ISMS-Einführung

Systematisches Vorgehen beim IT-Sicherheitsgesetz

Ralph Schröder ist Director GSA Advisory und IT-Sicherheitsgesetz-Experte bei EY.
Quer durch alle Branchen unterschätzen gerade große Unternehmen die Tragweite des neuen IT-Sicherheitsgesetzes. Denn oftmals sie sind gleich an mehreren Stellen im Unternehmen betroffen.
  • Ab einem Schwellenwert von 500.000 zu versorgenden Personen unterliegen Unternehmen dem IT-Sicherheitsgesetz. Die Zahl wird schnell erreicht.
  • Die Einführung eines ISMS dauert ein Jahr bis 18 Monate.
  • Erleichtert wird die ISMS-Einführung, wenn es eine durchgängige IT- oder Sicherheitsverantwortung gibt – einen CIO oder CISO.

Deutschlandweit sind etwa 2000 Unternehmen direkt von dem neuen IT-SicherheitsgesetzIT-Sicherheitsgesetz (IT-SiG) betroffen. Dazu zählen Energieversorger und Telekommunikationsunternehmen, aber auch Lebensmittelhersteller und Transport- und Logistikunternehmen, bei denen ein Ausfall der IT-Systeme zu nachhaltig wirkenden Versorgungsengpässen oder Störungen der öffentlichen Sicherheit führen kann. Alles zu Security auf CIO.de

Nachweis nach zwei Jahren ist Pflicht

Betroffene Unternehmen müssen unter anderem innerhalb von zwei Jahren nach Inkrafttreten der Rechtsverordnung für ihre Branche angemessene organisatorische und technische Sicherheitsmaßnahmen, zum Beispiel durch ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 vorweisen. Die Funktionsfunktionsfähigkeit des ISMS muss etwa durch eine Zertifizierung bestätigt sein.

In der Rechtsverordnung sind Schwellenwerte festgelegt, ab denen ein Unternehmen von dem neuen Gesetz betroffen ist. Für die Branchen ErnährungErnährung, EnergieEnergie, Wasser, IT und Telekommunikation wurde die Rechtsverordnung im Mai 2016 veröffentlicht. Für TransportTransport & Verkehr, GesundheitGesundheit, FinanzenFinanzen und VersicherungenVersicherungen wird sie im Frühjahr 2017 erwartet. Auch in diesen Branchen wird der Schwellenwert von 500.000 zu versorgenden Personen gelten. Top-Firmen der Branche Energie u. Rohstoffe Top-Firmen der Branche Finanzen Top-Firmen der Branche Gesundheit Top-Firmen der Branche Nahrungsmittel Top-Firmen der Branche Transport Top-Firmen der Branche Versicherungen

Die meisten Unternehmen sind im Verzug

Aus zahlreichen Gesprächen mit IT-Managern geht hervor: Viele Unternehmen sind bei der Einführung des ISMS in Verzug und dafür gibt es mehrere Gründe. So unterschätzen einige Branchen, zum Beispiel Lebensmittelhändler, die Bedeutung ihrer IT-Sicherheit, weil sie ja "nur Nahrungsmittel verteilen oder verkaufen". Automobilhersteller und -zulieferer haben oftmals nicht im Fokus, dass moderne Fahrzeuge über ihre Software direkt manipuliert werden können, wodurch wiederum schnell 500.000 Personen betroffen sein können gravierende.

Auch im Gesundheitsbereich haben sich zahlreiche Firmen noch nicht mit den Auswirkungen des Gesetzes befasst. Wieder andere Unternehmen sind überzeugt davon, dass sie die Schwellenwerte nicht erfüllen, weil sie in der Vergangenheit weniger produziert oder geliefert haben.

Es gilt jedoch die Menge, die für das Jahr 2017 beziehungsweise 2018 zu erwarten ist. Auch bei Akquisitionen sollte daher geprüft werden, ob durch den geplanten Merger die Schwellenwerte überschritten werden. Das kann dazu führen, dass die Akquisition sich evtl. nicht mehr rechnet, da die Kosten für ein ISMS schnell in Millionenhöhe steigen können.

Zur Startseite