Şimdi zamanı geldi: BT Güvenlik Yasası 2.0, 1 Mayıs'ta tam olarak yürürlüğe girecek. Bu, KRITIS kritik altyapısı için saldırı tespiti kanıtı sağlama yükümlülüğüne geçiş süresinin sona erdiği anlamına gelir. Yasa 2 yıldır yürürlükte, ancak şimdi daha sıkı bir biçimde. Artık KRITIS tedarikçilerinin de bir yükümlülüğü var ve bunu hâlâ bilmiyor olabilir. RADAR Siber Güvenlik, Sophos, Rhebo'dan bilgiler.
Geçiş döneminin sona ermesinden birkaç gün önce bile, BT Güvenlik Yasası 2.0'ın ayrıntılı olarak ne anlama geldiği konusunda hala bazı belirsizlikler var: Hangi gereksinimlerin uygulanması gerekiyor, hangi teknolojilerin gerekli olduğu, hangi önlemlerin kanıtlanması gerektiği ve kimin ihtiyacı olduğu. hiç ele alındığını hissediyor musun?
Kim kastedilmektedir?
BT Güvenlik Yasası 2.0 iki yıldır yürürlüktedir, saldırı tespit kanıtı sağlama yükümlülüğüne geçiş dönemi 1 Mayıs'ta sona ermektedir. Bu düzenleme böylece yeni bir boyut kazanıyor. İlk olarak, BT Güvenlik Yasası'nın (kısaca IT-SiG) ikinci versiyonu gereksinimleri önemli ölçüde sıkılaştırıyor. İkinci olarak, kritik altyapının bir parçası olan tesis grubunu önemli ölçüde genişletir: Yönetmelik yalnızca KRITIS operatörlerinin kendileri için değil, aynı zamanda tedarikçileri için de geçerlidir. Üçüncüsü, buna artık "özel kamu çıkarına" sahip şirketler de dahildir: Diğer şeylerin yanı sıra, silah üreticileri veya "özel ekonomik önemi" olan şirketler belirli BT güvenlik önlemlerini uygulamalıdır. Dördüncüsü, devlet ve düzenleyici makamlara daha fazla yetki verilir: Örneğin, BSI'nin kendisi şirketleri KRITIS olarak sınıflandırabilir.
Ne gerekli?
Somut olarak, bu şu anlama gelir: KRITIS operatörleri, en geç 1 Mayıs 2023 tarihine kadar saldırı tespiti için artık açıkça teknik ve organizasyonel güvenlik önlemlerinin bir parçası olan sistem ve süreçleri uygulamış olmalıdır. Bunlar, örneğin bir "Güvenlik Bilgi ve Olay Yönetimi" (SIEM) veya "Güvenlik Operasyon Merkezi" (SOC) içerir: "Siber Savunma Merkezi" (CDC) olarak da bilinen savunma merkezi ile KRITIS operatörleri BT'leri için tutarlı bir güvenlik konsepti oluşturabilir ve OT altyapısını uygulayabilir. Burada teknolojiler ve süreçler, bir şirketin bilgi güvenliğini izlemekten, analiz etmekten ve sürdürmekten sorumlu uzmanların bilgi birikimi ile birleştirilir.
Ayrıca, özellikle kamu yararına hitap eden şirketler, düzenli olarak öz beyanda bulunmakla yükümlüdür: Son iki yılda hangi BT güvenlik sertifikalarını gerçekleştirdiklerini ve BT sistemlerini nasıl güvence altına aldıklarını açıklamak zorundadırlar.
BT Güvenlik Yasası 2.0 gibi yasama girişimleri, politikacıların günümüzün dijital çağında dayanıklılık görevinin aciliyetini kabul ettiğini gösteriyor. Operasyon Sorumlusu Lothar Hänsler'e göre şirketlerin 1 Mayıs 2023'ten sonra bile yapacak çok işi var. RADAR Siber Güvenlik.
Sophos ve Rhebo hakkında daha fazla bilgi
BT Güvenliği Yasası 2.0: KRITIS kuruluşları için uygulama yardımı
BT Güvenliği Yasası 2.0: Kritik altyapıların (KRITIS) operatörleri, siber saldırıları önlemek için yasal olarak “makul kurumsal ve teknik önlemler” almakla yükümlüdür. 2.0 baharında "BT Güvenlik Yasası 2.0"ın (ITSiG 2021) kabul edilmesiyle bu yükümlülükler yeniden sıkılaştırıldı.
Mayıs 2023'ten itibaren, kritik altyapıların operatörleri bunları uygulamalı ve her şeyden önce "saldırı tespit sistemlerine" sahip olmalıdır. BSI tarafından resmi olarak onaylanmış bir APT yanıt hizmeti sağlayıcısı (Gelişmiş Kalıcı Tehdit) olarak Sophos, bu nedenle KRITIS için şirketlerin ve kuruluşların güvenlik önlemlerini yeni gereksinimlere göre zamanında uyarlamalarına yardımcı olan bir çözüm özeti oluşturmuştur. 144 milyon yeni kötü amaçlı program…
ITSiG 2.0: KRITIS için saldırı tespit sistemi zorunlu hale geliyor
23 Nisan 2021'de Federal Meclis, revize edilmiş BT Güvenlik Yasasını (ITSiG 2.0) kabul etti. Saldırıları tespit etmeye yönelik sistem olan ITSiG 2.0, KRITIS için zorunludur. Kritik altyapıların iki yıl içinde saldırı tespiti için bütüncül bir sistem kurması gerekiyor.
Tedarik zinciri, BT Güvenlik Yasası'nın bir parçası haline gelir. 23 Nisan 2021'de Federal Meclis, revize edilmiş BT Güvenlik Yasasını (ITSiG 2.0) kabul etti. Federal Bilgi Güvenliği Ofisi'nin (BSI) genişletilmiş yetkilerine ek olarak, siber güvenlik gereklilikleri de sıkılaştırılıyor. Enerji tedarikçileri ve su tedarikçileri gibi kritik altyapılar ve artık atık bertaraf şirketleri ve ekonomik öneme sahip büyük şirketler de değişiklikten etkilenecek…