Auch wenige Tage vor dem Ablauf der Übergangsfrist gibt es Unklarheiten darüber, was das IT-Sicherheitsgesetz 2.0 im Detail bedeutet: Welche Anforderungen gilt es umzusetzen, welche Technologien sind notwendig, welche Maßnahmen müssen nachgewiesen werden und wer muss sich überhaupt angesprochen fühlen?
Eine Einschätzung von Lothar Hänsler, Operations Officer von RADAR Cyber Security:
Grundsätzlich sind Melde- und Nachweispflichten für Betreiber kritischer Infrastrukturen nichts Neues. Unternehmen und Organisationen, die entsprechende Leistungen zur Versorgung der Bevölkerung erbringen, müssen bereits seit 2019 gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen, dass sie nach dem – bewusst vage formulierten – „Stand der Technik“ gegen Cyber-Angriffe gerüstet sind.
Wer ist gemeint?
Das IT-Sicherheitsgesetz 2.0 ist bereits seit zwei Jahren gültig, die Übergangsfrist zur Nachweispflicht von Angriffserkennung endet am 1. Mai. Damit erreicht diese Regelung eine neue Dimension.
- verschärft die zweite Version des IT-Sicherheitsgesetzes (kurz IT-SiG) die Anforderungen erheblich.
- erweitert sie den Kreis der zur kritischen Infrastruktur zählenden Einrichtungen deutlich: Die Verordnung gilt nicht nur für KRITIS-Betreiber selbst, sondern auch deren Zulieferer.
- zählen dazu nun auch Unternehmen von „besonderem öffentlichem Interesse“: So müssen unter anderem Rüstungshersteller oder Unternehmen mit einer „besonderen volkswirtschaftlichen Bedeutung“ bestimmte IT-Sicherheitsmaßnahmen umsetzen.
- erhalten Staat und Regulierungsbehörden mehr Befugnisse: Das BSI kann beispielsweise selbst Unternehmen als KRITIS einstufen.
Was ist gefordert?
Konkret heißt das: KRITIS-Betreiber müssen spätestens bis zum Stichtag 1. Mai 2023 Systeme und Prozesse zur Angriffserkennung implementiert haben, die nun explizit zu den technischen und organisatorischen Sicherheitsvorkehrungen gehören. Hierzu zählen beispielsweise ein „Security Information and Event Management“ (SIEM) oder ein „Security Operations Center“ (SOC):
Mit dem auch als „Cyber Defense Center“ (CDC) bekannten Verteidigungszentrum können KRITIS-Betreiber ein durchgängiges Sicherheitskonzept für ihre IT- und OT-Infrastruktur implementieren. Hier sind Technologien und Prozesse mit dem Know-how der Experten vereint, die für Überwachung, Analyse und Aufrechterhaltung der Informationssicherheit eines Unternehmens verantwortlich sind.
Zudem sind die angesprochenen Unternehmen von besonderem öffentlichem Interesse zur regelmäßigen Abgabe einer Selbsterklärung verpflichtet: Sie müssen darlegen, welche IT-Sicherheitszertifizierungen in den vergangenen zwei Jahren durchgeführt wurden und wie sie ihre IT-Systeme abgesichert haben.
Der Bedarf ist real: Allein 2022 wurden in Deutschland über 80 Fälle bekannt, in denen Unternehmen Opfer eines Cyber-Angriffs wurden. Die Dunkelziffer ist sicherlich deutlich höher. Dabei sind KRITIS-Betreiber schon lange im Fadenkreuz der Kriminellen.
Was ist bei einer Störung zu tun?
Kommt es zu Störungen, muss das BSI darüber umgehend informiert werden. Die Behörde nutzt die Meldungen dazu, die Betroffenen zu unterstützen und andere Unternehmen vor Gefahren zu warnen. Bei Nichtmeldung oder fehlender Registrierung müssen die Betroffenen mit hohen Bußgeldern rechnen.
Auch wenn bei einer Kontrolle die mangelhafte Umsetzung der Angriffserkennung festgestellt wird, ist mit Geldstrafen bis zu zwei Millionen Euro zu rechnen – bei vorsätzlichen Verstößen kann sogar eine Geldstrafe von bis zu 20 Millionen Euro anfallen. Das sind mit gutem Grund empfindliche Strafen. Schließlich hätten Versorgungsengpässe oder gar komplette Systemausfälle dramatische Folgen für Staat, Wirtschaft und Gesellschaft.
Umso wichtiger ist es also, dass die angesprochenen Einrichtungen integrierte Lösungen nutzen, die sich im Einklang mit IT-Sicherheitsgesetz 2.0, dem BSI-Gesetz sowie den ISO-27000-Standards zur Informationssicherheit befinden. KRITIS-Betreiber sind nun verpflichtet, ihre IT-Systeme auf den bereits angesprochenen „Stand der Technik“ zu bringen.
Dazu zählt auch der Nachweis von Sicherheitsaudits oder Zertifizierungen wie eben ISO-27001. Nutzung europäischer Sicherheitstechnologien ist zwar nicht verankert, empfiehlt sich aber aus mehreren Gründen: Die Erfüllung der gesetzlichen Vorgaben der Datenschutzgrundverordnung (DSGVO) und des BSI-Gesetzes sowie zum Schutz vor dem Vorwurf einer Drittstaaten-Einmischung.
Wie geht es weiter?
IT-Sicherheit ist bekanntermaßen ein Prozess. Auch im konkreten Fall ist die Reise noch lange nicht zu Ende: Zur Verbesserung der digitalen und physischen Resilienz kritischer Einrichtungen und Netze hat die Europäische Kommission außerdem die NIS-Richtlinie reformiert.
Die zweite Version der „Network and Information Security Directive“ wurde Ende des vergangenen Jahres vom Europäischen Parlament angenommen, trat im Januar in Kraft und soll bis Ende 2024 in nationales Recht überführt werden. Während die Umsetzung von NIS-2 wiederum eine erneute Überarbeitung des IT-Sicherheitsgesetzes 2.0 zur Folge haben kann, bildet das IT-Sicherheitsgesetz bereits jetzt einige Neuerungen von NIS-2 ab.
Zusätzlich soll die Gesetzesinitiative der EU-Kommission zur Einführung des EU-Cyberresilience-Act Hersteller und Händler dazu bringen, künftig nur noch IT-Lösungen mit hohen Cyber-Sicherheitsstandards auf den Markt zu bringen.
Gesetzesinitiativen wie das IT-Sicherheitsgesetz 2.0 zeigen: Die Politik hat die Dringlichkeit der Resilienz-Aufgabe im heutigen Digitalisierungszeitalter erkannt. Unternehmen haben viel zu tun, und das auch nach dem 1. Mai 2023.