MH - Fotolia
Was das IT-Sicherheitsgesetz für die Security bedeutet
Sowohl das IT-SiG 2.0 wie auch die NIS2-Richtlinie der EU gehen für viele Unternehmen mit neuen Anforderungen einher. Unternehmen sollten prüfen, ob sie betroffen sind.
Das vom Bundestag und Bundesrat im Frühjahr 2021 verabschiedete IT-Sicherheitsgesetz 2.0 ist im Mai 2023 in Kraft getreten. Mit dem IT-Sicherheitsgesetz 2.0 wurde das erste Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme aktualisiert, um die Cyber- und Informationssicherheit vor dem Hintergrund der immer häufigeren und komplexeren Cyberangriffe und der fortschreitenden Digitalisierung des Alltags zu erhöhen (siehe auch IT-Sicherheitsgesetz 2.0: Neue Pflichten für Unternehmen).
Aufgrund der verschärften IT-Sicherheitspflichten und der erhöhten Bußgelder sind insbesondere die zahlreichen Änderungen des zentralen deutschen IT-Sicherheitsgesetzes - des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) - sowohl für die bereits vom BSI-Gesetz erfassten Betreiber kritischer Infrastrukturen als auch für Unternehmen im Bereich der kommunalen Abfallentsorgung, Hersteller von IT-Produkten, die in kritischen Infrastrukturen eingesetzt werden, und Unternehmen von besonderem öffentlichen Interesse relevant.
Was von der NIS2 für KRITIS zu erwarten ist
Die NIS2-Richtlinie (Network and Information Systems Directive) ist die Weiterentwicklung der ersten Verordnung der Europäischen Union, die darauf abzielt, die Sicherheit dieser kritischen Infrastrukturnetze und -systeme zu verbessern. Sie verpflichtet Organisationen im KRITIS-Sektor, geeignete Sicherheitsmaßnahmen zum Schutz vor Cyberbedrohungen zu ergreifen und bedeutende Vorfälle an die zuständigen Behörden zu melden. Die Richtlinie schafft außerdem einen Rahmen für die Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten, um die Sicherheit der kritischen Infrastrukturen in der EU insgesamt zu verbessern.
Dies bedeutet, dass alle Bereiche der kritischen Infrastrukturen (KRITIS) erfasst sind. Das IT-Sicherheitsgesetz 2.0 erweitert den Kreis der potenziellen Betreiber kritischer Infrastrukturen neben den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung und Finanzen sowie Versicherungen um die Abfallwirtschaft.
Organisationen von besonderem öffentlichem Interesse unterliegen nun auch den BSI(G). Sie gelten jedoch nicht als Betreiber kritischer Infrastrukturen, sondern unterliegen eigenen zusätzlichen Verpflichtungen. Unternehmen von besonderem öffentlichem Interesse sind:
- Rüstungsunternehmen (§ 1 Abs. 14 Nr. 1 IT-Sicherheitsgesetz 2.0, § 60 Abs. 1 Nr. 1 und 3 Außenwirtschaftsverordnung);
- Chemieunternehmen (§ 1 Abs. 14 Nr. 3 IT-Sicherheitsgesetz 2.0, § 1 Abs. 2 Störfall-Verordnung); und
- die größten Unternehmen in Deutschland (§ 1 Abs. 14 Nr. 2 IT-Sicherheitsgesetz 2.0).
Das IT-Sicherheitsgesetz 2.0 erlegt den Betreibern kritischer Infrastrukturen mehrere Pflichten auf. Unter anderem müssen die Betreiber:
- Mindestsicherheitsstandards für kritische Infrastrukturen vorsehen (zum Beispiel den Einsatz von Intrusion Detection Systemen nach § 8a IT-Sicherheitsgesetz 2.0);
- die Sicherheitsanforderungen für kritische Komponenten einhalten und
- Informations- und Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (nachfolgend „BSI“) erfüllen (zum Beispiel Auflistung aller IT-Produkte, die für die Funktionsfähigkeit kritischer Infrastrukturen wichtig sind, Meldung von Fehlfunktionen).
Außerdem geht aus dem IT-Sicherheitsgesetz 2.0 hervor, dass Betreiber kritischer Infrastrukturen über Intrusion-Detection-Systeme (IDS) für ihre IT-Umgebungen verfügen müssen. SAP-Systeme, die in vielen Fällen das Rückgrat aller Geschäftsprozesse von Betreibern kritischer Infrastrukturen bilden, sind hiervon nicht ausgenommen und sollten einbezogen werden.
„Unternehmen müssen prüfen, ob sie in den Anwendungsbereich des IT-Sicherheitsgesetzes 2.0 und der zweiten KRITIS-Verordnung fallen.“
Sükrü Ilker Birakoglu, Logpoint
Was sind die Auswirkungen?
Das IT-Sicherheitsgesetz 2.0 und die zweite KRITIS-Verordnung haben zum Teil weitreichende Folgen. Gab es bisher eine Übergangsfrist für die Umsetzung der neuen Anforderungen, müssen Unternehmen nun ab dem ersten Werktag, an dem sie die Schwellenwerte der zweiten KRITIS-Verordnung erreichen, die Anforderungen des BSIG erfüllen. Das bedeutet, dass ab dem ersten Tag nach Inkrafttreten des IT-Sicherheitsgesetzes 2.0 und der zweiten KRITIS-Verordnung potenzielle Betreiber kritischer Infrastrukturen die Anforderungen des IT-Sicherheitsgesetzes 2.0 einhalten müssen. Bei Nichteinhaltung der Anforderungen können erhebliche Bußgelder von bis zu 20 Millionen Euro durch das BSI verhängt werden.
Fazit
Unternehmen müssen daher jetzt prüfen, ob sie in den Anwendungsbereich des IT-Sicherheitsgesetzes 2.0 und der zweiten KRITIS-Verordnung fallen. Ist dies der Fall, sollten sich diese Organisationen unbedingt darin beraten lassen, welche Maßnahmen sie ergreifen müssen und Intrusion Detection-Systeme zur Überwachung ihrer IT-Systeme, einschließlich SAP oder anderer ERP-Systeme, implementieren.
Über den Autor:
Sükrü Ilker Birakoglu ist Senior Director bei Logpoint.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.