IT-SiG 2.0: IT-Sicherheitsgesetz 2.0 tritt voll in Kraft!

IT-SiG 2.0: IT-Sicherheitsgesetz 2.0 tritt voll in Kraft!

Beitrag teilen

Nun ist es soweit: das IT-Sicherheitsgesetz 2.0 tritt zum 1. Mai voll in Kraft. Das bedeutet, dass die Übergangsfrist zur Nachweispflicht der Angriffserkennung bei kritischer Infrastruktur KRITIS abgelaufen ist. Das Gesetz ist zwar schon seit 2 Jahren gültig, aber erst ab jetzt in verschärfter Form. Nun sind auch die Zulieferer von KRITIS in der Pflicht und wissen es vielleicht immer noch nicht. Informationen von RADAR Cyber Security, Sophos, Rhebo.

Auch wenige Tage vor dem Ablauf der Übergangsfrist gibt es Unklarheiten darüber, was das IT-Sicherheitsgesetz 2.0 im Detail bedeutet: Welche Anforderungen gilt es umzusetzen, welche Technologien sind notwendig, welche Maßnahmen müssen nachgewiesen werden und wer muss sich überhaupt angesprochen fühlen?

Anzeige

Wer ist gemeint?

Das IT-Sicherheitsgesetz 2.0 ist bereits seit zwei Jahren gültig, die Übergangsfrist zur Nachweispflicht von Angriffserkennung endet am 1. Mai. Damit erreicht diese Regelung eine neue Dimension. Erstens verschärft die zweite Version des IT-Sicherheitsgesetzes (kurz IT-SiG) die Anforderungen erheblich. Zweitens erweitert sie den Kreis der zur kritischen Infrastruktur zählenden Einrichtungen deutlich: Die Verordnung gilt nicht nur für KRITIS-Betreiber selbst, sondern auch deren Zulieferer. Drittens zählen dazu nun auch Unternehmen von „besonderem öffentlichem Interesse“: So müssen unter anderem Rüstungshersteller oder Unternehmen mit einer „besonderen volkswirtschaftlichen Bedeutung“ bestimmte IT-Sicherheitsmaßnahmen umsetzen. Viertens erhalten Staat und Regulierungsbehörden mehr Befugnisse: Das BSI kann beispielsweise selbst Unternehmen als KRITIS einstufen.

Was ist gefordert?

Konkret heißt das: KRITIS-Betreiber müssen spätestens bis zum Stichtag 1. Mai 2023 Systeme und Prozesse zur Angriffserkennung implementiert haben, die nun explizit zu den technischen und organisatorischen Sicherheitsvorkehrungen gehören. Hierzu zählen beispielsweise ein „Security Information and Event Management“ (SIEM) oder ein „Security Operations Center“ (SOC): Mit dem auch als „Cyber Defense Center“ (CDC) bekannten Verteidigungszentrum können KRITIS-Betreiber ein durchgängiges Sicherheitskonzept für ihre IT- und OT-Infrastruktur implementieren. Hier sind Technologien und Prozesse mit dem Know-how der Experten vereint, die für Überwachung, Analyse und Aufrechterhaltung der Informationssicherheit eines Unternehmens verantwortlich sind.

Zudem sind die angesprochenen Unternehmen von besonderem öffentlichem Interesse zur regelmäßigen Abgabe einer Selbsterklärung verpflichtet: Sie müssen darlegen, welche IT-Sicherheitszertifizierungen in den vergangenen zwei Jahren durchgeführt wurden und wie sie ihre IT-Systeme abgesichert haben.

Gesetzesinitiativen wie das IT-Sicherheitsgesetz 2.0 zeigen: Die Politik hat die Dringlichkeit der Resilienz-Aufgabe im heutigen Digitalisierungszeitalter erkannt. Unternehmen haben viel zu tun, und das auch nach dem 1. Mai 2023, so Lothar Hänsler, Operations Officer von RADAR Cyber Security.

Mehr zu Thema von Sophos und Rhebo

IT-Sicherheitsgesetz 2.0: Umsetzungshilfe für KRITIS-Organisation 

IT-Sicherheitsgesetz 2.0: Umsetzungshilfe für KRITIS-Organisationen

IT-Sicherheitsgesetz 2.0: Betreiber von kritischen Infrastrukturen (KRITIS) sind gesetzlich verpflichtet, „angemessene organisatorische und technische Vorkehrungen“ zur Verhinderung von Cyber-Attacken zu treffen. Mit der Verabschiedung des „IT-Sicherheitsgesetzes 2.0“ (ITSiG 2.0) im Frühjahr 2021 wurden diese Pflichten noch einmal verschärft.

