IT-Sicherheitsgesetz ist verabschiedet

Am vergangenen Freitag, den 12. Juni 2015 wurde das IT-Sicherheitsgesetz im Bundestag verabschiedet. Unter dem Eindruck der erfolgreichen Cyber-Attacken auf das IT-System wurden noch Änderungen am Gesetz vorgenommen.

So gilt das Gesetz jetzt auch fĂŒr Bundesbehörden:

“(1) Das Bundesamt erarbeitet Mindeststandards fĂŒr die Sicherheit der Informationstechnik des Bundes. Das Bundesministerium des Innern kann im Benehmen mit dem IT-Rat diese Mindeststandards ganz oder teilweise als allgemeine Verwaltungsvorschriften fĂŒr alle Stellen des Bundes erlassen. Das Bundesamt berĂ€t die Stellen des Bundes auf Ersuchen bei der Umsetzung und Einhaltung der Mindeststandards. FĂŒr die in § 2 Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane haben die Vorschriften nach diesem Absatz empfehlenden Charakter.”

Zudem sind VerstĂ¶ĂŸe gegen das IT-Sicherheitsgesetz jetzt strafbewehrt mit einem Maximalbetrag von 100.000 Euro. Dies betrifft die Vorkehrungen fĂŒr die IT-Sicherheit, aber auch die Benennung der Kontaktstelle sowie die Meldepflichten.

Der Gesetzgeber geht nach wie vor davon aus, dass maximal 2.000 Unternehmen als Betreiber kritischer Infrastrukturen vom IT-Sicherheitsgesetz betroffen sein werden:

“Nach aktuellen SchĂ€tzungen wird die Zahl der meldepflichtigen Betreiber Kritischer Infrastrukturen bei maximal 2.000 Betreibern liegen. Weiterhin wird geschĂ€tzt, dass pro Betreiber maximal sieben Meldungen von IT-SicherheitsvorfĂ€llen pro Jahr erfolgen.”

Die Betreiber kritischer Infrastrukturen sorgen in ErfĂŒllung des Gesetzes fĂŒr

“- die Einhaltung eines Mindestniveaus an IT-Sicherheit,

 

– den Nachweis der ErfĂŒllung durch Sicherheitsaudits,

 

– die Einrichtung und Aufrechterhaltung von Verfahren fĂŒr die Meldung erheblicher IT-SicherheitsvorfĂ€lle an das BSI sowie

 

– das Betreiben einer Kontaktstelle.”

Die Meldepflicht beinhaltet:

„Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der VerfĂŒgbarkeit, IntegritĂ€t, AuthentizitĂ€t und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer BeeintrĂ€chtigung der FunktionsfĂ€higkeit der von ihnen betriebenen Kritischen Infrastrukturen 1. fĂŒhren können oder 2. gefĂŒhrt haben, ĂŒber die Kontaktstelle unverzĂŒglich an das Bundesamt zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsĂ€chlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers enthalten.“

Dass ich das IT-Sicherheitsgesetz nicht ausschließlich auf IT-SicherheitsvorfĂ€lle bezieht, wird aus der Meldepflicht deutlich. Störungen in der VerfĂŒgbarkeit von IT, Komponenten oder Prozessen, die zu einer BeeintrĂ€chtigung der FunktionsfĂ€higkeit von Organisationen fĂŒhren gehören eindeutig in das Aufgabengebiet des Business Continuity Management.

Dies trifft vor allem Unternehmen, die als Betreiber kritischer Infrastrukturen den Anforderungen des IT-Sicherheitsgesetzes entsprechen mĂŒssen und die bislang noch keinen vergleichbaren regulatorischen Anforderungen genĂŒgen mĂŒssen.

“Die Verpflichtung zur Einhaltung eines Mindestniveaus an IT-Sicherheit wird dort zu Mehrkosten fĂŒhren, wo kein hinreichendes IT-Sicherheitsniveau vorhanden ist. Der entstehende Aufwand hĂ€ngt einerseits vom erforderlichen Sicherheitsniveau und andererseits vom jeweiligen Status quo des Normadressaten ab.

Mit Spannung blicken wir auf die Inhalte der Rechtsverordnung, die den Adressatenkreis der Betreiber kritischer Infrastrukturen regeln wird.

