IT-Sicherheitsgesetz und Co.: Der rechtliche Rahmen für InfoSec

Das Wichtigste in Kürze: 

• Die Informationssicherheitsgesetze umfassen das IT-Sicherheitsgesetz, die KRITIS-Verordnung, die NIS-Richtlinie, das TTSG und die DSGVO. Auch im GmbH- und Aktienrecht finden sich Passus zum Risikomanagement, die indirekt Anforderungen an die Informationssicherheit von Unternehmen stellen. 
• Neben Gesetzen spielen in der Informationssicherheit auch Zertifizierungen eine große Rolle. Sie definieren Maßnahmen und werden in Audits durch unabhängige Zertifzierungsstellen geprüft. 
• Nicht jedes Info-Sec-Gesetz ist für jedes Unternehmen einschlägig. In regulierten Branchen wie dem Finanzwesen und dem öffentlichen Sektor gelten besonders strenger Regeln und es finden mehr Gesetze Anwendung.  
• Die Strafen bei Nichteinhaltung der Gesetze reichen von bis und auch die kontrollierende Instanz variiert je nach Gesetz und Branche.  
• Ansonsten ist die Umsetzung von InfoSec-Maßnahmen weitestgehend freiwillig und dient dem Selbstschutz des Unternehmens.  
• Allgemein kommen Unternehmen – auch in nicht regulierten Branchen – nicht um den Aufbau eines Informationssicherheits-Managementsystems herum. 

Welche Informationssicherheitsgesetze gibt es? 

Genau genommen müsste die Frage heißen: Welche Gesetze machen Vorgaben zu Informationssicherheitsmaßnahmen und -standards? In Deutschland sind das die Folgenden:

Das IT-Sicherheitsgesetz 

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz als IT-Sicherheitsgesetz bekannt) ist im Juli 2015 in Kraft getreten. Es handelt sich hier um ein sogenanntes Artikelgesetz. Das bedeutet, dass das IT-Sicherheitsgesetz verschiedene andere Gesetze aus ganz unterschiedlichen Rechtsgebieten unter dem Gesichtspunkt der Informationssicherheit ergänzt. In diesem Fall betrifft das mindestens das IT-Sicherheitsgesetz, das Energiewirtschaftsgesetz, das Telemediengesetz und das Telekommunikationsgesetz. 

Das IT-Sicherheitsgesetz soll laut BSI einen Beitrag dazu leisten, „die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen“. 

Die Verordnung zur Bestimmung Kritischer Infrastrukturen (KRITIS-Verordnung) 

Die KRITIS-Verordnung, ebenfalls herausgebracht vom BSI, ergänzt seit 2016 das IT-Sicherheitsgesetz – eine aktualisierte Version existiert seit 2021, tritt 2023 in Kraft und ist auch als KRITIS 2.0 bekannt. Die KRITIS-Verordnung bezieht sich, wie der Name vermuten lässt, ausschließlich auf die Betreiber Kritischer Infrastrukturen.  

Die Verordnung definiert Anforderungen an ebendiese, die sich durch den Aufbau eines Informationssicherheits-Managementsystems (ISMS) umsetzen lassen. Zu den zu implementierenden Maßnahmen gehören:  

• Die Benennung einer Kontaktstelle 
• Die Pflicht zur Meldung von IT-Störungen und Sicherheitsvorfällen 

• Die Umsetzung des „Stands der Technik“ in den IT-Systemen 
• Die Ausarbeitung von Präventionsmaßnahmen und Reaktionsplänen 
• Die Prüfung dieser Maßnahmen in Sicherheitsaudits alle zwei Jahre 

Die Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) 

Die NIS-Richtlinie ist das erste EU-Gesetz speziell zum Thema Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung der Cyber-Resilienz in der EU. Die erste Version – verkündet im Juni 2017 – war allerdings schnell überholt. Durch die rasante digitale Transformation der Gesellschaft, zusätzlich vorangetrieben durch die Coronapandemie, war eine angepasste Version erforderlich. Daher hat die EU-Kommission ein Update der NIS-Richtlinie vorbereitet – die NIS2-Richtlinie.  

Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) 

Das neue TTDSG fasst die bestehenden datenschutzrechtlichen Vorschriften aus dem Telekommunikationsgesetzes (TKG) und dem Telemediengesetz (TMG) in einem Gesetz zusammen. Es dient also der Vereinfachung und soll es Unternehmen leichter machen, den Überblick über Anforderungen rund um das Fernmeldegeheimnis und den Datenschutz bei Telekommunikations- und bei Telemediendiensten zu behalten.  

Dabei verweist es in einigen wichtigen Punkten, zum Beispiel zum Thema Cookies, wiederum auf die DSGVO.  

Die Datenschutz-Grundverordnung (DSGVO) 

Die DSGVO ist seit dem 25. Mai 2018 in allen EU-Staaten das offizielle Datenschutzgesetz und der nationalen Gesetzgebung übergeordnet. Alle Unternehmen und öffentlichen Einrichtungen, die personenbezogene Daten verarbeiten, müssen die neuen EU-Regeln zum Datenschutz befolgen und entsprechende Maßnahmen umsetzen.   

Aber Moment mal, hier geht es doch um InfoSec-Gesetze – und in der DSGVO geht es nicht um den Schutz von Informationen allgemein, sondern um den Schutz personenbezogener Daten. Das stimmt. Doch in diesem Rahmen verlangt die DSGVO die Umsetzung von technischen und organisatorischen Maßnahmen (TOM). Und genau diese TOM entsprechen den Anforderungen, die die ISO 27001 (die internationale Norm für Informationssicherheit) an den Aufbau eines Informationssicherheits-Managementsystems (ISMS) stellt. Aufgrund der großen Überschneidung ist die DSGVO – und insbesondere ihre Anforderungen an TOM – auch in der Informationssicherheit ein wichtiges Gesetz.   

Das Aktien- und GmbH-Recht 

Im Aktien- und GmbH-Recht finden sich Vorgaben zum Risikomanagement. Auch wenn Maßnahmen für die Stärkung der Informationssicherheit nicht explizit genannt werden, so fallen sie durch die Risiken von Informationssicherheitsvorfällen – die von finanziellen Schäden über Imageverluste bis hin zum Diebstahl geistigen Eigentums reichen können – mit in den Geltungsbereich der Gesetze. 

Wie hängen InfoSec-Gesetze und -Standards zusammen? 

Neben Gesetzen spielen in der Informationssicherheit auch Zertifizierungen eine große Rolle. Denn für viele Unternehmen ist der Aufbau eines Informationssicherheits-Managementsystem nicht gesetzlich vorgeschrieben, jedoch durch Kunden, Investoren oder Partner erwartet. Dann zeigt eine Zertifizierung nach ISO 27001 oder TISAX® (für die Automobilbranche), dass gewisse Maßnahmen umgesetzt und Standards eingehalten wurden.

Die ISO 27001 ist der Goldstandard für den Aufbau eines ISMS und hat sich branchenübergreifend etabliert. Auf ihr bauen viele andere Vorgaben auf, wie beispielweise die Bankaufsichtliche Anforderungen an die IT (BAIT) der BaFin. Wer also aufgrund seiner Branche bestimmte gesetzliche Anforderungen erfüllen muss, ist generell gut beraten, mit dem Aufbau eines ISMS nach ISO 27001 zu beginnen.   

Muss ich mir um all diese InfoSec-Gesetze und -Vorschriften Gedanken machen?  

Das kommt ganz auf die jeweilige Branche an und die entsprechende Anwendbarkeit der Vorschriften.  Die oben genannten Gesetze sind nur für einen begrenzten Kreis der Unternehmen, je nach Sektor anwendbar. . Um zu beurteilen, welche Gesetze für Sie relevant sind, werfen Sie einen Blick auf die folgenden drei Kategorien. In welche fallen Sie?  

1. Kategorie I: Betreiber von kritischen Infrastrukturen. Laut BSI fallen darunter die folgenden Sektoren:  
   1. Energie 
   2. Informationstechnik und Telekommunikation 
   3. Transport und Verkehr 
   4. Gesundheit 
   5. Medien und Kultur 
   6. Wasser 
   7. Ernährung 
   8. Finanz- und Versicherungswesen 
   9. Siedlungsabfallentsorgung 
   10. Staat und Verwaltung
2. Kategorie II: Unternehmen, die vertragliche Vorgaben von Kunden in Bezug auf ihre Informationssicherheit erfüllen müssen. Typischerweise sind das Automobilzulieferer und andere Unternehmen, die Teil von streng kontrollierten Lieferketten sind. 
3. Kategorie III: Alle anderen Unternehmen und Organisationen 

Für die einzelnen Kategorien sind die folgenden Gesetze und Zertifizierungsstandards einschlägig:   

Gemein ist allen Organisationen und Unternehmen eine Verpflichtung zum Risikomanagement und zur ordentlichen Unternehmensführung. So kommen Sie also nicht um den Aufbau eines ISMS herum. Wie stark dieses jedoch reguliert und kontrolliert wird, variiert entsprechend.  

