Is´ genug IT-Sicherheitsgesetz für alle da!

Was 2015 mit dem ersten IT-Sicherheitsgesetz begann, nämlich eine besondere Verpflichtung von Betreibern Kritischer Infrastrukturen, ist – etwas an der Wahrnehmung der Unternehmen vorbei – zu einem ausgewachsenen Gesetz geworden. Dem IT-Sicherheitsgesetz 2.0. Damit sind nun auch Hersteller kritischer Komponenten und insgesamt sechs Typen von Unternehmen im besonderen öffentlichen Interesse verpflichtet. Viele der neuen Gesetzesadressaten wissen von ihrem Glück aber noch nichts. In noch deutlich weitergehendem Umfang gilt das für sämtliche Hersteller von IT-Produkten. IT-Produkte sind „Software, Hardware sowie alle einzelnen oder miteinander verbundenen Komponenten, die Informationen informationstechnisch verarbeiten“ (§ 2 Abs. 9a BSIG). Hier hat das BSIG umfängliche Untersuchungs-, Auskunfts- und Informationsrechte. Und diese sollten nun in Form von z. B. Reporting-, Abstimmungs- und Verteidigungspflichten in die Hersteller-Kunden-Verträge übernommen werden. Empfehlenswert ist eine agile Vereinbarung zur IT-Sicherheit ähnlich üblicher SLA. Und auch ein ITSiG 3.0 wird kommen und noch breiter wirken.