Der News Blog zu Business Continuity Management und IT Service Continuity Management
Das IT-Sicherheitsgesetz soll die Welt – na ja zumindest die kritischen Infrastrukturen in Deutschland – sicherer machen. Mit großer Spannung wurde auf die Rechtsverordnungen gewartet, denn diese entscheiden, welche Unternehmen, und präziser welche Unternehmensteile, zu den kritischen Infrastrukturen gehören und die Anforderungen des Gesetzes zu erfüllen hat. Weiterlesen…
Am 25.07.2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Bereits die ersten Entwürfe des Gesetzes wurden heftigst diskutiert. Die Spannungskurve ist nach der Verabschiedung allerdings nicht abgesunken, da viele Fragen erst durch Rechtsverordnungen geklärt und festgelegt werden müssen. Hierzu gehören die betroffenen Unternehmen und Dienstleistungen wie auch die konkreten Anforderungen aus dem Gesetz. Dass das IT-Sicherheitsgesetz keine langweilige und trockene Angelegenheit wird, zeigte die Veranstaltung der Gesellschaft für Informatik zu diesem Thema am vergangenen Freitag in Frankfurt. Trotz Streiks bei der Lufthansa war die Veranstaltung sehr gut besucht. Den Gastgeber Bahn hat dies natürlich auch sehr gefreut ;-). Weiterlesen…
Am Freitag, den 20. März 2015 fand im Bundestag die erste Lesung des Entwurf für das IT-Sicherheitsgesetz statt. Der Entwurf wurde im Bundestag kontrovers diskutiert. Die Bundesregierung sieht sich mit dem Gesetz als als “Vorbild und Vorreiter der IT-Sicherheit”, so Bundesinnenminister Dr. Thomas de Maizière. Die Opposition bemängelte an dem Entwurf, dass nicht geklärt ist, welche Unternehmen zu den Kritischen Infrastrukturen gehören. Dies soll im Rahmen von Rechtsverordnungen nach Verabschiedung des Gesetzes geregelt werden. In einer ersten Zahl wurden 2.000 betroffene Unternehmen genannt. Wie viel Substanz diese Größenordnung hat, wird sich noch zeigen. Nimmt man zum Beispiel alleine die Energie- und Wasserversorger hinzu, wird diese Zahl kaum zu halten sein. Mit dem IT-Sicherheitsgesetz kommt auch eine Meldepflicht für Sicherheitsvorfälle bei Unternehmen der Kritischen Infrastrukturen. Welche Vorfälle gemeldet werden müssen und was mit den gesammelten Daten passiert, ist im Gesetzesentwurf ebenfalls nicht genau geregelt. Der Cyber-Sicherheitsrat hat zudem gar verfassungsrechtliche Bedenken gegenüber dem Gesetzesentwurf: Behörden des Bundes werden von den Pflichten der Kritischen Infrastrukturen nicht erfasst und müssen demzufolge keine vergleichbare Pflichten zum Schutz vor Cyberattacken leisten. Einig sind sich zumindest alle Parteien, dass Aktivitäten zum Schutz vor Cyber-Attacken dringend nötig sind.
Aus meiner bescheidenen Sicht ist die Definition der Kritischen Infrastrukturen tatsächlich ein kritischer Erfolgsfaktor für die Wirksamkeit des Gesetzes. Die Verlagerung der Definition des Scopes der gesetzlichen Regelungen auf die nachgelagerten Rechtsverordnungen hat zumindest Unsicherheit und Diskussionen erzeugt, die die Verabschiedung des Gesetzes verzögern können. Zur Zeit laufen branchenbezogene Studien zur Definition der kritischen Prozesse für die Kritischen Infrastrukturen. Zudem finden Gespräche mit den Branchenvertretern statt. Es gilt auch je Branche die Standards festzulegen, die von den betroffenen Unternehmen einzuhalten sind. Die Lobbyarbeit läuft sicherlich hinter den Kulissen auf Hochtouren. Die bereits stark regulierten Branchen wie Finanzdienstleister werden mit den Konsequenzen dieses Gesetzes wesentlich leichter umgehen können als Unternehmen, die sich diesen Anforderungen erst neu stellen müssen. Gerade für mittelständische Unternehmen kann dies zu einer Herausforderung werden, aber gerade diese Unternehmen sind auch besonders stark gefährdet, ohne dass das Bewusstsein – und Budget – hierfür immer vorhanden ist. Es besteht Handlungsbedarf und ein erster Schritt muss getan werden. Der Gesetzgeber wäre gut beraten, gerade den mittelständischen Unternehmen auch bessere Hilfsmittel zur Umsetzung an die Hand zu geben. Das Umsetzungsrahmenwerk für den BSI 100-4 Standard Notfallmanagement ist ein guter Ansatz in diese Richtung. Mehr davon, kann ich da nur appellieren. Auch der BSI 100-4 hat mittlerweile eine dicke Staubschicht angesammelt. Vorschriften sind das eine, doch darf man gerade kleine und mittelständische Unternehmen bei der Umsetzung nicht alleine lassen – auch wenn wir als Berater den Bedarf natürlich gerne ganz uneigennützig aufgreifen 😉
Das Bundeskabinett hat heute den Entwurf des Sicherheitsgesetzes verabschiedet. Damit kommt die Meldepflicht für IT-Sicherheitsvorfälle und das Bundesamt für Sicherheit in der Informationstechnik BSI erhält umfassende Kompetenzen und Kapazitäten als Zentralstelle für die IT-Sicherheit. Welche Unternehmen und Organisationen als Betreiber kritischer Infrastrukturen dem neuen IT-Sicherheitsgesetz unterliegen, wird eine spannende Frage sein, die Anfang des neuen Jahres in konkreten Verordnungen ausgestaltet werden wird. Die Bundesregierung geht aktuell von rund 2.000 Betreibern der kritischen Infrastruktur aus. Auch die Hersteller von IT-Systemen unterliegen zukünftig der Aufsichtspflicht des BSI. Der Gesetzesenturf war heftig umstritten. Der Industrie ging er mit den Meldepflichten zu weit, während Sicherheitsfachleute befürchten, durch die anonymisierten Meldungen kein vollständiges Lagebild zu erhalten. Die Praxis wird bald zeigen, ob sich der Aufwand für die Unternehmen in einem konkreten Sicherheitsgewinn auszahlt.
Bei Notfällen des Unternehmens und / oder des Arbeitnehmers stellen sich immer auch arbeitsrechtliche Fragen. Diese betreffen die Entgeltfortzahlung, aber auch drohende Abmahnungen oder gar Kündigungen, wenn Mitarbeiter wegen eines Notfalls nicht zur Arbeit erscheinen können. Beim Notfall im Unternehmen stellen sich Fragen nach der Einhaltung von Arbeitszeiten, d.h. Anordnung von Überstunden und fachfremder Tätigkeiten genauso wie Entgeltfortzahlung für Mitarbeiter, die nicht arbeiten können oder dürfen.
In diesem Artikel “Land unter im Arbeitsrecht” werden diese Themen angesichts der akuten Hochwasserlage aus arbeitsrechtlicher Sicht beleuchtet.
Wichtig sind auch die Ausnahmeregelungen für die Mitbestimmungsregelungen nach §87 Abs.1 des Betriebsverfassungsgesetzes sowie des Arbeitszeitgesetzes (ArbZG §14 Außergewöhnliche Fälle) für Notfälle.
Laut einer aktuellen Meldung des Handelsblatts plant Innenminister Friedrich ein Gesetz, das die Betreiber Kritischer Infrastrukturen KRITIS dazu verpflichtet, “erhebliche IT-Sicherheitsvorfälle” zu melden. Daneben soll die Pflicht zur Erfüllung von IT-Sicherheit der Betreiber kritischer Infrastrukturen gesetzlich geregelt werden.
Der Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen nimmt damit konkrete Gestalt an. Es war bereits abzusehen, dass Betreiber kritischer Infrastrukturen stärker in die Pflicht genommen werden. Ein Gesetz zur Meldepflicht würde diesen Prozess deutlich beschleunigen und die Kritis-Betreiber konkret in die Pflicht nehmen. BCM-News hatte hierüber im Oktober 2011 bereits berichtet.
Auslagern lässt sich Vieles, nicht jedoch die Verantwortung. Wer dies beachtet, kann sich Ärger ersparen. Weiterlesen…
Veröffentlichte Beispiele von Sanktionen für ein fehlendes oder unzulängliches BCM bzw. ITSCM sind sehr selten. Selbstverständlich wird kein Unternehmen mit so einem Makel haussieren gehen. Der Mangel wird dann verdeckt und schnell unter Zuhilfenahme diskreter Berater behoben. Umso erstaunlicher, dass Continuitycentral einen aktuellen Fall aus den USA mitsamt Dokumentation des Schriftverkehrs öffentlich macht. Bei dem Fall aus dem Mai 2011 wird dem amerikanischen Finanzdienstleister Capital Market Services LLC (“CMS”) von der National Futures Association vorgeworfen, Handelssysteme ohne Backup betrieben zu haben um Kosten zu sparen. Mehrere dokumentierte Ausfälle der Systeme waren die Folge und Kunden waren nicht mehr in der Lage zu handeln. CMS soll als Konsequenz dieser Verstösse gegen die regulatorischen Anforderungen mit einer Strafe in Höhe von 75.000 Dollar belegt worden sein.
Die Rufbereitschaft ist ein heikles Thema, insbeondere auch wenn es um die Wertung als Arbeitszeit und die Haftung bei Wegeunfällen geht. Das Bundesarbeitsgericht hat jetzt ein wegweisendes Urteil zur Haft bei Wegeunfällen in der Rufbereitschaft gefällt. Ein Oberarzt wurde während der Rufbereitschaft ins Klinikum gerufen. Auf dem Weg vom Wohnort zur Klinik kam er mit seinem Privatfahrzeug von der Strasse ab. Am Auto entstand ein Sachschaden von 5730 Euro. Der Oberarzt verlangte von seinem Arbeitgeber die Erstattung des Schadens. Das Arbeitsgericht und das Landesarbeitsgericht haben jeweils einen Erstattungsanspruch des Arbeitnehmers abgelehnt. Das Bundesarbeitsgericht hat die Urteile aufgehoben und dem Arbeitnehmer einen Erstattungsanspruch gegen seinen Arbeitgeber zugesprochen (BAG vom 22. Juni 2011, Az.: 8 AZR 102/10).
Das Bundesarbeitsgericht begründet sein Urteil damit, dass jeder Arbeitnehmer zwar grundsätzlich seine Aufwendungen für Fahrten zwischen seiner Wohnung und seiner Arbeitsstätte selbst zu tragen hätte, wozu auch Schäden an seinem Fahrzeug gehörten.
Eine Ausnahme sei aber dann zu machen, wenn der Arbeitnehmer während seiner Rufbereitschaft vom Arbeitgeber aufgefordert werde, seine Arbeit anzutreten, und er “die Benutzung seines Privatfahrzeugs für erforderlich halten durfte, um rechtzeitig am Arbeitsort zu erscheinen”.
[ftd]
Die Berliner Staatsanwaltschaft ermittelt gegen den Vorstand der Deutschen Bahn AG wegen fahrlässiger Körperverletzung. Hintergrund sind die Ausfälle von Klimaanlagen in ICEs im vergangenen Sommer. Die Bahn hat 27.000 Fahrgästen Entschädigungen bezahlt, nachdem sie in überhitzten Zügen festsaßen und zum Teil in Krankenhäuser eingeliefert werden mussten..
Die Behörde ermittelt, ob die Vorstände schon vor den Vorfällen wussten, dass die Klimaanlagen den Anforderungen nicht gewachsen sind. Im Visier der Ermittler sind auch Zugchefs und Zugbegleiter.
Derartige Rechtsfälle haben für das BCM eine hohe Relevanz. Denn Vorstände und Geschäftsführer haften bereits bei fahrlässigem Handeln.
Das BaFin hat den zweiten Entwurf der Neufassung der MaRisk BA veröffentlicht. Der Entwurf ist auf den Webseiten des BaFin verfügbar.
Beim Notfallmanagement gibt es inhaltlich keine Anpassungen.
Die Mitte Oktober letzten Jahres von der Bundesregierung auf den Weg gebrachte Modernisierung der Rechtsgrundlagen des Bevölkerungsschutzes ist abgeschlossen. Am 09.04.2009 trat das im Bundesgesetzblatt verkündete Gesetz zur Änderung des Zivilschutzgesetzes – ZSGÄndG (BGBl. I 2009, Seite 693 ff.) in Kraft.
Weiterlesen…