IT-Sicherheitsgesetz 2.0

2 | 3 | #IT-Sicherheitsgesetz 2.0, #IT-Sig 2.0
IT-Sicherheitsgesetz 2,0

Am 23.04.2021 wurde das IT-Sicherheitsgesetz 2.0 (IT-Sig 2.0) verabschiedet, welches eine Weiterentwicklung des IT-Sig 1.0 darstellt. Das IT-Sig 2.0 verpflichtet alle KRITIS-Betreiber bis zum Jahr 2022 erweiterte Sicherheitsmaßnahmen für ihre IT umzusetzen. Darüber hinaus sind weitere Neuerungen enthalten, die für KRITIS-Unternehmen eine wichtige Rolle spielen.

Was ist das IT-Sig 2.0?

Das IT-Sicherheitsgesetz 2.0 (IT-Sig 2.0) basiert auf dem IT-Sicherheitsgesetz (IT-Sig), welches 2015 vom deutschen Bundestag verabschiedet worden ist und zur Erhöhung der Sicherheit informationstechnischer Systeme sowie zum Schutz kritischer Infrastrukturen (KRITIS-Betreiber) beitragen soll.

Das IT-Sig 2.0 ist 2021 beschlossen worden und konkretisiert die Anforderungen an die KRITIS-Betreiber und weitet diese aus. Weiterhin wird im Rahmen des IT-Sig 2.0 das Bundesamt für Sicherheit in der Informationstechnik (BSI) gestärkt, indem das Amt personell aufgestockt wird und neue weitreichende Kompetenzen erhält. So kann das BSI zukünftig den Bundesbehörden Mindeststandards zum Schutz der IT-Systeme vorschreiben und deren Einhaltung kontrollieren.

Darüber hinaus ist seitens des BSI eine Vergebung von Sicherheitskennzeichen vorgesehen, um den Verbraucherschutz zu stärken. Weitere Neuerungen werden im Folgenden erläutert.

Wen betrifft das IT-Sig 2.0?

In der Digitalisierung ebnet zwar die Zukunft, sie bietet jedoch auch Raum für physische und virtuelle Angriffe. Die Betreiber „kritischer Infrastrukturen“ sind besonders anfällig.

Zu den Bertreibern kritischer Infrastrukturen zählen Unternehmen und Organisationen, die eine wichtige Bedeutung für das staatliche Gemeinwesen haben. Kommt es zu einem Ausfall eines KRITIS-Betreibers, so können nachhaltige Versorgungsengpässe entstehen und die öffentliche Sicherheit kann nur schwer gewährleistet werden.

Demzufolge richtet sich das IT-Sig 2.0 an KRITIS-Betreiber, da sie als nachhaltig schützenswert gelten. In Deutschland gehören aktuell zehn verschiedene Sektoren der KRITIS an:

KRITIS

Übersicht der KRITIS-Sektoren

Überblick der konkreten Änderungen

Neuer KRITIS-Sektor und neue Pflichten

Der Sektor der Siedlungsabfallentsorgung gilt neuerdings als KRITIS-Betreiber. Weiterhin verpflichtet das Gesetz nun alle KRITIS-Betreiber ihre informationstechnischen Systeme auf den neusten „Stand der Technik“ zu bringen, um Störungen dieser Systeme zu verhindern. Dazu zählt gemäß 8a Absatz 1 BSIG auch der Nachweis von Sicherheitsaudits, Prüfungen oder Zertifizierungen.

Ein Nachweis kann zum einen durch die „branchenspezifischen Sicherheitsstandards“, kurz B3S erfolgen. Die B3S dienen als Orientierung zur Einhaltung der gesetzlich vorgeschriebenen Schutzmaßnahmen.

Zum anderen kann mithilfe der Zertifizierung nach ISO 27001 die Informationssicherheit gewährleistet und Sanktionen vermieden werden. Darüber hinaus besteht gegenüber dem BSI die Pflicht zur Registrierung mit der Benennung einer erreichbaren Kostenstelle.

Weiterhin ist der Einsatz von Systemen zur Angriffserkennung verpflichtend. Bei Störungen sind die KRITIS-Betreiber dazu verpflichtet, alle Informationen herauszugeben, die zur Bewältigung der Störung beitragen. Diesbezüglich ist im Energiewirtschaftsgesetz (EnWG) die Forderung des Einsatzes von Angriffserkennungssystemen verankert.

Ergänzung der Kategorie „Unternehmen im besonderen öffentlichen Interesse“

Diese neue Kategorie des IT-Sig 2.0 umfasst nun auch folgende Unternehmen:

  • Rüstungsindustrie
  • Unternehmen mit besonderer volkswirtschaftlicher Bedeutung
  • Unternehmen, die der Störfall-Verordnung (StöV) unterliegen

Ausweitung der Kompetenzen und Befugnisse des BSI

  • Das BSI ist zukünftig für die Definition des neusten „Standes der Technik“ von sicherheitstechnischen Anforderungen an IT-Produkte verantwortlich.
  • Darüber hinaus wird das BSI gemäß dem Cyber Security Act der EU zur nationalen Stelle für Cybersicherheitszertifizierungen ernannt und hat zusätzlich das Recht, europäische Cybersicherheitszertifizierungen/ -zertifikate zu widerrufen. Im Rahmen dieses Kontrollmechanismus kann das BSI von Konformitätsbewertungsstellen und Inhabern einer Konformitätserklärung oder Cybersicherheitszertifizierung notwendige Auskünfte sowie Unterstützung einfordern.
  • Um Schadprogramme, Sicherheitslücken oder mögliche Sicherheitsrisiken zu finden und zu eliminieren, besitzt das BSI die Befugnis, Sicherheitsrisiken zu detektieren. Somit ist das „Angreifen“ von Unternehmen unter diesen Umständen erlaubt.
  • Das BSI darf über IT-Eigenschaften von IT-Produkten, die für die Sicherheit relevant sind, informieren und warnen.

Einführung eines neuen, freiwilligen IT-Sicherheitskennzeichens

Mithilfe des IT-Sicherheitskennzeichens können Unternehmen die Sicherheitseigenschaften ihres Produktes in Form einer Herstellererklärung dem BSI mitteilen. Daraufhin prüft das BSI die Eignung der branchenspezifischen Sicherheitseigenschaften des Produktes. Gleichzeitig wird auch die Überprüfung der Vorgaben zum IT-Sicherheitskennzeichen vom BSI durchgeführt. Bei einer Nicht-Einhaltung werden entsprechende Maßnahmen festgelegt.

Anpassung der Bußgelder zur Nichteinhaltung des Gesetzes

Im IT- Sig 2.0 sind bei den Bußgeldern die Höchstbeträge in konkrete Stufen (z.B. 100 Tausend bis 2 Millionen Euro) festgelegt worden. Entsprechend spezifischer Rahmenbedingungen ist eine Verzehnfachung des Maximalbetrages auf bis zu 20 Millionen Euro möglich.

Klarstellungen im Bereich der kritischen Komponenten

In Zukunft müssen KRITIS-Betreiber den Einsatz sogenannter sektorspezifischer „kritischer Komponenten“ vor der Nutzung dem Bundesministerium des Inneren (BMI) anzeigen. Hierbei ist es erforderlich, dass die Hersteller kritischer Komponenten eine Vertrauenswürdigkeitserklärung abgeben. Die Einhaltung dieser Erklärung wird vom BSI überwacht. Im Rahmen des IT-Sig 2.0 kann das BMI unter bestimmten Voraussetzungen den Einsatz kritischer Komponenten untersagen, wenn die Vertrauenswürdigkeit des Herstellers nicht in Frage gestellt worden ist.

Auswirkungen des IT-Sig 2.0 für KRITIS-Betreiber

Sofern Unternehmen der neuen Kategorie „Unternehmen mit besonderem öffentlichem Interesse“ angehören, müssen sie gemäß des IT-Sig 2.0 alle zwei Jahre dem BSI die Umsetzung des neusten „Standes der Technik“ nachweisen. Dieser Nachweis erfolgt beispielsweise durch eine KRITIS-Prüfung oder mithilfe einer Zertifizierung nach ISO 27001.

Für bereits bestehende KRITIS-Betreiber ändert sich diesbezüglich erstmal nichts. Im letzten Jahr hat das BSI bei der Einreichung der erforderlichen KRITIS-Prüfungsergebnisse begonnen. Dabei werden die Betreiber über die Fristen für die nächsten Abgaben und die notwendigen KRITIS-Prüfungen informiert. Diese Prüfungen gelten für jeden KRITIS-Betreiber individuell.

Das IT-Sig 2.0 verpflichtet alle KRITIS-Betreiber bis zum Jahr 2022 erweiterte Sicherheitsmaßnahmen für ihre IT umzusetzen. In diesem Zusammenhang ist eine Implementierung von Systemen zur Angriffserkennung erforderlich.

Wie können KRITIS-Unternehmen die Ansprüche des IT-Sig 2.0 erfüllen?

Einrichtung von Systemen zur Angriffserkennung

Die Betreiber kritischer Infrastrukturen werden vor dem Hintergrund des IT-Sig 2.0 dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen. Diese sogenannten Intrusion Detection Systems (IDS) basieren auf Algorithmen, die anhand von Log-Dateien Angriffe auf Computer, Server oder Netzwerke erkennen und konkretisieren.

Darüber hinaus müssen die KRITIS-Betreiber gemäß des IT-Sig 2.0 ihre System Log-Daten nicht nur aufzeichnen, sondern auch auswerten. Die aufgezeichneten Log-Dateien können über das Security-Audit Log im SAP konfiguriert werden.

Kommt es zu einer außergewöhnlichen Störung und anderen Risikoquellen, so müssen KRITIS-Betreiber diese Störungen und Risikoquellen einer Kontaktperson melden, die dem BSI bekannt ist (Funktionspostfach).

