IT-SiG 2.0 für KRITIS

KRITIS-Betreiber? Die wichtigsten Neuerungen durch IT-SiG 2.0

Neue Pflichten - mehr betroffene Unternehmen

Zweck und Ziel des seit 2015 in Kraft getretenen IT-SiG war es, sicherzustellen, dass digitale Infrastruktur und IT-Systeme bestimmte Mindestanforderungen an die IT-Sicherheit erfüllten.

Seit 2021 ist nun die Neufassung des IT-SiG geltend. Und die Neuerungen bringen für IT-Entscheider bedeutende Änderungen mit sich. Wir erläutern Ihnen hier, was Sie zukünftig beachten müssen und welche Pflichten Sie als KRITIS-Betreiber - oder von nun an auch als Unternehmen im besonderen Interesse - jetzt erfüllen müssen.

Die wichtigsten Gesetze und Verordnungen im Überblick:

IT-Sicherheitsgesetz 2.0: Das neue IT-SiG 2.0 erweitert vor allem KRITIS-Pflichten und staatliche Befugnisse im BSI-Gesetz und ist seit Mai 2021 in Kraft.
KRITIS-Verordnung 2021 (1.5): Die Rechtsverordnung von 2021 (KritisV 1.5) definiert neue KRITIS-Anlagen und Schwellenwerte und ist seit Januar 2022 in Kraft.
KRITIS-Verordnung 2.0: Eine weitere Rechtsverordnung konkretisiert die Änderungen des IT-SiG 2.0 wie den KRITIS-Sektor Entsorgung und ist 2022 als KritisV 2.0 in Arbeit.
UBI-Verordnung (UBI-VO): Eine eigene Rechtsverordnung UBI-VO definiert in 2022 die Unternehmen im besonderen öffentlichen Interesse

Was ist neu?

Mehr BEFUGNISSE für das BSI (Bundesamt für Sicherheit in der Informationstechnik)

Zentrale Meldestelle: zentrales Kompetenzzentrum der Informationssicherheit zur sicheren Digitalisierung | Festlegung verbindlicher Mindeststandards für Bundesbehörden
Tiefere Untersuchungen: verstärkte Kompetenzen bei der Detektion von Sicherheitslücken und der Abwehr von Cyber-Angriffen.
Schutz der Bundesnetze: Prüfung von Sicherheistanforderungen an Netzbetreiber und der Zertifizierung und kritischer Komponenten, insbesondere für 5G-Mobilfunknetze
Mehr Personal: Kompetenzausweitung des BSI hat Personalaufstockung zur Folge

Folgende AUSWIRKUNGEN hat das IT-SiG 2.0

Mehr Tatbestände: Zurzeit gelten 17 Tatbestände als Verstoß
Höhere Bußgelder: 100.000 € bis zu 2 Mio € | Bei juristischen Personen bis zu 20 Mio €
Verbraucherschutz: Einheitliches IT-Sicherheitskennzeichen |Erkennbarkeit von Produkten, die bereits bestimmte IT-Sicherheitsstandards erfüllen

Was ist nun zu tun?

Dass für viele Unternehmen konkreter Handlungsbedarf besteht, ist offensichtlich. Zunächst müssen Sie prüfen, ob Sie in den erweiteterten Geltungsbereich nach IT-SiG 2.0 fallen. Da mit dem Inkrafttreten zum Teil tiefere Schwellenwerte als zuvor angesetzt werden, ist es möglich, dass Sie allein hierdurch unter die neue Regelung fallen, auch wenn Ihr Unternehmen bislang nicht als KRITIS-Betreiber eingestuft war. In diesem Fall müssen Sie sich umgehend beim BSI registrieren und eine Kontaktstelle benennen. WICHTIG:
Sobald Sie einen der festgelegten Grenzwerte überschreiten, müssen sich nicht erst im Folgejahr, sondern schon am folgenden Tag beim BSI melden. Daher ist es wichtig, dass Sie alle relevaten Zahlen hinsichtlich der Schwellenwerte kontinuierlich beobachten. Durch seine Kompetenzausweitung und zusätzlichen Befugnisse kann das BSI sie eigenständig als kritische Infrastruktur benennen und Einblick in die entsprechende Statistik verlangen.

» Technische und organisatorische Sicherheitsvorkehrungen zur Angriffserkennung

Der Einsatz von Systemen zu Angriffserkennung wird spätestens zum 1.5.2022 verpflichtend. Das eingesetzte System muss gewährleisten, dass die Infrastruktur durchgängig überwacht wird, um Angriffsversuche frühzeitig identifizieren und abwehren zu können. Ziele sind:

lückenlose Sichtbarkeit zu Geräten (Hosts), Verbindungen und Kommunikationsverhalten
die kontinuierleich Analyser der gesamten Kommunikation
das Erkennen, Dokumentiern und Melden jeglicher Veränderung im Kommunikationsmuster in Echtzeit