IT-Sicherheitsgesetz: Wen betrifft es,

Ähnliche Dokumente
Das IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert

Das neue it-sicherheitsgesetz - segen oder fluch? Jens Marschall Deutsche Telekom AG, Group Security Governance

IT-Sicherheitsgesetz:

Umsetzung IT-SiG in den Ländern

Das IT-Sicherheitsgesetz

IT-Sicherheitsgesetz

Einblick ins IT-Sicherheitsgesetz. Monika Sekara Rechtsanwältin in Hamburg Fachanwältin für IT-Recht

Die Bedeutung des IT- Sicherheitsgesetzes für den Straßenverkehr

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)

Entwurf zum IT-Sicherheitsgesetz

IT-Sicherheitsgesetz & IT-Sicherheitskatalog Status Quo und neue Herausforderungen. Referent: Christian Bruns

Entwurf zum IT-Sicherheitsgesetz

DAS NEUE IT-SICHERHEITSGESETZ

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen

IT-Sicherheitsgesetz: Haben Sie was zu melden?

TÜV NORD CERT Normenkompass 2016/17

Die Zukunft der IT-Sicherheit

Das IT-Sicherheitsgesetz

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)*

IT-Sicherheit in der Praxis

IT-Sicherheitsgesetz.

Informationssicherheit-Managementsystems (ISMS) mehr als IT-Sicherheit

Was sieht das Gesetz vor?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Deutscher Bundestag Drucksache 18/5122. Bericht. 18. Wahlperiode des Haushaltsausschusses (8. Ausschuss) gemäß 96 der Geschäftsordnung

IT-Sicherheitsgesetz:

Rechtliche Anforderungen an die IT-Sicherheit in der Energiewirtschaft

Synopse Entwürfe IT-Sicherheitsgesetz Stand

BITMi Stellungnahme zum

Eckpunkte IT-Sicherheitsgesetz (Leseprobe / Auszug) Rechtsberatung. Steuerberatung. Luther.

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Synopse Entwürfe IT-Sicherheitsgesetz Stand

Auswirkungen des IT-Sicherheitsgesetzes auf Krankenhäuser

IT Sicherheit nach dem neuen IT Sicherheitsgesetz

CERT-Bund, dem IT-Lagezentrum sowie in besonderen Einzelfällen auch in dem

Dokument Nr. 4.1/ Stand:

Nationale und internationale Rahmenbedingungen Dr. Dennis Kenji Kipker

IT-Sicherheitsgesetz und nun?

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag

Allianz für Sicherheit der Wirtschaft e.v. - ASW Bundesverband. TeleTrusT/ASW-Workshop "IT-Sicherheit in der Wirtschaft" Berlin,

Stellungnahme. des Gesamtverbandes der Deutschen Versicherungswirtschaft

Gesetzentwurf der Bundesregierung

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)

IT Sicherheit für Industrieanlagen unter Berücksichtigung des IT Sicherheitsgesetzes

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Das neue IT-Sicherheitsgesetz

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

IT-Sicherheit wichtiges Ziel Referentenentwurf. weist noch Schwächen

Der modernisierte IT-Grundschutz: Chancen für den Branchenstandard Dr. Ludger Terhart, Emschergenossenschaft/ Lippeverband Mitglied im

An den Bundestagsausschuss für Inneres

Auswirkungen des IT- Sicherheitsgesetzes auf die Betreiber von kritischen Infrastrukturen

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)

Auf Grund des 19 des Arbeitsschutzgesetzes vom 7. August 1996 (BGBl. I S. 1246) verordnet die Bundesregierung: 1 Ziele; Begriffe

RmCU V 4.0 DIN Rail RmCU V 3.4 DIN Rail / Compact

Messstellenbetriebsgesetz Was kommt auf die landwirtschaftlichen Betriebe zu?

Trends und Prognosen zur IT-Sicherheit. Online-Ausstellerbefragung zur it-sa 2016

Workshop zur 1. Jahreskonferenz des BMBF Förderschwerpunkts IT Sicherheit für Kritische Infrastrukturen

Das IT-Sicherheitsgesetz (IT-SiG)

DIE NEUE IT-SICHERHEITSVERORDNUNG IN DER PRAXIS. Umsetzungspflichten, Standards und Best Practices für die Wasserwirtschaft

BITMi Stellungnahme zum

Häufig gestellte Fragen zum neuen IT-Sicherheitsgesetz

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Informationsrecht

Die Sicherheit von IT-Systemen und digitaler Infrastruktur

SKI- und Cyber-Risiko-Strategie: Risikobetrachtungen und Massnahmen zur Steigerung der Resilienz

Vereinbarung über den elektronischen Datenaustausch (EDI)

