KRITIS-Betreiber?  Die wichtigsten Neuerungen durch IT-SiG 2.0 

Neue Pflichten - mehr betroffene Unternehmen

Zweck und Ziel des seit 2015 in Kraft getretenen IT-SiG war es, sicherzustellen, dass digitale Infrastruktur und IT-Systeme bestimmte Mindestanforderungen an die IT-Sicherheit erfüllten.

Seit 2021 ist nun die Neufassung des IT-SiG geltend. Und die Neuerungen bringen für IT-Entscheider bedeutende Änderungen mit sich. Wir erläutern Ihnen hier, was Sie zukünftig beachten müssen und welche Pflichten Sie als KRITIS-Betreiber - oder von nun an auch als Unternehmen im besonderen Interesse - jetzt erfüllen müssen.

Die wichtigsten Gesetze und Verordnungen im Überblick:

  • IT-Sicherheitsgesetz 2.0: Das neue IT-SiG 2.0 erweitert vor allem KRITIS-Pflichten und staatliche Befugnisse im BSI-Gesetz und ist seit Mai 2021 in Kraft.
  • KRITIS-Verordnung 2021 (1.5): Die Rechtsverordnung von 2021 (KritisV 1.5) definiert neue KRITIS-Anlagen und Schwellenwerte und ist seit Januar 2022 in Kraft.
  • KRITIS-Verordnung 2.0: Eine weitere Rechtsverordnung konkretisiert die Änderungen des IT-SiG 2.0 wie den KRITIS-Sektor Entsorgung und ist 2022 als KritisV 2.0 in Arbeit.
  • UBI-Verordnung (UBI-VO): Eine eigene Rechtsverordnung UBI-VO definiert in 2022 die Unternehmen im besonderen öffentlichen Interesse

Was ist neu?

Als KRITIS-Bereiber haben Sie zukünftig folgende PFLICHTEN:

  • Angriffserkennung: Systeme zur Angriffserkennung | Verpflichtender Einsatz von Systemen und Prozessen | geplant: SOC, SIEM, Auswertungen
  • Neue Meldepflichten: Mehr Meldepflichten ans BSI | Informationen bei erheblichen Störungen zur Bewältigung  | Auch personenbezogene Daten
  • Kritische Komponenten: Kritische Komponenten in KRITIS-Anlagen | Nur mit Genehmigung durch das Innenministerium | Betraf bislang TK-Sektor
  • Registrierung: Unmittelbare Registrierung beim BSI als
    KRITIS-Betreiber | Bennennung Kontaktstelle | BSI darf Betreiber auch selbst registrieren

Mehr BEFUGNISSE für das BSI (Bundesamt für Sicherheit in der Informationstechnik) 

  • Zentrale Meldestelle: zentrales Kompetenzzentrum der Informationssicherheit zur sicheren Digitalisierung | Festlegung verbindlicher Mindeststandards für Bundesbehörden 
  • Tiefere Untersuchungen: verstärkte Kompetenzen bei der Detektion von Sicherheitslücken und der Abwehr von Cyber-Angriffen.
  • Schutz der Bundesnetze: Prüfung von Sicherheistanforderungen an Netzbetreiber und der Zertifizierung und kritischer Komponenten, insbesondere für 5G-Mobilfunknetze
  • Mehr Personal: Kompetenzausweitung des BSI hat Personalaufstockung zur Folge

Das IT-SiG 2.0 erweitert den GELTUNGSBEREICH:

  • „Unternehmen im besonderen öffentlichen Interesse“ (UNBÖFI):  Rüstung, Waffen und VS-IT | Unternehmen von volkswirtschaftlicher Bedeutung |  Chemie-Konzerne, produzierende Unternehmen, Lager und Speicher (der oberen Klasse im Sinne der Störfall-Verordnung)

  • Neuer KRITIS-Sektor Siedlungsabfallentsorgung: Sammlung | Beseitigung | Verwertung
  • Tiefere Schwellenwerte: mehr Betroffene bei KRITIS-Anlage

Folgende AUSWIRKUNGEN hat das IT-SiG 2.0

  • Mehr Tatbestände: Zurzeit gelten 17 Tatbestände als Verstoß
  • Höhere Bußgelder: 100.000 € bis zu 2 Mio € | Bei juristischen Personen bis zu 20 Mio €
  • Verbraucherschutz:  Einheitliches IT-Sicherheitskennzeichen |Erkennbarkeit von Produkten, die bereits bestimmte IT-Sicherheitsstandards erfüllen

Was ist nun zu tun?