Weitere Informationen finden Sie in unserem Beitrag: IT-Sicherheitsgesetz 2.0 – Was Sie jetzt tun können

Ausarbeitung von Reaktionsplänen und Präventionsmaßnahmen

Darüber hinaus ist die Ausarbeitung von Reaktionsplänen und Präventionsmaßnahmen im Fall einer massiven Versorgungsstörung verpflichtend für alle KRITIS-Betreiber. Der Staat fordert hierfür ein detailliertes Business Continuity Planning und damit zusammenhängend Desaster-Recovery-Szenarien.

Mithilfe von Planungen und Tests soll in einem Extremfall (z.B. Systemangriff oder Shutdown) ein möglichst effektives Instandsetzen der Arbeitsfähigkeit gewährleistet werden. Folglich müssen die Wiederherstellungsprozesse im Falle eines Angriffes oder Ausfalls vordefiniert sein, um den gesellschaftlichen Nutzen des Unternehmens schnellstmöglich wiederherzustellen und Risiken und Schäden zu minimieren.

Die Erstellung und Überprüfung solcher Pläne setzt eine detaillierte Expertise im Bereich der IT-Sicherheit und Netzwerkadministration voraus sowie einen fachlichen Überblick über die Bestandteile und Zusammenhänge der unternehmerischen IT-Infrastruktur.

Weiterhin erfolgt im Rahmen der System-Absicherung ein Audit, das dem BSI alle zwei Jahre nachgewiesen werden muss.

Weitere Informationen finden Sie in unserem Beitrag: IT-Sicherheitsgesetz 2.0 – Was Sie jetzt tun können

FAQ

Was ist das IT-Sig 2.0?

Am 23.04.2021 wurde das IT-Sicherheitsgesetz 2.0 (IT-Sig 2.0) verabschiedet, welches eine Weiterentwicklung des IT-Sig 1.0 darstellt. Das IT-Sig 2.0 konkretisiert die Anforderungen an die KRITIS-Betreiber und weitet diese aus, indem es alle KRITIS-Betreiber bis zum Jahr 2022 verpflichtet, erweiterte Sicherheitsmaßnahmen für ihre IT umzusetzen.

Weiterhin wird im Rahmen des IT-Sig 2.0 das Bundesamt für Sicherheit in der Informationstechnik (BSI) gestärkt, indem das Amt personell aufgestockt wird und neue weitreichende Kompetenzen erhält.

Welche Neuerungen beinhaltet das IT-Sig 2.0?

  • Hinzufügung eines neuen KRITIS-Sektors und neue Pflichten
  • Ergänzung der Kategorie „Unternehmen im besonderen öffentlichen Interesse“
  • Ausweitung der Kompetenzen und Befugnisse des BSI
  • Einführung eines neuen, freiwilligen IT-Sicherheitskennzeichens
  • Anpassung der Bußgelder zur Nichteinhaltung des Gesetzes
  • Klarstellungen im Bereich der kritischen Komponenten

Wie können KRITIS-Unternehmen die Ansprüche des IT-Sig 2.0 erfüllen?

Einrichtung von Systemen zur Angriffserkennung:

Die Einrichtung von sogenannten Intrusion Detection Systems (IDS) ist für alle KRITIS-Betreiber verpflichtend. IDS erkennen und konkretisieren mithilfe von Log-Dateien Angriffe auf Computer, Server und Netzwerke. Gemäß des IT-Sig 2.0 müssen diese Log-Daten nicht nur aufgezeichnet sondern auch ausgewertet werden. Weiterhin sind außergewöhnliche Störungen und Risiken dem BSI über ein Funktionspostfach zu melden.

Ausarbeitung von Reaktionsplänen und Präventionsmaßnahmen:

Im Rahmen des IT-Sig 2.0 fordert der Staat für alle KRITIS-Betreiber ein detailliertes Business Continuity Planning und damit zusammenhängend Desaster-Recovery-Szenarien. Ziel ist es, in einem Extremfall den gesellschaftlichen Nutzen des Unternehmens schnellstmöglich wiederherzustellen sowie Risiken und Schäden zu minimieren.

Weiterführende Informationen

 


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:

2 Kommentare zu "IT-Sicherheitsgesetz 2.0"

Hallo, die Aussage “Am 16.12.2020 wurde das IT-Sicherheitsgesetz 2.0 (IT-Sig 2.0) verabschiedet”, welche mehrmals im Artikel aufgegriffen wird ist nicht korrekt. Am 16.12 wurde der 4. Entwurf vorgelegt. Seit dem 01.01.21 liegt der Entwurf dem Bundestag vor und am 23.04.21 wurde es verabschiedet.

Hallo Rene,
das stimmt, da wurde der Entwurf vom Kabinett beschlossen. Ich habe das korrigiert, danke für den Hinweis!
Viele Grüße
Tobias

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support