Biologische Arbeitsstoffe. Matthias Schillo, Fachkraft für Arbeitssicherheit

Stellungnahme. des Gesamtverbandes der Deutschen Versicherungswirtschaft

Zehnte Verordnung zum Geräte- und Produktsicherheitsgesetz (Verordnung über das Inverkehrbringen von Sportbooten GPSGV)

Ingenieur- Dienstleistungen für die Energieversorgung Dipl.-Ing. Gerrit Brunken. nplan engineering GmbH Celler Straße Celle

- Konsequenzen für ecommerce- und epayment-unternehmen

zum Stand der Diskussion

Die Haftung des Geschäftsführers für Organisationsmängel

Deutscher Industrie- und Handelskammertag

An den Vorsitzenden des Innenausschusses des Deutschen Bundestages Herrn Wolfgang Bosbach Platz der Republik Berlin

BSI TR (RESISCAN) Ersetzendes Scannen einfach und sicher

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten?

Aktuelles zur Entwicklung der regulativen Anforderungen an die Medizinprodukteaufbereitung aus juristischer Sicht. Inhalt

Umsetzung von Art. 8 Energieeffizienzrichtlinie Das neue Energiedienstleistungsgesetz

Verordnung über die Untersuchung gefährlicher Ereignisse im Eisenbahnbetrieb

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

Medien als Bestandteil! der kritischen Infrastruktur! Yitzhak Lifshitz, Direktor Konzernsicherheit Axel Springer SE Danzig,

Vom 6. Mai 2003 (GBl. S. 228)

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer. von Wirtschaft und Gesellschaft.

Beschäftigtendatenschutz Worauf müsst ihr achten? Handlungshilfen für Euch. Jörg Schlißke

Die Kombination von Medizinprodukten. SystemCheck

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme

Hamburgisches Gesetz zum Schutz gegen Lärm (Hamburgisches Lärmschutzgesetz - HmbLärmSchG) Vom 30. November 2010

Ein gemeinsamer erechnung-standard für Europa? - Das Zusammenwirken europäischer Vorgaben und nationaler Standards

17. ÖV Symposium 2016 Praxisforum 3: Die E-Rechnung im Kontext des E-Government in NRW

Grundlagen des Datenschutzes und der IT-Sicherheit

Staatliche Förderung der strukturellen Weiterentwicklung kommunaler Familienbildung und von Familienstützpunkten

E-Government 2.0 Intention, Status und Fortschrittsbericht

Sozioökonomische Dienstleistungsinfrastrukturen

Workshop zu Praxisfragen des IT-Sicherheitsrechts

Allgemeine Verwaltungsvorschrift der Bundesregierung

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)

Der Nationale Normenkontrollrat hat den Regelungsentwurf geprüft.

Folie 1 NABK. Niedersächsische Akademie. Lehrgang Digitalfunk. Rechtliche Grundlagen. Rechtliche Grundlagen im Digitalfunk

Transkript:

Das neue IT-Sicherheitsgesetz: Wen betrifft es, was ist zu tun? 2. Tag der IT-Sicherheit Saarbrücken, www.prego-services.de

Der Rechtsrahmen Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT- Sicherheitsgesetz) ist am 25. Juli 2015 in Kraft getreten, ist ein wesentlicher Baustein und eines der ersten konkreten Ergebnisse der Digitalen Agenda der Bundesregierung. Ziel des Gesetzes ist eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland; dies soll erreicht werden durch die Verbesserung der IT-Sicherheit (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität) von Unternehmen, einen verstärkten Schutz von Bürgern im Internet, die Stärkung des BSI und des BKA. Das IT-Sicherheitsgesetz ist ein Artikelgesetz mit dem einzelne Vorschriften des BSI- Gesetzes, des Atomgesetzes, des Energiewirtschaftsgesetzes, des Telemediengesetzes, des Telekommunikationsgesetzes und weiterer Gesetze geändert werden. Seite 2

Wen betrifft es? Der Ausgangspunkt Sektoren nach BSI-Gesetz Energie Informationstechnik und Telekommunikation Transport und Verkehr Gesundheit Wasser Ernährung Finanz- und Versicherungswesen Sektoren 'Staat und Verwaltung' und 'Medien und Kultur' nicht vom IT-Sicherheitsgesetz betroffen Seite 3

Wen betrifft es? Eine noch offene Aufgabe Kritische Infrastrukturen Gesetzentwurf: maximal 2.000 Unternehmen Seite 4 Umsetzung in zwei Körben Korb 1: Energie Informationstechnik und Telekommunikation Wasser Ernährung Korb 2: Transport und Verkehr Gesundheit Finanz- und Versicherungswesen

