Zum Inhalt springen

TISAX® Dokumentation (Handbuch) für KMUs und NIS2 Anforderungen | Blog

Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Informationsmanagementsysteme » Was ist das IT-Sicherheitsgesetz

Was ist das IT-Sicherheitsgesetz

Nachhaltigkeit SAQ 5.0

Bei Buchung von SAQ 5.0 Assessment Questionaire - erhalten Sie Rabatt auf unser Hinweisgebersystem

Das IT-Sicherheitsgesetz (IT-SiG) ist ein deutsches Gesetz, das 2015 in Kraft getreten ist und darauf abzielt, die Sicherheit von informationstechnischen Systemen in Deutschland zu erhöhen. Das Gesetz betrifft insbesondere Betreiber kritischer Infrastrukturen (KRITIS) und Telekommunikationsanbieter. Die Hauptziele des IT-Sicherheitsgesetzes sind die Stärkung der IT-Sicherheit und der Schutz kritischer Infrastrukturen vor Cyberangriffen. Einige der wichtigsten Inhalte des IT-Sicherheitsgesetzes sind:

  • Definition kritischer Infrastrukturen (KRITIS):
    Das Gesetz legt fest, welche Branchen und Unternehmen als KRITIS gelten, z. B. in den Bereichen Energie, Informationstechnik und Telekommunikation, Verkehr, Gesundheit, Wasser, Ernährung und Finanzwesen.
  • Anforderungen an Betreiber kritischer Infrastrukturen:
    Betreiber müssen angemessene organisatorische und technische Maßnahmen ergreifen, um die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer Informationssysteme, -prozesse und -dienste zu gewährleisten.
  • Meldepflichten:
    Betreiber kritischer Infrastrukturen und Telekommunikationsanbieter müssen Störungen und Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
  • IT-Sicherheitsnachweis:
    Betreiber kritischer Infrastrukturen müssen alle zwei Jahre einen Nachweis über die Umsetzung angemessener Sicherheitsmaßnahmen erbringen, entweder durch ein IT-Sicherheitsaudit, eine Prüfung oder eine Zertifizierung.
  • Erweiterung der Befugnisse des BSI:
    Das Gesetz stärkt die Rolle des BSI als zentrale Melde- und Koordinierungsstelle für IT-Sicherheitsvorfälle und gibt ihm zusätzliche Befugnisse zur Durchsetzung von Sicherheitsmaßnahmen.
  • Anforderungen an Telekommunikationsanbieter:
    Telekommunikationsanbieter müssen angemessene Sicherheitsmaßnahmen ergreifen, um die Integrität ihrer Netze und Dienste zu schützen, und sie müssen ihre Sicherheitsmaßnahmen regelmäßig überprüfen.
  • Bußgelder:
    Bei Verstößen gegen die im IT-Sicherheitsgesetz festgelegten Anforderungen können Bußgelder verhängt werden.

Das IT-Sicherheitsgesetz dient als rechtlicher Rahmen für die Verbesserung der IT-Sicherheit in Deutschland, insbesondere im Hinblick auf den Schutz kritischer Infrastrukturen. Unternehmen, die von dem Gesetz betroffen sind, sollten sicherstellen, dass sie die gesetzlichen Anforderungen erfüllen und angemessene Maßnahmen zum Schutz ihrer Informationssysteme ergreifen.

Berater Stefan Stroessenreuther

Wir bieten:

Unterstützung bei der Einführung und Implementierung der ISO 9001, ISO 14001, ISO 45001, ISO 50001 und ISO 27001. Akkreditierte Zertifizierungen nach ISO 17021-1 über unseren Partner für die o.g. Regelwerke. Kontaktieren Sie uns für ein unverbindliches Angebot.

Wer unterliegt dem IT-Sicherheitsgesetz

In Deutschland unterliegen hauptsächlich folgende Gruppen von Unternehmen und Organisationen dem IT-Sicherheitsgesetz (IT-SiG):

  1. Betreiber kritischer Infrastrukturen (KRITIS): Das IT-Sicherheitsgesetz legt fest, dass Unternehmen und Organisationen, die in bestimmten Sektoren tätig sind und eine wichtige Rolle für das Funktionieren des gesellschaftlichen und wirtschaftlichen Lebens spielen, als kritische Infrastrukturen gelten. Dazu gehören Branchen wie:
  • Energie (z. B. Strom, Gas, Mineralöl)
  • Informationstechnik und Telekommunikation
  • Verkehr und Verkehrstelematik (z. B. Straßen-, Schienen-, Luft- und Schifffahrt)
  • Gesundheit (z. B. Krankenhäuser, Arzneimittelversorgung)
  • Wasser (z. B. Trinkwasserversorgung, Abwasserentsorgung)
  • Ernährung (z. B. Lebensmittelproduktion, -verarbeitung und -versorgung)
  • Finanz- und Versicherungswesen (z. B. Banken, Versicherungen)
  • Nicht jedes Unternehmen in diesen Sektoren fällt unter das IT-Sicherheitsgesetz. Die KRITIS-Verordnung konkretisiert die Anforderungen und legt Schwellenwerte fest, die bestimmen, ob ein Unternehmen als Betreiber kritischer Infrastrukturen gilt.
  1. Telekommunikationsanbieter: Das IT-Sicherheitsgesetz legt auch Anforderungen an Anbieter von Telekommunikationsdiensten fest, um die Integrität, Verfügbarkeit und Vertraulichkeit ihrer Netze und Dienste zu schützen. Dazu gehören zum Beispiel Internetdienstanbieter, Mobilfunkanbieter und Betreiber von Telekommunikationsnetzen.
  1. Anbieter digitaler Dienste: Mit der Umsetzung der NIS-Richtlinie (Netz- und Informationssystemsicherheit) in deutsches Recht durch das IT-Sicherheitsgesetz 2.0 wurden auch Anbieter digitaler Dienste in den Geltungsbereich des Gesetzes einbezogen. Dazu gehören Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste.

Diese Unternehmen und Organisationen müssen die im IT-Sicherheitsgesetz festgelegten Anforderungen erfüllen, wie zum Beispiel angemessene organisatorische und technische Sicherheitsmaßnahmen ergreifen, Sicherheitsvorfälle melden und alle zwei Jahre einen IT-Sicherheitsnachweis erbringen. Bei Nichteinhaltung dieser Anforderungen können Bußgelder verhängt werden.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB Integrations Modell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität | Lead Auditor ISO 14001 u. ISO 45001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner