IT-Gesetze: Mehr Durchblick im Dschungel staatlicher IT-Sicherheitsregelungen!

29.10.2021 - IT-Sicherheitsverstöße können Unternehmen heutzutage teuer zu stehen kommen – insbesondere aus rechtlicher Perspektive! Mittlerweile gibt es eine Vielzahl an Vorschriften und Gesetzesanforderungen, die Unternehmen dazu verpflichten, ein IT-Risikomanagement zu betreiben. Aufgrund der Brisanz dieser Thematik haben wir in unserem heutigen Blogbeitrag die wichtigsten Gesetze zur IT-Sicherheit und IT-Compliance für Sie zusammengefasst.

Sehr geehrte Leserinnen und Leser,

In Zeiten steigender digitaler Vernetzung und beständig wachsender Internetkriminalität ist die Gewährleistung der IT-Security längst zu einem Schlüsselthema für den Staat, die Volkswirtschaft ebenso wie die Zivilgesellschaft avanciert. Ungeachtet alledem wird ihr in der Arbeitsrealität bei weitem noch nicht die notwendige Aufmerksamkeit entgegengebracht, was signifikante juristische Konsequenzen nach sich ziehen kann.

Heutzutage sind die Handlungsfähigkeit und der Zukunftsfähigkeit eines Geschäftsbetriebes ohne die Nutzung einer hochperformanten und permanent verfügbaren IT-Umgebung undenkbar.

Im Sinne einer gegenwärtigen Auswertung sind inzwischen 81 % der befragten Entscheider davon überzeugt, dass eine zeitgemäße IT-Infrastruktur Innovation, Einfallsreichtum und Produktivität maximiert.

Obzwar die Verwendung aktueller IT-Lösungen wichtige sowie zukunftsweisende Nutzen für Firmen schafft, resultieren sie oftmals auch in einer wachsenden IT-Dependenz und erhöhen so das Risiko für moderne Internetbedrohungen, Fehlkonfigurationen und Verletzungen des Datenschutzes.

Aufgrund dessen ist inzwischen in allen Wirtschaftssektoren eine stärkere gesetzliche Regulation der IT-Security festzustellen.

Internetbedrohungen vorschriftsmäßig Herr werden!

Das Themenfeld IT-Security beschäftigt im Zuge der zunehmenden Vernetzung des Businessalltages ständig eine größere Anzahl an Unternehmen. Allerdings sind die entsprechenden gesetzlichen Anforderungen an Betriebe erst einmal alles andere als überblickbar.

Denn bis jetzt existiert kein Hauptgesetz, welches jegliche Regulierungen mit Wechselbeziehung zur IT-Sicherheit bündelt. Eigentlich walten diverse verschiedenartige Gesetze zusammen, um Geschäftsbetriebe zu verpflichten, ein IT-Risk Management einzusetzen und in die Realisierung risikoangemessener IT-Schutzmaßnahmen und IT-Sicherheitslösungen zu investieren.

Wird das jedoch verpasst, können im Falle eines IT-Securityvorfalls außer schweren Rufschäden mitunter Bußgelder in Millionenhöhe fällig werden.

Alleinig im Wirtschaftsjahr 2020 wurden in der Europäischen Union insgesamt 160 Mio Euro Geldbußen wegen Überschreitungen gegen die Europäische Datenschutzgrundverordnung verhängt. Hierzulande erging das höchste Bußgeld mit 35,3 Mio. Euro an das H&M Servicecenter in Nürnberg, welches die persönlichen Lebensumstände hunderter Beschäftigter ausgeforscht haben soll.

Die bedeutendsten Normen zur IT-Sicherheit im Überblick:

Vor dem Hintergrund der andauernd vielschichtiger werdenden Gefahrenlage sehen sich die Legislative genauso wie Betriebe vermehrt in der Verpflichtung zu handeln. Zum einen entstehen neue und innovative IT-Security Solutions und Services, welche das Sicherheitsniveau anheben. Zum anderen werden striktere Vorgaben an eine unternehmensinterne IT-Sicherheit definiert, um so IT-Risiken durch technische, administrative, infrastrukturelle sowie personelle IT-Sicherheitsvorkehrungen zu minimieren. Regularien, die gerade die IT-Sicherheit anbelangen, haben hierbei primär die Zielsetzung, die IT-Umgebung eines Unternehmens vor Cyberattacken, unbefugtem Zugang und Missbrauch zu sichern. Normen, welche den Datenschutz anbelangen, haben die Absicht, einen zuverlässigen Schutzmechanismus für Unternehmensdaten im Zusammenhang mit Nutzbarkeit, Vertraulichkeit, Unversehrtheit sowie Echtheit zu erreichen. Damit Geschäftsbetriebe regelkonforme IT-Securityvorkehrungen implementieren können, sind unter anderem die nachstehenden Regelungen und Vorschriften für sie wesentlich:

