Die EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie vom 6. Juli 2016, ABl. EU Nr. L 194/1 vom 19. Juli 2016) bezweckt die Schaffung eines einheitlichen Rechtsrahmens für den EU-weiten Aufbau nationaler Kapazitäten für Cyber-Sicherheit. Das bundesdeutsche Gesetz zur Umsetzung dieser Richtlinie ist am 30. Juni 2017 in Kraft getreten. Damit hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) neue Aufgaben und Befugnisse erhalten. So werden u.a. dessen Aufsichts- und Durchsetzungsbefugnisse über die Betreiber sogenannter Kritischer Infrastrukturen (KRITIS-Betreiber) ergänzend zum IT-Sicherheitsgesetz ausgeweitet.

KRITIS-Verordnung des BSI

Ferner ist die geänderte BSI-KRITIS-Verordnung in Kraft getreten. Sie enthält Kriterien, anhand derer KRITIS-Betreiber aus den Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr prüfen können, ob sie unter die Regelungen des IT-Sicherheitsgesetzes fallen. Daneben wurden die bereits getroffenen Festlegungen zur Bestimmung kritischer Infrastrukturen für die Sektoren Energie, Wasser, Ernährung und Informations- und Kommunikationstechnologie überarbeitet (mehr zum Thema s.u. www.bsi.bund.de).

Wirtschaftsgrundschutz-Handbuch um drei Bausteine erweitert

Ferner wurde im November 2016 das gemeinsam vom ASW Bundesverband, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesamt für Verfassungsschutz (BfV) veröffentlichte Handbuch zum Wirtschaftsgrundschutz um drei neue Bausteine ergänzt:

• Der Baustein „Integritätsprüfung externer Parteien” beschreibt, mit welchen Maßnahmen eine Integritätsprüfung externer Parteien (Integritäts-Due-Diligence) durchgeführt werden kann, um sicherzustellen, dass die Geschäftsaktivitäten nach geltendem Recht erfolgen.    

• Der Baustein „Bewerberprüfung” zeigt, dass die Verifizierung von Angaben von Bewerbern als Teil des Risikomanagements relevant ist, um personelle, organisatorische und finanzielle Risiken unter Beachtung des BDSG und der EU-Datenschutz-Grundverordnung zu minimieren.

• Der Baustein „Objektsicherheit” hilft den Verantwortlichen, Einflussfaktoren strukturiert zu analysieren, um zielgerichtete und individuelle Sicherheitsmaßnahmen umzusetzen.

Das Handbuch zum Wirtschaftsgrundschutz umfasst derzeit drei Standards und elf Bausteine, weitere Bausteine werden kontinuierlich veröffentlicht (mehr zum Thema s.u. https://asw-bundesverband.de. Das Handbuch steht dort kostenfrei zum Download zur Verfügung).

NIS-Richtlinie und IT-Sicherheitsgesetz

Ohne supranationale Zusammenarbeit und zwingende Meldepflichten sind Angriffen auf globale IT-Infrastrukturen und der Verbreitung von Viren keine Grenzen gesetzt. Einen Anfang machte der deutsche Gesetzgeber bereits mit dem IT-Sicherheitsgesetz im Bereich kritischer Infrastrukturen (KRITIS). Auf europäischer Ebene folgte die NIS-Richtlinie, die einen einheitlichen Rechtsrahmen zur Stärkung der Cybersicherheit in der EU vorsieht. Einen aktuellen Überblick der bestehenden Regelungen im Bereich IT und Cybersicherheit gewähren Simone Rosenthal und Frank Trautwein in der Ausgabe 04/2017 der PinG – Privacy in Germany.

(ESV/ps)