Verschaffen Sie sich als Industrieunternehmen einen Überblick über zentrale Gesetze, Richtlinien, Verordnungen, Standards und Normen im Bereich IT-/ OT-Security und Risikomanagement.
Nationale Gesetze und Richtlinien (Deutschland)
| Gesetz/Richtlinie | Beschreibung | Geltungsbereich | Anwendbarkeit (IT/OT) |
|---|---|---|---|
| IT-Sicherheitsgesetz (IT-SiG) | Regelt IT-Sicherheit, insbesondere für kritische Infrastrukturen (KRITIS) | National (Deutschland) | IT, OT |
| Bundesdatenschutzgesetz (BDSG) | Nationale Umsetzung der DSGVO, regelt den Schutz personenbezogener Daten | National (Deutschland) | IT |
| KRITIS-Verordnung | Regelt Anforderungen für Betreiber kritischer Infrastrukturen in Deutschland | National (Deutschland) | IT, OT |
| Digitale Dienste Gesetz (DDG) | Erhöht den Schutz der Verbraucherrechte und stärkt Transparenz‑ und Rechenschaftspflichten von Onlineplattformen. | National (Deutschland) | IT |
| Telekommunikationsgesetz (TKG) | Regelt die Sicherheit und den Schutz von Telekommunikationsdiensten in Deutschland. | National (Deutschland) | IT |
| Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) | Verpflichtet Unternehmen zur Einführung eines Risikomanagementsystems, auch im Hinblick auf IT-Risiken. | National (Deutschland) | IT, OT |
EU-weite Gesetze und Richtlinien
| Gesetz/Richtlinie | Beschreibung | Geltungsbereich | Anwendbarkeit (IT/OT) |
|---|---|---|---|
| Datenschutz-Grundverordnung (DSGVO) | EU-Verordnung zum Schutz personenbezogener Daten | EU-weit | IT |
| NIS-Richtlinie (EU NIS Directive) | Regelt Netz- und Informationssicherheit für digitale Dienste und KRITIS | EU-weit | IT, OT |
| NIS-2-Richtlinie | Verschärfte Version der NIS-Richtlinie, die höhere Anforderungen stellt | EU-weit | IT, OT |
| eIDAS-Verordnung | EU-Verordnung für elektronische Identifizierung und Vertrauensdienste | EU-weit | IT |
Gesetze, Verordnungen und Richtlinien im Einzelnen
Das Bundesdatenschutzgesetz (BDSG) hat die Aufgabe, den Schutz personenbezogener Daten in Deutschland zu gewährleisten und die informationelle Selbstbestimmung der Bürgerinnen und Bürger zu sichern. Es regelt, unter welchen Voraussetzungen Daten erhoben, verarbeitet und genutzt werden dürfen, und stellt dabei den Grundsatz der Datenminimierung in den Mittelpunkt. Das Gesetz ergänzt die europäische Datenschutz-Grundverordnung (DSGVO) und konkretisiert sie für nationale Besonderheiten. Es schützt besonders sensible Daten und stärkt die Rechte der Betroffenen, etwa durch Auskunfts- und Löschansprüche. Gleichzeitig schafft es rechtliche Rahmenbedingungen für Unternehmen und Behörden im Umgang mit Daten. Ein zentrales Anliegen ist die Transparenz von Datenverarbeitungsprozessen. Durch klare Regeln und Kontrollmechanismen soll der Missbrauch personenbezogener Informationen verhindert werden. Das BDSG trägt somit entscheidend zum Vertrauen in die digitale Gesellschaft bei.
Die Datenschutz-Grundverordnung (DSGVO) hat die Aufgabe, den Schutz personenbezogener Daten innerhalb der Europäischen Union zu vereinheitlichen und zu stärken. Sie soll die informationelle Selbstbestimmung der Bürgerinnen und Bürger sichern, indem sie klare Regeln für die Verarbeitung, Speicherung und Weitergabe von Daten festlegt. Ein zentrales Anliegen ist es, Transparenz darüber zu schaffen, welche Daten erhoben werden und wofür sie verwendet werden. Die DSGVO stärkt die Rechte der Betroffenen, etwa durch Auskunfts‑, Berichtigungs- und Löschansprüche. Unternehmen werden verpflichtet, Datenschutz schon bei der Planung von Prozessen und Produkten zu berücksichtigen. Gleichzeitig soll das Vertrauen in digitale Dienste erhöht und der freie Datenverkehr innerhalb des EU-Binnenmarkts sichergestellt werden. Auch sollen gleiche Wettbewerbsbedingungen für alle Anbieter geschaffen werden, unabhängig davon, ob sie ihren Sitz in der EU haben. Die Verordnung sieht strenge Sanktionen bei Verstößen vor und betont die Rechenschaftspflicht der Verantwortlichen. Damit bildet die DSGVO einen grundlegenden Rahmen für einen modernen, fairen und sicheren Umgang mit personenbezogenen Daten.
