Was bedeutet das neue IT-Sicherheitsgesetz 2.0 im Detail, nicht nur für KRITIS-Betreiber: Welche Anforderungen gilt es umzusetzen, welche Technologien sind notwendig, welche Maßnahmen müssen nachgewiesen werden? Unser Tochterunternehmen RADAR Cyber Security fasst in diesem Gastbeitrag wichtige Informationen zusammen.
Grundsätzlich sind Melde- und Nachweispflichten für Betreiber kritischer Infrastrukturen nichts Neues. Unternehmen und Organisationen, die entsprechende Leistungen zur Versorgung der Bevölkerung erbringen, müssen bereits seit 2019 gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen, dass sie nach dem „Stand der Technik“ gegen Cyber-Angriffe gerüstet sind.
Das IT-Sicherheitsgesetz 2.0 ist bereits seit zwei Jahren gültig. Die darin festgelegte Übergangsfrist zur Nachweispflicht von Angriffserkennung ist mit dem 1. Mai 2023 abgelaufen. Damit erreicht diese Regelung eine neue Dimension, denn die zweite Version des IT-Sicherheitsgesetzes (kurz IT-SiG) verschärft die Anforderungen erheblich:
- Der Kreis der zur kritischen Infrastruktur zählenden Einrichtungen erweitert sich deutlich: Die Verordnung gilt nicht nur für KRITIS-Betreiber selbst, sondern auch für deren Zulieferer.
- Auch Unternehmen von „besonderem öffentlichem Interesse“ sind nun inbegriffen: So müssen unter anderem Rüstungshersteller oder Unternehmen mit einer „besonderen volkswirtschaftlichen Bedeutung“ bestimmte IT-Sicherheitsmaßnahmen umsetzen.
- Staat und Regulierungsbehörden erhalten mehr Befugnisse: Das BSI kann beispielsweise selbst Unternehmen als KRITIS einstufen.
Was fordert das IT-Sicherheitsgesetz 2.0 jetzt konkret?
KRITIS-Betreiber müssen spätestens bis zum Stichtag 1. Mai 2023 Systeme und Prozesse zur Angriffserkennung implementiert haben, die nun explizit zu den technischen und organisatorischen Sicherheitsvorkehrungen gehören. Hierzu zählen beispielsweise ein Security Information and Event Management (SIEM) oder ein Security Operations Center (SOC). Mit dem auch als „Cyber Defense Center“ (CDC) bekannten Verteidigungszentrum können KRITIS-Betreiber ein durchgängiges Sicherheitskonzept für ihre IT- und OT-Infrastruktur implementieren. Hier sind Technologien und Prozesse mit dem Know-how der Experten vereint, die für Überwachung, Analyse und Aufrechterhaltung der Informationssicherheit eines Unternehmens verantwortlich sind.
Zudem sind die im zweiten Punkt angesprochenen Unternehmen von besonderem öffentlichem Interesse zur regelmäßigen Abgabe einer Selbsterklärung verpflichtet: Sie müssen darlegen, welche IT-Sicherheitszertifizierungen in den vergangenen zwei Jahren durchgeführt wurden und wie sie ihre IT-Systeme abgesichert haben.
Kommt es zu Störungen, muss das BSI darüber umgehend informiert werden. Die Behörde nutzt die Meldungen dazu, die Betroffenen zu unterstützen und andere Unternehmen vor Gefahren zu warnen. Bei Nichtmeldung oder fehlender Registrierung müssen die Betroffenen mit hohen Bußgeldern rechnen. Auch wenn bei einer Kontrolle die mangelhafte Umsetzung der Angriffserkennung festgestellt wird, ist mit Geldstrafen bis zu zwei Millionen Euro zu rechnen – bei vorsätzlichen Verstößen kann sogar eine Geldstrafe von bis zu 20 Millionen Euro anfallen. Das sind empfindliche Strafen, schließlich hätten Versorgungsengpässe oder gar komplette Systemausfälle dramatische Folgen für Staat, Wirtschaft und Gesellschaft.
Umso wichtiger ist es also, dass die angesprochenen Einrichtungen integrierte Lösungen nutzen, die sich im Einklang mit dem IT-Sicherheitsgesetz 2.0, dem BSI-Gesetz sowie den ISO-27000-Standards zur Informationssicherheit befinden. Neben dem Nachweis von Sicherheitsaudits oder Zertifizierungen wie ISO-27001 ist die Nutzung europäischer Sicherheitstechnologien empfohlen, um gesetzliche Vorgaben wie Datenschutzgrundverordnung (DSGVO) und BSI-Gesetz vollumfassend erfüllen zu können.
Gesetzesinitiativen wie das IT-Sicherheitsgesetz 2.0 zeigen: Die Politik hat die Dringlichkeit der Resilienz-Aufgabe im heutigen Digitalisierungszeitalter erkannt. Unternehmen haben viel zu tun und das auch weiterhin nach dem 1. Mai 2023.
