Am 25. Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten und erstmals ein übergreifender Rechtsrahmen für die Gewährleistung von IT-Sicherheit in Deutschland geschaffen worden. Ziel des IT-Sicherheitsgesetzes ist es, besonders gefährdete sogenannte Kritische Infrastrukturen („KRITIS“), die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, besser vor Cyberangriffen zu schützen. Dies betrifft zunächst die Sektoren Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie das Finanz- und Versicherungswesen. Die nähere Bestimmung der KRITISerfolgt jedoch erst in einer vom Bundesministerium des Innern noch zu erlassenden Rechtsverordnung, die voraussichtlich in zwei Teilen in Kraft tritt: Im ersten Quartal 2016 für die Sektoren Energie, Informationstechnik und Telekommunikation, Ernährung und Wasser, sodann Ende 2016 für die Sektoren Transport und Verkehr, Gesundheit sowie das Finanz- und Versicherungswesen. Entsprechend wird sich auch erst 2016 zeigen, ob Cloud Computing-Anbieter hiervon betroffen sein können.

Das IT-Sicherheitsgesetz verpflichtet KRITIS-Betreiber, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme zu treffen. Dabei sind die KRITIS-Betreiber gehalten, bei der Umsetzung den „Stand der Technik“ einzuhalten und dessen Erfüllung mindestens alle zwei Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik („BSI“) nachzuweisen. Die anzulegenden Standards können von den KRITIS-Betreibern selbst und ihren Branchenverbänden erarbeitet werden. Das BSI muss jedoch auf Antrag die Eignung dieser Sicherheitsstandards feststellen. Zudem sind KRITIS-Betreiber nunmehr verpflichtet, IT-Sicherheitsvorfälle an das BSI zu melden, wenn ein Cyberangriff entweder zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der KRITIS führen kann oder schon geführt hat.

Darüber hinaus wurde im August 2015 auch der IT-Sicherheitskatalog der Bundesnetzagentur veröffentlicht, der Energieversorgungsunternehmen mit eigenem Netzbetrieb gemäß § 11 Abs. 1a EnWG verpflichtet, Sicherheitsanforderungen einzuhalten und einen sicheren Betrieb zu gewährleisten. Der Katalog enthält hierzu konkrete Maßnahmen, die umzusetzen sind und deren Umsetzung anschließend im Rahmen eines externen Audits gemäß ISO 27001 innerhalb einer Frist zu zertifizieren ist.

Praxishinweis: Für die betroffenen Unternehmen gilt es deshalb keine Zeit zu verlieren. Die Umsetzung der technischen und organisatorischen Maßnahmen muss innerhalb von zwei Jahren nach Erlass der Rechtsverordnung erfolgen. Für die Benennung einer Kontaktstelle zur Meldung von IT-Sicherheitsvorfällen verbleiben den Betroffenen ab diesem Zeitpunkt sechs Monate. Hinzu tritt die notwendige Implementierung von Prozessen für die Störungsmeldungen. Da der Zeitraum angesichts des erheblichen Aufwands recht knapp bemessen ist, sollten die Unternehmen der betroffenen Sektoren, die bereits aufgrund ihrer Größe (Quantität) abschätzen können, dass sie vom Anwendungsbereich der Rechtsverordnung erfasst sein werden, bereits jetzt mit der Umsetzung beginnen. Dies nicht zuletzt auch deshalb, weil das IT-Sicherheitsgesetz mutmaßlich Auswirkungen auf allgemeine Fahrlässigkeitsmaßstäbe haben wird, indem es spezifische Verhaltenspflichten jedenfalls für die KRITIS-Betreiber im Bereich der IT-Sicherheit regelt. In qualitativer Hinsicht werden aller Voraussicht nach vor allem die Strom-, Gas- und Mineralölversorger, Telekommunikationsanbieter, der Transport von Personen und Gütern im Nah- und Fernbereich, die medizinische Versorgung, der Lebensmittelhandel und Banken vom Anwendungsbereich umfasst sein.