Zur Navigation springen Zum Inhalt springen Zum Footer springen

IT-Sicherheitsgesetz: Stand der Technik, wann und wie?

(4)

Das IT-Sicherheitsgesetz ist ein am 25.07.2015 in Kraft getretenes Gesetz und resultiert aus der im Februar 2011 beschlossenen Cyber-Sicherheitsstrategie der Bundesregierung.

Mit dem IT-Sicherheitsgesetz sollen die Betreiber besonders gefährdeter kritischer Infrastrukturen und ihre Netze besser vor Hackerangriffen geschützt werden.

Gem. der BSI-KritisV sind die Wirtschaftsbereiche Energie, Ernährung, und Wasser sowie teilweise Informationstechnik/Telekommunikation betroffen, soweit 500.000 oder mehr Adressaten von einer Versorgungsleistung des Unternehmens betroffen sind.

Aus den gesetzlichen Regelungen ergibt sich für die Unternehmen eine Pflicht, die gesamte IT-Landschaft des Unternehmens nach dem neuesten Stand der Technik zu betreiben.

Die Pflicht zur Einhaltung von IT-Sicherheitsstandards (Stand der Technik), besteht erst zwei Jahre nach Inkrafttreten der Verordnung, aus der der Kreis der konkret betroffenen Unternehmen ermittelt werden kann.

Konsequenterweise drohen auch erst dann Bußgelder, wenn der gesetzlichen Pflicht nicht nachgekommen wird.

Der „Stand der Technik“ ist ein gängiger juristischer Begriff. Die technische Entwicklung ist schneller als die Gesetzgebung. Daher hat es sich in vielen Rechtsbereichen seit Jahren bewährt, in den Gesetzen auf den „Stand der Technik“ abzustellen, statt zu versuchen, konkrete technische Anforderungen bereits im Gesetz festzulegen.

Was jetzt und gerade oder zu einem in der Zukunft liegenden Zeitpunkt „Stand der Technik „ist, kann man beispielhafter Weise an den existierenden Standards und Normen (DIN, ISO, etc.) verdeutlichen. Aufgrund der Vielschichtigkeit von technischen Maßnahmen, die je nach konkreter Fallgestaltung oder dem Anforderungsprofil des Unternehmens sich evident unterscheiden, ist es nicht möglich, diesen Begriff allumfassend und vollständig zu beschreiben. Er wird tendenziell konkret individuell zu definieren und zu beschreiben sein.

Das BS I stellt ebenfalls fest, dass es nicht möglich ist, den Terminus „Stand der Technik“ allgemeingültigen abschließen zu definieren. Für die vom IT Sicherheitsgesetz direkt und indirekt betroffenen Unternehmen bedeutet dies, dass eine Vielzahl von allgemeinen und branchenspezifischen Normen und Standards einzuhalten, geprüft und gegebenenfalls zertifiziert werden müssen, um die Einhaltung selbst und die erforderlichen Nachweise der Erfüllung der gesetzlichen Pflichten rechtskonform darstellen zu können.

Die branchenspezifischen Mindeststandards für die Informationssicherheit werden dabei flankiert durch die Anforderungen an ein Management System für Informationssicherheit sowie eine Meldepflicht für Unternehmen gegenüber Kunden und dem BSI.


Rechtstipp vom 30.11.2016
aus dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Alle Rechtstipps von Rechtsanwalt Thomas Feil (Feil Rechtsanwaltsgesellschaft mbH)

Damit Sie wissen, wann Sie im Recht sind

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.