Am 28.05. ist das „IT-Sicherheitsgesetz 2.0" in Kraft getreten, dass zuvor im April der Deutsche Bundestag beschlossen hatte (BGBl 2021 Teil I Nr. 25). Künftig müssen nicht nur Unternehmen und Organisationen, die zu den kritischen Infrastrukturen (KRITIS) gehören, entsprechende Vorkehrungen treffen, um Störungen ihrer IT-Systeme zu vermeiden. Zu den systemkritischen Unternehmen kommen nun „Unternehmen im besonderen öffentlichen Interesse“ neu hinzu. Dieses Gesetz markiert eine signifikante Weiterentwicklung der hiesigen IT-Sicherheitslandschaft.
Neu hinzugekommen sind die sogenannten „Unternehmen im besonderen öffentlichen Interesse“, wodurch nun eine breitere Basis systemrelevanter Organisationen in den Fokus der IT-Sicherheitsvorgaben rückt. Was genau diese neuen Pflichten für die betroffenen Unternehmen bedeuten und welche konkreten Maßnahmen nun erforderlich sind, beleuchten wir in diesem Beitrag."
A. IT-Sicherheitsgesetz 2.0: Was sind Unternehmen im besonderem öffentlichen Interesse?
Die betroffenen Unternehmen sind im Kern
- Raumfahrtunternehmen,
- Rüstungshersteller,
- Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen,
- große Unternehmen mit volkswirtschaftlicher Bedeutung sowie
- Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung (z.B. Chemieunternehmen)
B. IT-Sicherheitsgesetz 2.0: Neue Anforderungen
Unternehmen im besonderen öffentlichem Interesse müssen nach dem neuen IT-Sicherheitsgesetz 2.0 eine Selbsterklärung für ihre IT-Sicherheit darlegen. Aus dieser Erklärung muss hervorgehen, welche Sicherheitszertifizierungen sie in den letzten zwei Jahren durchgeführt haben (mit Prüfgrundlage und Geltungsbereich). Außerdem muss sie darüber aufklären, welche sonstigen Sicherheitsaudits oder Prüfungen im Bereich IT-Security in den letzten beiden Jahren durchgeführt wurden (auch hier mit Prüfungsgrundlage und Geltungsbereich). Zudem müssen sie darüber informieren, wie sie besonders schützenswerte IT-Systeme, Komponenten und Prozesse unter Einhaltung des Stands der Technik absichern.
Zusätzlich müssen sie eine zu Geschäftszeiten erreichbare Stelle benennen und Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit melden.
C. Kritische Infrastrukturen
Betreiber kritischer Infrastrukturen sind nunmehr verpflichtet, sich unmittelbar beim BSI zu registrieren (vgl. § 8b Abs. 3 S. 1 BSI-Gesetz neu). Zudem müssen sie ab dem 01.05.2023 „Systeme zur Angriffserkennung“ verwenden.
Erhöhung der Bußgelder
Die bisherigen Bußgeldvorschriften werden verschärft. Der Gesetzentwurf sieht jetzt Bußgelder von EUR 2 Mio. und mehr vor. Bisher waren Bußgelder bis max. EUR 100.000 vorgesehen.
OT-Sicherheit und Kritische Infrastrukturen
Kritische Infrastrukturen sind die lebenswichtigen Systeme und Dienstleistungen, die das Funktionieren einer Gesellschaft unterstützen, wie Stromnetze, Wasserversorgung, Verkehrssysteme und Gesundheitseinrichtungen.
Die Sicherheit dieser Infrastrukturen, insbesondere in Bezug auf Operationstechnologie (OT), ist von entscheidender Bedeutung, da sie zunehmend digitalisiert und vernetzt sind. OT-Security bezieht sich auf die Praktiken und Technologien, die eingesetzt werden, um OT-Systeme vor Cyberbedrohungen zu schützen.
Da diese Systeme oft älter sind und nicht für eine digitale Welt entwickelt wurden, sind sie anfällig für Angriffe. Ein effektiver OT-Security-Ansatz erfordert eine Kombination aus physischen, technischen und organisatorischen Maßnahmen, um die Integrität, Verfügbarkeit und Vertraulichkeit kritischer Infrastrukturen zu gewährleisten.
IT-Sicherheitsgesetz 2.0: Fazit
Systemkritische Unternehmen müssen dem Thema IT-Sicherheit hohe Priorität einräumen und sich mit Präventionswerkzeugen befassen. Das legt nicht nur der stetige Anstieg an Cyberangriffen nahe. Das BSI veröffentlichte in seinem Lagebericht für 2020 einen durchschnittlichen Zuwachs von rund 322.000 Schadprogramm-Varianten pro Tag. DriveLock bietet mit seiner Zero Trust Plattform eine ganze Lösungspalette für Erkennung, Prävention und Reaktion auf Cyberangriffe.
DriveLock
