Was das neue IT-Sicherheitsgesetz für das Business Continuity Management bedeutet

Das Bundesministerium des Innern hat vor kurzem den Referentenentwurf zum IT-Sicherheitsgesetz („Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“) vorgelegt. Ziel des Gesetzes ist „eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland“. Besondere Bedeutung misst der Entwurf des IT-Sicherheitsgesetzes dem Schutz der IT-Systeme Kritischer Infrastrukturen zu. In der Darstellung der Problemstellung wird ausgeführt, dass das IT-Sicherheitsniveau bei Kritischen Infrastrukturen sehr unterschiedlich ausgeprägt sei. Es gibt Branchen, die nicht genannt werden, mit hohen regulatorischen Anforderungen gegenüber Branchen, in denen die Maßnahmen nur rudimentär entwickelt seien.
Zu den Maßnahmen zählt die lange sehr umstrittene Meldepflicht von Sicherheitsvorfällen an das BSI sowie die neue Rolle des BSI in der Beratung und Unterstützung von Unternehmen „auf Ersuchen“.
Die Telekommunikations- und Telemediendiensteanbieter werden in die Pflicht genommen, ihre Systeme stärker gegen unerlaubte Zugriffe zu schützen. Dieser verstärkte Schutz und die damit verbundene Erfassung der Nutzung hat den Widerstand der Datenschützer auf den Plan gerufen. Telekommunikationsanbieter werden zudem in die Pflicht genommen, Nutzer über Schadprogramme zu informieren und ihnen Hilfsmittel zur Erkennung und Beseitigung an die Hand zu geben.
Die neuen Befugnisse und Verantwortlichkeiten des BSI, BBK, BKA und BfV schlagen sich in einem höheren Personalbedarf für diese Aufgaben nieder. Für das BSI sind insgesamt 133 neue Planstellen vorgesehen (BBK: 9, BKA: 79, BfV: 55).
Spannend ist nun natürlich die Frage, welche Unternehmen und Organisationen zu den Kritischen Infrastrukturen zählen und von dem neuen Gesetz betroffen sein werden.
Der Gesetzesentwurf führt hierzu aus:
„Das Bundesministerium des Innern bestimmt nach Anhörung von Vertretern der Wissenschaft, betroffener Betreiber und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium der Justiz und für Verbraucherschutz, dem Bundesministerium der Finanzen, dem Bundeministerium für Arbeit und Soziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Verkehr und digitale Infrastruktur, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit durch Rechtsverordnung die Kritischen Infrastrukturen nach § 2 Absatz 12.” § 2 nimmt Kommunikationstechnik und Kleinstunternehmen von den Kritischen Infrastrukturen aus.

Im Rahmen des der Gesetzgebung wird es also eine Festlegung geben, welche Unternehmen und Organisationen zu den betroffenen Kritischen Infrastrukturen gehören. Dies wird sicherlich ein spannender Prozess werden.

Doch welche Pflichten kommen diesen ausgewählten Unternehmen nun zu?

BC Manager haben sich bei der Lektüre des Gesetzesentwurfes vielleicht schon etwas gemütlich zurückgelehnt. Denn in einem IT-Sicherheitsgesetz sollte ja auch das drin sein, was drauf steht: IT-Sicherheit. Doch bei den Verpflichtungen der Kritischen Infrastrukturen ist der BC Manager spätestens beim Wörtchen “Prozesse” schlagartig hellwach. Und dieses magische Wörtchen lässt auch nicht lange auf sich warten: “Betreiber Kritischer Infrastrukturen sind verpflichtet, binnen zwei Jahren nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen zum Schutz der derjenigen  informationstechnischen Systeme, Komponenten oder Prozesse [Hervorhebung durch den Autor] zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.”

Die Auslagerung der IT ist dabei kein probates Heilmittel:

“Die Notwendigkeit, angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen zu treffen, besteht auch dann, wenn Unternehmen ihre IT durch Dienstleister betreiben lassen.”

