Risiko & IT
21.07.15

Bis zu 100.000 Euro Bußgeld

5 Antworten zum IT-Sicherheitsgesetz

Von Jakob Eich

Das neue IT-Sicherheitsgesetz ist jetzt auch vom Bundesrat abgesegnet worden – und dürfte die deutschen Unternehmen mehr als eine Milliarde Euro kosten. Das müssen CFOs jetzt wissen.

Durch das IT-Sicherheitsgesetz kommen auf Unternehmen hohe Kosten zu.

fotoyy/iStock/Thinkstock/Getty Images

Durch das IT-Sicherheitsgesetz kommen auf Unternehmen hohe Kosten zu.

Worum geht es beim neuen IT-Sicherheitsgesetz?

Das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“, oder auch IT-Sicherheitsgesetz, soll die deutschen Unternehmen besser vor Hackerangriffen schützen und zwar, indem es Mindeststandards für Unternehmen festlegt, die „kritische Infrastrukturen“ (Kritis) betreiben. Dabei handelt es sich um ein sogenanntes Artikelgesetz. Das heißt, dass es kein alleinstehendes Gesetz ist, sondern bestehende Regelungen wie das Telekommunikationsgesetz, das Energiewirtschaftsgesetz oder das Atomgesetz ändert oder ergänzt.

Welche Unternehmen sind vom IT-Sicherheitsgesetz betroffen?

Besonders auf ihre IT-Standards aufpassen müssen Telekommunikationsanbieter sowie Energieversorger. Aber auch die Branchen Transport und Verkehr, Gesundheit, Wasser, Ernährung und das Finanz- und Versicherungswesen werden unter die Definition der „Kritis“ fallen, da Hackerangriffe in diesen Bereichen große Auswirkungen auf das Gemeinwesen haben. Insgesamt schätzt die Bundesregierung, dass ungefähr 2.000 Unternehmen von dem neuen Gesetz betroffen sind. Große Unternehmen aus den genannten Branchen können sich darauf einstellen, dass sie unter die Definition der „Kritis“ fallen.

Was verlangt der Gesetzgeber von den „Kritis“?

Bei den genauen Vorschriften hält sich die Bundesregierung noch bedeckt. Die Rechtsverordnung mit detaillierteren Vorgaben hat das Innenministerium noch nicht erarbeitet. Diese ist für Ende des Jahres 2015 geplant. Bisher steht fest: „Kritis“ müssen zukünftig die Einhaltung der Anforderungen nachweisen, indem sie alle zwei Jahre Sicherheitsaudits durchführen. Zudem müssen „erhebliche“ IT-Sicherheitsvorfälle in Zukunft an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Welche das genau sind, steht noch nicht fest. Zu den Vorgaben gehört zudem, dass Unternehmen auch eine Kontaktstelle betreiben müssen, wenn etwas passiert. Außerdem müssen „Kritis“ einen Notfallmanagementplan vorweisen können. Für die jeweiligen Branchen der betroffen Unternehmen gelten dann noch einmal zusätzliche Auflagen.

Wie viel kostet das IT-Sicherheitsgesetz den CFO?

Je weniger der CFO bisher in seine IT-Sicherheit investiert hat, desto teurer wird das Gesetz. Wer die Anforderungen nicht erfüllt, dem drohen Bußgelder von bis zu 100.000 Euro. Die Investitionen in die IT können große Unternehmen dagegen Millionen kosten. Der Branchenverband Bitkom schätzt die zusätzlichen Kosten für die deutsche Wirtschaft allein durch die vorgesehene Meldepflicht schwerer IT-Sicherheitsvorfälle auf 1,1 Milliarden Euro pro Jahr.

Die neuen Vorgaben müssen nicht sofort umgesetzt werden, sondern voraussichtlich erst ab Anfang 2018. Bis zur Konkretisierung der Vorgaben können CFOs und IT-Verantwortliche bereits erste Schritte einleiten, falls sie befürchten, unter die „Kritis“ zu fallen und gleichzeitig Nachholbedarf bei ihrer IT sehen. Es ist also noch früh genug, um Sanktionen zu umgehen.

Was ändert sich für CFOs und IT-Leiter?

Trotz des relativ kleinen Strafbetrags kommen Finanzchefs und IT-Leiter nicht drum herum, sich künftig stärker um das Thema IT-Sicherheit kümmern. Konnten sich IT-Verantwortliche früher noch hinter vagen Vorschriften verstecken, wird das spätestens mit der gegen Ende des Jahres erwarteten Konkretisierung des IT-Sicherheitsgesetzes deutlich schwieriger. Die Vorgaben sind von diesem Zeitpunkt an klar und Geschäftsführer leichter haftbar zu machen, wenn Hacker Unternehmenssysteme angreifen und die gesetzlichen Vorgaben im Vorfeld nicht umgesetzt wurden.

Doch die Vorschriften können für CFOs auch Positives mit sich bringen, da sie durch das IT-Sicherheitsgesetz genau wissen sollten, was zu tun ist. Außerdem sind „Kritis“ bei dem Thema IT-Sicherheit dann nicht mehr auf sich allein gestellt: Das BSI ist künftig verpflichtet, größere Vorfälle bei Wettbewerbern mitzuteilen. So sind Finanzchefs früh gewarnt, wenn eine große Cyberattacke auf die eigene Branche ausgeübt wird.

jakob.eich[at]finance-magazin.de