Springe zum Hauptinhalt

Mega-Menü-Produkt-Services_Pfeil

HYPERSECURE Platform Zero Trust Strategy 

 

Compliance-Check_NIS2

Machen Sie den kostenlosen
NIS2-Compliance-Check

Jetzt prüfen

Support
Service Desk Partner Portal

 

Mega-Menü-Blog_Pfeil

News, Informationen und Tipps zum Thema IT-Security
Zum BlogNewsletter

2 Min. Lesezeit

IT-Sicherheitsgesetz 2.0 – Regelungen für Unternehmen

IT-Sicherheitsgesetz 2.0 – Regelungen für Unternehmen

Am 28.05. ist das „IT-Sicherheitsgesetz 2.0" in Kraft getreten, dass zuvor im April der Deutsche Bundestag beschlossen hatte (BGBl 2021 Teil I Nr. 25). Künftig müssen nicht nur Unternehmen und Organisationen, die zu den kritischen Infrastrukturen (KRITIS) gehören, entsprechende Vorkehrungen treffen, um Störungen ihrer IT-Systeme zu vermeiden. Zu den systemkritischen Unternehmen kommen nun „Unternehmen im besonderen öffentlichen Interesse“ neu hinzu. Dieses Gesetz markiert eine signifikante Weiterentwicklung der hiesigen IT-Sicherheitslandschaft.

Ausblick

  • Erweiterter Adressatenkreis: Das IT-Sicherheitsgesetz 2.0 definiert klar Unternehmen im besonderen öffentlichen Interesse, wie Raumfahrt, Rüstung, IT für staatliche Verschlusssachen, große Wirtschaftsunternehmen und Betreiber von Störfallbetrieben oberer Klasse.
  • Neue Transparenzpflichten: Betroffene Unternehmen müssen im Rahmen des IT-Sicherheitsgesetzes 2.0 eine Selbsterklärung zur IT-Sicherheit abgeben, die durchgeführte Zertifizierungen, Audits und Maßnahmen zur Absicherung besonders schützenswerter Systeme nach dem Stand der Technik umfasst. Zudem ist eine jederzeit erreichbare Kontaktstelle für Störungen zu benennen.
  • Strengere Regeln für Kritische Infrastrukturen (KRITIS): Das IT-Sicherheitsgesetz 2.0 verpflichtet KRITIS-Betreiber zur direkten Registrierung beim BSI und zur verpflichtenden Nutzung von Systemen zur Angriffserkennung ab Mai 2023.
  • Deutlich höhere Bußgelder: Bei Verstößen gegen das IT-Sicherheitsgesetz 2.0 drohen nun Bußgelder von bis zu zwei Millionen Euro und mehr – eine erhebliche Steigerung im Vergleich zu den bisherigen Regelungen.
  • Fokus auf OT-Sicherheit: Das IT-Sicherheitsgesetz 2.0 unterstreicht die wachsende Bedeutung der Sicherheit von Operationstechnologie (OT) in kritischen Infrastrukturen angesichts zunehmender Digitalisierung und Vernetzung, um die Funktionsfähigkeit lebenswichtiger Systeme zu gewährleisten.

 


Neu hinzugekommen sind die sogenannten „Unternehmen im besonderen öffentlichen Interesse“, wodurch nun eine breitere Basis systemrelevanter Organisationen in den Fokus der IT-Sicherheitsvorgaben rückt. Was genau diese neuen Pflichten für die betroffenen Unternehmen bedeuten und welche konkreten Maßnahmen nun erforderlich sind, beleuchten wir in diesem Beitrag."

A. IT-Sicherheitsgesetz 2.0: Was sind Unternehmen im besonderem öffentlichen Interesse?


Die betroffenen Unternehmen sind im Kern

  • Raumfahrtunternehmen,
  • Rüstungshersteller,
  • Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen,
  • große Unternehmen mit volkswirtschaftlicher Bedeutung sowie
  • Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung (z.B. Chemieunternehmen)

B. IT-Sicherheitsgesetz 2.0: Neue Anforderungen


Unternehmen im besonderen öffentlichem Interesse müssen nach dem neuen IT-Sicherheitsgesetz 2.0 eine Selbsterklärung für ihre IT-Sicherheit darlegen. Aus dieser Erklärung muss hervorgehen, welche Sicherheitszertifizierungen sie in den letzten zwei Jahren durchgeführt haben (mit Prüfgrundlage und Geltungsbereich). Außerdem muss sie darüber aufklären, welche sonstigen Sicherheitsaudits oder Prüfungen im Bereich IT-Security in den letzten beiden Jahren durchgeführt wurden (auch hier mit Prüfungsgrundlage und Geltungsbereich). Zudem müssen sie darüber informieren, wie sie besonders schützenswerte IT-Systeme, Komponenten und Prozesse unter Einhaltung des Stands der Technik absichern.

Zusätzlich müssen sie eine zu Geschäftszeiten erreichbare Stelle benennen und Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit melden.

C. Kritische Infrastrukturen


Betreiber kritischer Infrastrukturen sind nunmehr verpflichtet, sich unmittelbar beim BSI zu registrieren (vgl. § 8b Abs. 3 S. 1 BSI-Gesetz neu). Zudem müssen sie ab dem 01.05.2023 „Systeme zur Angriffserkennung“ verwenden.

Erhöhung der Bußgelder


Die bisherigen Bußgeldvorschriften werden verschärft. Der Gesetzentwurf sieht jetzt Bußgelder von EUR 2 Mio. und mehr vor. Bisher waren Bußgelder bis max. EUR 100.000 vorgesehen.

OT-Sicherheit und Kritische Infrastrukturen


Kritische Infrastrukturen sind die lebenswichtigen Systeme und Dienstleistungen, die das Funktionieren einer Gesellschaft unterstützen, wie Stromnetze, Wasserversorgung, Verkehrssysteme und Gesundheitseinrichtungen. 

Die Sicherheit dieser Infrastrukturen, insbesondere in Bezug auf Operationstechnologie (OT), ist von entscheidender Bedeutung, da sie zunehmend digitalisiert und vernetzt sind. OT-Security bezieht sich auf die Praktiken und Technologien, die eingesetzt werden, um OT-Systeme vor Cyberbedrohungen zu schützen. 

Da diese Systeme oft älter sind und nicht für eine digitale Welt entwickelt wurden, sind sie anfällig für Angriffe. Ein effektiver OT-Security-Ansatz erfordert eine Kombination aus physischen, technischen und organisatorischen Maßnahmen, um die Integrität, Verfügbarkeit und Vertraulichkeit kritischer Infrastrukturen zu gewährleisten.

IT-Sicherheitsgesetz 2.0: Fazit


Systemkritische Unternehmen müssen dem Thema IT-Sicherheit hohe Priorität einräumen und sich mit Präventionswerkzeugen befassen. Das legt nicht nur der stetige Anstieg an Cyberangriffen nahe. Das BSI veröffentlichte in seinem Lagebericht für 2020 einen durchschnittlichen Zuwachs von rund 322.000 Schadprogramm-Varianten pro Tag. DriveLock bietet mit seiner Zero Trust Plattform eine ganze Lösungspalette für Erkennung, Prävention und Reaktion auf Cyberangriffe.

Print Friendly and PDF
IT-Sicherheitskonzept Gesundheitswesen – die wichtigsten Infos

IT-Sicherheitskonzept Gesundheitswesen – die wichtigsten Infos

Die Digitalisierung im Gesundheitswesen ist in vollem Gange: Krankenhäuser werden „intelligent“ und sind zunehmend vernetzt, die Patientenakte wird...

Read More
IT-Sicherheitskonzept für öffentliche Einrichtungen

IT-Sicherheitskonzept für öffentliche Einrichtungen

Besonders im Visier von Cyberattacken sind öffentliche Einrichtungen. Das beweist unter anderem der aktuelle Lagebericht des BSI (Bundesamt für...

Read More
Schutz für Ihre IoT- und IIoT-Umgebung

Schutz für Ihre IoT- und IIoT-Umgebung

In einer Welt, die zunehmend von vernetzten Geräten geprägt ist, revolutionieren das Internet der Dinge (IoT) und das industrielle Internet der Dinge...

Read More