Das Informationssicherheitsgesetz (IT-SiG) – was jetzt?

Das vom Bundestag in 2015 verabschiedete IT-SiG zielt in erster Linie auf die Erhöhung der Informationssicherheit bei Unternehmen, die zu den kritischen Infrastrukturen, kurz KRITIS, zählen. Dazu gehören Unternehmen aus den Branchen Energieversorgung, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanzwesen und Versicherungen sowie Gesundheit und Lebensmittel.

Diese Unternehmen sind unmittelbar vom neuen Gesetz betroffen und müssen als unmittelbare und erste Maßnahme innerhalb der nächsten sechs Monate eine Kontaktstelle für das Bundesamt für Sicherheit in der Informationstechnik benennen, und innerhalb von zwei Jahren die teilweise noch zu definierenden Mindeststandards umgesetzt haben. Aktuell gibt es lediglich für die Energieversorger klare Vorgaben der Bundesnetzagentur, die im Rahmen des sog. IT-Sicherheitskataloges veröffentlicht sind . Für die anderen Branchen werden zeitnah konkrete, mit dem jetzigen IT-Sicherheitskatalog vergleichbare, Anforderungen erwartet.

Die konkrete Zuordnung von Unternehmen zu den kritischen Infrastrukturen ist nach wie vor noch unklar. Eine exakte Definition Kritischer Infrastrukturen liegt allerdings noch nicht vor und somit ist der konkrete Geltungsbereich des Gesetzes noch offen. Erst wenn das BMI dies festgelegt hat, wird deutlich werden, welche Unternehmen unmittelbar betroffen sein werden. Schätzungen des BMI gehen von ca. 2000 meldepflichtigen Betreibern Kritischer Infrastrukturen aus. Diese Anzahl von unmittelbar betroffenen Unternehmen wird voraussichtlich sich noch wesentlich erhöhen durch mittelbar vom Gesetz betroffener Unternehmen. Dies ergibt sich schon alleine daraus, dass die direkt vom Gesetz betroffenen Unternehmen voraussichtlich vergleichbare Anforderungen an ihre Zulieferer und Dienstleister stellen werden, um den Anforderungen des Abschnittes 15 der ISO 27002:2014 (Informationssicherheit bei Lieferantenbeziehungen) gerecht zu werden. Dies macht die Automobilindustrie bereits vor, indem die Automobilhersteller ihre Zulieferer auditieren und dabei den vom VDA erstellten Prüfkatalog, der sehr eng angelehnt an die ISO 27001 ist, nutzen und entsprechende Maßnahmen bei ihren Zulieferern einfordern.

Alleine durch diese Anforderung erhöht sich die Anzahl von vom IT-SiG betroffenen Unternehmen um ein Vielfaches. Zulieferer oder Dienstleiter für Unternehmen, die zu den Kritischen Infrastrukturen zählen, sollten frühzeitig den Kontakt zu ihren Kunden suchen und überlegen, ob ein langsamer, aber kontinuierlicher Aufbau eines eigenen Informationssicherheitsmanagement-Systems (ISMS) auf Basis der ISO 27001 Sinn macht um nicht von möglichen Anfragen oder Audits überrascht und kalt erwischt zu werden. Der IT Sicherheitskatalog verpflichtet Strom- und Gasnetzbetreiber bereits jetzt zur Umsetzung IT sicherheitstechnischer Mindeststandards. Kernforderung ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27001 sowie dessen Zertifizierung bis zum 31. Januar 2018.

Unternehmen, die bereits jetzt zu den Kritischen Infrastrukturen zählen, sollten spätestens jetzt mit der Planung und Einführung eines ISMS beginnen und nicht die Frist von zwei Jahren ausreizen. Die Aufgaben, Aufwände und umzusetzenden Maßnahmen zur Einführung eines ISMS und dessen Zertifizierung innerhalb von zwei Jahren, besonders, wenn bisher keinerlei Vorarbeiten getätigt wurden, sind nahezu unmöglich in dieser Frist zu realisieren.

Die Aufwände und internen Widerstände einer ISO 27001 Einführung und/oder Zertifizierung werden zumeist unterschätzt und sind ohne externe Hilfe mit fundierten Kenntnissen der ISO-Methodik im vorgesehenen Zeitraum, wenn überhaupt, nur schwer erreichbar. Hinzu kommt, dass durch die hohe Anzahl an unmittelbar und mittelbar betroffenen Unternehmen entsprechend erfahrenen Beratungsunternehmen mit freien Kapazitäten rar werden. Betroffene Unternehmen sollten sich daher schnellstmöglich mit dem IT-SiG vertraut machen und mit der Planung und Umsetzung notwendiger Maßnahmen beginnen.