Narong Jongsirikul - Fotolia
Die Folgen des IT-Sicherheitsgesetz 2.0 für KRITIS
Mit dem IT-Sicherheitsgesetz 2.0 sollen der Kreis der KRITIS-Betreiber erweitert, mögliche Bußgelder erhöht und zusätzliche Meldepflichten eingeführt werden.
Auch wenn das IT-Sicherheitsgesetz 2.0 noch nicht beschlossen ist, werden die Folgen dieses neuen Gesetzes für die IT-Sicherheit schon umfangreich diskutiert. Der Referentenentwurf für das „IT-Sicherheitsgesetz 2.0“ (IT-SiG 2.0) sieht vor, Betreiber kritischer Infrastrukturen (KRITIS) zu verpflichten, Schutzmaßnahmen wie Information Security Management und Business Continuity Management als Teile ihrer Cybersicherheitsstrategie zu etablieren, berichtet zum Beispiel Trend Micro.
Außerdem sollen KRITIS-Betreiber einer Meldepflicht über Sicherheitsvorfälle bei erheblichen IT-Störungen wie gezielten Angriffsversuchen unterliegen, so Trend Micro weiter. Zudem ist geplant, die Meldepflichten, die bisher nur für KRITIS gelten, auf weitere Bereiche der Wirtschaft auszudehnen, bei denen ein besonderes öffentliches Interesse vorliegt. Dies betrifft unter anderem Rüstungshersteller und Medienunternehmen sowie bestimmte börsennotierte Aktiengesellschaften.
Es lohnt sich also, das geplante Gesetz genauer anzuschauen und sich auf die wahrscheinlichen Konsequenzen frühzeitig einzustellen.
Kreis der KRITIS-Betreiber soll erweitert werden
Die KRITIS-Sektoren Energie, Informationstechnik und Telekommunikation, Wasser, Ernährung, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr sollen um den Sektor Entsorgung ergänzt werden. Genannt werden zudem Infrastrukturen im besonderen öffentlichen Interesse, wie Rüstung und bestimmte Einrichtungen aus dem Bereich Kultur und Medien.
Daneben werden auch Anforderungen an Kernkomponenten für kritische Infrastrukturen (KRITIS-Kernkomponenten) gestellt. Dies sind IT-Produkte, die zum Betrieb von kritischen Infrastrukturen dienen und für diesen Zweck besonders entwickelt oder geändert werden.
Das IT-Sicherheitsgesetz 2.0 enthält im bestehenden Entwurf somit nicht nur Vorgaben für Betreiber kritischer Infrastrukturen, sondern auch für die Anbieter von IT-Lösungen im KRITIS-Bereich.
Wer als IT-Anbieter davon betroffen sein kann, zeigt diese Aufstellung von KRITIS-Kernkomponenten:
- im Sektor Energie IT-Produkte für die Kraftwerksleittechnik, für die Netzleittechnik oder für die Steuerungstechnik zum Betrieb von Anlagen oder Systemen zur Stromversorgung, Gasversorgung, Kraftstoff- oder Heizölversorgung oder Fernwärmeversorgung,
- im Sektor Wasser IT-Produkte für die Leit-, Steuerungs- oder Automatisierungstechnik von Anlagen zur Trinkwasserversorgung oder Abwasserbeseitigung,
- im Sektor Informationstechnik und Telekommunikation IT-Produkte zum Betrieb von Anlagen oder Systemen zur Sprach- und Datenübertragung oder zur Datenspeicherung und -verarbeitung,
- im Sektor Ernährung IT-Produkte zum Betrieb von Anlagen oder Systemen zur Lebensmittelversorgung,
- im Sektor Gesundheit IT-Produkte zum Betrieb eines Krankenhausinformationssystems, zum Betrieb von Anlagen oder Systemen zum Vertrieb von verschreibungspflichtigen Arzneimitteln sowie zum Betrieb eines Laborinformationssystems,
- im Sektor Finanz- und Versicherungswesen IT-Produkte zum Betrieb von Anlagen oder Systemen der Bargeldversorgung, des kartengestützten Zahlungsverkehrs, des konventionellen Zahlungsverkehrs, zur Verrechnung und der Abwicklung von Wertpapier- und Derivatgeschäften oder zur Erbringung von Versicherungsdienstleistungen,
- im Sektor Transport und Verkehr IT-Produkte zum Betrieb von Anlagen oder Systemen zur Beförderung von Personen und Gütern im Luftverkehr, im Schienenverkehr, in der See- und Binnenschifffahrt, im Straßenverkehr, im öffentlichen Personennahverkehr oder in der Logistik,
- im Sektor Entsorgung IT-Produkte zum Betrieb von Anlagen oder Systemen zur Abfallentsorgung.
