IT-Sicherheitsgesetz: erste Umsetzungsstufe von Kritis zum 30.6.2019 fällig

Im Rahmen des IT-Sicherheitsgesetzes (ITSG, Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme; gültig seit 2015) wird nun die erste Umsetzung nach BSI-KritisV (Kritis, Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz; verabschiedet 2016) zum 30. Juni 2019 fällig. Für die betroffenen Unternehmen hat dies eine ganze Reihe von systemtechnischen und organisatorischen Maßnahmen nach sich gezogen. Und natürlich auch das Thema Dokumentation und Nachprüfbarkeit spielt hier eine erhebliche Rolle. Ein klassisches Thema für Dokumentenmanagement-Lösungen. Ähnlichen wie bei Thema GoBD-Verfahrensdokumentation oder DSGVO-Verfahrensverzeichnis stehen hier Übersichten zur nach Sicherheitskriterien klassifizierten IT-Landschaft, Informationslandkarten, ständig aktuelle Anweisungen und SLAs sowie Prüfrichtlinien, Prüfverfahren und Prüfergebnisse auf dem Aufgabenzettel. lauscht man in die Branche hinein, ist hier allerdings bisher relativ wenig passiert. Ständige Nachrichten über Hacks, Datendiebstahle, Einbrüche und Schadsoftwareplatzierungen dürfte sich aber der Druck nunmehr erhöhen. Für Unternehmen und Behörden, die die Vorgaben bisher nur unzureichend umgesetzt haben, drohen empfindliche Strafen und Bußgelder. Betroffen sind dabei mehr Unternehmen und Organisationen, als man bisher meinen möchte. Neben Organisationen der öffentlichen Verwaltung sind auch Finanzinstitute, Energieversorger, Krankenhäuser, Logistik-Unternehmen, Polizei, Feuerwehr, Versicherungen, Telekommuniksations-Firmen, bestimmte Rechenzentren und Plattformanbieter betroffen. Das ITSG generiert zusätzlichen Overhead in vielen Bereichen der IT und Organisation. Eine einheitliche GRC-Strategie (Governance-RiskManagement-Compliance) und Plattform für InfoGov-Anforderungen (Information Governance), die auch die Anforderungen von Handelsrecht, BDSG, Qualitätsmanagement und anderen dokumentationslastigen Anwendungen abdeckt, kann hier hilfreich sein.