Quellen:

Gesetzesentwurf IT-Sicherheitsgesetz (pdf)

Beschlussempfehlung IT-Sicherheitsgesetz (pdf)

Kritik am IT-Sicherheitsgesetz in der ersten Lesung im Bundestag

Am Freitag, den 20. MĂ€rz 2015 fand im Bundestag die erste Lesung des Entwurf fĂŒr das IT-Sicherheitsgesetz statt. Der Entwurf wurde im Bundestag kontrovers diskutiert. Die Bundesregierung sieht sich mit dem Gesetz als als “Vorbild und Vorreiter der IT-Sicherheit”, so Bundesinnenminister Dr. Thomas de MaiziĂšre. Die Opposition bemĂ€ngelte an dem Entwurf, dass nicht geklĂ€rt ist, welche Unternehmen zu den Kritischen Infrastrukturen gehören. Dies soll im Rahmen von Rechtsverordnungen nach Verabschiedung des Gesetzes geregelt werden. In einer ersten Zahl wurden 2.000 betroffene Unternehmen genannt. Wie viel Substanz diese GrĂ¶ĂŸenordnung hat, wird sich noch zeigen. Nimmt man zum Beispiel alleine die Energie- und Wasserversorger hinzu, wird diese Zahl kaum zu halten sein. Mit dem IT-Sicherheitsgesetz kommt auch eine Meldepflicht fĂŒr SicherheitsvorfĂ€lle bei Unternehmen der Kritischen Infrastrukturen. Welche VorfĂ€lle gemeldet werden mĂŒssen und was mit den gesammelten Daten passiert, ist im Gesetzesentwurf ebenfalls nicht genau geregelt. Der Cyber-Sicherheitsrat hat zudem gar verfassungsrechtliche Bedenken gegenĂŒber dem Gesetzesentwurf: Behörden des Bundes werden von den Pflichten der Kritischen Infrastrukturen nicht erfasst und mĂŒssen demzufolge keine vergleichbare Pflichten zum Schutz vor Cyberattacken leisten. Einig sind sich zumindest alle Parteien, dass AktivitĂ€ten zum Schutz vor Cyber-Attacken dringend nötig sind.

Aus meiner bescheidenen Sicht ist die Definition der Kritischen Infrastrukturen tatsĂ€chlich ein kritischer Erfolgsfaktor fĂŒr die Wirksamkeit des Gesetzes. Die Verlagerung der Definition des Scopes der gesetzlichen Regelungen auf die nachgelagerten Rechtsverordnungen hat zumindest Unsicherheit und Diskussionen erzeugt, die die Verabschiedung des Gesetzes verzögern können. Zur Zeit laufen branchenbezogene Studien zur Definition der kritischen Prozesse fĂŒr die Kritischen Infrastrukturen. Zudem finden GesprĂ€che mit den Branchenvertretern statt. Es gilt auch je Branche die Standards festzulegen, die von den betroffenen Unternehmen einzuhalten sind. Die Lobbyarbeit lĂ€uft sicherlich hinter den Kulissen auf Hochtouren. Die bereits stark regulierten Branchen wie Finanzdienstleister werden mit den Konsequenzen dieses Gesetzes wesentlich leichter umgehen können als Unternehmen, die sich diesen Anforderungen erst neu stellen mĂŒssen. Gerade fĂŒr mittelstĂ€ndische Unternehmen kann dies zu einer Herausforderung werden, aber gerade diese Unternehmen sind auch besonders stark gefĂ€hrdet, ohne dass das Bewusstsein – und Budget – hierfĂŒr immer vorhanden ist. Es besteht Handlungsbedarf und ein erster Schritt muss getan werden. Der Gesetzgeber wĂ€re gut beraten, gerade den mittelstĂ€ndischen Unternehmen auch bessere Hilfsmittel zur Umsetzung an die Hand zu geben. Das Umsetzungsrahmenwerk fĂŒr den BSI 100-4 Standard Notfallmanagement ist ein guter Ansatz in diese Richtung. Mehr davon, kann ich da nur appellieren. Auch der BSI 100-4 hat mittlerweile eine dicke Staubschicht angesammelt. Vorschriften sind das eine, doch darf man gerade kleine und mittelstĂ€ndische Unternehmen bei der Umsetzung nicht alleine lassen – auch wenn wir als Berater den Bedarf natĂŒrlich gerne ganz uneigennĂŒtzig aufgreifen 😉

Anforderungen an das externe Reporting des Notfallmanagements

Im nachfolgenden Gastbeitrag geht der Autor Torsten Zacher auf die Anforderungen an das externe Reporting des Notfallmanagements ein. Torsten Zacher beleuchtet die unterschiedlichen Quellen der Anfragen sowie die rechtlichen und regulatorischen Rahmenbedingungen fĂŒr das Reporting.

Ausgangslage

Kreditinstitute erhalten in letzter Zeit vermehrt Anfragen zu einem Reporting ĂŒber die Notfallkonzepte. Diese werden mit der Wesentlichkeit der Auslagerung begrĂŒndet. In einigen FĂ€llen wird keine BegrĂŒndung angegeben.

Ein kurzer Blick auf die Anforderungen lĂ€sst schnell erkennen, dass diese auf inhomogenen rechtlichen Anforderungen basieren. Doch welche Folgen ergeben sich hieraus fĂŒr das externe BCM-Reporting? Welche Informationen muss das anfragende Unternehmen erhalten?

Wie kann der Begriff des Outsourcings in diesem Rahmen definiert werden?

Welchen Input kann die MaRisk, insb. die AT 9 und das KWG geben und was sagen die Standards BSI 100-4 und die ISO 22301 zu den Anfragen? Dieses wird im folgenden Artikel untersucht.

Im ersten Schritt sollten die verschiedenen Anfragen kategorisiert werden, um zu definieren, wie die anfragenden Unternehmen angemessen informiert werden und es wird der Begriff definiert, was eine Auslagerung ist.

Es werden nur die Anforderungen an das Reporting untersucht und nicht weitere Forderungen, die sich aus der MaRisk, der ISO 22301 usw. ergeben. Unter anderem wird auf Themen wie PrĂŒfrechte nicht weiter eingegangen.
Weiterlesen…

Bundeskabinett beschließt IT-Sicherheitsgesetz

Das Bundeskabinett hat heute den Entwurf des Sicherheitsgesetzes verabschiedet. Damit kommt die Meldepflicht fĂŒr IT-SicherheitsvorfĂ€lle und das Bundesamt fĂŒr Sicherheit in der Informationstechnik BSI erhĂ€lt umfassende Kompetenzen und KapazitĂ€ten als Zentralstelle fĂŒr die IT-Sicherheit. Welche Unternehmen und Organisationen als Betreiber kritischer Infrastrukturen dem neuen IT-Sicherheitsgesetz unterliegen, wird eine spannende Frage sein, die Anfang des neuen Jahres in konkreten Verordnungen ausgestaltet werden wird. Die Bundesregierung geht aktuell von rund 2.000 Betreibern der kritischen Infrastruktur aus. Auch die Hersteller von IT-Systemen unterliegen zukĂŒnftig der Aufsichtspflicht des BSI. Der Gesetzesenturf war heftig umstritten. Der Industrie ging er mit den Meldepflichten zu weit, wĂ€hrend Sicherheitsfachleute befĂŒrchten, durch die anonymisierten Meldungen kein vollstĂ€ndiges Lagebild zu erhalten. Die Praxis wird bald zeigen, ob sich der Aufwand fĂŒr die Unternehmen in einem konkreten Sicherheitsgewinn auszahlt.

Was das neue IT-Sicherheitsgesetz fĂŒr das Business Continuity Management bedeutet

Das Bundesministerium des Innern hat vor kurzem den Referentenentwurf zum IT-Sicherheitsgesetz („Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“) vorgelegt. Ziel des Gesetzes ist „eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland“. Besondere Bedeutung misst der Entwurf des IT-Sicherheitsgesetzes dem Schutz der IT-Systeme Kritischer Infrastrukturen zu. Weiterlesen…

Anforderungen an die Bewertung von Tests und Übungen

Ein Gastbeitrag fĂŒr die BCM-News von Torsten Zacher

Einleitung

GemĂ€ĂŸ der MaRisk AT 7.3 ist die Wirksamkeit und der Angemessenheit des Notfallkonzeptes regelmĂ€ĂŸig durch Notfalltests zu ĂŒberprĂŒfen.

