Das IT-Sicherheitsgesetz umfasst mehrere Personenkreise:
- Für Betreiber von Webangeboten wie exemplarisch Online-Shops gelten mit Inkrafttreten fortan erhöhte Erfordernisse an die technischen und organisatorischen Maßnahmen zur Sicherheit ihrer Kundendaten und der von ihnen genutzten IT-Systeme.
- Telekommunikationsunternehmen sind ab jetzt verpflichtet, ihre Auftraggeber zu warnen, wenn sie sehen, dass der Anschluss des Käufer – beispielsweise als Teil eines Botnetzes – für IT-Angriffe missbraucht wird. Im gleichen Augenblick sollen die Provider ihre Abnehmer auf realisierbare Wege zur Beseitigung der Störung hindeuten.
- Mit Inkrafttreten des IT-Sicherheitsgesetzes werden die Autorisierungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Erhebung der Sicherheit von IT-Produkten wie ebenfalls die Kompetenzen des BSI im Bereich der IT-Sicherheit der Bundesverwaltung ausgebaut.
- Betreiber Kritischer Infrastrukturen werden verpflichtet, die für die Erbringung ihrer wichtigen Dienste obligatorische IT nach dem Stand der Technologie angemessen abzusichern und – sofern nicht zusätzliche Spezialregelungen bestehen – ebendiese Sicherheit immerhin sämtliche zwei Jahre überwachen zu lassen. Außerdem müssen die Betreiber dem BSI immense IT-Sicherheitsvorfälle melden. Die aus diesen Berichten, allerdings gleichwohl aus einigen anderen Informationen, gewonnenen Erkenntnisse stellt das BSI allen KRITIS-Betreibern zur Bereitschaft, hierdurch ebendiese ihre IT angemessen beschützen können. Die Meldepflicht von deutlichen IT-Sicherheitsvorfällen bezieht sich die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen, sowohl die in der seit dem 3. Mai 2016 gültigen ersten KRITIS Verordnung geregelten KRITIS-Betreiber der Sektoren Energie zum Betrieb, Informationstechnik und Telekommunikation, Ernährung und Wasser. Eine Meldepflicht erheblicher IT-Sicherheitsvorfälle für KRITIS-Betreiber der Sektoren Finanz- und Versicherungswesen, Transport und Verkehr ebenso Gesundheit besteht seit Inkrafttreten der ersten Änderungsverordnung der BSI-Kritisverordnung am 30. Juni 2017.
#dsgvo #27k1