Ha llegado el momento: la Ley de seguridad informática 2.0 entrará en vigor el 1 de mayo. Esto significa que el período de transición para la obligación de proporcionar prueba de detección de ataques para la infraestructura crítica KRITIS ha expirado. La ley ha estado en vigor durante 2 años, pero solo ahora en una forma más estricta. Ahora los proveedores de KRITIS también tienen una obligación y puede que todavía no lo sepan. Información de RADAR Cyber Security, Sophos, Rhebo.
Incluso unos días antes del final del período de transición, todavía existe cierta ambigüedad sobre lo que significa en detalle la Ley de seguridad de TI 2.0: qué requisitos deben implementarse, qué tecnologías son necesarias, qué medidas deben probarse y quién debe se siente dirigido en absoluto?
¿A quién se refiere?
La Ley de Seguridad Informática 2.0 lleva dos años en vigor, el 1 de mayo finaliza el periodo transitorio de la obligación de aportar pruebas de detección de ataques. Este reglamento alcanza así una nueva dimensión. En primer lugar, la segunda versión de la Ley de seguridad informática (IT-SiG para abreviar) endurece los requisitos considerablemente. En segundo lugar, amplía significativamente el grupo de instalaciones que forman parte de la infraestructura crítica: la regulación se aplica no solo a los propios operadores de KRITIS, sino también a sus proveedores. En tercer lugar, esto ahora también incluye empresas de "particular interés público": entre otras cosas, los fabricantes de armamento o las empresas con "particular importancia económica" deben implementar ciertas medidas de seguridad informática. En cuarto lugar, las autoridades estatales y reguladoras tienen más poderes: por ejemplo, el BSI puede clasificar a las empresas como KRITIS.
¿Qué se necesita?
En términos concretos, esto significa: los operadores de KRITIS deben haber implementado sistemas y procesos para la detección de ataques a más tardar el 1 de mayo de 2023, que ahora forman parte explícita de las precauciones de seguridad técnicas y organizativas. Estos incluyen, por ejemplo, un "Gestión de eventos e información de seguridad" (SIEM) o un "Centro de operaciones de seguridad" (SOC): Con el centro de defensa, también conocido como el "Centro de defensa cibernética" (CDC), los operadores KRITIS pueden crear un concepto de seguridad consistente para su TI e implementar una infraestructura OT. Aquí se combinan tecnologías y procesos con el know-how de los expertos que se encargan de monitorear, analizar y mantener la seguridad de la información de una empresa.
Además, las empresas de especial interés público a las que se dirige están obligadas a presentar periódicamente una autodeclaración: Deben explicar qué certificaciones de seguridad informática se han llevado a cabo en los últimos dos años y cómo han asegurado sus sistemas informáticos.
Iniciativas legislativas como la Ley de Seguridad de TI 2.0 muestran que los políticos han reconocido la urgencia de la tarea de resiliencia en la era digital actual. Las empresas tienen mucho que hacer, incluso después del 1 de mayo de 2023, según Lothar Hänsler, director de operaciones de RADAR Seguridad Cibernética.
Más sobre el tema de Sophos y Rhebo
Ley de seguridad de TI 2.0: asistencia de implementación para organizaciones KRITIS
Ley de seguridad de TI 2.0: los operadores de infraestructuras críticas (KRITIS) están legalmente obligados a tomar "precauciones organizativas y técnicas razonables" para prevenir ataques cibernéticos. Con la aprobación de la "Ley de seguridad de TI 2.0" (ITSiG 2.0) en la primavera de 2021, estas obligaciones se endurecieron nuevamente.
A partir de mayo de 2023, los operadores de infraestructuras críticas deberán implantarlos y, sobre todo, disponer de “sistemas de detección de ataques”. Sophos, como proveedor de servicios de respuesta APT (Advanced Persistent Threat) oficialmente calificado por BSI, ha creado un informe de solución para KRITIS que ayuda a las empresas y organizaciones a adaptar sus medidas de seguridad a tiempo de acuerdo con los nuevos requisitos. 144 millones de nuevos programas maliciosos…
ITSiG 2.0: El sistema de detección de ataques se vuelve obligatorio para KRITIS
El 23 de abril de 2021, el Bundestag aprobó la Ley de seguridad informática revisada (ITSiG 2.0). ITSiG 2.0, el sistema de detección de ataques, es obligatorio para KRITIS. Las infraestructuras críticas deben establecer un sistema holístico para la detección de ataques en un plazo de dos años.
La cadena de suministro pasa a formar parte de la Ley de Seguridad TI. El 23 de abril de 2021, el Bundestag aprobó la Ley de seguridad informática revisada (ITSiG 2.0). Además de los poderes extendidos para la Oficina Federal de Seguridad de la Información (BSI), los requisitos de seguridad cibernética se están endureciendo. Las infraestructuras críticas como los proveedores de energía y agua y ahora también las empresas de eliminación de residuos y las grandes empresas con importancia económica se verán afectadas con la enmienda...