Das IT-Sicherheitsgesetz 2.0 und KRITIS

Mit dem IT-Sicherheitsgesetz fiel 2015 der Startschuss der Mission, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Unter anderem verpflichtete es Betreiber Kritischer Infrastrukturen (KRITIS) dazu, ein Mindestmaß an IT-Sicherheit nachzuweisen und entsprechende organisatorische und technische Vorkehrungen nach dem Stand der Technik zu treffen.

Nun wird das seit 2015 geltende Gesetz von der Bundesregierung überarbeitet und soll zukünftig einen ganzheitlicheren Ansatz verfolgen. Welche Änderungen zu erwarten sind, lässt ein im März veröffentlichter Referenzentwurf des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) erkennen.

Wir haben die wesentlichen Neuerungen für KRITIS-Betreiber zusammengefasst.

Erweiterung um den Sektor der Entsorgung:

Die Sektoren der Kritischen Infrastrukturen werden um den Bereich der Entsorgung ergänzt. Hintergrund dafür ist die Tatsache, dass Ausfälle oder Beeinträchtigungen im Bereich der Abfallwirtschaft nicht nur zu einer massiven Umweltverschmutzung, sondern auch zu einem Anstieg der Seuchengefahr führen würden. Die damit einhergehenden Vorgaben sind noch abzuwarten.

Bisher zählen zu den Kritischen Infrastrukturen die folgenden Branchen: Energie, Gesundheit, Ernährung, Wasser, Transport & Verkehr, Finanz- & Versicherungswesen, Informationstechnik & Telekommunikation, Staat & Verwaltung sowie Medien & Kultur.

Einführung der Kategorie „Infrastrukturen im besonderen öffentlichen Interesse":

Das IT-Sicherheitsgesetz 2.0 enthält die neue Kategorie „Infrastrukturen im besonderen öffentlichen Interesse“. Diese zählen zwar nicht direkt zu den Kritischen Infrastrukturen, werden aber als solche behandelt und gehen mit den gleichen rechtlichen Verpflichtungen einher. Hierunter fallen:

– die Rüstungsindustrie
– der Bereich Kultur und Medien sowie
– Anlagen und Systeme, deren Ausfall oder Beeinträchtigung zu Schäden bei Unternehmen aus dem Bereich der Prime Standards der Frankfurter Börse führen würden

In der Gesetzesbegründung werden zudem auch Infrastrukturen aus den Bereichen Chemie und Automobilherstellung aufgelistet. Diese finden sich allerdings nicht im eigentlichen Gesetzestext wieder.

Erhöhung der zu erwartenden Geldbußen:

Verstöße gegen die gesetzlichen Forderungen werden nach dem IT-Sicherheitsgesetz 2.0 zukünftig mit Geldbußen im Stil der DSGVO geahndet. Betrug die maximale Geldstrafe bisher 100.000 Euro, können nach dem Gesetzesentwurf im Falle eines Verstoßes bis zu 20.000.000 Euro oder bis zu vier Prozent des gesamten, weltweiten Umsatzes fällig werden.

Mindeststandards für KRITIS-Kernkomponenten:

Das SiG 2.0 sieht vor, dass in Bezug auf Kritische Infrastrukturen nur noch Komponenten verbaut werden dürfen, die über ein BSI-Sicherheitskennzeichen verfügen. Damit werden auch Dienstleister von KRITIS-Unternehmen stärker eingebunden und die gesamte Lieferkette rückt in den Fokus der Betrachtung. Hersteller von Komponenten, die im KRITIS-Bereich zum Einsatz kommen, müssen in Zukunft die Vertrauenswürdigkeit ihrer gesamten Lieferkette sicherstellen und eine entsprechende Vertrauenswürdigkeitserklärung abgeben.

In diesem Zusammenhang ist mit der Einführung eines IT-Sicherheitskennzeichens zu rechnen, das die IT-Sicherheit von Produkten und Systemen für Unternehmen, aber auch für Verbraucher, sichtbar machen soll. Zukünftig können Hersteller das Kennzeichen freiwillig beantragen, wenn die IT-Sicherheit ihres Produktes dem vom BSI festgelegten Stand der Technik entspricht.

Einrichtung von Systemen zur Angriffserkennung:

Forderte das IT-Sicherheitsgesetz die Einrichtung von Systemen zur Angriffserkennung bisher eher implizit, schlägt sich diese Forderung nun in konkreten Vorgaben zur Ausgestaltung solcher Systeme nieder.

Erweiterte Befugnisse des BSI:

Grundsätzlich erhält das BSI dem Gesetzesentwurf nach deutlich mehr Befugnisse, um die IT-Systeme des Staates, der Bürger und der Wirtschaft besser zu schützen. Es soll zukünftig aktiv nach Sicherheitslücken suchen, Bestandsdaten von Telekommunikationsanbietern abfragen und die Behebung von Sicherheitslücken durch Provider auf Geräten anordnen dürfen.

Ganzheitlicher Ansatz:

Der Betrachtungsfokus wird auf wichtige vernetzte Systeme ausgeweitet. Dazu gehören unter anderem das Internet of Things (IoT) oder Industrial Control Systems (ICS), die häufig potenzielle Schwachstellen für Cyber-Angriffe aufweisen. Damit müssen auch KRITIS-Betreiber diese ganzheitliche Sicht im Hinblick auf ihre unterschiedlichen Komponenten berücksichtigen.

Fazit:

Auch wenn der bisher vorliegende Gesetzesentwurf noch einigen Änderungen unterworfen sein wird, lässt sich doch erkennen, in welche Richtung die Neuerungen im Rahmen des IT-Sicherheitsgesetzes 2.0 für KRITIS-Betreiber gehen werden. Da das Gesetz zunächst noch verabschiedet und die KritisV angepasst werden muss, kann davon ausgegangen werden, dass die Frist zur Umsetzung der Neuerungen frühestens 2022 endet. Wir empfehlen KRITIS-Betreibern dennoch, sich frühzeitig mit den geänderten Anforderungen auseinanderzusetzen.

Über die TÜV Informationstechnik GmbH

Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit. Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 10.000 Mitarbeitern und Geschäftsaktivitäten in weltweit 70 Ländern als einer der größten Technologie-Dienstleister agiert.

TÜViT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP. Der Geschäftsbereich IT wird vertreten durch die Gesellschaften TÜV Informationstechnik GmbH und der im Januar 2018 neu gegründeten Beratungsgesellschaft TÜV NORD IT Secure Communications GmbH & Co. KG mit Sitz in Berlin.

Weitere Informationen unter: www.tuvit.de

Firmenkontakt und Herausgeber der Meldung:

TÜV Informationstechnik GmbH
Am TÜV 1
45307 Essen
Telefon: +49 (201) 8999-9
Telefax: +49 (201) 8999-888
http://www.tuvit.de

Ansprechpartner:
Verena Lingemann
TÜV Informationstechnik GmbH / TÜV NORD GROUP
Telefon: +49 (201) 8999-658
E-Mail: v.lingemann@tuvit.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel