Am 28.05. ist das „IT-Sicherheitsgesetz 2.0" in Kraft getreten, dass zuvor im April der Deutsche Bundestag beschlossen hatte (BGBl 2021 Teil I Nr. 25). Künftig müssen nicht nur Unternehmen und Organisationen, die zu den kritischen Infrastrukturen (KRITIS) gehören, entsprechende Vorkehrungen treffen, um Störungen ihrer IT-Systeme zu vermeiden. Zu den systemkritischen Unternehmen kommen nun „Unternehmen im besonderen öffentlichen Interesse“ neu hinzu.
| INHALT |
Die betroffenen Unternehmen sind im Kern
Unternehmen im besonderen öffentlichem Interesse müssen nach dem neuen IT-Sicherheitsgesetz 2.0 eine Selbsterklärung für ihre IT-Sicherheit darlegen. Aus dieser Erklärung muss hervorgehen, welche Sicherheitszertifizierungen sie in den letzten zwei Jahren durchgeführt haben (mit Prüfgrundlage und Geltungsbereich). Außerdem muss sie darüber aufklären, welche sonstigen Sicherheitsaudits oder Prüfungen im Bereich IT-Security in den letzten beiden Jahren durchgeführt wurden (auch hier mit Prüfungsgrundlage und Geltungsbereich). Zudem müssen sie darüber informieren, wie sie besonders schützenswerte IT-Systeme, Komponenten und Prozesse unter Einhaltung des Stands der Technik absichern.
Zusätzlich müssen sie eine zu Geschäftszeiten erreichbare Stelle benennen und Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit melden.
Betreiber kritischer Infrastrukturen sind nunmehr verpflichtet, sich unmittelbar beim BSI zu registrieren (vgl. § 8b Abs. 3 S. 1 BSI-Gesetz neu). Zudem müssen sie ab dem 01.05.2023 „Systeme zur Angriffserkennung“ verwenden.
Die bisherigen Bußgeldvorschriften werden verschärft. Der Gesetzentwurf sieht jetzt Bußgelder von EUR 2 Mio. und mehr vor. Bisher waren Bußgelder bis max. EUR 100.000 vorgesehen.
Kritische Infrastrukturen sind die lebenswichtigen Systeme und Dienstleistungen, die das Funktionieren einer Gesellschaft unterstützen, wie Stromnetze, Wasserversorgung, Verkehrssysteme und Gesundheitseinrichtungen.
Die Sicherheit dieser Infrastrukturen, insbesondere in Bezug auf Operationstechnologie (OT), ist von entscheidender Bedeutung, da sie zunehmend digitalisiert und vernetzt sind. OT-Security bezieht sich auf die Praktiken und Technologien, die eingesetzt werden, um OT-Systeme vor Cyberbedrohungen zu schützen.
Da diese Systeme oft älter sind und nicht für eine digitale Welt entwickelt wurden, sind sie anfällig für Angriffe. Ein effektiver OT-Security-Ansatz erfordert eine Kombination aus physischen, technischen und organisatorischen Maßnahmen, um die Integrität, Verfügbarkeit und Vertraulichkeit kritischer Infrastrukturen zu gewährleisten.
Systemkritische Unternehmen müssen dem Thema IT-Sicherheit hohe Priorität einräumen und sich mit Präventionswerkzeugen befassen. Das legt nicht nur der stetige Anstieg an Cyberangriffen nahe. Das BSI veröffentlichte in seinem Lagebericht für 2020 einen durchschnittlichen Zuwachs von rund 322.000 Schadprogramm-Varianten pro Tag. DriveLock bietet mit seiner Zero Trust Plattform eine ganze Lösungspalette für Erkennung, Prävention und Reaktion auf Cyberangriffe.