Das IT-Sicherheitsgesetz 2.0 (IT SIG 2.0) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist am 28.05.2021 in Kraft getreten. Die Nachweiserbringung angemessener Cyber-Security-Maßnahmen muss von Unternehmen in KRITIS-relevanten Branchen sowie Behörden und kommunalen Organisationen bis Mai 2023 erfolgen. Ebenfalls müssen schwerwiegende Vorfälle gemeldet werden.
Was ist das IT SiG 2.0?
Beim IT-Sicherheitsgesetz (IT-SiG) handelt es sich um ein 2015 vom deutschen Bundestag verabschiedetes Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme. Es betrifft Telekommunikationsunternehmen, Anbieter von digitalen Diensten und Betreiber von kritischen Infrastrukturen und soll zum Schutz von kritischen Infrastrukturen (KRITIS) in Deutschland beitragen.
Das IT-Sicherheitsgesetz 2.0 (IT SiG 2.0) ist seit Mai 2021 in Kraft getreten und erweitert die deutsche KRITIS-Regulierung von 2015 deutlich mit mehr Pflichten für einen größeren Betreiberkreis, höheren Cyber-Security Anforderungen und mehr Befugnissen für den Staat und Regulierungsbehörden.
KRITIS
Laut Definition sind Kritische Infrastrukturen (KRITIS) Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Zu den Kritischen Infrastrukturen zählen Organisationen und Einrichtungen aus den Sektoren Energie, Transport und Verkehr, Wasser, Finanz- und Versicherungswesen, Ernährung, Medien und Kultur, Staat und Verwaltung, Gesundheit sowie Informationstechnik und Telekommunikation.
BSI-Kritisverordnung
Durch die BSI-Kritisverordnung wird definiert, welche Einrichtungen, Anlagen oder Teile davon wegen ihrer Bedeutung für die Versorgung der Bevölkerung und damit für das Funktionieren des Gemeinwesens als kritische Infrastrukturen im Sinne des BSI gelten.
Ob ein bedeutender Versorgungsgrad vorliegt, ist vom Erreichen oder Überschreiten der in der BSI-Kritisverordnung aufgeführten Schwellenwerten abhängig.
KRITIS-Pflichten
Betreiber Kritischer Infrastrukturen im Sinne des IT-Sicherheitsgesetzes sind gemäß BSI-Gesetz (BSIG) und BSI-Kritisverordnung verpflichtet,
- eine Kontaktstelle für die betriebene Kritische Infrastruktur zu benennen,
- IT-Störungen oder erhebliche Beeinträchtigungen zu melden,
- IT-Sicherheit auf dem "Stand der Technik" umzusetzen
- und dies alle zwei Jahre gegenüber dem BSI nachzuweisen
Mit dem in Kraft treten des neuen IT-Sicherheitsgesetz 2.0 erhält das BSI neue Kompetenzen, die seine Arbeit als Cybersicherheitsbehörde des Bundes deutlich stärken. Das IT-Sicherheitsgesetz 2.0 stärkt das BSI dabei in den folgenden Punkten:
Detektion und Abwehr
Das BSI erhält verstärkte Kompetenzen bei der Detektion von Sicherheitslücken und der Abwehr von Cyberangriffen. So kann das BSI als zentrales Kompetenzzentrum der Informationssicherheit die sichere Digitalisierung gestalten und unter anderem Mindeststandards für die Bundesbehörden verbindlich festlegen und effektiver kontrollieren.
Cybersicherheit in den Mobilfunknetzen
Das Gesetz enthält eine Regelung zur Untersagung des Einsatzes kritischer Komponenten zum Schutz der öffentlichen Ordnung oder Sicherheit in Deutschland. Die Netzbetreiber müssen zudem vorgegebene, hohe Sicherheitsanforderungen erfüllen und kritische Komponenten müssen zertifiziert werden. So sorgt das Gesetz unter anderem für die Informationssicherheit in den 5G-Mobilfunknetzen.
Verbraucherschutz
Das BSI bekommt die Aufgabe des Digitalen Verbraucherschutzes (DVS) und der Verbraucherinformation im Bereich der Sicherheit in der Informationstechnik, insbesondere durch unabhängige und neutrale Beratung sowie Warnung auf Bundesebene. Durch die Einführung eines einheitlichen IT-Sicherheitskennzeichens für Bürgerinnen und Bürger soll in Zukunft die IT-Sicherheit transparenter werden. Zudem soll erkennbar sein, welche Produkte bereits bestimmte IT-Sicherheitsstandards einhalten.