Das Digitale‑Dienste‑Gesetz (DDG) setzt EU‑Vorgaben, insbesondere den Digital Services Act, in deutsches Recht um und trat am 14. Mai 2024 in Kraft. Es verfolgt das Ziel, ein sicheres und verantwortungsvolles digitales Umfeld zu schaffen, in dem Nutzer Onlineinhalten vertrauen und sich bei Verstößen beschweren können. Dabei steht der Schutz der Verbraucherrechte im Mittelpunkt, indem Plattformen klare Regeln für die Entfernung von Hassrede, illegalen Waren und Falschinformationen einhalten müssen. Das DDG stärkt Transparenz‑ und Rechenschaftspflichten von Onlineplattformen sowie Suchmaschinen und fördert Vertrauenswürdigkeit durch Melde‑ und Aktionsverfahren. Unternehmen erhalten mehr Rechtssicherheit im Binnenmarkt, da der Gesetzesrahmen auf allen digitalen Diensten gleichermaßen gilt. Verstöße können mit Bußgeldern geahndet werden und Beschwerden bei der Bundesnetzagentur eingereicht werden. Gleichzeitig schützt das DDG die Meinungsfreiheit, indem es Löschmechanismen fair und nachvollziehbar gestaltet. Es reguliert insbesondere sehr große Plattformen zusätzlich durch Risikobewertungen, jährliche Prüfungen und Transparenzpflichten bei Empfehlungsalgorithmen. So soll das Gesetz die digitale Resilienz der Gesellschaft stärken und gleichzeitig Innovations- und Wettbewerbsfähigkeitsziele fördern.
Das IT-Sicherheitsgesetz 2.0 verfolgt das Ziel, die IT-Sicherheit in Deutschland auf ein neues Niveau zu heben und die digitale Infrastruktur besser vor Cyberangriffen zu schützen. Besonders im Fokus stehen Betreiber kritischer Infrastrukturen, deren Ausfall erhebliche Auswirkungen auf die Gesellschaft hätte. Durch erweiterte Pflichten und strengere Vorgaben soll die Resilienz dieser Systeme gestärkt werden. Gleichzeitig soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Cybersicherheitsbehörde gestärkt und handlungsfähiger gemacht werden. Ein weiteres Ziel ist die Schaffung von mehr Transparenz und schnellerer Reaktion bei IT-Sicherheitsvorfällen. Auch die Einführung vertrauenswürdiger IT-Komponenten ist Teil der Strategie. Das Gesetz soll dazu beitragen, staatliche und wirtschaftliche Strukturen besser gegen zunehmende Bedrohungen im Cyberraum abzusichern.
Die KRITIS-Verordnung zielt darauf ab, die Resilienz und Funktionsfähigkeit kritischer Infrastrukturen dauerhaft zu sichern, damit zentrale Versorgungssysteme auch unter physischen und digitalen Bedrohungen zuverlässig verfügbar bleiben. Sie legt erstmals sektorübergreifende Schwellenwerte fest, um genau zu bestimmen, welche Betreiber in den Pflichtrahmen fallen. Dabei steht insbesondere der Schutz von Systemen wie Energie, Wasser, Gesundheit, Transport, IT und Abfallentsorgung im Fokus. Die Verordnung definiert verbindliche Anforderungen an technische und organisatorische Sicherheitsmaßnahmen nach dem Stand der Technik. Sie verpflichtet verantwortliche Unternehmen, IT‑Störungen und Cybervorfälle zügig zu melden, um schnelle Reaktionen zu ermöglichen. Zudem fordert sie regelmäßige Nachweise durch Prüfberichte oder branchenspezifische Standards, um die Umsetzung der Maßnahmen zu belegen.
Ein weiteres Ziel ist, die Zusammenarbeit zwischen Betreibern, dem BSI und anderen Behörden zu stärken und so ein koordiniertes Sicherheitsniveau zu etablieren. Auch die physische Absicherung kritischer Anlagen wird adressiert, um alltagsrelevante Funktionen vor vielfältigen Gefährdungen zu schützen. Damit unterstützt die Verordnung sowohl nationale als auch EU‑weit definierte Resilienzstrategien, etwa im Kontext von NIS 2 und der CER‑Richtlinie. Zusammen genommen schafft die KRITIS-Verordnung einen verbindlichen Legalrahmen, der essenzielle Dienste gegen Ausfälle, Angriffe und technische Störungen absichert.
