IT-Sicherheitsgesetz (ITSG)

IT-Sicherheitsgesetz (ITSG)

Was Sie jetzt wissen sollten

IHRE AUSGANGSSITUATION

Die IT-Systeme der deutschen Unternehmen sind gefährdeter denn je. Angriffe erfolgen zunehmend zielgerichtet und erreichen eine technologisch hohe Qualität. Aus diesem Grund wurde kürzlich das neue IT-Sicherheitsgesetz beschlossen. So sollen die unternehmensweite IT-Sicherheit signifikant verbessert und die Versorgung der Bevölkerung mit essentiellen Dienstleistungen sichergestellt werden.

"Das Jahr 2015 markiert mit über 59,1 Millionen registrierten Angriffen über das Internet die bis dato höchste Anzahl. Dies entspräche über 161.000 Cyberattacken täglich."
(Statista.com)

Besondere Bedeutung kommt dem Schutz sogenannter kritischer Infrastrukturen zu, die von hoher Wichtigkeit für das öffentliche Leben sind. Hierzu werden folgende Industriebereiche gezählt: Energie, Informationstechnik und Telekommunikation (IT & TK), Transport & Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- & Versicherungswesen. Versorger dieser Sektoren sind künftig gesetzlich dazu verpflichtet, ein Mindestniveau an IT- & Informationssicherheit einzuhalten. Darüber hinaus müssen IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.

In Abhängigkeit der angebotenen Dienstleistungen, gibt es für bestimmte Industriezweige weiterführende Vorschriften. So müssen beispielsweise IT&TK Anbieter neuerdings per Gesetz die Verfügbarkeit der IT-Systeme für Kunden gewährleisten, selbst wenn die Unternehmen Opfer eines Angriffs sein sollten. Die hierzu umgesetzten Maßnahmen werden von der Bundesnetzagentur regelmäßig überprüft. Ebenfalls müssen Sicherheitsvorfälle gemeldet werden, welche zu einem unerlaubten Zugriff auf die Systeme der Endnutzer führen könnten. Werden Störungen auf Systemen der Endnutzer festgestellt, so sind diese ebenfalls zu informieren.

IHRE HERAUSFORDERUNG

Das IT-Sicherheitsgesetz führt zu einer Reihe von notwendiger Anpassungen. So müssen angemessene organisatorische und technische Maßnahmen zur Vermeidung von IT-Sicherheitsvorfällen getroffen werden, auch wenn die IT von einem externen Dienstleister bereitgestellt wird. Dies schließt auch Maßnahmen zur Erkennung und Behebung von IT-Sicherheitsvorfällen mit ein. Ebenfalls müssen die technischen Anlagen beim BSI registriert und ein Meldeprozess etabliert werden.

Mindestens alle zwei Jahre müssen die umgesetzten Maßnahmen dahingegehend auditiert werden, ob sie den Anforderungen zur Erfüllung des IT-Sicherheitsniveaus genügen. Hierzu gehören bspw. ein IT-Risikomanagement, die Angriffsprävention und -erkennung sowie ein Business Continuity Management. Ziel ist sicherzustellen, dass der aktuelle Stand der Technik berücksichtigt wird. Die entsprechenden Audit-Ergebnisse sind dem BSI vorzulegen.

Zusammengefasst ergeben sich bei Ihnen, je nach Unternehmensstruktur, unterschiedliche Themen:

  • Einhaltung eines Mindestniveaus an IT-Sicherheit
  • Etablierung von Prozessen zur Qualifizierung und Meldung von IT-sicherheitsvorfällen
  • Einrichtung und Betrieb einer Kontaktstelle
  • Planung und Durchführung von Sicherheits- & Compliance-Audits

WIE PROTIVITI SIE UNTERSTÜTZT

Wir kennen die Anforderungen und Prüfvorschriften des IT-Sicherheitsgesetzes und helfen Ihnen dabei, die geforderten Vorgaben effektiv und kostengünstig einzuhalten.

Je nach Ihrer aktuellen Situation bieten wir Ihnen Leistungen in verschiedenen Bereichen:

  • Prüfung Ihrer IT-Prozesse und IT-Landschaft inkl. Gap-Analyse
  • Aufdecken von Sicherheitslücken (auch Pentesting)
  • Erarbeitung eines Katalogs Ihrer IT-Sicherheitsrisiken
  • Erstellung eines sicheren und verlässlichen IT-Sicherheitskonzepts
  • Definierung interner Richtlinien und Kontrollen
  • Zertifizierung bspw. ISO 27001