 Und auch Zertifizierungen nach TISAX® bzw. ISO 27001 sind nicht nur für Unternehmen sinnvoll, deren Kunden diese explizit einfordern. Der Aufbau eines Informationssicherheits-Managementsystems hat viele Vorteile, unabhängig von extern auferlegten Anforderungen.

Wer kontrolliert die Einhaltung von Informationssicherheitsgesetzen und was passiert bei Nichteinhaltung?  

Auch hier kommt es wieder drauf an, in welche Kategorie ein Unternehmen fällt. Strafen bei Nichteinhaltung reichen von-bis. Ein Überblick:  

Datenschutzbehörden können die Einhaltung der DSGVO von Amtswegen prüfen, wenn ein Vorfall öffentlich wird. Steht zum Beispiel in der Zeitung, dass es bei einem Unternehmen einen Sicherheitsvollfall gab, können Ermittlungen eingeleitet werden, die prüfen, ob dieser sich auf DSGVO-Verstöße zurückführen lässt.  

Die Strafen in der DSGVO sind klar definiert:  

• Besonders gravierende Verstöße werden mit einem Bußgeldrahmen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr geahndet, je nachdem, welcher Wert der höhere ist.  
• Weniger gewichtige Verstöße führen zu Geldbußen von bis zu 10 Millionen EUR bis zu 2 % des Umsatzes. In der Praxis fielen Bußgelder bisher allerdings weniger streng aus.  

Auch für KRITIS-Betreiber wurden Sanktionen im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) definiert. Sie kamen bisher seltener zum Einsatz als DSGVO-Bußgelder. Verstöße gegen KRITIS-Regularien werden vom BSIG meist als Ordnungswidrigkeiten definiert.  

Die Strafen laut § 14 BSIG:  

• Bei Zuwiderhandlung gegen eine Anordnung des BSI auf Abstellung eines Sicherheitsmangels: bis zu 20 Mio. € 
• Bei Nachweisnichterbringung: bis zu 10 Mio. € 
• Bei Nichtumsetzung der Vorkehrungen nach § 8a Absatz 1 BSIG: bis zu 10 Mio. € 
• Bei Nichtregistrierung: bis zu 500.000 € 
• Bei Nichtmeldung von Störfällen: bis zu 500.000 € 
• Bei Nichterreichbarkeit der Kontaktstelle: bis zu 100.000 € 

Die BaFin prüft alle Finanzunternehmen jedes Jahr. Findet sie grobe Verstöße gegen die BAIT, können Konsequenzen bis hin zur Ablösung des Vorstands führen.  

 Und bei den (freiwilligen) Zertifizierungen prüft die Zertifzierungsstelle jährlich in kleineren Audits, inwiefern die Anforderungen aus ISO 27001 oder TISAX® umgesetzt werden. Re-Zertifizierungen mit einem kompletten Audit finden alle drei Jahre statt. Der Worst Case ist bei Nichteinhaltung der Verlust des Zertifikats, der wiederum zum Verlust von Kunden führen kann. Allerdings sind Auditoren hier weniger gefürchtet als beispielweise die BaFin. Sie sind in der Regel nachsichtiger und können Unternehmen sogar beratend unterstützen. 

Fazit

Informationssicherheit ist ein so dynamisches Feld, dass starre Vorgaben sich zur Regulierung nicht sonderlich gut eignen. Daher ergibt sich ein Flickenteppich aus Gesetzen, Richtlinien, Verordnungen und Zertifizierungen, der ständig im Wandel ist.  

Die Umsetzung eines Informationssicherheits-Managementsystems ist für fast jedes Unternehmen wichtig. Und sei es nur, um den Anforderungen der DSGVO und den Risikomanagementanforderungen aus GmbH- und Aktienrecht gerecht zu werden.  

Sie wünschen sich eine inhaltliche Beratung zu DSGVO, ISO 27001, TISAX® oder NIS? Wir helfen!  

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.