Dass für viele Unternehmen konkreter Handlungsbedarf besteht, ist offensichtlich. Zunächst müssen Sie prüfen, ob Sie in den erweiteterten Geltungsbereich nach IT-SiG 2.0 fallen. Da mit dem Inkrafttreten zum Teil tiefere Schwellenwerte als zuvor angesetzt werden, ist es möglich, dass Sie allein hierdurch unter die neue Regelung fallen, auch wenn Ihr Unternehmen bislang nicht als KRITIS-Betreiber eingestuft war. In diesem Fall müssen Sie sich umgehend beim BSI registrieren und eine Kontaktstelle benennen. WICHTIG:
Sobald Sie einen der festgelegten Grenzwerte überschreiten, müssen sich nicht erst im Folgejahr, sondern schon am folgenden Tag beim BSI melden. Daher ist es wichtig, dass Sie alle relevaten Zahlen hinsichtlich der Schwellenwerte kontinuierlich beobachten. Durch seine Kompetenzausweitung und zusätzlichen Befugnisse kann das BSI sie eigenständig als kritische Infrastruktur benennen und Einblick in die entsprechende Statistik verlangen.

 

» Meldepflichten

• Störungen: Mit dem neuen §8b (4a) müssen KRITIS-Betreiber und UNBÖFI bei erheblichen Störungen dem BSI auf Nachfrage nun Informationen zur Verfügung stellen, die für die Störungs­bewältigung notwendig sind, einschließlich personenbezogener Daten. Dazu kommt die neue Meldepflicht für den Einsatz kritischer Komponenten nach §9b.

• Registrierung: Wie oben erwähnt, verpflichtet der geänderte §8b (3) Betreiber, sich nun unmittelbar nach Feststellung als KRITIS-Betreiber beim BSI zu registrieren und eine Kontaktstelle zu benennen. Das BSI darf Betreiber mit dem neuen IT-SiG 2.0 auch von sich aus als Kritische Infrastruktur registrieren, und mit dem neuen §8b (3a) bei bestimmten Sachverhalten Einblick bei Betreibern in Unterlagen verlangen, falls diese ihrer Registrierungspflicht nicht nachkommen.

• Kritische Komponenten: KRITIS nur noch kritische Komponenten verbauen, für die der Hersteller eine Garantieerklärung abgegeben hat. Der Betreiber muss beides, Komponente und Hersteller, beim BSI anzeigen. Hier kann passieren, dass das Bundesinnenmisisterium den Hersteller wegen Beeinträchtigung der öffentlichen Ordnung und Sicherheit oder wegen mangelnder Garantieerklärung des Herstellers, Sicherheitstests und Schwachstellen und Manipulationen diesen als nicht vertrauenswürdig einstuft (IT-SiG 2.0 Art. 1 Nr. 20 [§9b]). In der Konsequenz dürfen dessen Produkte dürfen dann nicht mehr für kritische Komponenten eingesetzt werden.

• Inventarisierung: IT-Produkte, die innerhalb Ihrer KRITIS-Anlage eingesetzt werden, müssen inventarisiert werden. Die aktuellen Informationen zu Produkt, Hersteller, Typ usw. können so dem BSI jederzeit vorgelegt werden.

 

» Technische und organisatorische Sicherheitsvorkehrungen zur Angriffserkennung

Der Einsatz von Systemen zu Angriffserkennung wird spätestens zum 1.5.2022 verpflichtend. Das eingesetzte System muss gewährleisten, dass die Infrastruktur durchgängig überwacht wird, um Angriffsversuche frühzeitig identifizieren und abwehren zu können. Ziele sind:

  • lückenlose Sichtbarkeit zu Geräten (Hosts), Verbindungen und Kommunikationsverhalten
  • die kontinuierleich Analyser der gesamten Kommunikation 
  • das Erkennen, Dokumentiern und Melden jeglicher Veränderung im Kommunikationsmuster in Echtzeit

 

Weitere wichtige Informationen zur aktuellen Gesetzeslage finden Sie unter folgenden weiterführenden links der OpenKRITIS und des BSI:

IT-Sicherheitsgesetz 2.0  (Quelle: BSI)
Deutsche Gesetzgebung | IT-Sicherheitsgesetze von 2015 und 2021 (Quelle: BSI)
KRITIS-Anlagen 2021 (Quelle: Openkritis.de)
Kritische Infrastrukturen in der EU (Quelle: Openkritis.de)

Sie möchten weitere Informationen zum IT-SiG 2.0 oder wünschen ein Angebot?

Kontaktieren Sie uns gern:

Per E-Mail: vertrieb.industrie@yello-net.de

Telefonisch: 05971-96176-43