Ab Mai 2023 müssen die Betreiber kritischer Infrastrukturen diese umsetzen und vor allem „Systeme zur Angriffserkennung“ vorhalten. Sophos hat deshalb als offiziell vom BSI qualifizierter APT-Response-Dienstleister (Advanced Persistent Threat) für KRITIS einen Solution Brief erstellt, der Unternehmen und Organisationen hilft, ihre Security-Maßnahmen gemäß den neuen Anforderungen rechtzeitig anzupassen. 144 Millionen neue Schadprogramme…

MEHR LESEN

 

ITSiG 2.0: System für Angriffserkennung wird Pflicht für KRITIS - Kritische Infrastruktur

ITSiG 2.0: System für Angriffserkennung wird Pflicht für KRITIS

Am 23. April 2021 hat der Bundestag das überarbeitete IT-Sicherheitsgesetz (ITSiG 2.0) verabschiedet. ITSiG 2.0, das System für Angriffserkennung wird Pflicht für KRITIS. Kritische Infrastrukturen müssen binnen zwei Jahren ganzheitliches System zur Angriffserkennung aufbauen.

Die Lieferkette wird Bestandteil des IT-Sicherheitsgesetzes. Am 23. April 2021 hat der Bundestag das überarbeitete IT-Sicherheitsgesetz (ITSiG 2.0) verabschiedet. Neben erweiterten Befugnissen für das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden Anforderungen an die Cybersicherheit verschärft. Kritische Infrastrukturen wie Energieversorger und Wasserversorger sowie nun auch Abfallentsorger und Großunternehmen mit volkswirtschaftlicher Bedeutung werden mit der Novellierung…

MEHR LESEN

 

Weitere passende Artikel zum Thema

Gefahren für Browser durch KI und Zero-Day-Schwachstellen

Wegen der zunehmenden Umstellung von Unternehmen auf Web-Arbeitsumgebungen, SaaS-Plattformen, Cloud-basierte Anwendungen, Remote-Arbeit und BYOD-Richtlinien konzentrieren sich Hacker verstärkt auf Browser ➡ Weiterlesen

Wie Bedrohungsakteure Gemini für Angriffe nutzen

Die Google Threat Intelligence Group (GTIG) hat einen neuen Bericht „Adversarial Misuse of Generative AI“ veröffentlicht, in dem die Sicherheitsexperten ➡ Weiterlesen

Supply Chain Risk Report

Ein Anbieter von Lösungen für das Nachhaltigkeitsmanagement in Unternehmen hat seinen Supply Chain Risk Report 2025 veröffentlicht. Dieser Bericht umfasst ➡ Weiterlesen

Engagierte IT-Admins als Risikofaktor

Sogar Cybersecurity-Experten, die sich den ganzen Tag mit nichts anderem als IT-Sicherheit beschäftigen, haben heute Mühe, sich auf dem aktuellen ➡ Weiterlesen

SaaS für Sicherheitsbewertung von Active Directory und Entra ID

Eine neue SaaS-Lösung ist in der Lage eine Sicherheitsbewertung abzugeben für Active Directory und Entra ID Umgebungen. Die Online-Bewertung der ➡ Weiterlesen

2025: Cybersicherheit im Öffentlichen Sektor und KRITIS

Das Jahr 2025 ist kaum gestartet und doch schon in vollem Gange. Die aktuelle weltweite unsichere Lage wirkt sich auch ➡ Weiterlesen

Whitepaper: Threat Intelligence verhindert Cyberangriffe

[wpcode id="17192"] Kaspersky-Studie: 66 Prozent der Unternehmen in Deutschland verhindern Cyberangriffe durch Threat Intelligence / Data Feeds In 75 Prozent ➡ Weiterlesen

Entwicklungen von KI in der Cybersecurity

Kürzlich veröffentlichte Google Cloud seinen Cybersecurity Forecast für das Jahr 2025. Der Bericht enthält zukunftsweisende Erkenntnisse mehrerer führender Sicherheitsverantwortlicher von ➡ Weiterlesen