Drei Monate IT-Sicherheitsgesetz: Die Folgen für den Mittelstand

Auch KMU zu IT-Compliance verpflichtet

[datensicherheit.de, 20.10.2015] Hacker und Kriminelle spähen Unternehmenssysteme aus, um Kundendaten und sensible Unternehmensinformationen zu stehlen. Gerade Cloud- und Mobiltechnologien wirken wie eine Einladung zum Datenklau. Doch im Mittelstand zögern immer noch viele, in Datensicherheit zu investieren.

IT-Sicherheitsgesetz seit Juli 2015 in Kraft

Ändern könnte sich dies durch das IT-Sicherheitsgesetz, das am 25. Juli 2015 in Kraft getreten ist. Es ist eines der weltweit ersten Sicherheitsgesetze dieser Art und wird von vielen Fachleuten als Schritt in die richtige Richtung gesehen. Der Mittelstand ist allerdings verunsichert. Ist dieses Gesetz nicht vorrangig für die großen Provider gemacht, damit sie ihre großen Infrastruktur-Systeme besser schützen? Doch dies ist nur ein Aspekt der Gesetzgebung.
IT-Recht und Datenschutz sind gerade für Mittelständler wichtige Themen, Geschäftsführer und Firmeninhaber finden hier Informationen und Unterstützung. Das neue Sicherheitsgesetz gilt für Unternehmen mit mehr als zehn Mitarbeitern – nicht nur für die Branchenriesen. Auch kleine und mittlere Unternehmen (KMU) sind zu IT-Compliance verpflichtet. Zu den Aufgaben der Geschäftsführung gehört grundsätzlich, eine angemessene IT-Sicherheit herzustellen und zu wahren, und die Maßnahmen regelmäßig zu überprüfen.
Das IT-Sicherheitsgesetz sieht je nach Unternehmensbranche unterschiedliche Pflichten vor. Die sogenannten Kritischen Infrastrukturen (Kritis), die für das Funktionieren der Gesellschaft notwendig sind, müssen ein Mindestniveau an Sicherheit gewährleisten. Entsprechende Firmen und Institutionen sind verpflichtet, Vorfälle zu melden, die die IT-Sicherheit betreffen. Zu den Kritis gehörten Großunternehmen aus dem Energiesektor, Banken, Transportunternehmen, Gesundheitsinstitutionen und andere mehr – insgesamt etwa 2.000 Unternehmen. Sie sind in ständigem Austausch mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und bauen spezifische Abwehrsysteme auf.

KMU und IT-Compliance

Unternehmen mit Web-Angeboten müssen ebenfalls besondere Pflichten erfüllen, die den Schutz der Kundendaten und der von den Kunden genutzten Systeme betreffen. Für diese Unternehmen – auch die kleineren und mittleren Unternehmen – gelten die Vorschriften zur IT-Compliance. Sie benötigen beispielsweise einen IT-Sicherheitsbeauftragten. Das Ziel: Unternehmensdaten zu schützen und ein verlässliches Sicherheitskonzept zu entwickeln – aus Firmensicht zu möglichst niedrigen Kosten.
Vielen Details des IT-Sicherheitsgesetzes sind allerdings noch nicht konkretisiert – beispielsweise fehlt noch eine Rechtsverordnung, welche die Meldepflicht für Kritis genau beschreibt. Auch Verbände und mittelständische Unternehmen sehen Klärungsbedarf. So sagt etwa der Präsident des Bundesverbandes IT-Mittelstand, Dr. Oliver Grün: „Durch unbestimmte Rechtsbegriffe droht eine Klagewelle, die den Mittelstand deutlich härter treffen wird als große Konzerne mit eigenen Rechtsabteilungen.“