Berlin. Für rund 2000 Unternehmen gelten künftig höhere Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme. Das sieht das IT-Sicherheitsgesetz vor, das am 25. Juli in Kraft getreten ist.
Sogenannte Betreiber kritischer Infrastrukturen sollen demzufolge einen Mindeststandard an IT-Sicherheit einhalten und diesen alle zwei Jahre nachweisen. Gemeint sind Bereiche, in denen ein Ausfall der Systeme schwere Folgen für die Bevölkerung hätte. Dazu gehören laut der Bundesregierung auch Einrichtungen aus dem Transport- und Verkehrsgewerbe. Mit der Implementierung des vorgeschrieben Mindeststandards sind mitunter nicht nur zusätzliche Kosten verbunden, sondern auch administrativer Mehraufwand.
Zudem verpflichtet das Gesetz die Betreiber kritischer Infrastrukturen, erhebliche Störungen ihrer Computer oder Netzwerke zum Beispiel durch Schadprogramme oder Hacker-Angriffe anonym dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Das BSI wertet diese Informationen aus und stellt sie den Betreibern zur Verfügung. Das IT-Sicherheitsgesetz erweitert zudem die Beratungsfunktion und Warnbefugnisse des BSI.
Eine Rechtsverordnung zur Umsetzung der neuen Vorschriften befindet sich derzeit noch in Arbeit. Nach ihrem Inkrafttreten haben die betroffenen Unternehmen zwei Jahre lang Zeit, den gesetzlich geforderten IT-Mindeststandard zu erarbeiten und umzusetzen. Wer sich nicht an die neuen Regeln hält, dem droht eine Strafe von bis zu 100.000 Euro. (ag)