Das Telekommunikationsgesetz (TKG) hat die Aufgabe, einen fairen und leistungsfähigen Wettbewerb im Telekommunikationsmarkt zu gewährleisten und gleichzeitig die Interessen der Verbraucher zu schützen. Es schafft rechtliche Rahmenbedingungen für den Zugang zu Netzen und Diensten, fördert den flächendeckenden Ausbau moderner Infrastrukturen und unterstützt die Digitalisierung in Deutschland. Ein zentrales Anliegen ist die Sicherstellung eines universellen Dienstes, sodass alle Bürger Zugang zu grundlegenden Telekommunikationsdiensten erhalten können. Das Gesetz regelt zudem die Rechte und Pflichten von Anbietern und Nutzern, etwa in Bezug auf Vertragslaufzeiten, Kündigungsfristen und Transparenz bei Leistungen. Es schützt personenbezogene Daten bei der Kommunikation und verpflichtet Anbieter zur technischen und organisatorischen Sicherheit. Auch Regelungen zur Netzneutralität und zur Frequenzvergabe sind enthalten. Ziel ist es, Innovationen zu fördern und gleichzeitig ein hohes Maß an Verlässlichkeit, Sicherheit und Verbraucherschutz im Telekommunikationsbereich zu sichern.
Standards und Normen im Einzelnen
Es gibt mehrere wichtige Standards und Normen zur Informationssicherheit, die Ihnen dabei helfen ein strukturiertes und effektives Informationssicherheitsmanagement zu implementieren.
Diese Norm bietet einen Leitfaden für die Umsetzung von Informationssicherheitsmaßnahmen. Sie enthält eine Sammlung von Best Practices für die Informationssicherheit, die als Ergänzung zu ISO/IEC 27001 dient.
Diese Norm bietet Leitlinien für das Informationssicherheits-Risikomanagement. Sie unterstützt Unternehmen bei der Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken.
Diese Norm erweitert ISO/IEC 27001 und ISO/IEC 27002 um Anforderungen und Leitlinien für das Management von Datenschutzinformationen. Sie hilft Organisationen, ein Datenschutz-Informationsmanagementsystem (PIMS) zu etablieren.
Diese Norm spezifiziert die Anforderungen an ein Managementsystem für die Kontinuität der Geschäftstätigkeit (Business Continuity Management System, BCMS). Sie ist relevant für die Informationssicherheit, da sie die Planung und Umsetzung von Maßnahmen zur Aufrechterhaltung und Wiederherstellung von Geschäftsfunktionen bei Zwischenfällen umfasst.
Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist ein umfassender Rahmen für Informationssicherheit, der aus mehreren Standards und Katalogen besteht. Die BSI-Standards, wie BSI 200–1 (Managementsysteme für Informationssicherheit – ISMS), BSI 200–2 (IT-Grundschutz-Methodik) und BSI 200–3 (Risikoanalyse auf der Basis von IT-Grundschutz), bieten detaillierte Anleitungen und Best Practices.
TISAX ist ein von der Automobilindustrie entwickelter Standard zur Bewertung der Informationssicherheit. Er basiert auf der ISO/IEC 27001 und ist speziell auf die Anforderungen der Automobilbranche zugeschnitten.
-
Viele kleine und mittlere Unternehmen (KMU) würden gerne mehr für ihre IT-Sicherheit unternehmen, wissen aber oftmals nicht wie. Bereits existierende Standardwerke zum Aufbau eines Informationssicherheitsmanagementsystems, wie das IT-Grundschutz-Kompendium des BSI oder die Norm ISO/IEC 27001, sind insbesondere für Unternehmen mit weniger als 50 Beschäftigen nicht optimal geeignet.
-
Für diese wurde durch das BSI geleitet der CyberRisikoCheck nach DIN SPEC 27076 erarbeitet. Durch diesen können KMU bei IT-Dienstleistern eine standardisierte Beratung erhalten, die speziell auf ihre Bedürfnisse angepasst ist. In der DIN SPEC wurden auch die Handlungsempfehlungen für KMU standardisiert. Dadurch wissen sowohl Auftraggeber als auch Auftragnehmer, welche Leistung zu erwarten bzw. zu erbringen ist.
