NIS-Richtlinie

Direktive fĂŒr Netz- und Informationssicherheit (Network and Information Security Directive) der EU. Die Vertreter der EU-Kommission, des Europaparlaments und der Mitgliedstaaten haben sich im Dezember 2015 auf das erste europĂ€ische Gesetz zur Cybersicherheit geeinigt. Unternehmen der Kritischen Infrastrukturen mĂŒssen nach dieser Direktive HackervorfĂ€lle melden und Mindestsicherheitsmaßnahmen umsetzen. Die EU-MitgliedslĂ€nder mĂŒssen die Direktive in nationalen Gesetzen umsetzen. In Deutschland wurde im Sommer bereits das IT-Sicherheitsgesetz als Sammlung von GesetzesĂ€nderungen beschlossen. Die NIS-Richtlinie kann zu Anpassungen im IT-Sicherheitsgesetz fĂŒhren.
Link zur Pressemitteilung der EU:
http://www.europarl.europa.eu/news/en/news-room/20151207IPR06449/MEPs-close-deal-with-Council-on-first-ever-EU-rules-on-cybersecurity

IT-Sicherheitsgesetz

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). Das Gesetz wurde am Freitag 12. Juni 2015 verabschiedet. Rechtsverordnungen legen fest, wer als Betreiber kritischer Infrastrukturen gilt und den Anforderungen des Gesetzes unterliegt. Zu den Anforderungen zĂ€hlen die Herstellung eines Mindestniveaus an IT-Sicherheit nach Branchen-Standards, Nachweise mittels Zertifizierungen hierĂŒber sowie eine Meldepflicht bei Störungen. Ein Verstoß gegen das Gesetz ist mit Bußgeldern bis 100.000 Euro bewehrt.

Das IT-Sicherheitsgesetz ist ein Artikelgesetz, das andere Gesetze Àndert und ergÀnzt. In erster Linie betrifft dies das BSI-Gesetz.

“Um Defiziten im Bereich der IT-Sicherheit insbesondere auch außerhalb der Bundesverwaltung wirksam zu begegnen, wurde das BSI mit neuen Aufgaben und Befugnissen ausgestattet:

  • Nach § 8a BSIG Betreiber Kritischer Infrastrukturen, mĂŒssen die Einhaltung von IT-Sicherheit nach dem Stand der Technik regelmĂ€ĂŸig gegenĂŒber dem BSI nachweisen. Sofern SicherheitsmĂ€ngel aufgedeckt werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen.
  • Das BSI wird nach § 8b BSIG die zentrale Meldestelle fĂŒr die IT-Sicherheit Kritischer Infrastrukturen. Diese mĂŒssen dem BSI erhebliche Störungen ihrer IT melden, sofern sie Auswirkungen auf die VerfĂŒgbarkeit kritischer Dienstleistungen haben können. Umgekehrt hat das BSI sĂ€mtliche fĂŒr Abwehr von Angriffen auf die IT-Sicherheit Kritischer Infrastrukturen relevanten Informationen zu sammeln, zu bewerten und an die Betreiber sowie die zustĂ€ndigen (Aufsichts-)Behörden weiterzuleiten.
  • Sofern bei einem Betreiber Kritischer Infrastrukturen meldepflichtige Störungen der IT auftreten, darf das BSI erforderlichenfalls auch die Hersteller der entsprechenden IT-Produkte und -systeme gemĂ€ĂŸ § 8b BSIG zur Mitwirkung verpflichten.
  • Dem BSI wird die Befugnis eingerĂ€umt, zur Wahrnehmung seiner Aufgaben nach § 3 Abs. 1 S. 2 Nr. 1, 14 und 17 BSIG, IT-Produkte auf ihre Sicherheit hin zu untersuchen.
  • Die Befugnis des BSI aus § 5 BSIG zur Analyse von Schnittstellen- und Protokolldaten in den Netzen der Bundesverwaltung wird dahingehend erweitert, dass die Bundesbehörden das BSI nunmehr bei dieser TĂ€tigkeit unterstĂŒtzen mĂŒssen.
  • Zur StĂ€rkung der IT-Sicherheit der Bundesverwaltung wird das BSI verpflichtet, Mindeststandards fĂŒr die IT der Bundesverwaltung zu erarbeiten. Die Möglichkeit des BMI, diese Mindeststandards fĂŒr alle Behörden als verbindlich zu erklĂ€ren, wird erleichtert, da nur noch das Benehmen (statt des Einvernehmens) mit dem IT-Rat hergestellt werden muss.”

Die Erstellung der Rechtsverordnungen zur Umsetzung des IT-Sicherheitsgesetzes erfolgt in 2016 in zwei Losen:

Los 1: Energie, IT + TK, ErnÀhrung, Wasser im 1. Qrt. 2016

Los 2: Finanzen, Transport + Verkehr, Gesundheit im 4. Qrt. 2016.

 

MaRisk (BA)

Titel:

MaRisk BA – Mindestanforderungen an das Risikomanagement

An alle Kreditinstitute und Finanzdienstleistungsinstitute in der Bundesrepublik Deutschland

Aktuelle Fassung: 10/2012

Herausgeber:

BaFin Bundesanstalt fĂŒr Finanzdienstleitungsaufsicht

Beschreibung:

“Dieses Rundschreiben gibt auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes (KWG) einen flexiblen und praxisnahen Rahmen fĂŒr die Ausgestaltung des Risikomanagements der Institute vor. Es prĂ€zisiert ferner die Anforderungen des § 25a Abs. 1a und Abs. 2 KWG (Risikomanagement auf Gruppenebene, Outsourcing).”

Im allgemeinen Teil AT 7.3 sind die grundlegenden Anforderungen an ein Notfallkonzept beschrieben:

  1. FĂŒr NotfĂ€lle in zeitkritischen AktivitĂ€ten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen mĂŒssen dazu geeignet sein, das Ausmaß möglicher SchĂ€den zu reduzieren. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmĂ€ĂŸig durch Notfalltests zu ĂŒberprĂŒfen. Die Ergebnisse der Notfalltests sind den jeweiligen Verantwortlichen mitzuteilen. Im Fall der Auslagerung von zeitkritischen AktivitĂ€ten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen ĂŒber aufeinander abgestimmte Notfallkonzepte zu verfĂŒgen.
  2. Das Notfallkonzept muss GeschĂ€ftsfortfĂŒhrungs- sowie WiederanlaufplĂ€ne umfassen. Die GeschĂ€ftsfortfĂŒhrungsplĂ€ne mĂŒssen gewĂ€hrleisten, dass im Notfall zeitnah Ersatzlösungen zur VerfĂŒgung stehen. Die WiederanlaufplĂ€ne mĂŒssen innerhalb eines angemessenen Zeitraums die RĂŒckkehr zum Normalbetrieb ermöglichen. Die im Notfall zu verwendenden Kommunikationswege sind festzulegen. Das Notfallkonzept muss den beteiligten Mitarbeitern zur VerfĂŒgung stehen.

Verweise:

MaRisk (BA)

BaFin