Sind nur 2.000 Unternehmen von den Regelungen des IT-Sicherheitsgesetzes betroffen?

Solange die Rechtsverordnung zum IT-Sicherheitsgesetz noch nicht veröffentlicht ist, wird vielfach gerätselt, wie viele Unternehmen als Kritische Infrastruktur einzuordnen sind. Dabei wird immer wieder die vom Gesetzgeber ohne weitere Begründung festgelegte Zahl von etwa 2.000 Unternehmen genannt und als „gesetzt“ angenommen. Beispielsweise in einem Interview von Security Insider vom 22.01.2016 äußert sich Herr Immo Eitel dahingehend, dass aus seiner Sicht das IT-Sicherheitsgesetz kein großer Wurf ist, da zu wenige, sprich 2.000 Unternehmen, nur betroffen sind.

Nach unserer Einschätzung ist die Annahme aber falsch, dass es bei dieser Zahl bleiben wird. Allerdings ist dies mit Blick auf die kommende Rechtsverordnung zurzeit noch Spekulation. Bedeutsamer ist, dass alle Dienstleister, die IT-Leistungen für Kritische Infrastrukturen anbieten, mittelbar von den Anforderungen aus dem IT-Sicherheitsgesetz betroffen sind. Wenn beispielsweise für bestimmte Kritische Infrastrukturen nach dem IT-Sicherheitskatalog der Bundesnetzagentur eine ISO 27001-Zertifizierung gefordert wird, zieht dies mittelbar für die Dienstleister nach sich, dass ebenfalls ein IT-Sicherheitsstandard nachgewiesen und dokumentiert werden muss. Hier wird sich zeigen, ob letztendlich sogar die Dienstleister selbst verpflichtet sind, eine ISO-Zertifizierung umzusetzen. Wenn beispielsweise Stadtwerke oder eine Klinik als Kritische Infrastruktur eingeordnet wird, so kann von einer entsprechenden Anforderung einer ISO-Zertifizierung eine Vielzahl von anderen Unternehmen betroffen sein. Dann braucht es nicht viel Fantasie, dass nicht nur 2.000 Unternehmen von dem IT-Sicherheitsgesetz betroffen sind, sondern viel mehr. Ein Beispiel: Wenn eine Klinik ein Krankenhausinformationssystem nutzt und auf eine papierlose Klinik umgestellt hat, so würde ein Ausfall der IT katastrophale Folgen für die medizinische Versorgung haben. Dann ist nicht nur die Klinik eine Kritische Infrastruktur, sondern der Softwarehersteller des Krankenhausinformationssystems ist entweder selber ebenfalls Kritische Infrastruktur aus dem Sektor Informationstechnik oder er ist mittelbar gezwungen, die von der Klinik definierten Anforderungen an die IT-Sicherheit umzusetzen.

Vielen Dienstleistern ist diese „Bedrohung“ noch nicht bewusst.

Ähnliche Phänomene werden auch im Bereich der öffentlichen Verwaltung zu beobachten sein. Wenn ein Unternehmen Dienstleister für die Feuerwehr oder Polizei ist, so kann durchaus eine Einordnung als Kritische Infrastruktur nach dem IT-Sicherheitsgesetz im Sektor Informationstechnik erfolgen, da ein Ausfall der IT direkte Auswirkungen auf die öffentliche Sicherheit hat.

Unsere Erwartung ist, dass weit mehr und viel mehr als 2.000 Unternehmen langfristig unter die Folgen und Festlegung des IT-Sicherheitsgesetzes geraten.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*