Die zwei Begriffe Angemessenheit und Wirksamkeit spielen hierbei in Verbindung mit den Tests eine entscheidende Rolle.

Das KWG ergĂ€nzt im § 25c hierbei noch, dass den jeweils Verantwortlichen ĂŒber die Ergebnisse der Notfalltest berichtet wird.

Die Begriffe Angemessenheit und Wirksamkeit bilden die Grundlage der Bewertung, die im ersten Teil des Artikels vorgestellt werden. Im zweiten Teil wird auf die Notwendigkeit einer Bewertung, deren Zielgruppen und den positiven Nutzen eingegangen. Im dritten Teil wird eine mögliche Bewertung inklusive Inhalten vorgestellt. Es sind Bewertungen je Test und eine Jahresbewertung zu differenzieren. Weiterlesen…

Arbeitsrechte und -pflichten in NotfÀllen

Bei NotfĂ€llen des Unternehmens und / oder des Arbeitnehmers stellen sich immer auch arbeitsrechtliche Fragen. Diese betreffen die Entgeltfortzahlung, aber auch drohende Abmahnungen oder gar KĂŒndigungen, wenn Mitarbeiter wegen eines Notfalls nicht zur Arbeit erscheinen können. Beim Notfall im Unternehmen stellen sich Fragen nach der Einhaltung von Arbeitszeiten, d.h. Anordnung von Überstunden und fachfremder TĂ€tigkeiten genauso wie Entgeltfortzahlung fĂŒr Mitarbeiter, die nicht arbeiten können oder dĂŒrfen.

In diesem Artikel “Land unter im Arbeitsrecht” werden diese Themen angesichts der akuten Hochwasserlage aus arbeitsrechtlicher Sicht beleuchtet.

Wichtig sind auch die Ausnahmeregelungen fĂŒr die Mitbestimmungsregelungen nach §87 Abs.1 des Betriebsverfassungsgesetzes sowie des Arbeitszeitgesetzes (ArbZG §14 Außergewöhnliche FĂ€lle) fĂŒr NotfĂ€lle.

MaRisk-Novelle 2012 des BaFin erschienen

Am 14. Dezember 2012 hat das BaFin die endgĂŒltige Fassung der ĂŒberarbeiteten MaRisk fĂŒr Banken (MaRisk BA) veröffentlicht. Der Schwerpunkt der Änderungen liegt in den neuen Modulen AT 4.4.1 (Risikocontrolling-Funktion) und AT 4.4.2 (Compliance-Funktion) sowie in den Änderungen des BTR 3.1 (Verrechnungssystem fĂŒr LiquiditĂ€tskosten, -nutzen und –risiken). Die fĂŒr das Business Continuity Management relevanten Regelungen (insbesondere AT 7.2, 7.3 und AT 9) sind nahezu unverĂ€ndert ĂŒbernommen. Eine detaillierte Auflistung der VerĂ€nderungen wird vom BaFin zur VerfĂŒgung gestellt. Die neue Fassung der MaRisk tritt mit dem 01.01.2013 in Kraft. “Um den Instituten trotzdem ausreichende UmsetzungszeitrĂ€ume einzurĂ€umen, sind Anforderungen, die im MaRisk-Kontext neu sind und nicht lediglich Klarstellungen ohnehin schon vorhandener Anforderungen darstellen, bis zum 31.12.2013 umzusetzen.”

Konsultation des BaFin fĂŒr das “Testament” systemrelevanter Banken

Die Bundesanstalt fĂŒr Finanzdienstleistungsaufsicht BaFin hat den “Entwurf eines Rundschreibens zu Mindestanforderungen an die Ausgestaltung von SanierungsplĂ€nen” veröffentlicht (MaSan). Als systemrelevant definierte Banken haben auf der Grundlage des §25a KWG einen Sanierungsplan zu erstellen. Dieser muß diese Institute in KrisenfĂ€llen in die Lage versetzen, die ÜberlebensfĂ€higkeit ohne den Verlust von Steuergeldern zu sichern. Die Kreditinstitute haben hierzu in ihrem “Testament” Handlungsoptionen zu beschreiben, um die FinanzstĂ€rke sicher- und wiederherzustellen, wenn Belastungsszenarien eintreten. Hierzu sind auch die wesentlichen und systemrelevanten GeschĂ€ftsaktivitĂ€ten zu identifizieren und nachvollziehbar zu begrĂŒnden. Dies schreit geradezu nach einer Business Impact Analyse. Im Kern geht es um den “großen Notfallplan”, der die ÜberlebensfĂ€higkeit des Kreditinstituts bei Finanzmarktkrisen aus sich heraus, ohne staatliche Hilfe, sichern soll. Bis Ende 2013 sind die SanierungsplĂ€ne zu entwickeln und implementieren. Die JahresabschlussprĂŒfer haben den Sanierungsplan jĂ€hrlich zu prĂŒfen und beurteilen. Die fĂŒr die Umsetzung in Krisensituationen  notwendigen Informationen sind jederzeit verfĂŒgbar zu halten. Bei der Erstellung sind alle erforderlichen Organisationseinheiten einzubeziehen.

Innenministerium plant Gesetz zur Meldung von IT-SicherheitsvorfÀllen

Laut einer aktuellen Meldung des Handelsblatts plant Innenminister Friedrich ein Gesetz, das die Betreiber Kritischer Infrastrukturen KRITIS dazu verpflichtet, “erhebliche IT-SicherheitsvorfĂ€lle” zu melden. Daneben soll die Pflicht zur ErfĂŒllung von IT-Sicherheit der Betreiber kritischer Infrastrukturen gesetzlich geregelt werden.

Der Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen nimmt damit konkrete Gestalt an. Es war bereits abzusehen, dass Betreiber kritischer Infrastrukturen stĂ€rker in die Pflicht genommen werden. Ein Gesetz zur Meldepflicht wĂŒrde diesen Prozess deutlich beschleunigen und die Kritis-Betreiber konkret in die Pflicht nehmen. BCM-News hatte hierĂŒber im Oktober 2011 bereits berichtet.

Seveso-III-Richtlinie zum Schutz vor StörfÀllen in Chemieanlagen in Kraft getreten

Am 13. August 2012 ist die Seveso-III Richtlinie in Kraft getreten. Im Amtsdeutsch heisst die “Richtlinie 2012/18/EU zur Beherrschung der Gefahren schwerer UnfĂ€lle mit gefĂ€hrlichen Stoffen”. Bei der Richtlinie handelt es sich um eine Novellierung der Seveso-II-Richtlinie. Die Richtlinie zielt auf den Schutz der Bevölkerung vor StörfĂ€llen in Chemieanlagen.  Betroffen sind in Deutschland etwa zehntausend Industriebetriebe, in denen große Mengen gefĂ€hrlicher Stoffe lagern. Die Betreiber werden in der Richtlinie dazu verpflichtet “alle erforderlichen Maßnahmen zu ergreifen, um schwere UnfĂ€lle zu verhĂŒten und deren Folgen zu mildern und zu beseitigen” (Tz 12). “Domino-Effekte” durch die NĂ€he von Betrieben sollen durch den Austausch von Informationen verringert werden (Tz 14). Der Nachweis ĂŒber die Maßnahmen und NotfallplĂ€ne hat ĂŒber einen Sicherheitsbericht an die zustĂ€ndigen Behörden zu erfolgen (Tz 15). “Zur Sicherung der Notfallbereitschaft (…) mĂŒssen interne und externe NotfallplĂ€ne aufgestellt und Verfahren aufgestellt werden, die sicherstellen, dass diese PlĂ€ne erprobt und erforderlichenfalls ĂŒberarbeitet werden …”. Zum internen Notfallplan soll das Personal gehört werden, zum externen Notfallplan die Öffentlichkeit (Tz 16). Die Politik muss in den FlĂ€chennutzungsplanungen fĂŒr angemessene AbstĂ€nde sorgen (Tz 18). Bei Eintreten eines schweren Unfalls muss der Betreiber unverzĂŒglich die zustĂ€ndige Behörde informieren (Tz 22). Die Mitgliedsstaaten haben die EU-Kommission ĂŒber schwere UnfĂ€lle zu unterrichten (Tz 29).

Quelle: Seveso-III Richtlinie (pdf)