07.06.2017

Bundesregierung beschließt Ausweitung der Meldepflicht bei Cyberangriffen

Die Bundesregierung hat am 31. Mai 2017 die Meldepflicht für Unternehmen bei IT-Sicherheitsvorfällen ausgeweitet. 918 weitere Unternehmen fallen fortan unter diesen Beschluss.


Das Kabinett der Bundesregierung hat am Mittwoch, den 31. Mai 2017 die bereits bestehende Verordnung zur Bestimmung kritischer Infrastrukturen deutlich ausgeweitet. Das bedeutet, dass künftig zahlreiche Unternehmen aus den Bereichen Transport, Verkehr, Finanzen, Versicherungen und Gesundheit unter die Vorgaben des IT-Sicherheitsgesetzes fallen und damit per Gesetzgeber zur Meldung kritischer IT-Sicherheitsvorfälle verpflichtet sind.

Bundesregierung nimmt 918 weitere Unternehmen in die Pflicht

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme trat am 25. Juli 2015 in Kraft. Neu hinzukommen nun die §§ 8a und 8b: Darin wird geregelt, dass „informationstechnische Systeme, die für die Funktionsfähigkeit von Kritischen Infrastrukturen maßgeblich sind, von den jeweiligen Betreibern durch die Umsetzung von angemessenen organisatorischen und technischen Vorkehrungen abzusichern sind und dass erhebliche IT-Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden sind.“ Einer Aufschlüsselung kann entnommen werden, dass zu den bereits 2015 erfassten 730 Unternehmen 918 weitere hinzukommen und fortan der gesetzlich festgelegten Meldepflicht unterliegen: Diese gliedern sich auf in 110 Krankenhäuser, 151 Apotheken, 176 Banken, 113 Versicherungsdienste, 56 Schienenverkehrsbetriebe und 79 Verkehrsbetriebe des Straßenverkehrs. Die neu erfassten Unternehmen bzw. Einrichtungen müssen binnen der nächsten sechs Monate eine zentrale Kontaktstelle beim Bundesamt für Sicherheit in der Informationstechnik (BSI) hinterlegen und innerhalb von zwei Jahren die Einhaltung des gesetzlich geforderten Mindeststandards nachweisen. Die Bundesregierung strebt durch die Ausweitung der Meldepflicht an, Einrichtungen und Unternehmen, die für das öffentliche Leben wesentlich sind, zu einer stärkeren Fokussierung auf die eigene IT-Infrastruktur zu verpflichten und damit die Ausfallrate im Fall eines schwerwiegenden Cyberangriffs möglichst gering zu halten.

Kommentar

Die Abwehr von Cyberattacken gehört inzwischen zum Alltag in Unternehmen. Die Schäden, die sich aus virtuellen Sicherheitsvorfällen ergeben, schlagen häufig kräftig zu Buche. Im Jahr 2014 konnten diese, gemäß einer Hochrechnung, auf 400 Milliarden US-Dollar beziffert werden. Besonders kleine und mittelständische Unternehmen nehmen häufig fälschlicherweise an, dass Sie aufgrund ihrer geringen Unternehmensgröße für Cyberangreifer von untergeordnetem Interesse sind. Große Unternehmen hingegen schätzen ihre Defensivmaßnahmen oftmals als sicherer ein als sie in der Praxis tatsächlich sind. Diese Fehleinschätzungen bedingen es, dass Unternehmen jeglicher Größenordnung zu den Opfern virtueller Angriffe werden. Die Festsetzung eines Mindeststandards von staatlicher Seite sowie die Verpflichtung von Unternehmen und Einrichtungen, die erheblichen Anteil an der Sicherung des alltäglichen Lebens haben, zur Meldung von IT-Sicherheitsvorfällen, ist daher zu begrüßen.


comments powered by Disqus