Die Anforderungen an die IT-Sicherheit sind durch die Themen Datenschutz, Datensicherheit und Betriebssicherung bei Störungen in den vergangenen Jahren enorm gestiegen. Das Anfang März 2013 als Referentenentwurf vom Bundesministerium des Inneren (BMI) vorgestellte „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" wird diese Anforderungen für einige Branchen noch erhöhen.

Danach werden Betreiber kritischer Infrastrukturen in den Sektoren Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen künftig verpflichtet, funktionswesentliche IT-Systeme, Komponenten oder Prozesse jeweils nach dem Stand der Technik zu schützen. Dies wird alle zwei Jahre durch externe Audits überprüft. Erhebliche Beeinträchtigungen, z.B. durch Cyberangriffe, müssen zudem gemeldet werden. Welche Unternehmen davon genau betroffen sein werden, steht derzeit noch nicht fest; dies wird durch Rechtsverordnung vom BMI erst noch bestimmt werden. Anbieter von Telemediendiensten werden sich in jedem Fall auf neue Anforderungen einstellen müssen: sie sollen ihre Telekommunikations- und EDV-Systeme soweit technisch möglich und zumutbar gegen unerlaubten Zugriff schützen müssen. Wirtschaftsverbände können branchenspezifische Sicherheitsstandards entwickeln.

Die neuen Anforderungen verschärfen die „verkehrsüblichen Sorgfaltspflichten" und werden - bei einer Verletzung der Sicherheitsstandards - zu einem erhöhten Haftungsrisiko führen. Direkte Sanktionen (z.B. Bußgelder) sieht das Gesetz nicht vor.

Das Gesetz soll noch in dieser Legislaturperiode kommen. Zwei Jahre nach Erlass der Rechtsverordnung müssen die Unternehmen die Vorgaben spätestens umsetzen. Unternehmen und Wirtschaftsverbände aus den Bereichen „kritische Infrastrukturen" und Teledienste sollten mit der Umsetzung daher frühzeitig beginnen.

Werner Bachmann