​​​​​​​​​​​​IT-Sicherheitsgesetz 2.0 – darauf müssen sich Unternehmen einstellen

30.11.2020 | Alexander Schmidt I Kathrin Ganter

Die IT-Sicherheitslage ist weiterhin angespannt, wie der Bericht zu Lage der IT-Sicherheit in Deutschland 2020 [1] aufzeigt. Deshalb soll das IT-Sicherheitsrecht an die technischen Entwicklungen angepasst werden. Das Bundesministerium des Innern, für Bau und Heimat (BMI) hat nun den dritten Referentenentwurf des IT-Sicherheitsgesetzes 2.0 vorgelegt. Wir möchten in diesem Blogbeitrag einen Überblick zu den Neuerungen geben.

Am 30. November ist der internationale „Computer Security Day“. Grund genug für uns auf die enorme Bedeutung der Computer- und Informationssicherheit hinzuweisen.

Betreiber Kritischer Infrastrukturen (KRITIS-Betreiber), wie etwa Strom- und Wasserversorgung, Gesundheitswesen, Finanzwesen oder Telekommunikation, müssen bereits nach dem IT-Sicherheitsgesetz (IT-SiG:2015) Mindeststandards zur Vermeidung von IT-Sicherheitsvorfällen einhalten. So müssen KRITIS-Betreiber organisatorische und technische Vorkehrungen treffen, um eine grundlegende IT-Sicherheit ihrer kritischen Systeme zu gewährleisten. Außerdem müssen Sie außergewöhnliche IT-Störungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden und alle zwei Jahre ihre IT-Sicherheitsmaßnahmen nachweisen.

Der neue Entwurf sieht nun folgende neue Regelungen vor:

  • KRITIS-Betreiber müssen Systeme zur Angriffserkennung implementieren
    Dabei gibt es konkrete Regelungen zur Datenverarbeitung, zu Aufbewahrungs- und Löschfristen, zur Ausgestaltung des Einsatzes in einer technischen Richtlinie und zur Einbindung des Bundesdatenschutzbeauftragten (BfDI). Außerdem müssen KRITIS-Betreiber dem betrieblichen Datenschutzbeauftragten, dem BSI, der im Einzelfall zuständigen Aufsichtsbehörde und dem BfDI quartalsweise über die ergriffenen Maßnahmen insbesondere zur Angriffserkennung berichten. Außerdem dürfen sie nur vertrauenswürdige IT-Produkte einsetzen.

  • Konkreter Rahmen für Sicherheitsstandards
    Bisher haben einzelne Branchen zum Beispiel das Gesundheitswesen, die Fernwärme- und Abwasserversorgung branchenspezifische Sicherheitsstandards (B3S) entwickelt. Ein solcher Anforderungskatalog zur Umsetzung von Sicherheitsvorkehrungen gibt es nun auch für andere KRITIS-Betreiber und Unternehmen im besonderen öffentlichen Interesse.
  • Aufnahme von Unternehmen im besonderen öffentlichen Interesse
    Der neue Entwurf richtet sich nun nicht mehr nur an KRITIS-Betreiber, sondern nimmt auch Unternehmen mit besonderem öffentlichem Interesse auf. Das betrifft insbesondere Unternehmen, die zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung sind oder die Betreiber im Sinne der Störfallverordnung sind.
    Diese Unternehmen müssen in einer Selbsterklärung alle zwei Jahre nachweisen, welche Zertifizierungen und Sicherheitsaudits (zum Beispiel BSI-Grundschutz / ISO 27001) im Bereich der IT-Sicherheit in den letzten zwei Jahren durchgeführt wurden und wie sichergestellt wird, dass die für das Unternehmen besonders schützenswerten IT-Systeme, Komponenten und Prozesse angemessen geschützt werden und ob dabei der aktuelle Stand der Technik eingehalten wird. Außerdem müssen erhebliche Sicherheitsvorfälle unverzüglich an das BSI gemeldet werden.
  • Informationspflicht für Hersteller von IT-Produkten
    Hersteller von IT-Produkten müssen in Zukunft erhebliche Störungen der IT-Sicherheitseigenschaften ihrer Produkte unverzüglich dem BSI melden. Insbesondere, wenn die Anwendung ihrer Produkte zu einem Ausfall oder zu einer erheblichen Störung von Anlagen führen kann, die Kritische Infrastrukturen oder von Unternehmen von besonderem öffentlichen Interesse betreffen. Dies betrifft auch KRITIS-Kernkomponenten. Außerdem müssen sie KRITIS-Betreibern eine Garantieerklärung zur Vertrauenswürdigkeit Ihrer IT-Produkte ausstellen.
  • Erweiterung der Befugnisse des BSI
    Das BSI erhält die Befugnis Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen TK-Netzen zu detektieren sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen. Außerdem erhält das BSI weitere Prüf- und Kontrollbefugnisse, insbesondere was die Auskunftspflichten und Möglichkeiten zur Ergreifung von Maßnahmen zur Wiederherstellung der IT-Sicherheit betrifft. Das Bundesamt wird die nationale Behörde für die Cybersicherheitszertifizierung.

