Mit dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) ist im vergangenen Jahr ein wichtiges Gesetz in Kraft getreten, das vor allem kritische Infrastrukturen (KRITIS) schützen soll. In diesem Blogbeitrag beschreibt Ferdinand Grieger, Chief Legal Counsel der DGC Switzerland AG, damit verbundene Aufgaben und Herausforderungen, zeigt auf, wo Unternehmen 2022 stehen und erklärt, wie die DGC bei der Umsetzung des IT-Sicherheitsgesetzes unterstützen kann.
Was ist das IT-Sicherheitsgesetz 2.0?
Im Frühjahr 2021 wurde das neue IT-Sicherheitsgesetz 2.0– eine Weiterentwicklung des 2015 erlassenen IT-Sicherheitsgesetzes 1.0 – verabschiedet. Mit dem Gesetz werden die Betreiber Kritischer Infrastrukturen (KRITIS) stärker in die Pflicht genommen. Auch der Staat hat nun mehr Befugnisse und Anspruch auf Auskünfte der entsprechenden Organisationen: von der Offenlegung und dem Nachweis umfangreicher Systeme zur Angriffs- und Anomalieerkennung bis hin zu erweiterten Meldepflichten von Störungsfällen und Garantieeinholungen der Systemhersteller. Kommen die betroffenen Betreiber und Unternehmen diesen Pflichten nicht nach, drohen empfindliche Bußgelder bis zu zwei Millionen Euro.
Diese Unternehmen sind vom IT-Sicherheitsgesetz 2.0 betroffen
Grundsätzlich gehören Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit und Wasser, Ernährung, Finanz- und Versicherungswesen und Siedlungsabfallentsorgung zu den kritischen Infrastrukturen. Die genauen Kriterien legt die KRITIS-Verordnung fest.
Neben den bislang betroffenen KRITIS-Unternehmen wurde allerdings ein weiterer Sektor, in die Gruppe der KRITIS-Betriebe aufgenommen: die Einrichtungen zur Siedlungsabfallentsorgung (§ 2 Abs. 10 Satz 1 Ziffer 1 Alt.8 BSIG). Unternehmen aus dieser Branche müssen sich erstmalig mit den Anforderungen an KRITIS-Unternehmen auseinandersetzen. Zudem wurden sogenannte Unternehmen im besonderen öffentlichen Interesse in den Geltungsbereich des BSIG aufgenommen (§ 2 Abs. 14 BSIG).
Hierzu gehören Rüstungshersteller sowie Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen (§ 2 Abs. 14 Satz 1 Nr. 1 BSIG), die nach inländischer Wertschöpfungskette größten Unternehmen Deutschlands mit wesentlicher volkswirtschaftlicher Bedeutung (§ 2 Abs. 14 Satz 1 Nr. 2 BSIG) und Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung und nach § 1 Absatz 2 der Störfall-Verordnung solchen gleichgestellten (§ 2 Abs. 14 Satz 1 Nr. 3 BSIG).
IT-Sicherheitsgesetz 2.0: Das sind die neuen Pflichten für Unternehmen
Die betroffenen Unternehmen haben nach dem aktualisierten Gesetz insbesondere folgende Pflichten zu beachten: Sie müssen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert werden sowie eine jederzeit erreichbare Kontaktstelle vorhalten. Zudem sind die Betreiber zum Einsatz von Systemen zur Angriffserkennung nach dem neuesten Stand der Technik verpflichtet. Sie müssen Unterlagen für eine Bewertung durch das BSI darüber, ob die Verpflichtungen zur Implementierung angemessener organisatorischer und technischer Vorkehrungen, inklusive eines Angriffserkennungssystems, erfüllt wurden, vorlegen – und im Störungsfall auch alle zur Bewältigung dieser Störung notwendigen Informationen an das BSI herausgeben.
Weiterhin muss bei dem Bundesinnenministerium angezeigt werden, wenn ein KRITIS-Unternehmen erstmalig kritische Komponenten einzusetzen plant. Vom Hersteller dieser Komponenten muss dann eine Garantieerklärung eingeholt und dem Bundesinnenministerium vorgelegt werden. Der Einsatz kann vom Bundesinnenministerium untersagt werden.
