Seit letztem Freitag ist das IT-Sicherheitsgesetz in Kraft. Es liegt für unterschiedliche Betroffene die Pflicht zu IT-Schutzmaßnahmen sowie Meldepflichten fest. Allerdings ist im Detail noch ziemlich viel unklar. Die „das Gesetz konkretisierende Rechtsverordnung” des Innenministeriums liegt noch nicht vor.
IT-Sicherheitsgesetz: Wer ist wie betroffen?
- Direkte Auswirkungen gibt es auf alle Betreiber von geschäftlichen Websites und Online-Shops, denn das IT-Sicherheitsgesetz verschärft das Telemediengesetz. Jeder geschäftliche Auftritt oder Dienst im Web muss technisch und organisatorisch vor unerlaubtem Zugriff, Datenschutzverstößen und Angriffen von außen geschützt sein. Diese Vorkehrungen „müssen den Stand der Technik berücksichtigen”. Als Beispiel wird Verschlüsselung genannt (§ 13 Abs. 7 TMG n. F.). Die Nichtbeachtung kann nicht nur zu Bußgeldern (s. u.), sondern auch zu einer Abmahnung durch die Konkurrenz führen.
- Sofortige Auswirkungen gibt es auch auf Telekommunikationsanbieter. Sie müssen ab sofort ihre Kunden warnen und unterstützen, falls es Anzeichen dafür gibt, dass deren IT-Sicherheit verletzt wurde. Gleichzeitig darf der Provider zu Präventionszwecken die Kundendaten speichern, bis zu sechs Monate.
Abzuwarten bleibt, mit welchen Aussichten ein geschädigtes Unternehmen damit nun umgekehrt gegen den Provider vorgehen kann, wenn es keine Warnung gab. Hätte der Provider den unnatürlichen Datenstrom erkennen müssen, den der Trojaner über die Mailserver des Kunden schickt? - Anbieter von „kritischen Infrastrukturen“ müssen verbindliche Sicherheitsstandards umsetzen und diese dann alle zwei Jahre zertifizieren lassen. Außerdem müssen sie eine Art „Verbindungsstelle“ zum BSI (Bundesamt für Sicherheit in der Informationstechnik) einrichten und das Amt (das bekanntlich auch den Bundestrojaner mit entwickelte …) über Cyber-Attacken, IT-Havarien und IT-Sicherheitsrisiken informieren.
Dummerweise ist bislang nicht genau klar, für wen diese Pflichten eigentlich gelten. Das Gesetz nennt nur die Zugehörigkeit zu „den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“ und „hohe Bedeutung für das Funktionieren des Gemeinwesens“ als Kriterien.
Unklar ist auch, wie die verbindlichen Sicherheitsstandards genau aussehen werden. Spekuliert wird über verpflichtende ISMS-Audits auf Basis von ISO 27001. Klarheit schafft hoffentlich die Rechtsverordnung des Innenministeriums. Liegt sie vor, haben die betroffenen Unternehmen sechs Monate Zeit zur Einrichtung der „Meldestelle” und zwei Jahre zur Umsetzung der Sicherheitsanforderungen.
Kleine und mittlere Unternehmen sind vom IT-Sicherheitsgesetz nicht direkt betroffen. Die Zertifizierungsanforderungen größerer Unternehmen werden sich aber auch auf deren Zulieferer und Dienstleister auswirken.
Neues Haftungsrisiko – für Unternehmen und Geschäftsführer / Manager
Das Gesetz verankert durchaus empfindliche Strafen bei Pflichtverletzungen.
- Ein Online-Shop oder Website-Betreiber, der die Pflicht zum Datenschutz nach Stand der Technik missachtet, kann im schlimmsten Fall mit 50.000 € bestraft werden.
- Dieselbe Summe kann den Betreiber einer kritischen Infrastruktur treffen, der die Meldepflichten- und -voraussetzungen nicht erfüllt.
- Das Bußgeld für ein Unternehmen, das die Sicherheitsstandards nicht verwirklicht, kann bis zu 100.000 € betragen.
Das hat Auswirkungen auf das rechtliche Risiko von Geschäftsführern, Managern oder Vorständen. Sie haften für die Umsetzung gesetzlicher Vorschriften im Unternehmen – im Ernstfall werden sie schnell persönlich zur Kasse gebeten. Glücklich, wer dann eine D&O-Versicherung (Manager-/Geschäftsführerhaftpflicht) hat.
Fazit: Zusätzliche Risiken, Versichern hilft
Den großen Durchbruch in Sachen Cyber-Sicherheit stellt das IT-Sicherheitsgesetz nun wirklich nicht dar. Immerhin zwingt es Unternehmen quer durch alle Branchen und ganz besonders in den betroffenen Sektoren, sich mit ihrer IT-Sicherheit zu befassen.
Befassen sollten sich Unternehmen wie Geschäftsführer aber auch mit ihrem Risikomanagement. Unternehmen brauchen den Schutz einer Cyber-Versicherung, die Geschäftsführer eine D&O-Versicherung. Dies ist durch die neue Rechtslage noch dringlicher geworden.
Haben Sie Fragen zu Cyber-Versicherung oder D&O-Versicherungen?
Ich gebe Ihnen gerne Antwort. Rufen Sie mich an oder schreiben Sie uns eine Nachricht: Kontakt.