IT-Sicherheitsgesetz

Das IT-SiG regelt u. a., dass Betreiber (Unternehmen) sogenannter kritischer Infrastrukturen (KRITIS) ein Mindestniveau an IT-Sicherheit und Sicherheitsorganisation nachweisen müssen. Gleichzeitig sind Sicherheitsvorfälle in der IT zu detektieren, zu ermitteln und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Ziel des Gesetzes ist es, die Versorgung der Bundesrepublik sicherzustellen und kritische Unternehmensprozesse unabhängig betreiben zu können. Dieses Gesetz gilt für Unternehmen, die kritische Infrastrukturen (KRITIS) haben. Die branchenspezifischen Definitionen einer "kritischen Infrastruktur" werden derzeit vom Bundesministerium des Inneren (BMI) festgelegt und anschließend per Verordnung (UV KRITIS) kommuniziert. Dies soll bis Ende 2015 erfolgen.

Ein Verstoß gegen das Gesetz wird mit Geldstrafen bestraft, die sich ggf. auch im 6stelligen Eurobereich bewegen können. Das IT-SiG gilt sowohl für bereits jetzt regulierte Institutionen wie z. B. die Bundesnetzagentur oder die Bundesanstalt für Finanzdienstleistungsaufsicht, aber auch für jedes Unternehmen, das mehr als 10 Mitarbeiter oder einen Jahresumsatz von mehr als 2 Mio. Euro hat. Dienstleister und Unterlieferanten eines KRITIS-Unternehmens müssen automatisch die Bedingungen des IT-SiG erfüllen.

Wichtig ist es zu wissen, dass ein Unternehmen nachweisen muss, dass es nicht relevant für die Regularien des IT-Sicherheitsgesetzes ist. Handelt es sich um ein KRITIS-Unternehmen muss die Einhaltung der gesetzlichen Vorgaben mittels eines Audits erstmalig zu Ende 2017 und dann alle 2 Jahre bestätigt werden.

Welche Branchen sind vom IT-SiG betroffen?

• Energie
• Gesundheit
• Informationstechnik & Telekommunikation
• Transport und Verkehr
• Wasser
• Finanz- und Versicherungswesen
• Ernährung

Data Center Group
Data Center Group
proRZ
RZingcon
SECUrisk
RZservice
RZproducts
Direktkontakt