Ora è giunto il momento: l'IT Security Act 2.0 entrerà in vigore a tutti gli effetti il 1° maggio. Ciò significa che il periodo di transizione per l'obbligo di fornire la prova del rilevamento degli attacchi per l'infrastruttura critica KRITIS è scaduto. La legge è in vigore da 2 anni, ma solo ora in forma inasprita. Ora anche i fornitori di KRITIS hanno un obbligo e potrebbero ancora non saperlo. Informazioni da RADAR Cyber Security, Sophos, Rhebo.
Anche pochi giorni prima della fine del periodo di transizione, c'è ancora qualche ambiguità su cosa significhi in dettaglio l'IT Security Act 2.0: quali requisiti devono essere implementati, quali tecnologie sono necessarie, quali misure devono essere dimostrate e chi deve ti senti indirizzato?
Chi si intende?
L'IT Security Act 2.0 è in vigore da due anni, il periodo di transizione per l'obbligo di fornire prove del rilevamento di attacchi termina il 1° maggio. Questo regolamento raggiunge così una nuova dimensione. In primo luogo, la seconda versione dell'IT Security Act (in breve IT-SiG) inasprisce notevolmente i requisiti. In secondo luogo, amplia notevolmente il gruppo di strutture che fanno parte dell'infrastruttura critica: il regolamento si applica non solo agli stessi operatori di KRITIS, ma anche ai loro fornitori. In terzo luogo, questo ora include anche le aziende di "particolare interesse pubblico": tra l'altro, i produttori di armamenti o le aziende con "particolare importanza economica" devono implementare determinate misure di sicurezza informatica. In quarto luogo, allo Stato e alle autorità di regolamentazione vengono conferiti maggiori poteri: ad esempio, la stessa BSI può classificare le società come KRITIS.
Cosa è richiesto?
In termini concreti, ciò significa: gli operatori di KRITIS devono aver implementato sistemi e processi per il rilevamento degli attacchi entro la scadenza del 1 maggio 2023 al più tardi, che ora fanno esplicitamente parte delle precauzioni di sicurezza tecniche e organizzative. Questi includono, ad esempio, un "Security Information and Event Management" (SIEM) o un "Security Operations Center" (SOC): con il centro di difesa, noto anche come "Cyber Defense Center" (CDC), gli operatori KRITIS può creare un concetto di sicurezza coerente per il proprio IT e implementare l'infrastruttura OT. Qui tecnologie e processi si combinano con il know-how degli esperti che sono responsabili del monitoraggio, dell'analisi e del mantenimento della sicurezza delle informazioni di un'azienda.
Inoltre, le aziende di particolare interesse pubblico interessate sono tenute a presentare regolarmente un'autodichiarazione: devono spiegare quali certificazioni di sicurezza informatica sono state effettuate negli ultimi due anni e come hanno messo in sicurezza i propri sistemi informatici.
Iniziative legislative come l'IT Security Act 2.0 mostrano che i politici hanno riconosciuto l'urgenza del compito di resilienza nell'era digitale odierna. Le aziende hanno molto da fare, anche dopo il 1° maggio 2023, secondo Lothar Hänsler, Operations Officer di Sicurezza informatica RADAR.
Maggiori informazioni sull'argomento Sophos e Rhebo
IT Security Act 2.0: assistenza all'implementazione per le organizzazioni KRITIS
IT Security Act 2.0: gli operatori delle infrastrutture critiche (KRITIS) sono legalmente obbligati a prendere "ragionevoli precauzioni organizzative e tecniche" per prevenire gli attacchi informatici. Con l'approvazione dell'"IT Security Act 2.0" (ITSiG 2.0) nella primavera del 2021, questi obblighi sono stati nuovamente inaspriti.
Da maggio 2023, gli operatori delle infrastrutture critiche devono implementarli e, soprattutto, disporre di "sistemi di rilevamento degli attacchi". Sophos, in qualità di fornitore di servizi di risposta APT (Advanced Persistent Threat) ufficialmente qualificato da BSI, ha quindi creato un brief di soluzione per KRITIS che aiuta le aziende e le organizzazioni ad adeguare tempestivamente le proprie misure di sicurezza in conformità ai nuovi requisiti. 144 milioni di nuovi programmi dannosi...
ITSiG 2.0: il sistema per il rilevamento degli attacchi diventa obbligatorio per KRITIS
Il 23 aprile 2021 il Bundestag ha approvato la revisione della legge sulla sicurezza informatica (ITSiG 2.0). ITSiG 2.0, il sistema di rilevamento degli attacchi, è obbligatorio per KRITIS. Le infrastrutture critiche devono istituire un sistema olistico per il rilevamento degli attacchi entro due anni.
La catena di fornitura entra a far parte della legge sulla sicurezza informatica. Il 23 aprile 2021 il Bundestag ha approvato la revisione della legge sulla sicurezza informatica (ITSiG 2.0). Oltre ai poteri estesi per l'Ufficio federale per la sicurezza delle informazioni (BSI), vengono rafforzati i requisiti di sicurezza informatica. Le infrastrutture critiche come i fornitori di energia e i fornitori di acqua e ora anche le società di smaltimento dei rifiuti e le grandi aziende con importanza economica saranno interessate dall'emendamento...