Trend Micro hat seinen Leitfaden „IT-Security und IT-Compliance im Unternehmen“ in der 6. Auflage auf den neuesten Stand gebracht. Schwerpunkte sind das IT-Sicherheitsgesetz 2.0 und das Geschäftsgeheimnisgesetz.
Die Zusammenstellung versteht sich als Rechtsratgeber für Firmenverantwortliche, der einen Überblick über die wichtigsten IT-Sicherheitsthemen gibt. Neu hinzugekommen sind u.a. der bereits vorliegende Referentenentwurf zum IT-Sicherheitsgesetz 2.0 und dessen Auswirkungen sowie das Geschäftsgeheimnisgesetz. So ist vorgesehen, dass beispielsweise die Pflicht zu Meldung von erheblichen Störungen an das BSI (Bundesamt für Informationssicherheit) nicht mehr nur Betreiber kritischer Infrastrukturen (KRITIS) betrifft, sondern für weitere Wirtschaftsbereiche gelten wird, „bei denen ein besonderes öffentliches Interesse besteht oder bei deren Beeinträchtigung ein Grundinteresse der Gesellschaft gefährdet ist“ bzw. „bei deren Beeinträchtigung ihrer Geschäftstätigkeit erheblicher volkswirtschaftlicher Schaden eintreten würde“.
Zu diesem erweiterten Kreis gehören dann als Zulieferer auch Hersteller von IT-Produkten und Software. Das BSI bekommt zugleich ein Warnrecht und kann bei Sicherheitsvorfällen öffentlich auch konkrete Produkte und Hersteller nennen. Nicht zuletzt werden nach dem Vorbild der EU-DSGVO die Bußgelder für Verstöße deutlich erhöht: von bisher 100.000 Euro auf bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes. Der gesamte Abschnitt I.7 widmet sich dem Thema Haftung und Sanktionen bei Verstößen.
Der juristische Leitfaden kann freilich keine konkreten Umsetzungshilfen anbieten, ist aber ein insgesamt guter Kompass in Sachen IT-Compliance und strategischer IT-Sicherheit. Erstaunlich kurz geraten ist allerdings der Abschnitt IV zum (Industrial) Internet of Things; tatsächlich steht der Gesetzgeber hier mehr vor offenen Fragen, als dass er sie beantworten könnte. Und nicht alle Argumentationen – etwa zur Quellcode-Hinterlegung für den Insolvenzfall (Abschnitt I.6.g) – muss man unbesehen übernehmen; die EVB-IT zum Beispiel sehen Hinterlegungsvereinbarungen (Software Escrow) durchaus vor.
Das Paper gibt es bei Trend Micro gegen Angabe der Kontaktdaten kostenfrei als PDF zum Herunterladen.
