Le moment est venu : la loi sur la sécurité informatique 2.0 entrera pleinement en vigueur le 1er mai. Cela signifie que la période de transition pour l'obligation de fournir une preuve de détection d'attaque pour l'infrastructure critique KRITIS a expiré. La loi est en vigueur depuis 2 ans, mais seulement maintenant sous une forme renforcée. Désormais, les fournisseurs de KRITIS ont également une obligation et peuvent encore ne pas le savoir. Informations de RADAR Cyber Security, Sophos, Rhebo.
Même à quelques jours de la fin de la période de transition, il existe encore une certaine ambiguïté sur ce que signifie en détail la loi sur la sécurité informatique 2.0 : quelles exigences doivent être mises en œuvre, quelles technologies sont nécessaires, quelles mesures doivent être prouvées et qui doit vous sentez-vous adressé du tout ?
De qui s'agit-il ?
La loi sur la sécurité informatique 2.0 est en vigueur depuis deux ans, la période de transition pour l'obligation de fournir la preuve de la détection d'attaque se termine le 1er mai. Ce règlement atteint ainsi une nouvelle dimension. Premièrement, la deuxième version de la loi sur la sécurité informatique (IT-SiG en abrégé) durcit considérablement les exigences. Deuxièmement, il élargit considérablement le groupe d'installations faisant partie de l'infrastructure critique : le règlement s'applique non seulement aux opérateurs KRITIS eux-mêmes, mais également à leurs fournisseurs. Troisièmement, cela inclut désormais également les entreprises "d'intérêt public particulier": entre autres, les fabricants d'armement ou les entreprises ayant "une importance économique particulière" doivent mettre en œuvre certaines mesures de sécurité informatique. Quatrièmement, l'État et les autorités de régulation ont plus de pouvoirs : par exemple, le BSI peut lui-même classer les entreprises comme KRITIS.
Ce qui est requis?
Concrètement, cela signifie : Les opérateurs de KRITIS doivent avoir mis en place des systèmes et des processus de détection d'attaques au plus tard à l'échéance du 1er mai 2023, qui font désormais explicitement partie des précautions techniques et organisationnelles de sécurité. Il s'agit par exemple d'un "Security Information and Event Management" (SIEM) ou d'un "Security Operations Center" (SOC) : Avec le centre de défense, aussi appelé "Cyber Defense Center" (CDC), les opérateurs KRITIS peuvent créer un concept de sécurité cohérent pour leur informatique et mettre en œuvre une infrastructure OT. Ici, les technologies et les processus sont combinés avec le savoir-faire des experts qui sont chargés de surveiller, d'analyser et de maintenir la sécurité des informations d'une entreprise.
De plus, les entreprises d'intérêt public particulier sollicitées sont tenues de déposer régulièrement une auto-déclaration : elles doivent expliquer quelles certifications de sécurité informatique ont été réalisées au cours des deux dernières années et comment elles ont sécurisé leurs systèmes informatiques.
Des initiatives législatives telles que la loi sur la sécurité informatique 2.0 montrent que les politiciens ont reconnu l'urgence de la tâche de résilience à l'ère numérique d'aujourd'hui. Les entreprises ont fort à faire, même après le 1er mai 2023, selon Lothar Hänsler, Operations Officer de RADAR Cyber Sécurité.
En savoir plus sur Sophos et Rhebo
IT Security Act 2.0 : Accompagnement à la mise en place des organisations KRITIS
Loi sur la sécurité informatique 2.0 : Les opérateurs d'infrastructures critiques (KRITIS) sont légalement tenus de prendre des "précautions organisationnelles et techniques raisonnables" pour prévenir les cyberattaques. Avec l'adoption du "IT Security Act 2.0" (ITSiG 2.0) au printemps 2021, ces obligations ont été à nouveau renforcées.
Dès mai 2023, les opérateurs d'infrastructures critiques doivent les mettre en œuvre et surtout disposer de « systèmes de détection d'attaques ». Sophos, en tant que fournisseur de services de réponse APT (Advanced Persistent Threat) officiellement qualifié par le BSI, a donc créé un dossier de solution pour KRITIS qui aide les entreprises et les organisations à adapter leurs mesures de sécurité en temps utile conformément aux nouvelles exigences. 144 millions de nouveaux programmes malveillants…
ITSiG 2.0 : Le système de détection des attaques devient obligatoire pour KRITIS
Le 23 avril 2021, le Bundestag a adopté la loi révisée sur la sécurité informatique (ITSiG 2.0). ITSiG 2.0, le système de détection des attaques, est obligatoire pour KRITIS. Les infrastructures critiques doivent mettre en place un système holistique de détection des attaques dans un délai de deux ans.
La chaîne d'approvisionnement devient partie intégrante de la loi sur la sécurité informatique. Le 23 avril 2021, le Bundestag a adopté la loi révisée sur la sécurité informatique (ITSiG 2.0). Outre les compétences étendues de l'Office fédéral de la sécurité de l'information (BSI), les exigences en matière de cybersécurité sont renforcées. Les infrastructures critiques telles que les fournisseurs d'énergie et les fournisseurs d'eau et maintenant aussi les entreprises d'élimination des déchets et les grandes entreprises d'importance économique seront affectées par l'amendement…