Am 28. November 2014 fand die Vortragsveranstaltung “Das geplante IT-Sicherheitsgesetz: Neue Compliance-Anforderungen für die Energieversorger” am Düsseldorfer Standort von Hogan Lovells statt.
Partner und Fachanwalt für IT-Recht Dr. Marcus Schreibauer erläuterte zunächst die für Energieversorger und Betreiber anderer sog. kritischer Infrastrukturen aufgrund von möglichen Cyberangriffen bestehenden Bedrohungsszenarien.
Untermalt wurde der Vortrag durch die Simulation des Hacks einer Steuerungsanlage, welche von den IT-Sicherheitsexperten des Beratungsunternehmens @-yet präsentiert wurde.
Im Anschluss daran stellten Dr. Marcus Schreibauer und Jan Spittka die aktuellen Referentenentwürfe des Bundesministeriums des Innern für ein IT-Sicherheitsgesetz vom 18. August und 6. November 2014 sowie den Entwurf der EU-Kommission für eine Cybersecurity-Richtlinie vor.
Die Entwürfe bringen eine Reihe neuer Pflichten für Unternehmen mit sich. Hervorzuheben sind insoweit insbesondere:
- Neue IT-Sicherheitsstandards für Betreiber “Kritischer Infrastrukturen”, wozu die Gewährleistung eines angemessenen Mindestsicherheitsniveaus und die Durchführung regelmäßiger Sicherheitsaudits zählen.
- Eine neue Meldepflicht bei IT-Sicherheitsvorfällen für Betreiber “Kritischer Infrastrukturen” einschließlich der Pflicht zur Benennung von jederzeit erreichbaren Kontakten im Unternehmen.
- Aufwertung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Aufsichtsbehörde mit Anordnungsbefugnissen.
- Die Erweiterung der Anforderungen an die IT-Sicherheit nach dem Energiewirtschaftsgesetz (EnWG).
- Erweiterte Pflichten für Anbieter von Telemediendiensten (z.B. Webseiten, Apps), technische und organisatorische IT-Sicherheitsmaßnahmen zu implementieren; Einführung eines Bußgeldes bei Verstoß.
Abgerundet wurde die Veranstaltung durch einen Vortrag von Herrn Hans-Peter Fries von @-yet, welcher typischen IT-Schwachstellen sowie deren Lösungsmöglichkeiten anschaulich präsentierte.