Ziel des Gesetzes ist eine signifikante Verbesserung der IT-Sicherheit in Unternehmen und Behörden in Deutschland durch die Einhaltung eines Mindestniveaus an IT-Sicherheit. Darüber hinaus wird der Schutz der Bürgerinnen und Bürger in einem sicheren Netz verstärkt.
Insbesondere sollen Aspekte der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität in der IT verbessert werden. Impulse für die Überarbeitung der ursprünglichen Version des IT-Sicherheitsgesetzes haben vor allem die IT-Berufsverbände geliefert.
Einige Kritikpunkte sind im Gesetzesentwurf nach wie vor nicht berücksichtigt worden. Speziell sind das die zusätzlichen Verpflichtungen, die auf den betroffenen Unternehmen lasten. Die gesetzeskonforme und rechtzeitige Planung, Umsetzung und Aufrechterhaltung der organisatorischen und technischen Sicherheitsmaßnahmen können u.U. mit erheblichem finanziellem Aufwand verbunden sein. Ein weiterer Kritikpunkt ist die nationale und nicht europaweit einheitliche Umsetzung des IT-Sicherheitsgesetzes. In den nächsten Monaten wird das IT-Sicherheitsgesetz im Bundestag vorgelegt und voraussichtlich im Sommer 2015 in Kraft treten.
Durch das Gesetz wird die Rolle des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamtes (BKA) gestärkt. Die genannten Ämter sollen nicht nur die Umsetzung des IT-Sicherheitsgesetzes kontrollieren sondern vor allem unterstützend und beratend bei dessen Implementierung den Organisationen zu Seite stehen.
Betroffen von dem Gesetz sind die Betreiber der sogenannten Kritischen Infrastrukturen. Kritische Infrastrukturen werden als „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“ verstanden. [Quelle: BMI] Dazu gehören vor allem Organisationen aus folgenden Sektoren:
- Energie (Strom, Mineralöl, Gas)
- Informationstechnik und Telekommunikation
- Transport und Verkehr
- Gesundheit
- Wasser
- Ernährung
- Finanz- und Versicherungswesen
- Staat und Verwaltung
- Medien und Kultur
Um die Mindestanforderungen des IT-Sicherheitsgesetzes effizient und vollständig umzusetzen und aktuell zu halten, stehen den Betreibern der Kritischen Infrastrukturen diverse DocSetMinder® Module zur Verfügung. Für die Umsetzung eines Sicherheitskonzeptes können wahlweise die Module „IT-Grundschutz“ (BSI-Standard 100-1, 100-2, 100-3) oder „ISMS – ISO 27001“ verwendet werden. Beide Module verfügen über die Möglichkeit, Sicherheitsvorfälle beliebig detailliert zu dokumentieren und an das BSI weiter zu melden. Mit dem Modul „(IT) Notfallmanagement“ können die Aspekte der betrieblichen Kontinuität geplant, umgesetzt und dokumentiert werden. Die Geschäftsfortführungs- und Wiederanlaufpläne können als Notfallhandbücher aus dem System auf ein USB-Stick oder als PDF-Dokument extrahiert werden. Im Modul „(IT) Notfallmanagement“ können alle Notfallvorfälle und Maßnahmen dokumentiert werden. Das Modul bildet den BSI-Standard 100-4 und ISO 22301 ab. Die genannten IT-Sicherheits-Module liefern eine auditkonforme Dokumentation und somit eine Grundvoraussetzung für ein erfolgreiches Audit und eine Zertifizierung gemäß dem IT-Sicherheitsgesetz.