Sicherheit für Unternehmen
Der Kreis der Kritischen Infrastrukturen wird um den Sektor Siedlungsabfallentsorgung erweitert. Daneben müssen künftig auch weitere Unternehmen im besonderen öffentlichen Interesse (zum Beispiel Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung) bestimmte IT-Sicherheitsmaßnahmen umsetzen und werden in den vertrauensvollen Informationsaustausch mit dem BSI einbezogen.
Nationale Behörde für Cybersicherheitszertifizierung
Das BSI ist laut § 9a Absatz 1 die Nationale Behörde für die Cybersicherheitszertifizierung (im englischen "National Cybersecurity Certification Authority [NCCA]") im Sinne des Artikels 58 Absatz 1 der Verordnung (EU) 2019/881, auch bekannt als Cybersecurity Act (CSA). Diese ist insbesondere für die Überwachung und Durchsetzung der Vorschriften im Rahmen der europäischen Schemata für die Cybersicherheitszertifizierung zuständig. Dabei sind die Tätigkeiten Aufsichtsführung und Zertifizierung streng voneinander zu trennen und unabhängig durchzuführen.
Fazit
Mit dem IT-Sicherheitsgesetz 2.0 werden die Anforderungen an Unternehmen und kommunalen Organisationen bezüglich Cyber-Security deutlich. Die Vernetzung verschiedener IT- und OT-Infrastrukturen sowie die Vielzahl der internen und externen Schnittstellen macht hierfür nicht nur eine Analyse der vorhandenen Infrastruktur über Schwachstellenanalysen oder Penetrationstests notwendig, sondern erfordert die kontinuierliche Überwachung der Kommunikationsdaten. Bedrohungen müssen frühzeitig erkannt und darauf reagiert werden, um die Verfügbarkeit der Geschäftsprozesse sicherzustellen.
Unsere Aufgabe ist es, Ihnen bei der Umsetzung der erforderlichen Maßnahmen zu helfen und Ihr Unternehmen vor den wachsenden Cyberbedrohungen zu schützen. Zögern Sie nicht, uns zu kontaktieren, um weitere Informationen und Unterstützung zu erhalten. Gemeinsam können wir sicherstellen, dass Ihr Unternehmen in einer zunehmend vernetzten Welt sicher und geschützt bleibt.
BSI-Lagebericht 2022: Bedrohung durch Cyber-Kriminalität auf Rekordniveau
Mit fortschreitender Digitalisierung und Vernetzung steigt für Organisationen das Risiko von Cyberangriffen. Allein in Deutschland waren in den vergangenen zwei Jahren laut Branchenverband Bitkom 9 von 10 Unternehmen von Datendiebstahl, Spionage oder Sabotage betroffen. Der entstandene Schaden pro Jahr: etwa 223 Milliarden Euro!
Quelle: bsi Lagebericht-2022
IT- und OT-Security für kritische Infrastrukturen
Als Ihr Partner im Bereich Cyber-Security stehen wir Ihnen zur Seite, um sicherzustellen, dass Ihr Unternehmen die Anforderungen des IT-Sicherheitsgesetz 2.0 erfüllt. Unsere Experten helfen Ihnen dabei, robuste Sicherheitsstrategien zu entwickeln, Sicherheitslücken zu identifizieren und zu schließen, sowie Schulungen für Ihre Mitarbeiter bereitzustellen.
Die EnBW-Konzerntochter EnBW Cyber Security hilft Unternehmen, Kommunen und Behörden dabei, die für sie passende Sicherheitsstrategie zu finden und umzusetzen. Mit ihren Cyber-Security-Spezialisten führt das Unternehmen IT-Sicherheitsberatungen sowie Penetrationstests durch, um existente Schwachstellen aufzudecken und mittels deren Behebung die Eintrittswahrscheinlichkeit eines erfolgreichen Cyber-Angriffs zu minimieren. Gerade durch Penetrationstests werden Sicherheitslücken transparent.
Aber auch die kontinuierliche Überwachung des Datenverkehrs über eine sogenannte Network Detection and Response Lösung (NDR) bis hin zur Erkennung von potenziellen Sicherheitsvorfällen über einen Managed Security Service im betriebseigenen Security-Defense-Center bietet die EnBW-Konzerntochter in Ihrem Lösungsportfolio.
Kontakt
Haben wir Ihr Interesse an unserem kommunalen Cyber-Security-Lösungen geweckt? Dann nehmen Sie jetzt unverbindlich Kontakt zu uns auf. Wir beraten Sie gerne.
Unternehmens- / Firmenname
Ihre Kontaktdaten
Die Datenschutzinformationen und die Hinweise zu Ihrem datenschutzrechtlichen Widerspruchsrecht der EnBW Cyber Security GmbH finden Sie unter Datenschutzerklärung.