Das IT-Sicherheitsgesetz verstehen: Was Unternehmen wissen müssen

Die digitale Transformation schreitet rasant voran, und mit ihr wachsen auch die Cyberbedrohungen. Für Unternehmen in Deutschland, insbesondere im Gesundheitswesen, der Fertigung und bei kritischen Infrastrukturen, ist es unerlässlich, die gesetzlichen Rahmenbedingungen zur IT-Sicherheit zu verstehen und umzusetzen.

A. Was ist ein IT-Sicherheitsgesetz?

Ein IT-Sicherheitsgesetz, wie es in Deutschland existiert, ist ein Gesetz, das darauf abzielt, die digitale Infrastruktur und die Daten von Unternehmen und kritischen Infrastrukturen (KRITIS) vor Cyberangriffen zu schützen. Es legt Mindeststandards für die IT-Sicherheit fest, verpflichtet zur Meldung von Sicherheitsvorfällen und stärkt die Befugnisse der zuständigen Behörden, wie des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Wer ist vom IT-Sicherheitsgesetz betroffen?

Das IT-Sicherheitsgesetz hat einen breiten Anwendungsbereich, der sich über verschiedene Sektoren und Unternehmensgrößen erstreckt. Ursprünglich konzentrierte sich das IT-Sicherheitsgesetz 1.0 primär auf die Betreiber Kritischer Infrastrukturen (KRITIS). Dazu gehören Unternehmen, die in Sektoren wie:

• Energieversorgung,

• Wasserversorgung,

• Ernährung, Gesundheit,

• Finanz- und Versicherungswesen,

• Transport und Verkehr sowie

• Informationstechnik und Telekommunikation tätig sind und deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf die Gesellschaft hätte.
  
  

B. Was beinhaltet das IT-Sicherheitsgesetz?

Das IT-Sicherheitsgesetz, insbesondere in seiner aktuellen Version 2.0, ist ein umfassendes Regelwerk, das darauf abzielt, die digitale Souveränität und Sicherheit Deutschlands zu stärken. Es beinhaltet eine Reihe von Verpflichtungen und Maßnahmen, die für die betroffenen Unternehmen und Organisationen bindend sind. Im Kern geht es um die Erhöhung der Resilienz gegenüber Cyberangriffen. Dazu zählen insbesondere:

• Definition und Erweiterung der Kritischen Infrastrukturen (KRITIS): Das Gesetz legt fest, welche Sektoren und Anlagen als kritische Infrastrukturen gelten (z.B. Energie, Wasser, Gesundheit, Finanzwesen) und erweitert den Kreis der betroffenen Unternehmen, um auch "Unternehmen im besonderen öffentlichen Interesse" einzuschließen, wie etwa Rüstungsunternehmen oder Unternehmen mit hohem volkswirtschaftlichen Wert.

• Anforderungen an die IT-Sicherheit: Für die Betreiber von KRITIS und Unternehmen im besonderen öffentlichen Interesse werden Mindestanforderungen an die technische und organisatorische IT-Sicherheit festgelegt. Dazu gehört die Implementierung angemessener Schutzmaßnahmen, die sich am Stand der Technik orientieren. Das umfasst unter anderem die Absicherung von Netzwerken und Systemen, die Anwendung von Verschlüsselungstechnologien wie der symmetrischen Verschlüsselung, die Implementierung von Zugriffssteuerungen und die Durchführung regelmäßiger Sicherheitsaudits.

• Meldepflichten bei IT-Sicherheitsvorfällen: Unternehmen sind verpflichtet, erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Dies ermöglicht dem BSI, ein umfassendes Lagebild zu erstellen, Warnungen herauszugeben und bei der Abwehr von Angriffen zu unterstützen. Die Meldepflicht dient auch der besseren Koordination und dem Informationsaustausch zwischen den Akteuren.

• Befugnisse des BSI: Das Gesetz stärkt die Rolle des BSI als zentrale Cyber-Sicherheitsbehörde. Es erhält erweiterte Befugnisse, um Sicherheitslücken zu identifizieren, Unternehmen bei der Behebung zu unterstützen und im Falle von gravierenden Cyberangriffen auch Anordnungen treffen zu können. Zudem betreibt das BSI die zentrale Anlaufstelle für IT-Sicherheitsmeldungen und stellt Informationen und Empfehlungen bereit.

• Vorgaben für Produkte und Dienste: Das IT-Sicherheitsgesetz 2.0 führt auch Bestimmungen für Produkte mit Sicherheitsfunktionen ein, um deren Integrität und Vertrauenswürdigkeit zu gewährleisten. Dies ist besonders relevant für Hersteller von Hard- und Software, die in kritischen Infrastrukturen zum Einsatz kommen.

• Bußgeldregelungen: Bei Nichteinhaltung der gesetzlichen Vorgaben, insbesondere bei fehlenden oder unzureichenden Sicherheitsmaßnahmen oder der Nichtmeldung von Vorfällen, können empfindliche Bußgelder verhängt werden. Dies soll die Einhaltung der Bestimmungen sicherstellen und die Verantwortlichkeit der Unternehmen betonen.

Zusammenfassend lässt sich sagen, dass das IT-Sicherheitsgesetz einen Rahmen schafft, der die digitale Widerstandsfähigkeit Deutschlands signifikant verbessern soll, indem es klare Regeln und Verantwortlichkeiten für den Schutz sensibler Daten und kritischer Systeme festlegt.

C. Wie viele IT-Sicherheitsgesetze gibt es?

Im Kontext Deutschlands sprechen wir hauptsächlich von zwei wichtigen Iterationen des IT-Sicherheitsgesetzes: dem IT-Sicherheitsgesetz 1.0 und dem IT-Sicherheitsgesetz 2.0. Diese bilden die zentralen Säulen der deutschen Cybersicherheitsstrategie. Es ist jedoch wichtig zu verstehen, dass die IT-Sicherheitslandschaft komplexer ist und über diese beiden Hauptgesetze hinausgeht. Neben den IT-Sicherheitsgesetzen gibt es eine Reihe weiterer Verordnungen, Richtlinien und Gesetze, die die IT-Sicherheit betreffen und die Unternehmen ebenfalls berücksichtigen müssen.

Dazu gehören beispielsweise spezifische branchenspezifische Regelungen, wie sie im Datenschutzrecht (z.B. die Datenschutz-Grundverordnung – DSGVO) oder in Sektoren wie dem Gesundheitswesen (z.B. Regelungen zur Telematikinfrastruktur) zu finden sind. Auch die EU-weite NIS2-Richtlinie wird in naher Zukunft weitere Anpassungen im nationalen Recht erfordern und somit die bestehenden Gesetze ergänzen und erweitern. Im Kern sind das IT-Sicherheitsgesetz 1.0 und 2.0 jedoch die maßgeblichen Rahmenwerke, die die grundlegenden Anforderungen an die IT-Sicherheit in Deutschland festlegen.

D. IT-Sicherheitsgesetz 1.0 vs. IT-Sicherheitsgesetz 2.0

Das IT-Sicherheitsgesetz 1.0, in Kraft getreten im Jahr 2015, legte den Grundstein für die Regulierung der IT-Sicherheit in Deutschland. Es fokussierte sich primär auf die Betreiber kritischer Infrastrukturen und verpflichtete diese zur Umsetzung eines Mindestniveaus an IT-Sicherheit und zur Meldung relevanter IT-Sicherheitsvorfälle an das BSI.

Das IT-Sicherheitsgesetz 2.0, das 2021 in Kraft trat, ist eine deutliche Weiterentwicklung und Verschärfung. Es erweitert den Kreis der regulierten Unternehmen erheblich, schließt nun auch "Unternehmen im besonderen öffentlichen Interesse" ein und erhöht die Anforderungen an die IT-Sicherheit für KRITIS-Betreiber. Ein zentraler Punkt ist die verstärkte Rolle des BSI als zentrale Meldestelle und die Einführung von Bußgeldern bei Nichteinhaltung. Für die Absicherung sensibler Daten und Systeme spielt hierbei die symmetrische Verschlüsselung eine entscheidende Rolle. Bei der symmetrischen Verschlüsselung wird derselbe Schlüssel sowohl zum Ver- als auch zum Entschlüsseln von Daten verwendet. Dies ermöglicht eine effiziente und schnelle Absicherung großer Datenmengen, was insbesondere für den Schutz von Patientendaten im Gesundheitswesen oder Betriebsgeheimnissen in der Fertigung von Bedeutung ist.

E. IT-Sicherheitsgesetz und NIS2: Die Verbindung

Die NIS2-Richtlinie (Network and Information Security 2) der Europäischen Union ist ein weitreichender Rechtsakt, der die Cybersicherheit in der gesamten EU stärken soll. Sie löst die ursprüngliche NIS-Richtlinie ab und erweitert den Anwendungsbereich auf deutlich mehr Sektoren und Unternehmen.

Das deutsche IT-Sicherheitsgesetz ist eng mit den Anforderungen der NIS2-Richtlinie verbunden. Viele der im IT-Sicherheitsgesetz 2.0 etablierten Regelungen dienen bereits der Umsetzung oder Vorbereitung auf die NIS2-Vorgaben. Wenn die NIS2-Richtlinie vollständig in nationales Recht umgesetzt wird, wird sie weitere Anpassungen und Präzisierungen im deutschen IT-Sicherheitsrecht nach sich ziehen. Für Unternehmen bedeutet dies, dass sie sich nicht nur auf die nationalen Gesetze konzentrieren müssen, sondern auch die europäischen Entwicklungen im Blick behalten sollten, um Compliance zu gewährleisten und ihre Systeme umfassend zu schützen.

Die Kenntnis und Umsetzung der Anforderungen des IT-Sicherheitsgesetzes ist für alle IT-Spezialisten und Unternehmen in Deutschland von höchster Bedeutung. Es ist ein dynamisches Feld, das ständige Aufmerksamkeit erfordert, um den aktuellen Bedrohungen begegnen und die digitale Zukunft sicher gestalten zu können.