Das neue IT-Sicherheitsgesetz 2.0
In einer digital vernetzten Welt ist eine sichere IT-Infrastruktur wichtiger denn je. Insbesondere Unternehmen, die zu den „kritischen Infrastrukturen“ (KRITIS) zählen, gelten als besonders schützenswert. Kommt es zum Ausfall eines KRITIS-Unternehmens, können nachhaltige Versorgungsengpässe entstehen und auch die öffentliche Sicherheit kann in Gefahr geraten.
Bis vor kurzem gehörten in Deutschland sieben verschiedene Sektoren der KRITIS an. Dazu zählen beispielsweise die Branchen Energie, Wasser, Ernährung, Telekommunikation oder das Gesundheits- und Finanzwesen. Im Rahmen des IT-Sicherheitsgesetzes 2.0 (IT-SIG 2.0) sind nun auch die Sektoren Siedlungsabfallentsorgung und Unternehmen im besonderen öffentlichen Interesse (UBI/UNBÖFI) neu hinzugekommen.
Das IT-SiG 2.0 nimmt mit Senkung der Schwellenwerte in der KRITIS Verordnung nun deutlich mehr Organisationen in die Pflicht, wirksame Maßnahmen zur Erhöhung ihrer IT-Sicherheit zu ergreifen. Dabei geht es grundsätzlich darum, alle Unternehmen zu erfassen, die mit ihren Dienstleistungen und Produkten mehr als 500.000 Personen versorgen.
Die KRITIS-Verordnung 2021
Die Verordnungen zu den Kritischen Infrastrukturen (KRITIS) des Bundesamts für Sicherheit in der Informationstechnik (BSI) ergänzen das seit Juli 2015 gültige IT-Sicherheitsgesetz. Die Regierung hat nach dem IT-Sicherheitsgesetz 2.0 in 2021 nun die BSI-KritisV 1.5 beschlossen und zum 1. Januar in Kraft gesetzt. Sie konkretisiert die Ausführungen vom IT-Sicherheitsgesetz und definiert Schwellenwerte, Anlagen und Vorgaben zur Umsetzung.
Diese Schwellenwerte sollten von Unternehmen im Grenzbereich in regelmäßigen Abständen auf Aktualisierungen geprüft werden. Die Pflicht bezüglich hohen Anforderungen im Bereich der IT-Sicherheit soll nachgekommen und Störungen der IT-Systeme direkt dem BSI gemeldet werden.
Fristen durch die neuen KRITIS-Verordnung 1.5:
- Die neue Verordnung ist am 1. Januar 2022 in Kraft getreten
- Neue und alte Anlagen, die die (neuen) Schwellenwerte 2021 überschreiten, müssen spätestens zum 1. April 2022 registriert werden.
- Umsetzung von Cyber Security Maßnahmen nach §8a BSIG zum 1. April 2022
- Nachweis der Umsetzung durch KRITIS-Prüfungen spätestens zum 1. April 2024
Der KRITIS-Sektor Siedlungsabfallentsorgung und die UBI/UNBÖFI werden 2022 noch in einer separaten KRITIS-Verordnung 2.0 und einer UBI-Verordnung definiert.
Neue Pflichten für KRITIS-Betreiber
Das BSI verpflichtet Betreiber von Kritischen Infrastrukturen, bestimmte Anforderungen zu erfüllen. Hier finden Sie eine Übersicht der zu implementierenden Maßnahmen:
- Registrierung
Unternehmen müssen sich unmittelbar nach Feststellung als KRITIS-Betreiber beim BSI registrieren und eine Kontaktstelle benennen. Das BSI darf Betreiber selbständig als kritische Infrastruktur registrieren und bei bestimmten Sachverhalten Einblick in Unterlagen verlangen, wenn diese ihrer Registrierungspflicht nicht nachkommen.
- Angriffserkennung
Mit IT-SiG 2.0 gehören Systeme zur Angriffserkennung (SzA) nun ausdrücklich zu den technischen und organisatorischen Sicherheitsvorkehrungen in KRITIS-Anlagen. Diese müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen. Die Umsetzung dieser Forderung kann z.B. mittels Security Operation Center (SOC) oder Security Information and Event Management (SIEM) realisiert werden.
Der Einsatz von SzA ist spätestens ab dem 1. Mai 2023 verpflichtend.
- Meldepflichten
KRITIS-Betreiber und Unternehmen im besonderen öffentlichen Interesse sind verpflichtet bei erheblichen Störungen dem BSI auf Nachfrage Informationen zur Verfügung zu stellen, die für die Störungsbewältigung notwendig sind.
