuen Gesetz?  Wir es zu einem Rückgang der „Cyberattacken“ führen?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

10 Kommentare

Kommentare als Feed abonnieren

Da wurde wohl unter den Augen der Öffentlichkeit die sechsmonatige Vorratsdatenspeicherung durch die Hintertür bzw. über die Bande eines zweiten Gesetzes voll umfänglich wieder eingeführt. Denn Telekommunikationsanbieter sind ja systemrelevant.

Also dürfen diese zur "Gefahrenabwehr" auch verdachtslos Verbindungsdaten für jene Personengruppen aufzeichnen, die Maas doch eigentlich von der Vorratsdatenspeicherung ausnehmen wollte und die Datensammlung dann beispielsweise auch an jeden interessierten Hausmeister unkontrolliert weitergeben.

Und keinen stört es.

5

Deutet sich denn schon an, wann die Rechtsverordnung nach § 10 Absatz 1 BSI -Gesetz (n.F.), in der die kritischen Infrastrukturen näher bestimmt werden sollen, erlassen wird?  

5

Ich habe dazu leider keine genauen Informationen. Weiß jemand mehr?

Das ist ein wichtiger Punkt, denn die Compliance könnte teuer werden: 

Der neue §8a bestimmt:

"(3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel."

Was halten Sie von solchen Audits?

Ein Audit führt nicht automatisch zu einem höheren Sicherheitsniveau, aber es zwingt zumindest zur Auseinandersetzung mit den richtigen Themen. Von daher positiv. Es ist sicherlich auch schwierig, ein tatsächliches Sicherheitsniveau gesetzlich festzulegen. In der Praxis wird sich hier eine ISO-27001-Zertifizierung durchsetzen.

0

In der Tat wird dies einen sehr großen Compliance-Aufwand auslösen, mindestens alle 2 Jahre die Erfüllung der Anforderungen nachzuweisen. Diese sind nicht unbeachtlich: 

Die Betreiber sind verpflichtet (§ 8a Abs. 1): "angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informations- technischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.

Ich denke, dass vor allem der Zeitraum, die Einhaltung der T&O Maßnahmen nachzuweisen, zu eng bemessen ist, wenn die Compliance einmal hergestellt ist. 

"Was halten Sie von solchen Audits?"

 

Wir werde das in dem Laden, in dem ich arbeite sicherlich machen (müssen).

Unsinnig ist es trotzdem - mal ganz vom Anstrich abgesehen, dass das zu der Zeit beschlossen wurde, als der Bundestag so tief gef^Hhackt wurde, dass die das ganze System neu aufsetzen müssen. Und die wollen uns sagen, wie wir kritische Infrastruktur betreiben sollen? ROTFL - es ist abgrundtief bitter.

5

Im Bundesgesetzblatt vom heutigen Tage wurde das IT-Sicherheitsgesetz nunmehr  veröffentlicht. Das Gesetz tritt gemäß seines Artikels 11 am Tag nach seiner Verkündung, also morgen, am 25. Juli 2015, in Kraft. Dies gilt nicht für die Regelung in Artikel 8, die erst am 14. August 2016 in Kraft tritt:

http://www.bgbl.de/xaver/bgbl/text.xav?SID=&tf=xaver.component.Text_0&tocf=&qmf=&hlf=xaver.component.Hitlist_0&bk=bgbl&start=%2F%2F*%5B%40node_id%3D'446766'%5D&skin=pdf&tlevel=-2&nohist=1

 

Kommentar hinzufügen