Zur Navigation springen Zum Inhalt springen Zum Footer springen

ISO 27001 – eine Unterstützung zur Umsetzung des IT-Sicherheitsgesetzes?

(5)

Das IT-Sicherheitsgesetz ist ein am 25.7.2015 in Kraft getretenes Gesetz und resultiert aus der im Februar 2011 beschlossenen Cyber-Sicherheitsstrategie.

Mit dem IT-Sicherheitsgesetz sollen die Betreiber besonders gefährdeter Infrastrukturen (so genannte kritische Infrastrukturen) wie Energie, Wasser, Gesundheit oder Telekommunikation verpflichtet werden, ihre Netze besser vor Hackerangriffen zu schützen.

Welche Unternehmen konkret als kritische Infrastrukturen nach dem Willen des Gesetzgebers gelten sollen, beschreibt der Referentenentwurf einer Verordnung zur Bestimmung „Kritischer Infrastrukturen“ (BSI-Kritis-V) für die für die Wirtschaftsbereiche Energie, Ernährung, und Wasser sowie teilweise Informationstechnik/Telekommunikation.

Als Bemessungsgrundlage wird auf die so genannte 500.000er Regel zurückgegriffen:

Sind jeweils 500.000 oder mehr Adressaten von einer Versorgungsleistung betroffen, so gilt das Unternehmen als Betreiber einer kritischen Infrastruktur, mit den entsprechenden Verpflichtungen aus dem IT Sicherheitsgesetz.

Die Notwendigkeit der sich aus dem Gesetz ergebenden Meldepflicht, so der Gedanke der Bundesregierung, ist für alle Beteiligten eine so genannte „win-win“-Situation:

Zusammengefasste Informationen können ausgewertet und den Adressaten zur Verbesserung der eigenen Systeme wieder zur Verfügung gestellt werden.

Aus den gesetzlichen Regelungen ergibt sich für die Unternehmen eine Aufsichtspflicht, die gesamte IT Landschaft des Unternehmens nach dem neuesten Stand der Technik zu betreiben.

Unternehmen, die eine IT-Sicherheit gewährleisten wollen, brauchen systematische Prozesse. Ein ISMS hilft dabei, die Risiken zu minimieren und die Verfügbarkeit der Prozesse zu optimieren.

Verfahren dieser Überwachung können mit Hilfe eines Managementsystem (ISO27001-BSI-Grundschutz) schon jetzt implementiert und zertifiziert werden.

Durch ein ISMS kann dem Unternehmen eine systematische IT Sicherheit gewährleistet werden, da ein Informations-Sicherheits-Management System ein ganzheitliches, standardisiertes System vorgibt, welches definierte Regeln und Prozesse, Steuerungsmechanismen und Kontrollen vorgibt.

Ein Prüfzertifikat bescheinigt einem Unternehmen, dass es sich ein hohes Sicherheitsniveau geben möchte, welches auch von externer Seite angemessen kontrolliert, verbessert und überwacht wird. Zertifizierte Unternehmen sind häufig effizienter in der Lage, mit IT Sicherheitsvorfällen im Unternehmen umgehen zu können.


Rechtstipp vom 24.11.2016
aus der Themenwelt Management und Verträge und dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Alle Rechtstipps von Rechtsanwalt Thomas Feil (Feil Rechtsanwaltsgesellschaft mbH)