Le 23 avril 2021, le Bundestag a adopté la loi révisée sur la sécurité informatique (ITSiG 2.0). ITSiG 2.0, le système de détection des attaques, est obligatoire pour KRITIS. Les infrastructures critiques doivent mettre en place un système holistique de détection des attaques dans un délai de deux ans. La chaîne d'approvisionnement devient partie intégrante de la loi sur la sécurité informatique.
Le 23 avril 2021, le Bundestag a adopté la loi révisée sur la sécurité informatique (ITSiG 2.0). Outre les compétences étendues de l'Office fédéral de la sécurité de l'information (BSI), les exigences en matière de cybersécurité sont renforcées. Les infrastructures critiques telles que les fournisseurs d'énergie et les fournisseurs d'eau et désormais également les entreprises d'élimination des déchets et les grandes entreprises d'importance économique sont obligées de mettre en œuvre un système de détection d'attaque avec l'amendement. Selon l'explication du texte juridique, cela devrait protéger la technologie de communication des opérateurs d'infrastructures critiques de la manière la plus complète possible, c'est-à-dire prendre en compte l'ensemble de l'infrastructure afin "d'identifier et d'éviter en permanence les menaces", selon le § 8a (1a ). Cela signifie que la technologie de contrôle à distance, de processus et de réseau de l'opérateur entre également en ligne de compte, appelée technologie opérationnelle (OT) pour la distinguer de l'informatique d'entreprise.
La protection KRITIS est obligatoire
"Même si la loi reste largement floue en termes de conception, la demande d'un système holistique de détection des attaques est absolument en retard", confirme le PDG de Rhebo, Klaus Mochalski. »Cela tient compte à la fois de la pertinence croissante de la cybersécurité OT et de la tendance à la convergence de l'informatique d'entreprise et de l'OT. Dans le cadre de la surveillance de projets et des analyses de risques chez les fournisseurs d'énergie et les entreprises industrielles, par exemple, nous identifions depuis de nombreuses années les menaces qui traversent les interfaces des réseaux auparavant gérés séparément. Cela augmente non seulement le risque de cyberattaques via l'OT. Le risque que des processus industriels tels que l'approvisionnement et la production d'énergie soient définitivement perturbés a également considérablement augmenté ces dernières années." L'évaluation des cyberattaques contre les fournisseurs d'énergie rendues publiques en 2020 montre une augmentation de 38 % dans le monde par rapport à l'année précédente. Pour les entreprises industrielles, il y a eu une augmentation de 111 % (source : www.hackmageddon.com).
Retard inutile
Les opérateurs d'infrastructures critiques disposent désormais de 24 mois pour mettre en place le système de détection des attaques. Dans les premières ébauches d'ITSiG 2.0, le BSI avait demandé une mise en œuvre dans les 12 mois. En raison de la complexité de certaines infrastructures critiques, le délai de mise en œuvre n'a été doublé que dans les dernières semaines des négociations. "Par rapport à la situation de risque actuelle, un engagement à court terme aurait été souhaitable", déclare Mochalski, commentant l'ajustement de dernière minute. « Notamment parce qu'il existe depuis longtemps des approches et des technologies qui permettent de sécuriser rapidement des infrastructures même complexes. Par exemple, certains de nos clients exploitent un grand nombre de sous-stations, de centrales d'énergie renouvelable et d'autres sous-stations. L'intégration de notre surveillance de réseau industriel avec la détection d'anomalies peut se faire ici en très peu de temps. Cela est également possible car nous pouvons facilement baser notre solution sur des composants de réseau existants, par ex. B. Barracuda, INSYS icom, RAD et Welotec®.
Les fournisseurs sont tenus responsables
Une autre innovation d'ITSiG 2.0 est l'extension de la législation pour inclure les grands fournisseurs d'infrastructures critiques. Cela tient compte d'un paysage de cybermenaces de plus en plus complexe qui doit prendre en compte l'ensemble de la chaîne d'approvisionnement.
"Même si ce règlement vise probablement les fournisseurs étrangers du réseau 5G, c'est aussi la bonne étape pour tous les opérateurs d'infrastructures critiques ou les entreprises économiquement pertinentes", souligne Mochalski. "L'incident de SolarWinds l'a notamment montré clairement." En utilisant la technique d'attaque connue sous le nom de compromission de la chaîne d'approvisionnement, les attaquants ont d'abord compromis le fournisseur de services de plate-forme informatique SolarWinds fin 2020 afin d'accéder à leurs cibles réelles - les clients de SolarWinds - à partir de là. »Pour cette raison, nous travaillons depuis un certain temps avec divers fabricants de composants OT et de systèmes IoT critiques«>. Depuis 2019, Rhebo protège les systèmes de stockage d'énergie du fabricant allemand Sonnen GmbH, qui sont utilisés dans le monde entier. Début 2021, Rhebo a été repris par le leader des solutions de gestion de l'énergie, Landis+Gyr. Avec l'intégration de Rhebo dans l'infrastructure de comptage avancée de Landis+Gyr, les infrastructures critiques du monde entier recevront une solution sécurisée pour la numérisation et l'automatisation de leurs services.
Plus sur Rhebo.com
Rhebo GmbH
Rhebo développe et commercialise des solutions et des services innovants de surveillance industrielle pour les fournisseurs d'énergie, les industriels et les infrastructures critiques. L'entreprise permet à ses clients d'assurer à la fois la cybersécurité et la disponibilité de leurs infrastructures OT et IoT et ainsi de maîtriser les enjeux complexes de sécurisation des réseaux industriels et des infrastructures intelligentes. Depuis 2021, Rhebo est une filiale à 100 % de Landis+Gyr AG, l'un des principaux fournisseurs mondiaux de solutions intégrées de gestion de l'énergie pour l'industrie de l'énergie avec environ 5.500 XNUMX employés dans le monde. Rhebo est partenaire de l'Alliance pour la cybersécurité de l'Office fédéral de la sécurité de l'information (BSI) et participe activement au groupe de travail Teletrust - Bundesverband IT-Sicherheit eV et Bitkom sur la gestion de la sécurité pour le développement de normes de sécurité.