Die neuen EU-Informationssicherheitsgesetze

Die digitale Transformation hat in den letzten Jahren zu einem starken Wandel in der Gesellschaft geführt. Unternehmen, Regierungen und Bürger profitieren heute mehr denn je von den Fortschritten in der Digitalisierung und der IT-gestützten Automatisierung, gleichwohl steigt die Abhängigkeit von einer sicheren digitalen Infrastruktur. Vor diesem Hintergrund verfolgt die EU das Ziel, die Sicherheit digitaler Infrastrukturen und damit des Geschäftsbetriebs von Unternehmen durch neue Gesetze zur Informationssicherheit zu stärken. Zusätzlich zur Datenschutzgrundverordnung (DSGVO) und den in Deutschland durch das BSI-Gesetz bestehenden Regulierungen kritischer Infrastrukturen (KRITIS) werden damit europaweit umfassende Anforderungen an die Informationssicherheit getroffen, welche die Mitgliedsstaaten bis zum 17. Oktober 2024 in nationales Recht umsetzen müssen. Für große Teile des Mittelstands werden die diesbezüglichen Anforderungen ab diesem Zeitpunkt einzuhalten sein. Nachfolgend geben wir einen Überblick über die aktuellen EU-Gesetze zur Informationssicherheit und die daraus erwachsenden Anforderungen an Unternehmen.

IT-Risikomanagement – Aktive Steuerung von Cyberrisiken

Unternehmen sind kontinuierlich Cyberangriffen ausgesetzt, die ein hohes Risiko für den Geschäftsbetrieb darstellen können. Dabei werden die Angriffe immer ausgereifter. Gleichzeitig haben sich die Rahmenbedingungen durch Pandemie, Lieferprobleme und Ukrainekrise zusehends verändert. Eine aktive Steuerung der Risiken ist daher unerlässlich.

Elektronische Signaturen in der Praxis

Handschriftliche Unterschriften unter Verträgen, Anträgen, Bestellungen usw. werden in der digitalisierten Welt immer seltener. Ersetzt werden Sie mehr und mehr durch elektronische Signaturen. Die uns nun seit mehr als einem Jahr beschäftigende Corona-Pandemie und die damit einhergehende Digitalisierungsoffensive wird diesen Trend in der Zukunft noch verstärken.

Klartext: Was ist eine kritische Infrastruktur laut IT-Sicherheitsgesetz

Infrastruktur ist die „Grundausstattung einer Volkswirtschaft [...] mit Einrichtungen, die [...] für die private Wirtschaftstätigkeit den Charakter von Vorleistungen haben“ - so schreibt es das Gabler Wirtschaftslexikon. Zur Kritischen Infrastruktur (kurz: KRITIS) gehören nach dem IT-Sicherheitsgesetz allerdings mehr Unternehmen, als das Wort „Infrastruktur“ nahelegt, betont Manager Björn Haje.

7 Schritte: Der Weg zum umfassenden KRITIS Audit – und zur Iteration

Laut IT-Sicherheitsgesetz sind KRITIS-Audits für Betreiber von Kritischen Infrastrukturen vorgeschrieben. Alle zwei Jahre. Das ist auch nachvollziehbar, wenn ein Gesetz von IT-Sicherheit „nach Stand der Technik“ spricht. Denn zwei Jahre sind bei heutiger Entwicklungsgeschwindigkeit der Technologie im Bereich Cyber-Security eine lange Zeit. Unternehmen befinden sich in einem ständigen Wettrüsten mit Cyber-Kriminellen auf der ganzen Welt. KRITIS-Audits gewährleisten, dass Sie die Anforderungen aus dem IT-Sicherheitsgesetz erfüllen. Damit erfüllen wir nicht nur die Vorgaben einer Bundesbehörde, sondern sichern auch Ihr Unternehmen gegen Schaden an der IT - von innen wie von außen.

2015 hat das IT-Sicherheitsgesetz das BSI-Gesetz erweitert, jetzt legt der Staat nach – ein Interview mit unserem Manager Björn Haje über IT-Gesetze und den deutschen Mittelstand

Das IT-Sicherheitsgesetz hat in seiner jetzigen Form auf der Welt Seltenheitswert. Nur wenige andere Staaten sorgen mit den Gesetzen einer Bundesbehörde so detailliert für den Schutz der wichtigsten Versorger. Seit 2015 gilt das Gesetz. Ergänzt wird es durch die BSI-Kritisverordnung, die festlegt, welche Unternehmen als Betreiber Kritischer Infrastruktur gelten. Das IT-Sicherheitsgesetz hat den Tätigkeitsbereich des IT-Beraters um eine juristische Dimension erweitert. Was ein derart einzigartiges Gesetz für die Betreiber bedeutet, erzählt Björn Haje im Interview.

Stefan Decker über KRITIS-Mittelständler, gesetzliche Vorgaben und die Mystifizierung von Cybercrime

Das „Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag“ (TAB) schreibt, was bei einem flächendeckenden Stromausfall in Deutschland passieren würde. Um es kurz zu machen: Wir rutschten nach wenigen Tagen in die Anarchie. Der größte Angriffspunkt bei den Stromversorgern sei die IT. Das wiederum sagt Stefan Decker, Geschäftsführer der FIDES IT Consultants GmbH, Bremen. Das IT-Sicherheitsgesetz verpflichtet die Betreiber von so genannten „Kritischen Infrastrukturen“ (KRITIS) dazu, sich gegen (Cyber-) Attacken zu rüsten - aus eigener Tasche. Dafür steigen die Bußgelder im kommenden, neuen IT-Sicherheitsgesetz 2.0 auf bis zu 20 Millionen Euro. Haben es KRITIS-Unternehmen deswegen schwerer? Ein Gespräch über „Leben und Tod“ in der Digitalisierung.

Cybersecurity für Betreiber kritischer Infrastruktur – Ein Best Practice

Anfang 2017 kam der IT-Leiter eines norddeutschen Logistikers mit mehreren Standorten in Deutschland auf uns zu. Sein Personal bestehe aus exzellenten Netzwerk-, Datacenter- und ERP-Spezialisten. Er wolle aber sichergehen, dass die Netzwerke des Unternehmens gegen Angriffe gesichert seien. Und vom IT-Sicherheitsgesetz habe er auch gehört. Ob das eigene Unternehmen nun Kritische Infrastruktur sei und was dann zu tun wäre, dazu würde er aus dem Gesetz aber nicht schlau und habe auch neben dem Tagesgeschäft keine Zeit, sich intensiv mit Gesetzestexten zu befassen. Ein Projekt, wie für FIDES gemacht.