Die Auswirkungen des IT-Sicherheitsgesetzes auf die Interne Revision

Der Deutsche Bundestag hat am 17. Juli 2015 das IT-Sicherheitsgesetz verabschiedet . Es soll Mindest-standards für die IT-Sicherheit setzen und hierdurch eine erhebliche Verbesserung der Sicherheit in-formationstechnischer Systeme herbeiführen. Um dieses Ziel zu erreichen, sind zahlreiche Prüfungs- und Meldepflichten bei Betreibern sog. „Kritischer Infrastrukturen“ vorgesehen. Hierbei handelt es sich um Unternehmen aus den Branchen Transport und Verkehr, Gesundheit, Wasser, Ernährung so-wie dem Finanz- und Versicherungswesen. Sie müssen angemessene organisatorische und technische Vorkehrungen treffen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden. Damit einherge-hend sind die Betreiber auf die Einhaltung demnächst zu veröffentlichender Branchenstandards sowie der Erbringung eines regelmäßigen Nachweises über die getroffenen Maßnahmen verpflichtet. Sofern dabei sog. "erhebliche Störungen" der Systeme festgestellt werden, sind sie an das Bundesamt für Sicherheit in der Informationstechnik zu melden.

Im Rahmen dieses Aufsatzes werden zunächst die gesetzlichen Anforderungen dargestellt. In dem Zusammenhang werden etwaige Konkretisierungen und Ergänzungen zur Gesetzeslage bzw. zum Re-gelungsstand näher beleuchtet. Aufgrund des begrenzten Umfangs der Ausarbeitung wird die Geset-zesänderung nicht in all ihren Ausprägungen besprochen. Spezialgesetzliche Regelungen (z.B. für die Telekommunikationsbranche) und die Pflichten des BSI bleiben außen vor. Darauf aufbauend werden abschließend Hinweise auf kurzfristigen Handlungsbedarf aufgezeigt. Hierbei werden auch die Auswir-kungen auf die Interne Revision analysiert und gewürdigt.

Quellenangabe:
    Michael Goldshteyn

    Zeitschrift Interne Revision (ZIR)

    Ausgabe 6/2015

    Seite 246-252
Ihre Ansprechpartner: