Gesetze, Regelungen, Änderungen im Bereich der IT-Sicherheit – ACHTUNG, da kommt was auf Sie zu!

PrintMailRate-it

veröffentlicht am 31. Oktober 2023


Innerhalb des nächsten Jahres wird es zu einigen gesetzlichen Änderungen und Verschärfungen im Bereich der IT-Sicherheit/Informationssicherheit kommen, welche bereits jetzt für Unsicherheit bei den betroffenen Stellen sorgen. Besonders der Bereich Gesundheitswirtschaft ist betroffen, da es hier konkrete Anforderungen zur Umsetzung der IT-Sicherheit gibt und nahezu jedes Krankenhaus auf Grund seiner Tätigkeit und Größe als (besonders) wichtige Einrichtung einzustufen ist.

Es ist gar nicht so einfach, hier den Überblick zu behalten. Vielleicht fragen Sie sich auch schon, welche weiteren Voraussetzungen Sie gegebenenfalls erfüllen müssen. Oder Sie hören hiervon gerade zum ersten Mal und wissen noch gar nicht, ob Sie betroffen sein könnten.

So oder so möchten wir Sie nicht im Regen stehen lassen. Dieser Artikel ist Teil 1 unserer neuen Reihe „Newsupdate – Gesetzliche Anforderungen zur IT-Sicherheit”. Wir möchten Sie mit dieser Reihe immer aktuell über das Geschehen informieren. Heute geben wir Ihnen zunächst einen Überblick über die geplanten Änderungen. In den weiteren Ausgaben werden wir dann im Einzelnen auf die Neuerungen eingehen sowie über die aktuellen Entwicklungen berichten.

NIS2 – Umsetzung in Deutschland

Ende 2022 wurde durch das europäische Parlament und den Rat der EU die NIS2-Richtlinie verabschiedet, um ein allgemein gültiges Cybersicherheitsniveau im EU-Raum zu gewährleisten. Die Länder sollen die Richtlinie bis Oktober 2024 in nationales Recht umsetzen. In Deutschland soll das NIS2-Umsetzungsgesetz nach jetzigem Stand im Frühling 2024 verabschiedet werden und im Oktober 2024 in Kraft treten.

Seit Ende September 2023 liegt als dritter Entwurf dieses Gesetzes ein vom Innenministerium veröffentlichtes „Diskussionspapier” zum Dialog mit der Wirtschaft vor. Man kann bereits jetzt davon ausgehen, dass neben den KRITIS-Betreibern circa 30.000 weitere Unternehmen von den Regelungen betroffen sein werden, zum Teil auch mit einer regelmäßigen Nachweispflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Bereits jetzt heiß diskutiert wird die ursprünglich vorgesehene persönliche Haftung von Geschäftsführungen. Im jetzigen Diskussionspapier ist diese zwar gestrichen, eine Haftung der Geschäftsführung gegenüber der Gesellschaft ist aber dennoch gegeben.

Weiterhin sind Bußgelder gegenüber den betroffenen Stellen in Höhe von bis zu 20 Millionen EUR möglich.

Das KRITIS-Dachgesetz

In einem ersten frühen Referentenentwurf liegt des Weiteren das sogenannte „KRITIS-Dachgesetz” vor. Dieses soll die physische Sicherheit und Resilienz von KRITIS-Betreibern stärken und setzt die EU CER-Richtlinie (EU 2022/2557) in nationales Recht um.

Betreiber von kritischen Infrastrukturen haben zusätzliche Maßnahmen und Pflichten zu erfüllen. Dieser erste Entwurf muss noch in die Abstimmung zwischen den Ministerien und ist daher noch sehr vage formuliert. Fest steht aber bereits jetzt, dass Betroffene konkrete Resilienzvorgaben, u.a. Personalsicherheit, Krisen- und Risikomanagement und physische Sicherheit umzusetzen haben. Bußgelder sind in diesem Zusammenhang noch nicht definiert.

Ausblick und Fazit

Wie Sie sehen, kommt da wirklich einiges auf Sie zu. Gar nicht so einfach, hierbei den Überblick zu behalten. Wir freuen uns darauf Ihnen in den nächsten Monaten vertiefte Informationen und aktuelle Entwicklungen mitzuteilen und damit für etwas Durchblick im Vorgabenwirrwarr zu schaffen.

Bis zu unserer nächsten Ausgabe besuchen Sie gerne unsere Themenseite „Prüfung kritischer Infrastrukturen (KRITIS)” die weitere interessante Informationen rund um das Thema „IT-Sicherheit/Informationssicherheit“ bereithält.

Autoren

Jonas Buckel ​Carina Richters
Buckel-Jonas.jpg
richters-carina.jpg

Folgen Sie uns!

Linkedin Banner

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

Wir beraten Sie gern!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu