Apps und Webseiten von Unternehmen jedweder Branche müssen dem Stand der Technik entsprechen, und zwar nicht nur beim erstmaligen Inverkehrbringen und Verwenden, sondern ständig. Dies gilt auch und insbesondere dort, wo personenbezogene Daten von Kunden verwertet werden, wie etwa bei Online-Shops. Unternehmen, die ihre IT-Dienstleister hier nicht in die Pflicht nehmen, riskieren Bußgelder, Schadensersatzansprüche und vielleicht sogar Abmahnungen. Für Unternehmen, die bisher schon ein starkes Augenmerk auf die technische Sicherheit gelegt haben, sollten sich die Auswirkungen in Grenzen halten.
Sehr viel weitergehende Pflichten die komplette Unternehmens-IT betreffend haben Betreiber Kritischer Infrastrukturen. Die Ernährungswirtschaft und der Lebensmittelhandel werden in der Gesetzesbegründung des IT-Sicherheitsgesetzes ausdrücklich als Beispiele hierfür genannt. Dies bedeutet allerdings nicht, dass jedes Unternehmen dieser Branchen den neu geregelten Pflichten unterliegt. Hinzukommen muss eine hohe Bedeutung für das Funktionieren des Gemeinwesens, dass also eine entsprechend große Zahl an Personen betroffen wäre, wenn solche Unternehmen ausfielen oder beeinträchtigt wären.
Dieser Schwellenwert soll durch eine Rechtsverordnung des Innenministeriums näher bestimmt werden, von der bis dato nicht einmal Entwürfe kursieren. Viele der Bestimmungen für Kritische Infrastrukturen gelten obendrein erst zwei Jahre nach Inkrafttreten dieser Verordnung. Für zahlreiche Unternehmen wird die gewonnene Zeit wertvoll sein, um die geforderten technischen und organisatorischen Maßnahmen pünktlich umzusetzen. Insgesamt wird erwartet, dass deutschlandweit rund 2.000 Unternehmen von den Regelungen betroffen sein werden.
Betreibern Kritischer Infrastrukturen drohen Bußgelder von bis zu 100.000 Euro, wenn sie die gesetzlichen Anforderungen nicht umsetzen. Hier empfiehlt es sich, IT-Zulieferer vertraglich zu binden, um diese bei etwaigen Bußgeldern haftbar machen zu können.
Betreiber Kritischer Infrastrukturen haben eine Reihe von Pflichten zu erfüllen, zum Beispiel:
- Angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der IT treffen; der Stand der Technik ist dabei zu jeder Zeit zu berücksichtigen;
- Mindestens alle zwei Jahre Nachweise der umgesetzten Vorkehrungen durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erbringen;
- Erhebliche Störungen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) unverzüglich melden, auch wenn sie nur zu einer Beeinträchtigung führen können;
- Kontaktstellen einrichten und dem BSI benennen.
Die erlangten Informationen können vom BSI in Grenzen auch Dritten zur Verfügung gestellt werden.
Im Zusammenhang mit dem IT-Sicherheitsgesetz kommt häufig die Frage auf, ob Unternehmen, die ihren Kunden kostenloses WLAN anbieten, fortan strengere Vorgaben beachten müssen. Dies ist meist zu verneinen, soweit Unternehmen nicht zu den oben erwähnten Kritischen Infrastrukturen zählen. Betreiber von WLAN-Hotspots sollten allerdings die aktuelle Gesetzgebung zur sogenannten „Störerhaftung“ verfolgen.
Nicht alle Unternehmen der Lebensmittelbranche sind vom IT-Sicherheitsgesetz gleichermaßen betroffen. Wie hoch der Investitions- und Umsetzungsbedarf ist, hängt ganz von den Umständen des Einzelfalles ab, insbesondere ob das Unternehmen nach der noch zu erlassenden Verordnung ein Betreiber Kritischer Infrastruktur ist. Ist dies der Fall, verlangen die ggf. hohen finanziellen Auswirkungen jedoch ein rasches Handeln. Allen beteiligten Unternehmen ist zu empfehlen, ihren Geschäftsbetrieb mit juristischem Sachverstand zu durchleuchten und Handlungsbedarf frühzeitig zu identifizieren.
