Irrtum zum IT-Sicherheitsgesetz: KMUs fallen nicht durch das Raster

In einigen Pressemitteilungen ist aktuell zu lesen, dass kleinere und mittelständische Unternehmen (KMUs) nicht unter die Neuregelung des Gesetzes zur Erfüllung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) fallen. Diese generelle Aussage ist so nach unserer Einschätzung nicht richtig. Zwar sind KMUs in vielen Fällen nicht direkt Adressaten des Gesetzes, im jeweiligen Einzelfall ist aber zu prüfen, ob nicht auch ein kleines oder mittelständisches Unternehmen eine kritische Infrastruktur ist, beispielsweise wenn dieses Unternehmen an zentraler Stelle einer Infrastruktur aktiv ist.  

Daneben gibt es zwei Aspekte, die zu einer Anwendung des IT-Sicherheitsgesetzes für kleine und mittelständische Unternehmen sorgen. 

Zum einen hat das Gesetz eine Änderung des Telemediengesetzes (TMG) ergänzt. Nach dieser Änderung müssen Internetanbieter dafür sorgen, dass kein unerlaubter Zugriff auf die technischen Einrichtungen möglich ist, mit denen die Internetseite und der Online-Auftritt betrieben werden. Hier fordert der Gesetzgeber, dass der Stand der Technik zu berücksichtigen ist.  

Des Weiteren sind kleine und mittelständische Unternehmen (KMUs) vielfach Zulieferer für größere Unternehmen, die unter dem Regelungsbereich des IT-Gesetzes fallen. Hier müssen die KMUs damit rechnen, dass die jeweiligen Auftraggeber von ihnen ebenfalls umfangreiche Maßnahmen zur IT-Sicherheit fordern, um die eigenen Anforderungen erfüllen zu können. Zukünftig wird vermehrt als Nachweis auf eine Zertifizierung abgestellt werden müssen. Dies kann beispielsweise ein Zertifikat nach ISIS12, ITQ13, BSI-Grundschutz oder nach ISO 27001 sein.  

Insoweit müssen sich auch KMUs zeitnah mit den neuen Anforderungen des IT-Sicherheitsgesetzes und dem Thema IT-Sicherheit auseinandersetzen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
2 Kommentare zu “Irrtum zum IT-Sicherheitsgesetz: KMUs fallen nicht durch das Raster
  • 21. August 2015 um 08:37

    Hallo Herr Sulistyo,

    danke für den Hinweis Ich bin weiter gespannt, wie die Praxis auf die neuen Anforderungen reagiert. Ich halte heute einen Vortrag vor IT-Systemhäusern. Dort löst der neue gesetzliche Antreiber Freude aus.

    Viele Grüße
    Thomas Feil

  • 20. August 2015 um 18:06
    Stefan Sulistyo sagt:

    Es gibt m.E. auch noch den Aspekt der Verpflichtung von Produkt- & Systemherstellern zur Störungsbeseitigung durch das BSI.
    Wie Sie aber auch beschreiben, erwarte ich die breitesten Auswirkungen bei den Telemedienanbietern, da sehr viele eben keine angemessenen TOMs umgesetzt haben und es jetzt auch eine OWi mit 50k EUR Strafe gibt.

    Habe zu dem Thema auch gerade eine dreiteilige Artikelserie geschrieben:

    Vielleicht haben Sie ja Interesse, diese als Gastbeitrag zu verwenden.

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*