Nun ist es soweit: das IT-Sicherheitsgesetz 2.0 tritt zum 1. Mai voll in Kraft. Das bedeutet, dass die Übergangsfrist zur Nachweispflicht der Angriffserkennung bei kritischer Infrastruktur KRITIS abgelaufen ist. Das Gesetz ist zwar schon seit 2 Jahren gültig, aber erst ab jetzt in verschärfter Form. Nun sind auch die Zulieferer von KRITIS in der Pflicht und wissen es vielleicht immer noch nicht. Informationen von RADAR Cyber Security, Sophos, Rhebo.
Auch wenige Tage vor dem Ablauf der Übergangsfrist gibt es Unklarheiten darüber, was das IT-Sicherheitsgesetz 2.0 im Detail bedeutet: Welche Anforderungen gilt es umzusetzen, welche Technologien sind notwendig, welche Maßnahmen müssen nachgewiesen werden und wer muss sich überhaupt angesprochen fühlen?
Wer ist gemeint?
Das IT-Sicherheitsgesetz 2.0 ist bereits seit zwei Jahren gültig, die Übergangsfrist zur Nachweispflicht von Angriffserkennung endet am 1. Mai. Damit erreicht diese Regelung eine neue Dimension. Erstens verschärft die zweite Version des IT-Sicherheitsgesetzes (kurz IT-SiG) die Anforderungen erheblich. Zweitens erweitert sie den Kreis der zur kritischen Infrastruktur zählenden Einrichtungen deutlich: Die Verordnung gilt nicht nur für KRITIS-Betreiber selbst, sondern auch deren Zulieferer. Drittens zählen dazu nun auch Unternehmen von „besonderem öffentlichem Interesse“: So müssen unter anderem Rüstungshersteller oder Unternehmen mit einer „besonderen volkswirtschaftlichen Bedeutung“ bestimmte IT-Sicherheitsmaßnahmen umsetzen. Viertens erhalten Staat und Regulierungsbehörden mehr Befugnisse: Das BSI kann beispielsweise selbst Unternehmen als KRITIS einstufen.
Was ist gefordert?
Konkret heißt das: KRITIS-Betreiber müssen spätestens bis zum Stichtag 1. Mai 2023 Systeme und Prozesse zur Angriffserkennung implementiert haben, die nun explizit zu den technischen und organisatorischen Sicherheitsvorkehrungen gehören. Hierzu zählen beispielsweise ein „Security Information and Event Management“ (SIEM) oder ein „Security Operations Center“ (SOC): Mit dem auch als „Cyber Defense Center“ (CDC) bekannten Verteidigungszentrum können KRITIS-Betreiber ein durchgängiges Sicherheitskonzept für ihre IT- und OT-Infrastruktur implementieren. Hier sind Technologien und Prozesse mit dem Know-how der Experten vereint, die für Überwachung, Analyse und Aufrechterhaltung der Informationssicherheit eines Unternehmens verantwortlich sind.
Zudem sind die angesprochenen Unternehmen von besonderem öffentlichem Interesse zur regelmäßigen Abgabe einer Selbsterklärung verpflichtet: Sie müssen darlegen, welche IT-Sicherheitszertifizierungen in den vergangenen zwei Jahren durchgeführt wurden und wie sie ihre IT-Systeme abgesichert haben.
Gesetzesinitiativen wie das IT-Sicherheitsgesetz 2.0 zeigen: Die Politik hat die Dringlichkeit der Resilienz-Aufgabe im heutigen Digitalisierungszeitalter erkannt. Unternehmen haben viel zu tun, und das auch nach dem 1. Mai 2023, so Lothar Hänsler, Operations Officer von RADAR Cyber Security.
Mehr zu Thema von Sophos und Rhebo
IT-Sicherheitsgesetz 2.0: Umsetzungshilfe für KRITIS-Organisationen
IT-Sicherheitsgesetz 2.0: Betreiber von kritischen Infrastrukturen (KRITIS) sind gesetzlich verpflichtet, „angemessene organisatorische und technische Vorkehrungen“ zur Verhinderung von Cyber-Attacken zu treffen. Mit der Verabschiedung des „IT-Sicherheitsgesetzes 2.0“ (ITSiG 2.0) im Frühjahr 2021 wurden diese Pflichten noch einmal verschärft.
Ab Mai 2023 müssen die Betreiber kritischer Infrastrukturen diese umsetzen und vor allem „Systeme zur Angriffserkennung“ vorhalten. Sophos hat deshalb als offiziell vom BSI qualifizierter APT-Response-Dienstleister (Advanced Persistent Threat) für KRITIS einen Solution Brief erstellt, der Unternehmen und Organisationen hilft, ihre Security-Maßnahmen gemäß den neuen Anforderungen rechtzeitig anzupassen. 144 Millionen neue Schadprogramme…
ITSiG 2.0: System für Angriffserkennung wird Pflicht für KRITIS
Am 23. April 2021 hat der Bundestag das überarbeitete IT-Sicherheitsgesetz (ITSiG 2.0) verabschiedet. ITSiG 2.0, das System für Angriffserkennung wird Pflicht für KRITIS. Kritische Infrastrukturen müssen binnen zwei Jahren ganzheitliches System zur Angriffserkennung aufbauen.
Die Lieferkette wird Bestandteil des IT-Sicherheitsgesetzes. Am 23. April 2021 hat der Bundestag das überarbeitete IT-Sicherheitsgesetz (ITSiG 2.0) verabschiedet. Neben erweiterten Befugnissen für das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden Anforderungen an die Cybersicherheit verschärft. Kritische Infrastrukturen wie Energieversorger und Wasserversorger sowie nun auch Abfallentsorger und Großunternehmen mit volkswirtschaftlicher Bedeutung werden mit der Novellierung…