IT-Sicherheitsgesetz in Deutschland

Sie als Administratoren tragen am Ende des Tages – nachdem viele sich an grünen Tischen die Köpfe haben rauchen lassen – die praktischen Auswirkungen des IT-Sicherheitsgesetzes, jedenfalls mal zu einem guten Teil, wenn es um die tatsächliche Arbeit geht. Das sind

- die praktischen Maßnahmen zur IT-Sicherheit,

- die Meldungen von möglichen oder tatsächlichen Bedrohungen und von tatsächlichen Brüchen der Sicherheit und

- die Informationen, die Sie vom BSI erhalten werden und die bei Ihnen dazu führen sollen, dass Sie die von Ihnen betreuten Systeme besser schützen.

Zielgruppen und notwendige Maßnahmen

Das Gesetz stellt auf mehrere verschiedene Zielgruppen ab, die verpflichtet werden, abgestuft nach ihrer Bedeutung für die Gesellschaft in Deutschland, bestimmte Handlungen vorzunehmen, um die Sicherheit zu erhöhen. Die Zielgruppen sind:

- Betreiber kritischer Infrastrukturen,

- Betreiber von Atomanlagen,

- Betreiber von Energieanlagen oder von Energieversorgungsnetzen, wenn sie als kritische Infrastruktur bestimmt wurden,

- Diensteanbieter nach dem Telemediengesetz (das trifft also sehr viele),

- Anbieter eines öffentlichen Telekommunikationsnetzes sowie

- Anbieter von öffentlich zugänglichen Telekommunikationsdiensten.

Die Maßnahmen, die durchgeführt werden müssen, unterscheiden sich je nach Zielgruppe. Folgende Maßnahmen gelten jetzt zusätzlich zu möglicherweise schon bestehenden gesetzlichen Verpflichtungen (siehe Tabelle "Sicherheitsmaßnahmen"):

1. Einhaltung eines Mindestniveaus an IT-Sicherheit,

2. Sicherung (im Sinne von IT-Sicherheit) technischer Einrichtungen durch Maßnahmen nach dem Stand der Technik,

3. Nachweis der Erfüllung der Einhaltung eines Mindestniveaus an IT-Sicherheit durch Sicherheitsaudits,

4. Einrichtung und Aufrechterhaltung von Verfahren zur Meldung

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.