Angriffserkennung: Ab 2023 Teil des IT-SiG 2.0
Ab Mai 2023 sind Systeme zur Angriffserkennung bei Betreibern kritischer Infrastrukturen und weiterer definierter Unternehmen vorgeschrieben. Der Begriff der Angriffserkennungssysteme ist im BSIG legaldefiniert (§ 2 Abs. 9b BSIG). Hierunter fallen durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme, wobei die Angriffserkennung durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern erfolgt, die auf Angriffe hindeuten.
Kurzum muss ein Unternehmen ein System vorhalten, das auf Angriffserkennung abzielt, präventiv wirkt, kontinuierlich im Einsatz ist, die Angriffserkennung auf Basis von Informationen und technischen Mustern, die bereits aus aufgetretenen Sicherheitsvorfällen bekannt sind, vornimmt und durch ein technisches Werkzeug und organisatorische Einbindung impliziert ist.
Warum sind Systeme zur Angriffserkennung für KRITIS-Betreiber, aber auch andere Unternehmen so wichtig?
Diese Systeme sehen Schwachstellen und Gefahren, bevor diese von Cyberkriminellen ausgenutzt werden können. Mit Hilfe des Einsatzes solcher Angriffserkennungssysteme können Risiken von vornherein verringert werden. Angriffe wären nicht erfolgreich und gesetzliche Haftungsregime würden keine Haftungsfolgen auslösen. Angriffserkennungssysteme sind daher ein wirksamerer Schutz vor Cyberangriffen und möglichen Haftungsrisiken.
IT-SiG 2.0: Wo Unternehmen 2022 stehen und welche Konsequenzen bei Nichtumsetzung drohen
Der Umsetzungsstand ist von Unternehmen zu Unternehmen unterschiedlich. Sie sind gut beraten, die Vorbereitung und Umsetzung des IT-SiG 2.0 in den kommenden Monaten zügig voranzutreiben. Denn die Bußgeldvorschriften des BSIG wurden umfänglich überarbeitet und zur besseren Durchsetzung von Auskunfts- und Nachweispflichten präzisiert. Bereits die Nichterreichbarkeit einer durch jeden KRITIS-Betreiber zu benennenden Kontaktstelle ist bußgeldbewährt. Statt der nach dem bisherigen BSIG möglichen Geldbußen von bis zu EUR 100.000 können Ordnungswidrigkeiten nun mit einer Geldbuße von bis zu EUR 2.000.000 geahndet werden. Somit sind die adressierten Unternehmen, angesichts deutlich erhöhter Bußgeldandrohungen, angehalten, die Umsetzung zu beschleunigen.
Wie kann die DGC Unternehmen bei der Umsetzung des IT-Sicherheitsgesetzes unterstützen?
Die DGC analysiert ein Unternehmen zunächst auf den Ist-Zustand der bestehenden Cybersicherheit und stellt diesem den Soll-Zustand gegenüber. Dann werden Unternehmen von dort „abgeholt“, wo sie sich im Hinblick auf implizierte – oder eben noch nicht implizierte – Maßnahmen zur Cybersicherheit befinden und auf dem Weg bis hin zur umfassenden Cyber-Compliance begleitet. Dank des ganzheitlichen Ansatzes, den die DGC mit den Cyber Security Partnerschaften verfolgt, sind unsere IT-Sicherheitsexperten zudem in der Lage, die Risiken eines Cybervorfalls auf ein Minimum zu reduzieren. Schäden, Aufwände und andere Folgen, die aus einem erfolgreichen Cyberangriff resultieren, können so von dem Unternehmen, seinen Mitarbeitenden, Führungskräften, Aktionären, Zulieferern etc. abgewendet werden.
Welche Rolle das BSI bei der Umsetzung des IT-SiG 2.0 spielt und welche weiteren Auswirkungen das zukünftig auf die IT-Sicherheit vieler Unternehmen haben kann, erfahren Sie in unserem zweiten Teil: „BSIG: Das BSI als Knotenpunkt bei der Abwehr von Gefahren rund um die Informationssicherheit“