  • Einführung eines IT-Sicherheitskennzeichens
    Das Bundesamt führt „zur Information von Verbrauchern über die IT-Sicherheit von Produkten bestimmter vom Bundesamt festgelegter Produktkategorien ein einheitliches ein IT-Sicherheitskennzeichen ein“. Hersteller müssen damit die Einhaltung bestimmter IT-Sicherheitsanforderungen ihrer Produkte bestätigen.
  • Geldbußen steigen bei Verstößen
    Der Gesetzgeber sieht nun Geldbußen von bis zu 2 Mio. Euro vor! Auch die Nichtbeinhaltung vorbeugender Schutzmaßnahmen führt zu Bußgeldern, zum Beispiel wenn „eine Maßnahme nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen wird. Eine nicht sichergestellte Funktionsfähigkeit der Kritischen Infrastrukturen hätte schwerwiegende Folgen und muss vermieden werden“.[2]


Unser Fazit:

Voraussichtlich wird das IT-Sicherheitsgesetzes 2.0 im ersten Quartal 2021 verabschiedet. Deshalb kommen zeitnah sowohl auf KRITIS-Betreiber, als auch auf Unternehmen im besonderen öffentlichen Interesse zahlreiche Maßnahmen zum Schutz ihrer Systeme und deren Nachweise zu. Durch die Erhöhung der Sanktionen, macht der Gesetzgeber die Bedeutung den neuen Regelungen mehr als deutlich.

Diese Anforderungen und Vorgaben erfordern den Aufbau und nachhaltigen Betrieb eines Informationssicherheitsmanagementsystems (ISMS) [3].​

Dennoch sollten alle Unternehmen das Thema IT-Sicherheit und auch IT-Resilienz (also die Widerstandsfähigkeit der IT) ganz oben auf ihrer Agenda haben, da Sicherheitsvorfälle enorme Schäden und Kosten verursachen können

Prüfen Sie deshalb schon jetzt, Ihre Sicherheitsmaßnahmen und warten Sie nicht zu lange – unabhängig vom Inkrafttreten des IT-Sicherheitsgesetzes. Der Aufbau eines ISMS ist ein längerer Prozess, den man nich unterschätzen sollte.

Lesen Sie auch unseren Blogbeitrag „Warum 2020 alle Unternehmen in IT-Sicherheit investieren sollten“.​ Unsere Empfehlungen aus der Infografik sind auch 2021 von Bedeutung.

IT-Sicherheitsgestz

​​

Handeln Sie jetzt und kontaktieren Sie uns!

 

Ihr Ansprechpartner

Jasmin Karle
Jasmin Karle
Vertrieb
+49 7031 7177 0

​​

[1] https://w​ww.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Gefaehrdungslage/Lageberichte/cs_Lageberichte_node.html

[2] https://ag.kritis.info/wp-content/uploads/2020/11/entwurf-des-it-sicherheitsgesetz-2-0.pdf , S.84 ff

[3]https://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/Managementsystemzertifizierung/Zertifizierung27001/GS_Zertifizierung_node.html

TAGS
Neuigkeiten; Security; Tipps
Nein
AddOn