Hört sich für mich nach MaRisk für die Kritischen Infrastrukturen an. Branchen dürfen branchenspezifische Sicherheitsstandards vorschlagen. Das BSI kann diese Branchenstandards anerkennen. Es genügt jedoch nicht nur, diese Maßnahmen innerhalb der gesetzten Frist von zwei Jahren umzusetzen:

“Zur Überprüfung der organisatorischen und technischen Vorkehrungen und sonstigen Maßnahmen nach Absatz 1 haben die Betreiber Kritischer Infrastrukturen mindestens alle zwei Jahre die Erfüllung der Anforderungen suf geeignete Weise nachzuweisen.” “Das Bundesamt kann bei Sicherheitsmängeln eine Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse verlangen.” Damit erhält das BSI eine Rolle, die im Finanzdienstleistungsbereich bislang nur die Finanzdienstleistungsaufsichtsbehörden Bundesbank und BaFin haben.

Was wird das BSI im Rahmen seiner neuen Pflichten nachweisen lassen?

“Generell soll geprüft werden, ob der Betreiber die für seine Branche und Technologie geeigneten und wirksamen Maßnahmen und Empfehlungen befolgt, ein Information Security Management (Sicherheitsorganisation, IT-Risikomanagement, etc.) betreibt, kritische Cyber-Assets identifiziert und managt, Maßnahmen zur Angriffsprävention und -erkennung betreibt und ein Business Continuity Management (BCM)[Hervorhebung durch den Autor] implementiert hat und darüber hinaus die branchenspezifischen Besonderheiten (z.B. verankert durch den jeweiligen branchenspezifischen Sicherheitsstandard, sofern ein solcher erstellt und anerkannt wurde) umsetzt.” Die Kontrolle der Einhaltung der Erfordernisse kann über etablierte Prüfmechanismen, zum Beispiel Wirtschaftsprüfer, erfolgen.

Damit das BSI seine Rolle als zentrale Meldestelle wahrnehmen kann, müssen die Unternehmen der Kritischen Infrastrukturen sechs Monate nach Inkrafttreten der Rechtsverordnung Warn- und Alarmierungskontakte benennen, die bei Beeinträchtigungen der informationstechnischen Systeme, Komponenten oder Prozesse Meldungen an das BSI geben und erreichbar sind. In das Alarmierungs- und Kommunikationssystem ist also zwingend das BCM einzubinden. Das Meldewesen ist zweistufig aufgebaut. Beeinträchtigungen von informationstechnischen Systemen, Komponenten oder Prozessen, die noch nicht zu Ausfällen oder Beeinträchtigungen der Kritischen Infrastruktur führen, müssen unverzüglich aber ohne Nennung des Betreibers gemeldet werden. Bei eintretenden Beeinträchtigungen oder Ausfällen ist zusätzlich der Betreiber zu benennen.

Fazit:

Was als IT-Sicherheitsgesetz zunächst einmal im Mantel der Regelung für die IT-Sicherheit daherkommt hat über die Einbeziehung der Prozesse massive Auswirkungen auf das Business Continuity Management. Eine starke Verzahnung von IT-Sicherheit und BCM wird sicherlich die Folge sein (müssen), um zum Beispiel die Ansprechpartner und Meldewege konsistent zu halten. Neben den bestehenden Aufsichtsbehörden kommt jetzt noch das prüfende Auge des BSI hinzu. Unternehmen sind gezwungen sich so auditierbar zu organisieren, dass neben dem Prüfungsgeschehen das Tagesgeschäft nicht zum Erliegen kommt. Ein Effekt, den die bereits stark geprüften Banken vehement reklamieren. Für die noch nicht so stark reglementierten Branchen der Kritischen Infrastrukturen gibt es jetzt konkrete Termine für die Implementierung der Maßnahmen. Ein Zeithorizont von zwei Jahren lässt dabei keinen gemächlichen Start zu, sondern zwingt zum sofortigen Handeln. Für das Informationssicherheitsmanagement und BCM wird es aus dem Gesetz sicherlich einen neuerlichen Umsetzungsschub geben. Und genau das ist vom Gesetzgeber so gewollt.