  • das IT-Sicherheitsgesetz:
    Beim IT-Sicherheitsgesetz, abgekürzt IT-SiG, handelt es sich um ein Artikelgesetz, dass die Zielsetzung hat, den Schutz von Datensammlungen und IT-Umgebungen zu schützen sowie zu gewährleisten. Bei dem IT-Sicherheitsgesetz stehen primär die Provider systemrelevanter Infrastrukturen aus den Segmenten Strom- und Wasserversorgung, Finance oder Ernährung im Zentrum. Die Provider sind dem Recht entsprechend in der Pflicht, ihre Unternehmens-IT geeignet zu sichern sowie min. alle zwei Kalenderjahre kontrollieren zu lassen. Dazu kommen Pflichten zur Meldung an das Bundesamt für Sicherheit in der Informationstechnik nach aufgetretenen IT-Sicherheitsvorfällen.
  • die EU-DSGVO:
    Die EU-Datenschutzgrundverordnung ist wie auch das IT-SiG ein Artikelgesetz. Es hat die Intention, europaweit für einheitliche Regulierungen zu sorgen, welche den Datenschutz berühren. Somit wachsen die Anforderungen an die Datenschutz-Compliance und ein gut funktionierendes Datenschutz-Management-System. Die Vorschriften des inländischen Bundesdatenschutzgesetzes,kurz BDSG, erweitern die EU-DSGVO, indem einige Parameter konkretisiert werden.
  • das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich:
    Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, zielt auf die Optimierung der Grundlagen der Führung von Unternehmen ab. Im Übrigen sollen Firmen angehalten werden, sich besonders mit dem Thema IT-Risk Management zu befassen sowie in ein unternehmensweites Früherkennungssystem zu investieren.
  • die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff:
    Bei den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, abgekürzt GoBD, dreht sich alles um Vorgaben aus einer Anweisung des BMF für die rechtskonforme Dokumentation in Unternehmen. Die GoBD sollen sicherstellen, dass Firmen, in denen betriebliche Prozesse wie auch Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten gegeben sind, unterschiedliche Sorgfaltspflichten bei der Verarbeitung, Vorhaltung und Zurverfügungstellung der Informationen zu beachten. Gleichwohl müssen sämtliche Vorgaben durch ein betriebsinternes System verwirklicht werden. Auch wird eine Verfahrensdokumentation als Beleg eines rechtmäßigen Betriebes verlangt.

Abgesehen von diesen vier elementaren Normen sollten Betriebe bei der Durchführung einer risikoangemessenen IT-Sicherheitsstrategie noch folgende Rechtsvorschriften einbeziehen:

Auch Rechtsnormen zur IT-Security sichern Ihren unternehmerischen Erfolg!

Heute müssen Geschäftsbetriebe in Deutschland eine große Menge juristischer Pflichten in Bezug auf ihre IT-Sicherheit erfüllen, andernfalls können sehr hohe Sanktionen drohen.

Folglich ist es wichtig, dass sich Unternehmen rechtzeitig mit den einschlägigen Gesetzesnormen wie auch Vorschriften, die die IT-Sicherheit tangieren, beschäftigen.

Nur dergestalt können sie eine dauerhaft hohe IT-Security und die benötigte IT-Compliance garantieren.

Möchten Sie mehr über die juristischen Aspekte der IT-Security lernen oder brauchen Sie einen externen IT-Sicherheitsbeauftragten? Wir stehen Ihnen mit unserer langjährigen Erfahrung und Expertise gerne zur Seite! Sprechen Sie uns an!

Sie wollen immer auf dem Laufenden bleiben?
Jetzt Newsletter abonnieren.

Kundenhotline & Kontakt

Unsere Kundenhotline ist Ihre zentrale Anlaufstelle für Ihre Anfragen oder Bestellungen.
Sie können uns zu den aufgeführten Zeiten unter folgender Rufnummer erreichen:

02302-2896999Montag bis Donnerstag von 08:00 bis 17:00 Uhr,
Freitag von 08:00 bis 15:00 Uhr

Kontaktformular Adresse & Öffnungszeiten

Maria Forsch Kundenbetreuerin

Unsere Partner & Programme

Onlinetermin buchen