Rechtsverordnung nach 10 BSI-Gesetz Qualitative Kriterien Wird eine für die Gesellschaft kritische Dienstleistung erbracht? Sicherheit für Leib, Leben, Gesundheit und Eigentum Identifizierung kritischer Dienstleistungen in den Sektoren Identifizierung von Anlagenund Einrichtungstypen nach Prozessschritten einer kritischen Dienstleistung Betreiber kritischer Infrastrukturen Quantitative Kriterien Gibt es wesentliche Folgen für wichtige Schutzgüter und die Funktionsfähigkeit des Gemeinwesens? Versorgungsgrad Bildung spezifischer Schwellenwerte Zuordnung quantitativer Kriterien zu den Anlagenund Einrichtungstypen Bildung von Schwellenwerten je Dienstleistung und Anlagen- und Einrichtungstyp Seite 5

Exemplarisch*: Sektor Wasser Sektor Sektor Wasser Dienstleistungen Trinkwassergewinnung Abwasserentsorgung Prozessschritte Gewinnung Aufbereitung Gewinnungsanlage Aufbereitungsanlage Kriterium Anlagen Wasserwerk Wasseraufkommen/Jahr * nach einem Arbeitspapier des BSI Seite 6

Was ist zu tun? Allgemeine Regelung: BSI-Gesetz Umsetzung Pflicht zur Einhaltung eines Mindestniveaus an IT- Sicherheit (organisatorische und technische Vorkehrungen nach Stand der Technik) ggf. branchenspezifische Sicherheitsstandards spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung Überprüfung Geeigneter Nachweis der Umsetzung durch Sicherheitsaudits, Prüfungen oder Zertifizierungen mindestens alle zwei Jahre Kommunikation Meldung Benennung einer Kontaktstelle zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung und Koordinierung der Zusammenarbeit zum Schutz der Sicherheit Unverzügliche Meldung erheblicher Sicherheitsvorfälle an das BSI (grundsätzlich anonym; Nennung Betreiber nur bei tatsächlichen Ausfällen oder Beeinträchtigungen) sechs Monate nach Inkrafttreten der Rechtsverordnung sechs Monate nach Inkrafttreten der Rechtsverordnung Vorsätzliche oder fahrlässige Verletzung der Pflichten ist eine Ordnungswidrigkeit nach 14 BSIG Seite 7

Was ist zu tun? Sonderfälle AtomG TelemedienG EnergiewirtschaftsG TelekommunikationsG Nicht in den Anwendungsbereich fallen Kleinstunternehmen im Sinne der Empfehlung der Europäischen Kommission (weniger als 10 Mitarbeiter und Jahresumsatz/ Jahresbilanzsumme höchstens 2 Mio. EUR) Nicht in den Anwendungsbereich fallen Betreiber Kritischer Infrastrukturen, die aufgrund von Rechtsvorschriften vergleichbare oder weitergehende Anforderungen erfüllen müssen (möglicher erster Anwendungsfall: Telematikinfrastruktur im Gesundheitswesen) Vorrangige Sonderregelungen ergeben sich aus den nebenstehenden Gesetzen Seite 8

Sonderregelung Atomgesetz Umsetzung Überprüfung Kommunikation Regelungen im Atomgesetz einschließlich darauf beruhender Rechtsverordnungen mit dem untergesetzlichen Regelwerk sind gleichwertig zu den Anforderungen des BSI-Gesetzes Erfüllung der IT-Sicherheitsanforderungen im Rahmen der Gewährleistung der nuklearen Sicherheit und Sicherung kerntechnischer Anlagen bestehende Pflichten Meldung Unverzügliche Meldung erheblicher Sicherheitsvorfälle an das BSI Weiterleitung an die zuständigen Genehmigungs- und Aufsichtsbehörden des Bundes und der Länder mit Inkrafttreten des IT-Sicherheitsgesetzes Pflichten bestehen unabhängig von der Einstufung als Kritische Infrastruktur (auch die neue Meldepflicht!) Seite 9

Sonderregelung Energiewirtschaftsgesetz Netzbetreiber Umsetzung Erfüllen der Sicherheitsanforderungen nach einem von der BNetzA erstellten Sicherheitskatalog 'Netz' Umsetzung bis zum 31.01.2018 Überprüfung Geeigneter Nachweis der Umsetzung durch gesondert entwickelte Zertifizierung des verbindlich vorgegebenen Informationssicherheits-Managementsystems im Rahmen der Rezertifizierung Kommunikation Benennung eines Ansprechpartners für IT-Sicherheit bis zum 30.11.2015 Pflichten bestehen unabhängig von Rechtsform und Größe und unabhängig von der Einstufung als Kritische Infrastruktur Seite 10

