IT-Sicher­heit und Compliance: Aktualisierter Rechts­leitfaden beant­wortet neue IT-Sicher­heits­fragen

Trend Micro hat seinen Leit­faden „IT-Security und IT-Com­pliance im Unter­nehmen“ in der 6. Auf­lage auf den neuesten Stand gebracht. Schwer­punkte sind das IT-Sicher­heits­gesetz 2.0 und das Geschäfts­geheimnis­gesetz.

Die Zusammenstellung versteht sich als Rechts­ratgeber für Firmen­verantwortliche, der einen Überblick über die wichtigsten IT-Sicherheits­themen gibt. Neu hinzugekommen sind u.a. der bereits vorliegende Referenten­entwurf zum IT-Sicherheits­gesetz 2.0 und dessen Auswirkungen sowie das Geschäfts­geheimnis­gesetz. So ist vorgesehen, dass beispielsweise die Pflicht zu Meldung von erheblichen Störungen an das BSI (Bundesamt für Informations­sicherheit) nicht mehr nur Betreiber kritischer Infrastrukturen (KRITIS) betrifft, sondern für weitere Wirtschaftsbereiche gelten wird, „bei denen ein besonderes öffentliches Interesse besteht oder bei deren Beeinträchtigung ein Grund­interesse der Gesellschaft gefährdet ist“ bzw. „bei deren Beeinträchtigung ihrer Geschäfts­tätigkeit erheblicher volks­wirtschaftlicher Schaden eintreten würde“.

Zu diesem erweiterten Kreis gehören dann als Zulieferer auch Hersteller von IT-Produkten und Software. Das BSI bekommt zugleich ein Warnrecht und kann bei Sicherheitsvorfällen öffentlich auch konkrete Produkte und Hersteller nennen. Nicht zuletzt werden nach dem Vorbild der EU-DSGVO die Bußgelder für Verstöße deutlich erhöht: von bisher 100.000 Euro auf bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes. Der gesamte Abschnitt I.7 widmet sich dem Thema Haftung und Sanktionen bei Verstößen.

Der juristische Leitfaden kann freilich keine konkreten Umsetzungshilfen anbieten, ist aber ein insgesamt guter Kompass in Sachen IT-Compliance und strategischer IT-Sicherheit. Erstaunlich kurz geraten ist allerdings der Abschnitt IV zum (Industrial) Internet of Things; tatsächlich steht der Gesetzgeber hier mehr vor offenen Fragen, als dass er sie beantworten könnte. Und nicht alle Argumentationen – etwa zur Quellcode-Hinterlegung für den Insolvenzfall (Abschnitt I.6.g) – muss man unbesehen übernehmen; die EVB-IT zum Beispiel sehen Hinterlegungs­vereinbarungen (Software Escrow) durchaus vor.

Das Paper gibt es bei Trend Micro gegen Angabe der Kontaktdaten kostenfrei als PDF zum Herunterladen.