Agora chegou a hora: o IT Security Act 2.0 entrará em vigor em 1º de maio. Isso significa que o período de transição para a obrigação de fornecer prova de detecção de ataque para infraestrutura crítica KRITIS expirou. A lei está em vigor há 2 anos, mas só agora de forma mais rígida. Agora os fornecedores da KRITIS também têm uma obrigação e podem ainda não saber. Informações da RADAR Cyber Security, Sophos, Rhebo.
Mesmo a poucos dias do final do período de transição, ainda há alguma ambiguidade sobre o que o IT Security Act 2.0 significa em detalhes: quais requisitos precisam ser implementados, quais tecnologias são necessárias, quais medidas devem ser comprovadas e quem precisa sinta-se abordado em tudo?
Quem se destina?
O IT Security Act 2.0 está em vigor há dois anos, o período de transição para a obrigação de fornecer evidências de detecção de ataques termina em 1º de maio. Este regulamento atinge assim uma nova dimensão. Em primeiro lugar, a segunda versão da Lei de Segurança de TI (IT-SiG para abreviar) restringe consideravelmente os requisitos. Em segundo lugar, expande significativamente o grupo de instalações que fazem parte da infraestrutura crítica: O regulamento aplica-se não só aos próprios operadores KRITIS, mas também aos seus fornecedores. Em terceiro lugar, isso agora também inclui empresas de "particular interesse público": entre outras coisas, fabricantes de armamentos ou empresas com "particular importância econômica" devem implementar certas medidas de segurança de TI. Quarto, o estado e as autoridades reguladoras recebem mais poderes: por exemplo, o próprio BSI pode classificar as empresas como KRITIS.
O que é necessario?
Em termos concretos, isso significa: os operadores do KRITIS devem ter implementado sistemas e processos para detecção de ataques até o prazo de 1º de maio de 2023, o mais tardar, que agora fazem parte explicitamente das precauções de segurança técnica e organizacional. Estes incluem, por exemplo, um "Security Information and Event Management" (SIEM) ou um "Security Operations Center" (SOC): Com o centro de defesa, também conhecido como "Cyber Defense Center" (CDC), os operadores KRITIS podem criar um conceito de segurança consistente para sua TI e implementar a infraestrutura de OT. Aqui tecnologias e processos são combinados com o know-how dos especialistas responsáveis por monitorar, analisar e manter a segurança da informação de uma empresa.
Além disso, as empresas de particular interesse público abordadas são obrigadas a apresentar regularmente uma autodeclaração: devem explicar quais certificações de segurança de TI foram realizadas nos últimos dois anos e como protegeram seus sistemas de TI.
Iniciativas legislativas como o IT Security Act 2.0 mostram que os políticos reconheceram a urgência da tarefa de resiliência na era digital de hoje. As empresas têm muito o que fazer, mesmo depois de 1º de maio de 2023, segundo Lothar Hänsler, Diretor de Operações da RADAR Segurança Cibernética.
Mais sobre o tema Sophos e Rhebo
Lei de segurança de TI 2.0: assistência de implementação para organizações KRITIS
Lei de Segurança de TI 2.0: Os operadores de infraestruturas críticas (KRITIS) são legalmente obrigados a tomar “precauções organizacionais e técnicas razoáveis” para evitar ataques cibernéticos. Com a aprovação da "lei de segurança de TI 2.0" (ITSiG 2.0) na primavera de 2021, essas obrigações foram reforçadas novamente.
A partir de maio de 2023, os operadores de infraestruturas críticas devem implementá-las e, sobretudo, ter à disposição “sistemas de deteção de ataques”. A Sophos, como provedora de serviços de resposta APT (Advanced Persistent Threat) oficialmente qualificada pelo BSI, criou, portanto, um resumo de solução para KRITIS que ajuda empresas e organizações a adaptar suas medidas de segurança em tempo hábil de acordo com os novos requisitos. 144 milhões de novos programas maliciosos…
ITSiG 2.0: Sistema de detecção de ataques torna-se obrigatório para KRITIS
Em 23 de abril de 2021, o Bundestag aprovou a Lei de Segurança de TI revisada (ITSiG 2.0). ITSiG 2.0, o sistema de detecção de ataques, é obrigatório para o KRITIS. As infraestruturas críticas precisam configurar um sistema holístico para detecção de ataques dentro de dois anos.
A cadeia de suprimentos torna-se parte da Lei de Segurança de TI. Em 23 de abril de 2021, o Bundestag aprovou a Lei de Segurança de TI revisada (ITSiG 2.0). Além dos poderes estendidos para o Escritório Federal de Segurança da Informação (BSI), os requisitos de segurança cibernética estão sendo reforçados. As infraestruturas críticas como os fornecedores de energia e de água e agora também as empresas de eliminação de resíduos e grandes empresas com importância económica serão afetadas com a alteração…