- Einsatz von kritischen Komponenten
Unternehmen müssen den Einsatz von kritischen Komponenten bestimmter Sektoren melden. Der Einsatz solche Komponenten darf untersagt werden. Kritische Komponenten sind nach §2 IT-SiG IT-Produkte, deren Ausfall die Funktion der Anlage erheblich beeinträchtigen würde. Diese Komponenten sind werden noch für die jeweiligen Sektoren definiert.
- Inventarisierung
Betreiber müssen kritische IT-Produkte in KRITIS-Anlagen inventarisieren — mit aktuellen Informationen zu Herstellern, Typen der Produkte. Bislang galt das nur für den KRITIS-Sektor Telekommunikation.
- Aufrechterhaltung der kritischen Infrastruktur
Die KRITIS-Schutzziele (Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität) müssen anhand der betriebsrelevanten Teile festgelegt, in die Risikobetrachtung aufgenommen und durchgängig in allen Prozessen betrachtet werden. Anhaltspunkt für das Ausmaß eines Risikos für die Allgemeinheit sollten die Auswirkungen auf die Funktionsfähigkeit der kritischen Infrastruktur und der kritischen Dienstleitung sein.
Sind Sicherheitsvorkehrungen nach dem jeweils aktuellen Stand der Technik möglich und angemessen muss der Betreiber sie umsetzen. Grundsätzlich gilt: Ein Transfer der Risiken z. B. auf Versicherungen ist nicht möglich und kein Ersatz für Sicherheitsvorkehrungen.
Eine rein betriebswirtschaftliche Risikobetrachtung reicht in der Regel nicht aus.
- Prüfung der Absicherung
In Form von Sicherheitsaudits müssen KRITIS-Betreiber alle zwei Jahre dem BSI die Umsetzung angemessener Maßnahmen und die Einhaltung der Technikstandards nachweisen, so § 8a III BSIG.
Wie kann die Einhaltung der Maßnahmen nach dem Stand der Technik nachgewiesen werden?
Die Implementierung eines Information Security Management System, kurz ISMS, ist für Betreiber kritischer Infrastrukturen verpflichtend, um die neuen Sicherheitsstandards umsetzen zu können. Eine ISMS bezieht sich nicht nur auf die IT-Sicherheit des Unternehmens, sondern trägt ebenfalls zur Optimierung der Unternehmensprozesse und -strukturen bei, um Störungen und Risiken hinsichtlich des Informationssicherheitsmanagements zu reduzieren.
KRITIS-Betreiber können beispielsweise durch eine Zertifizierung gemäß ISO 27001 mit den zusätzlichen Aspekten der KRITIS Schutzziele gemäß §8a BSIG die Anforderungen des BSI erfüllen.
Eine andere Möglichkeit der Nachweiserbringung besteht darin einen vom BSI anerkannten branchenspezifischen Sicherheitsstandard (B3S) oder die Orientierungshilfe des BSI als Prüfgrundlage zu verwenden.
Broschüre KRITIS und das neue IT-Sicherheitsgesetz 2.0
In einer digital vernetzten Welt ist eine sichere IT-Infrastruktur wichtiger denn je. Insbesondere Unternehmen, die zu den „kritischen Infrastrukturen“ (KRITIS) zählen, gelten als besonders schützenswert. Kommt es zum Ausfall eines KRITIS-Unternehmens, können nachhaltige Versorgungsengpässe entstehen und auch die öffentliche Sicherheit kann in Gefahr geraten. In unserer Broschüre geben wir Ihnen erste Informationen an die Hand, und teilen Erfahrungen bei der Einführung und Zertifizierung mit Ihnen.
Hier finden Sie die wichtigsten Informationen auf einen Blick:
Mit TÜV NORD auf der sicheren Seite
Als verlässliche Partnerorganisation unterstützen wir Sie bei der Implementierung und Aufrechterhaltung eines funktionierenden Informationssicherheits-Managementsystems. Mit einer Zertifizierung durch uns erfüllt Ihr Unternehmen die im IT-Sicherheitsgesetz gestellten Anforderungen und kann dies durch ein entsprechendes Zertifikat auch nach außen hin belegen.
Das könnte Sie auch interessieren
Wir freuen uns auf Ihre Anfrage
Anrufe aus der Schweiz und Österreich: +49 511 998-61222
Kostenlose Service-Hotline
Tel.: 0800 2457 457
info.tncert@tuev-nord.de