IT-Sicherheitsgesetz 2.0 – was Sie bis Mai 2023 umsetzen müssen

Autor: Luca Cremer | 2. März 2023

6 | #IT-Sig 2.0
IT-Sig 2.0 Deadline

Sie sind KRITIS-Betreiber und haben die Anforderungen des IT-Sicherheitsgesetzes 2.0 noch nicht vollständig umgesetzt? Dann wird es jetzt Zeit, denn die Deadline für die Umsetzung ist der 01.05.2023. Welche Anforderungen auf Sie zu kommen, erfahren Sie hier.

Was ist das IT-Sicherheitsgesetz 2.0?

Das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ist im Mai 2021 in Kraft getreten. Das IT-Sicherheitsgesetz 2.0 (IT-SiG. 2.0) erweitert die deutsche KRITIS-Verordnung von 2015 um einige Anforderungen. Ziel ist es, die Cyber Security durch einheitliche Umsetzung von Sicherheitsmaßnahmen zu erhöhen. Neuerungen wie die Gesetzesgrundlage für Netzwerk- und Informationssysteme (NIS 2) und Remote Code Execution (RCE) sind bereits in den Sicherheitsrichtlinien abgebildet.

E-Book IT-Sicherheitsgesetz 2.0

Im E-Book erhalten Sie einen Überblick zum IT-Sicherheitsgesetz 2.0: Was sind die Anforderungen und wie werden Sie in der Praxis umgesetzt?

Welche Neuerungen umfasst das IT-Sicherheitsgesetz 2.0?

Das IT-SiG. 2.0 umfasst eine Reihe von Neuerungen. Im Folgenden sind die relevantesten Änderungen zu finden:

  • B3S: Prüfungsgrundlage kann ein Branchenspezifischer Sicherheitsstandard (B3S) sein
  • Kompetenzen des BSI​: Ausweitung der Kompetenzen des BSI, u. a. um aktiv Sicherheitslücken aufzuspüren.
  • Senken der Schwellenwerte: Das Absenken der Schwellenwerte bewirkt, dass deutlich mehr Organisationen in die Pflicht genommen werden
  • Weitere Sektoren: Sektor Entsorgung wurde bei den kritischen Infrastrukturen ergänzt, da Ausfälle zu Umweltverschmutzung und Seuchengefahr führen können
  • Neue Kategorie: Infrastrukturen im besonderen öffentlichen Interesse werden wie kritische Infrastrukturen behandelt
  • Systeme zur Angriffserkennung: Um die Systeme zur Angriffserkennung richtig zu etablieren, hat das BSI eine Orientierungshilfe zum Einsatz herausgegeben. Diese enthält Informationen über die Anforderungen an die Systeme, ein Umsetzungsgradmodell zur Bewertung der Systeme sowie gesetzlich notwenige Nachweise.
  • Zeitkritisch: Ab dem 01.05.2023 haben Betreiber kritischer Infrastrukturen die Verpflichtung, Systeme zur Angriffserkennung einzusetzen

Zudem haben sich KRITIS-Betreiber und das BSI für die Kooperation UP KRITIS zusammengeschlossen. An dieser können alle Betreiber kritischer Infrastrukturen teilnehmen. UP KRITIS umfasst beispielsweise sektorspezifische oder -übergreifende Kooperationen, Informationsaustausch mit anderen KRITIS-Betreibern​ oder die Zusammenarbeit bei der Gefahrenbewältigung​.

Welche Anforderungen stellt das IT-Sicherheitsgesetz 2.0?

Das IT-Sicherheitsgesetz 2.0 stellt konkrete Anforderungen an die Betreiber kritischer Infrastrukturen. Hierzu gehören zum Beispiel die Erstellung von Reaktionsplänen und die Vorbereitung von Präventionsmaßnahmen. Hierbei handelt es sich um einen IT-Notfallplan. In diesem ist aufgeschrieben, wer in Krisensituationen für welche Aufgaben in welcher Reihenfolge verantwortlich ist.

In diesem Webinar erfahren Sie, was die Anforderungen des IT-Sicherheitsgesetzes 2.0 sind und wie Sie diese noch rechtzeitig zum Stichtag umsetzen können.

Auch müssen Desaster-Recovery-Szenarien​ ausgearbeitet werden, damit bei einem Ausfall eines Dienstes die Arbeitsfähigkeit schnellstmöglich wieder hergestellt werden kann. Zudem gibt es allgemeine Vorschriften zum Updaten der IT-Infrastruktur. Beispielsweise die Härtung der IT-Komponenten, Einspielen von Patches oder auch die Etablierung von (Update-) Prozessen​.

Der letzte Punkt auf unserer Liste ist die Angriffserkennung. Es handelt sich hierbei um ein Frühwarnsystem zur Erkennung von Angriffen auf die IT-Infrastruktur (IDS) bzw. zentrale Sammlung von relevanten Daten zur Anomalieerkennung und automatischer Alarmierung z. B. mit einem SIEM-System​.

Erfüllung der Anforderungen beim BSI melden

Klassischerweise liegt der Fokus bei der Umsetzung auf den IT-Systemen. Bei den KRITIS-Betreibern verschiebt sich der Fokus hingegen auf die Sicherstellung der Versorgungskette. Ein Beispiel hierfür ist die Wasserversorgung. Die Wasserversorgungsunternehmen sind dafür zuständig, den Endverbrauchen das Wasser zur Verfügung zu stellen. Hierzu muss die Versorgungskette fehlerfrei funktionieren. Alle IT-Prozesse, die für diesen Vorgang benötigt werden, sind in der Prozesskette integriert. Andere unterstützende IT-Prozesse stehen außenvor und sind von den Anforderungen befreit.

KRITIS-Betreiber sind dazu verpflichtet sich beim BSI zu melden. Zu den meldepflichtigen Informationen gehören der Name des Betreibers sowie der beim BSI registrierten Anlagen​. Auch Anlagen zur Prüfdurchführung, wie der Zeitraum und Umfang der Prüfung sowie die Art der durchgeführten Prüfung und die Prüfgrundlage müssen beim BSI vorgelegt werden.

Konform nach IT-Sicherheitsgesetz 2.0 werden

Unser Beratungsangebot unterstützt sie schnell und unkompliziert bei der rechtzeitigen Umsetzung des IT-Sicherheitsgesetz 2.0.

Genau so wichtig wie die Rahmenbedingungen der Prüfung sind die Prüfergebnisse. Eine Liste der Sicherheitsmängel, Umsetzungsplan zur Behebung der Mängel sowie Reifegrad von Business Continuity Management System (BCMS) und Information Security Management System (ISMS)​ sind dem BSI zu vermitteln. Zudem wird die Eignung der Prüfer beim BSI angegeben. Die Angabe beinhaltet die Namen der Mitglieder des Prüfteams und den Nachweis der Qualifikationen dieser Personen.

Insgesamt müssen alle Störungen dem BSI mitgeteilt werden. Bei Nichtmeldung oder fehlender Registrierung müssen KRITIS-Betreiber mit hohen Bußgeldern rechnen.

Warum sollte das IT-Sig 2.0 schnellstmöglich umgesetzt werden?

  • Unternehmen, welche sich bisher nicht mit dem IT-Sig 2.0 vertraut gemacht haben, sollten dieses schnellstmöglich nachholen. Der Stichtag zur Umsetzung ist der 01.05.2023. Bis dahin müssen alle betroffenen Unternehmen die Anforderungen des IT-SiG. 2.0 umgesetzt haben, sonst drohen Konsequenzen wie Geldstrafen.
  • Zurzeit gibt es ca. 800 neue Planstellen beim BSI. Diese sind für die Kontrolle der ordnungsgemäßen Umsetzung der Anforderungen des IT-SiG. 2.0 zuständig. Die Intensität der Kontrolle durch das BSI wird folglich deutlich erhöht. Dementsprechend steigt die Gefahr, dass auch Ihr Unternehmen kontrolliert wird.
  • Die Verordnung gilt auch für Zulieferer von KRITIS-Betreibern und Unternehmen im besonderen öffentlichen Interesse. Alle Vorgaben sind ab dem ersten Werktag nach KRITIS-Feststellung zu erfüllen.​ Für die Kontrolle der Umsetzung ist in diesem Fall das Unternehmen selbst zuständig.
  • Wird bei einer Kontrolle die mangelhafte Umsetzung der Anforderungen festgestellt, müssen Unternehmen mit Geldstrafen bis zu zwei Millionen Euro rechnen. Bei vorsätzlichen Verstößen kann eine Geldstrafe von bis zu 20 Millionen Euro anfallen.

Sie haben Fragen oder benötigen Unterstützung zur Umsetzung der Anforderungen aus dem IT-Sig 2.0? Hier finden Sie mehr Informationen zu unserem Angebot: Konform nach IT-Sicherheitsgesetz 2.0 werden


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Luca Cremer

Autor

Luca Cremer

Fachbereichsleiter Security | Projektleiter | Security Consultant

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice