Durch die Änderung der BSI-Kritisverordnung sind ab 1. Januar 2024 Schwellenwerte für Krankenkassen gesenkt worden und Schwellenwerte für die Siedlungsabfallentsorgung festgelegt worden.

Die digitale Transformation hat in den letzten Jahren zu einem starken Wandel in der Gesellschaft geführt. Unternehmen, Regierungen und Bürger profitieren heute mehr denn je von den Fortschritten in der Digitalisierung und der IT-gestützten Automatisierung, gleichwohl steigt die Abhängigkeit von einer sicheren digitalen Infrastruktur. Vor diesem Hintergrund verfolgt die EU das Ziel, die Sicherheit digitaler Infrastrukturen und damit des Geschäftsbetriebs von Unternehmen durch neue Gesetze zur Informationssicherheit zu stärken. Zusätzlich zur Datenschutzgrundverordnung (DSGVO) und den in Deutschland durch das BSI-Gesetz bestehenden Regulierungen kritischer Infrastrukturen (KRITIS) werden damit europaweit umfassende Anforderungen an die Informationssicherheit getroffen, welche die Mitgliedsstaaten bis zum 17. Oktober 2024 in nationales Recht umsetzen müssen. Für große Teile des Mittelstands werden die diesbezüglichen Anforderungen ab diesem Zeitpunkt einzuhalten sein. Nachfolgend geben wir einen Überblick über die aktuellen EU-Gesetze zur Informationssicherheit und die daraus erwachsenden Anforderungen an Unternehmen.

Unternehmen sind kontinuierlich Cyberangriffen ausgesetzt, die ein hohes Risiko für den Geschäftsbetrieb darstellen können. Dabei werden die Angriffe immer ausgereifter. Gleichzeitig haben sich die Rahmenbedingungen durch Pandemie, Lieferprobleme und Ukrainekrise zusehends verändert. Eine aktive Steuerung der Risiken ist daher unerlässlich.

Seit drei Jahren besteht die EU-Datenschutzgrundverordnung – nun kommt ein neues, ergänzendes Datenschutzgesetz in Deutschland.

Infrastruktur ist die „Grundausstattung einer Volkswirtschaft [...] mit Einrichtungen, die [...] für die private Wirtschaftstätigkeit den Charakter von Vorleistungen haben“ - so schreibt es das Gabler Wirtschaftslexikon. Zur Kritischen Infrastruktur (kurz: KRITIS) gehören nach dem IT-Sicherheitsgesetz allerdings mehr Unternehmen, als das Wort „Infrastruktur“ nahelegt, betont Manager Björn Haje.

Laut IT-Sicherheitsgesetz sind KRITIS-Audits für Betreiber von Kritischen Infrastrukturen vorgeschrieben. Alle zwei Jahre. Das ist auch nachvollziehbar, wenn ein Gesetz von IT-Sicherheit „nach Stand der Technik“ spricht. Denn zwei Jahre sind bei heutiger Entwicklungsgeschwindigkeit der Technologie im Bereich Cyber-Security eine lange Zeit. Unternehmen befinden sich in einem ständigen Wettrüsten mit Cyber-Kriminellen auf der ganzen Welt. KRITIS-Audits gewährleisten, dass Sie die Anforderungen aus dem IT-Sicherheitsgesetz erfüllen. Damit erfüllen wir nicht nur die Vorgaben einer Bundesbehörde, sondern sichern auch Ihr Unternehmen gegen Schaden an der IT - von innen wie von außen.

Das IT-Sicherheitsgesetz hat in seiner jetzigen Form auf der Welt Seltenheitswert. Nur wenige andere Staaten sorgen mit den Gesetzen einer Bundesbehörde so detailliert für den Schutz der wichtigsten Versorger. Seit 2015 gilt das Gesetz. Ergänzt wird es durch die BSI-Kritisverordnung, die festlegt, welche Unternehmen als Betreiber Kritischer Infrastruktur gelten. Das IT-Sicherheitsgesetz hat den Tätigkeitsbereich des IT-Beraters um eine juristische Dimension erweitert. Was ein derart einzigartiges Gesetz für die Betreiber bedeutet, erzählt Björn Haje im Interview.

Das „Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag“ (TAB) schreibt, was bei einem flächendeckenden Stromausfall in Deutschland passieren würde. Um es kurz zu machen: Wir rutschten nach wenigen Tagen in die Anarchie. Der größte Angriffspunkt bei den Stromversorgern sei die IT. Das wiederum sagt Stefan Decker, Geschäftsführer der FIDES IT Consultants GmbH, Bremen. Das IT-Sicherheitsgesetz verpflichtet die Betreiber von so genannten „Kritischen Infrastrukturen“ (KRITIS) dazu, sich gegen (Cyber-) Attacken zu rüsten - aus eigener Tasche. Dafür steigen die Bußgelder im kommenden, neuen IT-Sicherheitsgesetz 2.0 auf bis zu 20 Millionen Euro. Haben es KRITIS-Unternehmen deswegen schwerer? Ein Gespräch über „Leben und Tod“ in der Digitalisierung.