KRITIS-Kernkomponenten dürfen nur von solchen Herstellern bezogen werden, die vor dem erstmaligen Einsatz der Komponenten eine Erklärung über ihre Vertrauenswürdigkeit gegenüber dem Betreiber der Kritischen Infrastruktur abgeben haben (Vertrauenswürdigkeitserklärung). Diese Verpflichtung erstreckt sich auf die gesamte Lieferkette des Herstellers.
Es steht außer Frage, dass dies zahlreiche IT-Anbieter betreffen wird. Der Gedanke hinter den erhöhten Anforderungen an IT-Produkte ist die notwendige IT-Sicherheit auch bei Lieferanten, da sich Sicherheitsmängel in IT-Produkten auf die IT-Sicherheit der Anwender dieser IT-Produkte auswirken können.
Erweiterungen bei Sicherheitsmaßnahmen, Kontaktstellen und Meldepflichten
Neben dem Kreis derer, die von dem geplanten Gesetz betroffenen sein werden, sollen sich auch die Maßnahmen für die IT-Sicherheit der KRITIS-Betreiber selbst ändern. So besagt der Entwurf des IT-SiG 2.0: Die Verpflichtung der Betreiber kritischer Infrastrukturen, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind, umfasst auch den Einsatz von Systemen zur Angriffserkennung.
Wie solche Systeme zur Angriffserkennung auszusehen haben und angewendet werden sollen, wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer technischen Richtlinie festlegen, so das geplante Gesetz.
Betreiber kritischer Infrastrukturen sollen zudem verpflichtet werden, die von ihnen betriebenen kritischen Infrastrukturen beim Bundesamt zu registrieren und eine Kontaktstelle zu benennen. Die Betreiber haben dabei sicherzustellen, dass sie über die benannte Kontaktstelle jederzeit erreichbar sind, also rund um die Uhr.
Neue Meldepflichten soll es auch bei den IT-Anbietern geben: Hersteller von IT-Produkten haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Produkte unverzüglich dem BSI zu melden, wenn die Anwendung des IT-Produkts zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit von KRITIS-Anlagen führen kann.
Bußgeldvorschriften nach Vorbild der DSGVO
Betrachtet man die möglichen Bußgelder bei Verstößen gegen das geplante IT-Sicherheitsgesetz 2.0, werden Erinnerungen an die Datenschutz-Grundverordnung (DSGVO) der EU wach:
Verstöße gegen gewisse Bestimmungen des IT-SiG 2.0 können dann mit Geldbußen von bis zu 20 Millionen Euro oder von bis zu vier Prozent des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist, geahndet werden.
Das IT-SiG 2.0 nennt zudem andere Fälle, die mit Geldbußen von bis zu 10 Millionen Euro oder von bis zu zwei Prozent des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist, geahndet werden können.
Fazit
Das IT-Sicherheitsgesetz 2.0 folgt dem Gedanken, dass weitaus mehr Infrastrukturen kritisch sein können, als man im ersten Moment denken könnte. Die Digitalisierung hat die Wechselwirkungen zwischen verschiedenen Akteuren noch weiter verschärft, wenn es um die Folgen von IT-Sicherheitsmängel geht. Das gilt ganz besonders für IT-Anbieter, deren IT-Sicherheit elementar ist für die IT-Security insgesamt.
Die steigenden Bußgelder folgen dem Modell der DSGVO, die in jüngerer Vergangenheit auch durch die möglichen Sanktionen viel Beachtung erlangt hat, auch im Vergleich zu dem IT-Sicherheitsgesetz 1.0.
Die Forderung nach SIEM-Systemen oder anderen Verfahren der Angriffserkennung sollte nicht überraschen, solche Systeme waren bisher auch erforderlich, nur betont nun das geplante Gesetz die offenkundige Bedeutung.
Das IT-Sicherheitsgesetz 2.0 enthält somit Forderungen, die auch dann angegangen werden sollten, wenn das Gesetz nicht wie geplant beschlossen werden sollte, denn IT-Sicherheit betrifft grundsätzlich die ganze Lieferkette und schließt hohe Anforderungen an IT-Anbieter ein, ob mit oder ohne IT-SiG 2.0. Durch die gesetzliche Verpflichtung und die drohenden Sanktionen wird dies aber nochmals stärker in das Bewusstsein vordringen, wie die DSGVO an anderer Stelle bewiesen hat.