Contact
QR code for the current URL

Story Box-ID: 971859

TÜV Informationstechnik GmbH Am TÜV 1 45307 Essen, Germany http://www.tuvit.de
Contact Ms Verena Lingemann +49 201 8999658

Das IT-Sicherheitsgesetz 2.0 und KRITIS

Die wichtigsten Neuerungen des Referentenentwurfs im Überblick

(PresseBox) (Essen, )
Mit dem IT-Sicherheitsgesetz fiel 2015 der Startschuss der Mission, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Unter anderem verpflichtete es Betreiber Kritischer Infrastrukturen (KRITIS) dazu, ein Mindestmaß an IT-Sicherheit nachzuweisen und entsprechende organisatorische und technische Vorkehrungen nach dem Stand der Technik zu treffen.

Nun wird das seit 2015 geltende Gesetz von der Bundesregierung überarbeitet und soll zukünftig einen ganzheitlicheren Ansatz verfolgen. Welche Änderungen zu erwarten sind, lässt ein im März veröffentlichter Referenzentwurf des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) erkennen.

Wir haben die wesentlichen Neuerungen für KRITIS-Betreiber zusammengefasst.

Erweiterung um den Sektor der Entsorgung:

Die Sektoren der Kritischen Infrastrukturen werden um den Bereich der Entsorgung ergänzt. Hintergrund dafür ist die Tatsache, dass Ausfälle oder Beeinträchtigungen im Bereich der Abfallwirtschaft nicht nur zu einer massiven Umweltverschmutzung, sondern auch zu einem Anstieg der Seuchengefahr führen würden. Die damit einhergehenden Vorgaben sind noch abzuwarten.

Bisher zählen zu den Kritischen Infrastrukturen die folgenden Branchen: Energie, Gesundheit, Ernährung, Wasser, Transport & Verkehr, Finanz- & Versicherungswesen, Informationstechnik & Telekommunikation, Staat & Verwaltung sowie Medien & Kultur.

Einführung der Kategorie „Infrastrukturen im besonderen öffentlichen Interesse":

Das IT-Sicherheitsgesetz 2.0 enthält die neue Kategorie „Infrastrukturen im besonderen öffentlichen Interesse“. Diese zählen zwar nicht direkt zu den Kritischen Infrastrukturen, werden aber als solche behandelt und gehen mit den gleichen rechtlichen Verpflichtungen einher. Hierunter fallen:

– die Rüstungsindustrie
– der Bereich Kultur und Medien sowie
– Anlagen und Systeme, deren Ausfall oder Beeinträchtigung zu Schäden bei Unternehmen aus dem Bereich der Prime Standards der Frankfurter Börse führen würden

In der Gesetzesbegründung werden zudem auch Infrastrukturen aus den Bereichen Chemie und Automobilherstellung aufgelistet. Diese finden sich allerdings nicht im eigentlichen Gesetzestext wieder.

Erhöhung der zu erwartenden Geldbußen:

Verstöße gegen die gesetzlichen Forderungen werden nach dem IT-Sicherheitsgesetz 2.0 zukünftig mit Geldbußen im Stil der DSGVO geahndet. Betrug die maximale Geldstrafe bisher 100.000 Euro, können nach dem Gesetzesentwurf im Falle eines Verstoßes bis zu 20.000.000 Euro oder bis zu vier Prozent des gesamten, weltweiten Umsatzes fällig werden.

Mindeststandards für KRITIS-Kernkomponenten:

Das SiG 2.0 sieht vor, dass in Bezug auf Kritische Infrastrukturen nur noch Komponenten verbaut werden dürfen, die über ein BSI-Sicherheitskennzeichen verfügen. Damit werden auch Dienstleister von KRITIS-Unternehmen stärker eingebunden und die gesamte Lieferkette rückt in den Fokus der Betrachtung. Hersteller von Komponenten, die im KRITIS-Bereich zum Einsatz kommen, müssen in Zukunft die Vertrauenswürdigkeit ihrer gesamten Lieferkette sicherstellen und eine entsprechende Vertrauenswürdigkeitserklärung abgeben.

In diesem Zusammenhang ist mit der Einführung eines IT-Sicherheitskennzeichens zu rechnen, das die IT-Sicherheit von Produkten und Systemen für Unternehmen, aber auch für Verbraucher, sichtbar machen soll. Zukünftig können Hersteller das Kennzeichen freiwillig beantragen, wenn die IT-Sicherheit ihres Produktes dem vom BSI festgelegten Stand der Technik entspricht.

Einrichtung von Systemen zur Angriffserkennung:

Forderte das IT-Sicherheitsgesetz die Einrichtung von Systemen zur Angriffserkennung bisher eher implizit, schlägt sich diese Forderung nun in konkreten Vorgaben zur Ausgestaltung solcher Systeme nieder.

Erweiterte Befugnisse des BSI:

Grundsätzlich erhält das BSI dem Gesetzesentwurf nach deutlich mehr Befugnisse, um die IT-Systeme des Staates, der Bürger und der Wirtschaft besser zu schützen. Es soll zukünftig aktiv nach Sicherheitslücken suchen, Bestandsdaten von Telekommunikationsanbietern abfragen und die Behebung von Sicherheitslücken durch Provider auf Geräten anordnen dürfen.

Ganzheitlicher Ansatz:

Der Betrachtungsfokus wird auf wichtige vernetzte Systeme ausgeweitet. Dazu gehören unter anderem das Internet of Things (IoT) oder Industrial Control Systems (ICS), die häufig potenzielle Schwachstellen für Cyber-Angriffe aufweisen. Damit müssen auch KRITIS-Betreiber diese ganzheitliche Sicht im Hinblick auf ihre unterschiedlichen Komponenten berücksichtigen.

Fazit:

Auch wenn der bisher vorliegende Gesetzesentwurf noch einigen Änderungen unterworfen sein wird, lässt sich doch erkennen, in welche Richtung die Neuerungen im Rahmen des IT-Sicherheitsgesetzes 2.0 für KRITIS-Betreiber gehen werden. Da das Gesetz zunächst noch verabschiedet und die KritisV angepasst werden muss, kann davon ausgegangen werden, dass die Frist zur Umsetzung der Neuerungen frühestens 2022 endet. Wir empfehlen KRITIS-Betreibern dennoch, sich frühzeitig mit den geänderten Anforderungen auseinanderzusetzen.

TÜV Informationstechnik GmbH

Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit. Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 10.000 Mitarbeitern und Geschäftsaktivitäten in weltweit 70 Ländern als einer der größten Technologie-Dienstleister agiert.

TÜViT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP. Der Geschäftsbereich IT wird vertreten durch die Gesellschaften TÜV Informationstechnik GmbH und der im Januar 2018 neu gegründeten Beratungsgesellschaft TÜV NORD IT Secure Communications GmbH & Co. KG mit Sitz in Berlin.

Weitere Informationen unter: www.tuvit.de

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.