Sonderregelung Energiewirtschaftsgesetz Betreiber von Energieanlagen nach KRITIS-Rechtsverordnung Umsetzung Erfüllen der Sicherheitsanforderungen nach einem von der BNetzA erstellten Sicherheitskatalog 'Erzeugung' offen Überprüfung Offen wahrscheinlich: Geeigneter Nachweis der Umsetzung durch gesondert entwickelte Zertifizierung des verbindlich vorgegebenen Informationssicherheits- Managementsystems offen Kommunikation Offen wahrscheinlich: Benennung eines Ansprechpartners für IT-Sicherheit offen Pflichten bestehen nur bei Einstufung als Kritische Infrastruktur Seite 11

Sonderregelung Energiewirtschaftsgesetz Netzbetreiber/Betreiber von Energieanlagen nach KRITIS- Rechtsverordnung Meldung Unverzügliche Meldung erheblicher Sicherheitsvorfälle an das BSI Weiterleitung an die Bundesnetzagentur sechs Monate nach Inkrafttreten der Rechtsverordnung Pflichten bestehen nur bei Einstufung als Kritische Infrastruktur auch im Hinblick auf Netzbetreiber Seite 12

Sonderregelung Telemediengesetz 'Sonderfall' Schutz vor unerlaubten Zugriffen auf die genutzten technischen Einrichtungen durch technische und organisatorische Vorkehrungen, die den Stand der Technik berücksichtigen insbesondere geeignet sind Verschlüsselungsverfahren und bei personalisierten Telemedien Authentifizierungsverfahren nur Diensteanbieter, die Telemedien geschäftsmäßig anbieten Einordnung als kritische Infrastruktur ist nicht erforderlich mit Inkrafttreten des IT-Sicherheitsgesetzes Vorsätzliche oder fahrlässige Verletzung der Pflicht ist eine Ordnungswidrigkeit nach 16 TMG Seite 13

Sonderregelung Telekommunikationsgesetz Umsetzung* bestehende Pflichten werden um die Berücksichtigung des 'Stands der Technik' bei der IT-Sicherheit ergänzt Sicherheitsanforderungen der BNetzA künftig im Einvernehmen mit dem BSI mit Inkrafttreten des IT-Sicherheitsgesetzes Überprüfung Kommunikation Meldung Kannvorschrift wird durch Pflicht zur regelmäßigen Überprüfung der Umsetzung ersetzt, die mindestens alle zwei Jahre stattfinden soll Zusätzlich: Information der Nutzer, wenn Störungen von Datenverarbeitungssystemen von diesen ausgehen Hinweis auf technische Mittel zur Abhilfe sofern technisch möglich und zumutbar Erweiterung der bestehenden Meldepflichten gegenüber der BNetzA um IT-Sicherheitsvorfälle Weiterleitung IT-Sicherheitsmeldungen an das BSI mindestens alle zwei Jahre mit Inkrafttreten des IT-Sicherheitsgesetzes mit Inkrafttreten des IT-Sicherheitsgesetzes Seite 14 * Pflichten bestehen für Betreiber öffentlicher Telekommunikationsnetze/Erbringer öffentlich zugänglicher Telekommunikationsdienste Einordnung als kritische Infrastruktur ist nicht erforderlich Vorsätzliche oder fahrlässige Verletzung der Pflichten ist eine Ordnungswidrigkeit nach 149 TKG

Fazit Wegen der rechtlichen Architektur des IT-Sicherheitsgesetzes mit dem Nebeneinander von Alt- und Neuregelungen, dem Nebeneinander von KRITIS-Pflichten und Pflichten, die unabhängig bestehen und den 'noch offenen Baustellen' ist der Umgang mit den Anforderungen für die Beteiligten eine Herausforderung. Weder die Frage 'Wen betrifft es?' noch die Frage 'Was ist zu tun?' kann heute schon abschließend rechtssicher beantwortet werden. Die für die Beantwortung der Frage der Betroffenheit entscheidende KRITIS-Rechtsverordnung nach 10 BSIG soll in zwei Körben im ersten und dritten Quartal 2016 kommen; aktuell werden die erarbeiteten qualitativen und quantitativen Kriterien für eine Abgrenzung mit Behörden, Verbänden und Betroffenen diskutiert. Wir gehen davon aus, dass das zu beachtende Mindestniveau an IT-Sicherheit zeitnah durch die jeweils betroffenen Branchenverbände definiert und mit unterschiedlicher Verbindlichkeit vorgegeben wird. Aktuell schon umzusetzende Rechtspflichten gibt es nur in den Sonderbereichen Atom Energie Telemedien und Telekommunikation. Seite 15

Herzlichen Dank für Ihre Aufmerksamkeit prego services GmbH Kontakt Neugrabenweg 4 66123 Saarbrücken Franz-Zang-Straße 2 67059 Ludwigshafen Fon: +49 (0)681 95943 0 Fax: +49 (0)681 95943 1000 Internet: www.prego-services.de E-Mail: info@prego-services.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback