Mit dem IT-Sicherheitsgesetz fiel 2015 der Startschuss der Mission, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Unter anderem verpflichtete es Betreiber Kritischer Infrastrukturen (KRITIS) dazu, ein Mindestmaß an IT-Sicherheit nachzuweisen und entsprechende organisatorische und technische Vorkehrungen nach dem Stand der Technik zu treffen.
Nun wurde das seit 2015 geltende Gesetz von der Bundesregierung überarbeitet und soll zukünftig einen ganzheitlicheren Ansatz verfolgen. Welche Änderungen zu erwarten sind, ließ schon ein im März veröffentlichter Referenzentwurf des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) erkennen.
Wir haben die wesentlichen Neuerungen für KRITIS-Betreiber zusammengefasst.
Erweiterung um den Sektor der Entsorgung:
Die Sektoren der Kritischen Infrastrukturen werden um den Bereich der Entsorgung ergänzt. Hintergrund dafür ist die Tatsache, dass Ausfälle oder Beeinträchtigungen im Bereich der Abfallwirtschaft nicht nur zur massiven Umweltverschmutzung, sondern auch zu einem Anstieg der Seuchengefahr führen würden. Die damit einhergehenden Vorgaben sind noch abzuwarten.
Bisher zählen zu den Kritischen Infrastrukturen die folgenden Branchen: Energie, Gesundheit, Ernährung, Wasser, Transport & Verkehr, Finanz- & Versicherungswesen, Informationstechnik & Telekommunikation, Staat & Verwaltung sowie Medien & Kultur.
Einführung der Kategorie „Infrastrukturen im besonderen öffentlichen Interesse“:
Das IT-Sicherheitsgesetz 2.0 enthält die neue Kategorie „Infrastrukturen im besonderen öffentlichen Interesse“. Diese zählen zwar nicht direkt zu den Kritischen Infrastrukturen, werden aber als solche behandelt und gehen mit den gleichen rechtlichen Verpflichtungen einher. Hierunter fallen:
- die Rüstungsindustrie
- der Bereich Kultur und Medien sowie
- Anlagen und Systeme, deren Ausfall oder Beeinträchtigung zu Schäden bei Unternehmen aus dem Bereich der Prime Standards der Frankfurter Börse führen würden
In der Gesetzesbegründung werden zudem auch Infrastrukturen aus den Bereichen Chemie und Automobilherstellung aufgelistet. Diese finden sich allerdings nicht im eigentlichen Gesetzesentwurf wieder.
Erhöhung der zu erwartenden Geldbußen:
Verstöße gegen die gesetzlichen Forderungen werden nach dem IT-Sicherheitsgesetz 2.0 zukünftig mit Geldbußen im Stil der DSGVO geahndet. Betrug die maximale Geldstrafe bisher 100.000 Euro, können nach dem Gesetzesentwurf im Falle eines Verstoßes bis zu 20.000.000 Euro oder bis zu vier Prozent des gesamten, weltweiten Umsatzes fällig werden.
Mindeststandards für KRITIS-Kernkomponenten:
Das SiG 2.0 sieht vor, dass in Bezug auf Kritische Infrastrukturen nur noch Komponenten verbaut werden dürfen, die über ein BSI-Sicherheitskennzeichen verfügen. Damit werden auch Dienstleister von KRITIS-Unternehmen stärker eingebunden und die gesamte Lieferkette rückt in den Fokus der Betrachtung. Hersteller von Komponenten, die im KRITIS-Bereich zum Einsatz kommen, müssen in Zukunft die Vertrauenswürdigkeit ihrer gesamten Lieferkette sicherstellen und eine entsprechende Vertrauenswürdigkeitserklärung abgeben.
In diesem Zusammenhang ist mit der Einführung eines IT-Sicherheitskennzeichens zu rechnen, das die IT-Sicherheit von Produkten und Systemen für Unternehmen, aber auch für Verbraucher, sichtbar machen soll. Zukünftig können Hersteller das Kennzeichen freiwillig beantragen, wenn die IT-Sicherheit ihres Produktes dem vom BSI festgelegten Stand der Technik entspricht.
Einrichtung von Systemen zur Angriffserkennung:
Forderte das IT-Sicherheitsgesetz die Einrichtung von Systemen zur Angriffserkennung bisher eher implizit, schlägt sich diese Forderung nun in konkreten Vorgaben zur Ausgestaltung solcher Systeme nieder.
Erweiterte Befugnisse des BSI:
Grundsätzlich erhält das BSI deutlich mehr Befugnisse, um die IT-Systeme des Staates, der Bürger und der Wirtschaft besser zu schützen. Es soll zukünftig aktiv nach Sicherheitslücken suchen, Bestandsdaten von Telekommunikationsanbietern abfragen und die Behebung von Sicherheitslücken durch Provider auf Geräten anordnen dürfen.
Ganzheitlicher Ansatz:
Der Betrachtungsfokus wird auf wichtige vernetzte Systeme ausgeweitet. Dazu gehören unter anderem das Internet of Things (IoT) oder Industrial Control Systems (ICS), die häufig potenzielle Schwachstellen für Cyber-Angriffe aufweisen. Damit müssen auch KRITIS-Betreiber diese ganzheitliche Sicht im Hinblick auf ihre unterschiedlichen Komponenten berücksichtigen.
Fazit
Das IT-Sicherheitsgesetz 2.0 bringt einige Änderungen für KRITIS-Betreiber mit sich. Wichtig ist, dass Unternehmen sich in der Kritis-Verordnung (BSI-KritisV) vergewissern, ob sich Schwellwerte so geändert haben, dass sie zukünftig zu den Kritischen Infrastrukturen gehören. Wir empfehlen KRITIS-Betreibern – und denen, die es werden –, sich frühzeitig mit den geänderten Anforderungen auseinanderzusetzen, beispielsweise in Form einer Gap-Analyse durch TÜViT.
Stand: 17.06.2021
Über TÜVIT
Die TÜV Informationstechnik GmbH (TÜVIT) steht für Sicherheit in der Informationstechnik. Mit Auditierungen und Evaluierungen begleiten wir Kund:innen bis zur erfolgreichen Zertifizierung. Als unabhängiger Prüfdienstleister ist TÜVIT ein verlässlicher Wegbereiter für IT-Sicherheit in zahlreichen Unternehmen und Organisationen der Wirtschaft und öffentlichen Hand. Unser Fokus: Ganzheitliche Cyber-Resilienz und IT-Sicherheit in der Lieferkette. Dafür sind wir in technologisch führenden Regionen rund um den Globus akkreditiert. Zu unseren Kompetenzfeldern zählen branchenübergreifend Sicherheitsprüfungen von Hard- und Softwarekomponenten, Embedded Systems, ITK-Netzwerken und -komponenten sowie Applikationen, zudem Audits für ISMS und Datenschutzmanagement.
1995 gegründet, gehört TÜV Informationstechnik GmbH mit Hauptsitz in Essen zur Business Unit Digital & Semiconductor, einer der sechs weltweit aufgestellten Business Units innerhalb der TÜV NORD GROUP. TÜV NORD GROUP agiert mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in 100 Ländern als einer der weltweit größten Technologie-Dienstleister.