NIS-Richtlinie

Direktive für Netz- und Informationssicherheit (Network and Information Security Directive) der EU. Die Vertreter der EU-Kommission, des Europaparlaments und der Mitgliedstaaten haben sich im Dezember 2015 auf das erste europäische Gesetz zur Cybersicherheit geeinigt. Unternehmen der Kritischen Infrastrukturen müssen nach dieser Direktive Hackervorfälle melden und Mindestsicherheitsmaßnahmen umsetzen. Die EU-Mitgliedsländer müssen die Direktive in nationalen Gesetzen umsetzen. In Deutschland wurde im Sommer bereits das IT-Sicherheitsgesetz als Sammlung von Gesetzesänderungen beschlossen. Die NIS-Richtlinie kann zu Anpassungen im IT-Sicherheitsgesetz führen.
Link zur Pressemitteilung der EU:
http://www.europarl.europa.eu/news/en/news-room/20151207IPR06449/MEPs-close-deal-with-Council-on-first-ever-EU-rules-on-cybersecurity

IT-Sicherheitsgesetz

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). Das Gesetz wurde am Freitag 12. Juni 2015 verabschiedet. Rechtsverordnungen legen fest, wer als Betreiber kritischer Infrastrukturen gilt und den Anforderungen des Gesetzes unterliegt. Zu den Anforderungen zählen die Herstellung eines Mindestniveaus an IT-Sicherheit nach Branchen-Standards, Nachweise mittels Zertifizierungen hierüber sowie eine Meldepflicht bei Störungen. Ein Verstoß gegen das Gesetz ist mit Bußgeldern bis 100.000 Euro bewehrt.

Das IT-Sicherheitsgesetz ist ein Artikelgesetz, das andere Gesetze ändert und ergänzt. In erster Linie betrifft dies das BSI-Gesetz.

“Um Defiziten im Bereich der IT-Sicherheit insbesondere auch außerhalb der Bundesverwaltung wirksam zu begegnen, wurde das BSI mit neuen Aufgaben und Befugnissen ausgestattet:

  • Nach § 8a BSIG Betreiber Kritischer Infrastrukturen, müssen die Einhaltung von IT-Sicherheit nach dem Stand der Technik regelmäßig gegenüber dem BSI nachweisen. Sofern Sicherheitsmängel aufgedeckt werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen.
  • Das BSI wird nach § 8b BSIG die zentrale Meldestelle für die IT-Sicherheit Kritischer Infrastrukturen. Diese müssen dem BSI erhebliche Störungen ihrer IT melden, sofern sie Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können. Umgekehrt hat das BSI sämtliche für Abwehr von Angriffen auf die IT-Sicherheit Kritischer Infrastrukturen relevanten Informationen zu sammeln, zu bewerten und an die Betreiber sowie die zuständigen (Aufsichts-)Behörden weiterzuleiten.
  • Sofern bei einem Betreiber Kritischer Infrastrukturen meldepflichtige Störungen der IT auftreten, darf das BSI erforderlichenfalls auch die Hersteller der entsprechenden IT-Produkte und -systeme gemäß § 8b BSIG zur Mitwirkung verpflichten.
  • Dem BSI wird die Befugnis eingeräumt, zur Wahrnehmung seiner Aufgaben nach § 3 Abs. 1 S. 2 Nr. 1, 14 und 17 BSIG, IT-Produkte auf ihre Sicherheit hin zu untersuchen.
  • Die Befugnis des BSI aus § 5 BSIG zur Analyse von Schnittstellen- und Protokolldaten in den Netzen der Bundesverwaltung wird dahingehend erweitert, dass die Bundesbehörden das BSI nunmehr bei dieser Tätigkeit unterstützen müssen.
  • Zur Stärkung der IT-Sicherheit der Bundesverwaltung wird das BSI verpflichtet, Mindeststandards für die IT der Bundesverwaltung zu erarbeiten. Die Möglichkeit des BMI, diese Mindeststandards für alle Behörden als verbindlich zu erklären, wird erleichtert, da nur noch das Benehmen (statt des Einvernehmens) mit dem IT-Rat hergestellt werden muss.”

Die Erstellung der Rechtsverordnungen zur Umsetzung des IT-Sicherheitsgesetzes erfolgt in 2016 in zwei Losen:

Los 1: Energie, IT + TK, Ernährung, Wasser im 1. Qrt. 2016

Los 2: Finanzen, Transport + Verkehr, Gesundheit im 4. Qrt. 2016.

 

MaRisk (BA)

Titel:

MaRisk BA – Mindestanforderungen an das Risikomanagement

An alle Kreditinstitute und Finanzdienstleistungsinstitute in der Bundesrepublik Deutschland

Aktuelle Fassung: 10/2012

Herausgeber:

BaFin Bundesanstalt für Finanzdienstleitungsaufsicht

Beschreibung:

“Dieses Rundschreiben gibt auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes (KWG) einen flexiblen und praxisnahen Rahmen für die Ausgestaltung des Risikomanagements der Institute vor. Es präzisiert ferner die Anforderungen des § 25a Abs. 1a und Abs. 2 KWG (Risikomanagement auf Gruppenebene, Outsourcing).”

Im allgemeinen Teil AT 7.3 sind die grundlegenden Anforderungen an ein Notfallkonzept beschrieben:

  1. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch Notfalltests zu überprüfen. Die Ergebnisse der Notfalltests sind den jeweiligen Verantwortlichen mitzuteilen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
  2. Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederanlaufpläne umfassen. Die Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Die Wiederanlaufpläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Die im Notfall zu verwendenden Kommunikationswege sind festzulegen. Das Notfallkonzept muss den beteiligten Mitarbeitern zur Verfügung stehen.

Verweise:

MaRisk (BA)

BaFin