Der Gesetzgeber ist bemüht, die Sicherheit informationstechnischer Systeme in Deutschland voranzutreiben. Dazu ist im Juli 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft getreten, das Betreiber von Kritischen Infrastrukturen (KRITIS) zur Einhaltung eines Mindeststandards anhalten soll.
Der erste Teil der KRITIS-Verordnung zur Umsetzung des IT-Sicherheitsgesetzes ist bereits im Mai 2016 in Kraft getreten. Die Verordnung gilt dabei für Unternehmen aus den Branchen Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung. Seit dem 30.06.2017 gilt die Verordnung auch für die Branchen Finanz- und Versicherungswesen, Transport und Verkehr sowie Gesundheit.
§25 KWG und MaRisk sehen vor, dass die Finanzdienstleister verpflichtet sind, ein "angemessenes und wirksames Risikomanagement" zu betreiben, das insbesondere auch ein Notfallkonzept festlegt. Eine Meldepflicht von kritischen Vorfällen sowie regelmäßige Audits sind vorgeschrieben, wodurch die Angemessenheit und Aktualität der Maßnahmen überprüft werden.
Hier ist ein kontinuierlicher Prozess gefordert, der immer wieder die Maßnahmen an die technischen Entwicklungen anpasst und versucht, Lücken proaktiv zu schließen. Dies betrifft auch alle Mitarbeiterrechte, denn niemand sollte unnötigen Zugriff auf Daten haben, wo im Ernstfall ein Schaden entstehen kann. Die Anforderungen an die IT-Sicherheit werden für die KRITIS auch zukünftig weiter ansteigen.
Hamburg
Berlin
Bremen
Dresden
Löbtauer Str. 52
01159 Dresden
Frankfurt / Main
Hannover
Boulevard der EU 7
30539 Hannover
Köln
Münster
[Whyit] Campus
Wienburgstraße 207
48159 Münster