Mit dem IT-Sicherheitsgesetz fiel 2015 der Startschuss der Mission, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Unter anderem verpflichtete es Betreiber Kritischer Infrastrukturen (KRITIS) dazu, ein Mindestmaß an IT-Sicherheit nachzuweisen und entsprechende organisatorische und technische Vorkehrungen nach dem Stand der Technik zu treffen.
Nun wurde das seit 2015 geltende Gesetz von der Bundesregierung überarbeitet und soll zukünftig einen ganzheitlicheren Ansatz verfolgen. Welche Änderungen zu erwarten sind, ließ schon ein im März veröffentlichter Referenzentwurf des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) erkennen.
Wir haben die wesentlichen Neuerungen für KRITIS-Betreiber zusammengefasst.
Erweiterung um den Sektor der Entsorgung:
Die Sektoren der Kritischen Infrastrukturen werden um den Bereich der Entsorgung ergänzt. Hintergrund dafür ist die Tatsache, dass Ausfälle oder Beeinträchtigungen im Bereich der Abfallwirtschaft nicht nur zur massiven Umweltverschmutzung, sondern auch zu einem Anstieg der Seuchengefahr führen würden. Die damit einhergehenden Vorgaben sind noch abzuwarten.
Bisher zählen zu den Kritischen Infrastrukturen die folgenden Branchen: Energie, Gesundheit, Ernährung, Wasser, Transport & Verkehr, Finanz- & Versicherungswesen, Informationstechnik & Telekommunikation, Staat & Verwaltung sowie Medien & Kultur.
Einführung der Kategorie „Infrastrukturen im besonderen öffentlichen Interesse“:
Das IT-Sicherheitsgesetz 2.0 enthält die neue Kategorie „Infrastrukturen im besonderen öffentlichen Interesse“. Diese zählen zwar nicht direkt zu den Kritischen Infrastrukturen, werden aber als solche behandelt und gehen mit den gleichen rechtlichen Verpflichtungen einher. Hierunter fallen:
- die Rüstungsindustrie
- der Bereich Kultur und Medien sowie
- Anlagen und Systeme, deren Ausfall oder Beeinträchtigung zu Schäden bei Unternehmen aus dem Bereich der Prime Standards der Frankfurter Börse führen würden
In der Gesetzesbegründung werden zudem auch Infrastrukturen aus den Bereichen Chemie und Automobilherstellung aufgelistet. Diese finden sich allerdings nicht im eigentlichen Gesetzesentwurf wieder.
Erhöhung der zu erwartenden Geldbußen:
Verstöße gegen die gesetzlichen Forderungen werden nach dem IT-Sicherheitsgesetz 2.0 zukünftig mit Geldbußen im Stil der DSGVO geahndet. Betrug die maximale Geldstrafe bisher 100.000 Euro, können nach dem Gesetzesentwurf im Falle eines Verstoßes bis zu 20.000.000 Euro oder bis zu vier Prozent des gesamten, weltweiten Umsatzes fällig werden.
Mindeststandards für KRITIS-Kernkomponenten:
Das SiG 2.0 sieht vor, dass in Bezug auf Kritische Infrastrukturen nur noch Komponenten verbaut werden dürfen, die über ein BSI-Sicherheitskennzeichen verfügen. Damit werden auch Dienstleister von KRITIS-Unternehmen stärker eingebunden und die gesamte Lieferkette rückt in den Fokus der Betrachtung. Hersteller von Komponenten, die im KRITIS-Bereich zum Einsatz kommen, müssen in Zukunft die Vertrauenswürdigkeit ihrer gesamten Lieferkette sicherstellen und eine entsprechende Vertrauenswürdigkeitserklärung abgeben.
In diesem Zusammenhang ist mit der Einführung eines IT-Sicherheitskennzeichens zu rechnen, das die IT-Sicherheit von Produkten und Systemen für Unternehmen, aber auch für Verbraucher, sichtbar machen soll. Zukünftig können Hersteller das Kennzeichen freiwillig beantragen, wenn die IT-Sicherheit ihres Produktes dem vom BSI festgelegten Stand der Technik entspricht.
Einrichtung von Systemen zur Angriffserkennung:
Forderte das IT-Sicherheitsgesetz die Einrichtung von Systemen zur Angriffserkennung bisher eher implizit, schlägt sich diese Forderung nun in konkreten Vorgaben zur Ausgestaltung solcher Systeme nieder.
Erweiterte Befugnisse des BSI:
Grundsätzlich erhält das BSI deutlich mehr Befugnisse, um die IT-Systeme des Staates, der Bürger und der Wirtschaft besser zu schützen. Es soll zukünftig aktiv nach Sicherheitslücken suchen, Bestandsdaten von Telekommunikationsanbietern abfragen und die Behebung von Sicherheitslücken durch Provider auf Geräten anordnen dürfen.
Ganzheitlicher Ansatz:
Der Betrachtungsfokus wird auf wichtige vernetzte Systeme ausgeweitet. Dazu gehören unter anderem das Internet of Things (IoT) oder Industrial Control Systems (ICS), die häufig potenzielle Schwachstellen für Cyber-Angriffe aufweisen. Damit müssen auch KRITIS-Betreiber diese ganzheitliche Sicht im Hinblick auf ihre unterschiedlichen Komponenten berücksichtigen.
Fazit
Das IT-Sicherheitsgesetz 2.0 bringt einige Änderungen für KRITIS-Betreiber mit sich. Wichtig ist, dass Unternehmen sich in der Kritis-Verordnung (BSI-KritisV) vergewissern, ob sich Schwellwerte so geändert haben, dass sie zukünftig zu den Kritischen Infrastrukturen gehören. Wir empfehlen KRITIS-Betreibern – und denen, die es werden –, sich frühzeitig mit den geänderten Anforderungen auseinanderzusetzen, beispielsweise in Form einer Gap-Analyse durch TÜViT.
Stand: 17.06.2021
Über TÜVIT
Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.
Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in weltweit 100 Ländern als einer der größten Technologie-Dienstleister agiert. TÜVIT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP.