KRITIS-Betreiber müssen sich auf gravierende Anpassungen des IT-Sicherheitsgesetzes 2.0 (IT-SiG) vorbereiten. Der fertige Entwurf der neuen Gesetzesvorlage ist zur Veröffentlichung in diesem Jahr geplant. Nach Inkrafttreten der Rechtsverordnung müssen dann innerhalb von zwei Jahren die Anforderungen umgesetzt werden (§ 8a Abs. 1 BSIG).

Welche wesentlichen Pflichten kommen auf KRITIS-Betreiber zu?

Verpflichtende Angriffserkennung

Inbetriebnahme von Systemen zur Erkennung von Cyber-Attacken.

​Jetzt zum Management-Letter für Informationssicherheit anmelden!

​Erhalten Sie von Adiccon regelmäßig aktuelle Beiträge, Angebote und Veranstaltungshinweise rund um die Informationssicherheit.

​Ja, ich möchte den Management-Letter erhalten *

* Mit der Anmeldung zum Management-Letter stellen Sie uns Ihre E-Mail-Adresse zur Verfügung und geben uns Ihre Einwilligung, dass wir Ihnen zukünftig unseren Management-Letter mit aktuellen Beiträgen rund um die Informationssicherheit sowie Hinweise zu aktuellen Angeboten und Veranstaltungen regelmäßig senden dürfen. 

Sie können den Management-Letter jederzeit über den Abmeldelink, der sich am Ende eines jeden Management-Letters befindet, abbestellen und sich damit aus der Verteilerliste austragen. Weitere Informationen finden Sie unter ​https://adiccon.de/data-policy/

Konkret: KRITIS-Betreiber müssen sicherstellen, dass neben einer Firewall sowie einer Anti-Viren Software zusätzlich Systeme implementiert sind, welche Cyber-Angriffe automatisch und im besten Fall in Echtzeit erkennen.
Dies kann beispielsweise mit sogenannten IDS/IPS (Intrusion Detection / Prevention System) oder SIEM-Lösungen umgesetzt werden.

Mindeststandards kritischer Komponenten

KRITIS-Kernkomponenten, die für eine Störung im Betrieb kritischer Dienstleistungen sorgen können, müssen Mindeststandards des BSI (Bundesamt für Sicherheit in der Informationstechnik) erfüllen und eine Vertrauenswürdigkeitserklärung der gesamten Zulieferkette dieser Komponente nachweisen.

Konkret: Hersteller, die beispielsweise medizinische oder IT-Geräte für kritische Dienstleistungen herstellen, müssen Mindeststandards vom BSI erfüllen und nachweisen. Zusätzlich muss der Hersteller eine sogenannte Vertrauenswürdigkeitserklärung abgeben, dass die komplette Lieferkette dieser Komponenten die Sicherheitskriterien erfüllt.
Bislang sind diese Mindeststandards noch nicht bekannt und werden erst in Gremien definiert. Fraglich ist derzeit, wie schnell diese Richtlinie umgesetzt wird, da ein Nachweis aus der gesamten Zulieferkette einen enormen Aufwand für die Hersteller bedeutet.

Drastische Erhöhung der Bußgelder

Mit der Anpassung an die EU-DSGVO werden Verstöße mit Geldbußen von bis zu 20.000.000 Euro bzw. 4% des weltweiten Unternehmensumsatzes verhängt

Konkret: Die Bußgelder des IT-Sicherheitsgesetzes werden analog zur bereits etablierten EU-DSGVO (Datenschutzgrundverordnung) erhöht. Das heißt, Stand heute max. 100.000 Euro Bußgeld wird auf 20.000.000 Euro bzw. 4% des weltweiten Unternehmensumsatzes angehoben.

Erkennung von Sicherheitsrisiken

Das BSI darf Maßnahmen zur Erkennung von Sicherheitslücken und Risiken in öffentlich erreichbaren Informationssystemen durchführen.

Konkret: Das BSI erhält das Recht, eigenständig alle öffentlich zugänglichen IT-Systeme (z.B. eine Website) von KRITIS-Betreibern auf Sicherheitslücken zu prüfen. Das bedeutet, dass das BSI diese Systeme genauso wie ein Angreifer untersuchen/penetrieren kann.
An dieser Stelle wird es sinnvoll werden, als Betreiber vorzubeugen und selbständig Penetrationstest der eigenen Systeme durchzuführen.

Erstellung von Krisenreaktionsplänen

In Zusammenarbeit mit dem BSI sowie dem Bundesamt für Bevölkerungsschutz und der Katastrophenhilfe sollen abgestimmte Entscheidungen im Notfall unverzüglich Maßnahmen ausführbar machen.

Konkret: KRITIS-Betreiber sollten Ressourcen für eine „Krisenmanager“ Position abstellen. Dieser sollte die Interessen der Klinikums gegenüber den Behörden vertreten und die Maßnahmen in Krisensituationen abstimmen.

Fazit

Bei Verabschiedung des IT-Sicherheitsgesetzes 2.0 werden die IT-sicherheitsrechtlichen Verpflichtungen deutlich erweitert, das BSI erhält weitreichende Kompetenzen und die Sanktionen bei Fehlverhalten werden drastisch erhöht.

Die Zeit zur Umsetzung angemessener organisatorischer und technischer Vorkehrungen zum Schutz der IT-Systeme sollte deswegen nicht zu knapp kalkuliert werden. KRITIS-Betreiber sollten schon jetzt mit der Planung notwendiger Schritte beginnen, da erfahrungsgemäß die Umsetzung der Gesetzesanforderungen ab Beginn der Planung bis zu zwei Jahre dauert.

Der komplette Gesetzesentwurf (IT-SiG 2.0) enthält noch eine Vielzahl weiterer konkreter Änderungen. In diesem Beitrag wurden nur wesentliche Ausschnitte beschrieben, die insbesondere für Betreiber kritischer Infrastrukturen relevant sind.

Management-Letter

Wenn Sie weiterhin regelmäßig über aktuelle, fundierte IT-Security & Management Themen informiert werden wollen, melden Sie sich jetzt über diesen Link zu unserem Management-Letter an.

Nutzen Sie die folgenden Vorteile:

  • Bleiben Sie auf dem neuesten Stand durch aktuell wichtige Themen für Fach- und Führungskräfte
  • Sparen Sie Zeit durch komprimierte, praxisorientierte Berichte
  • Vertrauen Sie auf seriöses Branchenwissen kombiniert mit fundiertem Experten-Knowhow aus der Informationssicherheit