Cyber-Risiken: Geschäftsführer mittelständischer Industrie kommen in die Pflicht

Die mittelständische Industrie

Im verarbeitenden Gewerbe sind es konkret folgende Teilsektoren die durch das Gesetz in die Pflicht genommen werden sollen:

• Herstellung von Medizinprodukten und In-vitro-Diagnostika
• Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnisse
• Maschinenbau
• Herstellung von Kraftwagen und Kraftwagenteilen
• Sonstiger Fahrzeugbau

Diese Organisationen zählen dann zu den wichtigen Einrichtungen (ich nenne sie in diesem Artikel die mittelständische Industrie). Von diesen sind Anforderungen in den Bereichen der digitalen Sicherheit (§30), von Meldepflichten (§32), der Registrierungspflicht (§33), die Berichtspflicht (§57).  Nachweispflichten sind für die wichtigen Einrichtungen und in dem Diskussionspapier nicht vorgesehen.

Maßnahmen zur digitalen Sicherheit

Für die technischen Maßnahmen zur digitalen Sicherheit ist das Diskussionspapier bereits sehr konkret. Hier werden folgende Mindestmaßnahmen, nach dem Stand der Technik, erwartet:

1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
2. Bewältigung von Sicherheitsvorfällen,
3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Meldepflichten

Eine erste Meldepflicht innerhalb von 24 Stunden besteht für die mittelständische Industrie bei erheblichen Sicherheitsvorfällen. Eine zweite Meldung muss dann innerhalb von 72 Stunden erfolgen. Nach einem Monat ist ein Abschlussbericht über den Sicherheitsvorfall mit folgendem Inhalt zu übermitteln:

• eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen;
• Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat;
• Angaben zu den getroffenen und laufenden Abhilfemaßnahmen;
• gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls;

Verantwortlichkeiten und Sanktionen

Verantwortlich sollen die Geschäftsführer und Vorstände der mittelständischen Industrie sein.

Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen (§38 Abs. 1).

Die Schärfe des Diskussionspapiers ergibt sich aus den Sanktionsvorschriften (§60). Für wichtige Einrichtungen können Bußgelder bis zu 10 Millionen Euro oder mit einem Höchstbetrag von mindestens 2% des weltweiten Umsatzes verhängt werden.