(openPR) KRITIS-Betreiber müssen sich auf gravierende Anpassungen des IT-Sicherheitsgesetzes 2.0 (IT-SiG) vorbereiten. Der fertige Entwurf der neuen Gesetzesvorlage ist zur Veröffentlichung in diesem Jahr geplant. Nach Inkrafttreten der Rechtsverordnung müssen dann innerhalb von zwei Jahren die Anforderungen umgesetzt werden (§ 8a Abs. 1 BSIG).
Welche wesentlichen Pflichten kommen auf KRITIS-Betreiber zu?
Verpflichtende Angriffserkennung
Inbetriebnahme von Systemen zur Erkennung von Cyber-Attacken.
Konkret: KRITIS-Betreiber müssen sicherstellen, dass neben einer Firewall sowie einer Anti-Viren Software zusätzlich Systeme implementiert sind, welche Cyber-Angriffe automatisch und im besten Fall in Echtzeit erkennen.
Dies kann beispielsweise mit sogenannten IDS/IPS (Intrusion Detection / Prevention System) oder SIEM-Lösungen umgesetzt werden.
Mindeststandards kritischer Komponenten
KRITIS-Kernkomponenten, die für eine Störung im Betrieb kritischer Dienstleistungen sorgen können, müssen Mindeststandards des BSI (Bundesamt für Sicherheit in der Informationstechnik) erfüllen und eine Vertrauenswürdigkeitserklärung der gesamten Zulieferkette dieser Komponente nachweisen.
Konkret: Hersteller, die beispielsweise medizinische oder IT-Geräte für kritische Dienstleistungen herstellen, müssen Mindeststandards vom BSI erfüllen und nachweisen. Zusätzlich muss der Hersteller eine sogenannte Vertrauenswürdigkeitserklärung abgeben, dass die komplette Lieferkette dieser Komponenten die Sicherheitskriterien erfüllt.
Bislang sind diese Mindeststandards noch nicht bekannt und werden erst in Gremien definiert. Fraglich ist derzeit, wie schnell diese Richtlinie umgesetzt wird, da ein Nachweis aus der gesamten Zulieferkette einen enormen Aufwand für die Hersteller bedeutet.
Drastische Erhöhung der Bußgelder
Mit der Anpassung an die EU-DSGVO werden Verstöße mit Geldbußen von bis zu 20.000.000 Euro bzw. 4% des weltweiten Unternehmensumsatzes verhängt
Konkret: Die Bußgelder des IT-Sicherheitsgesetzes werden analog zur bereits etablierten EU-DSGVO (Datenschutzgrundverordnung) erhöht. Das heißt, Stand heute max. 100.000 Euro Bußgeld wird auf 20.000.000 Euro bzw. 4% des weltweiten Unternehmensumsatzes angehoben.
Erkennung von Sicherheitsrisiken
Das BSI darf Maßnahmen zur Erkennung von Sicherheitslücken und Risiken in öffentlich erreichbaren Informationssystemen durchführen.
Konkret: Das BSI erhält das Recht, eigenständig alle öffentlich zugänglichen IT-Systeme (z.B. eine Website) von KRITIS-Betreibern auf Sicherheitslücken zu prüfen. Das bedeutet, dass das BSI diese Systeme genauso wie ein Angreifer untersuchen/penetrieren kann.
An dieser Stelle wird es sinnvoll werden, als Betreiber vorzubeugen und selbständig Penetrationstest der eigenen Systeme durchzuführen.
Erstellung von Krisenreaktionsplänen
In Zusammenarbeit mit dem BSI sowie dem Bundesamt für Bevölkerungsschutz und der Katastrophenhilfe sollen abgestimmte Entscheidungen im Notfall unverzüglich Maßnahmen ausführbar machen.
Konkret: KRITIS-Betreiber sollten Ressourcen für eine „Krisenmanager“ Position abstellen. Dieser sollte die Interessen der Klinikums gegenüber den Behörden vertreten und die Maßnahmen in Krisensituationen abstimmen.
Fazit
Bei Verabschiedung des IT-Sicherheitsgesetzes 2.0 werden die IT-sicherheitsrechtlichen Verpflichtungen deutlich erweitert, das BSI erhält weitreichende Kompetenzen und die Sanktionen bei Fehlverhalten werden drastisch erhöht.
Die Zeit zur Umsetzung angemessener organisatorischer und technischer Vorkehrungen zum Schutz der IT-Systeme sollte deswegen nicht zu knapp kalkuliert werden. KRITIS-Betreiber sollten schon jetzt mit der Planung notwendiger Schritte beginnen, da erfahrungsgemäß die Umsetzung der Gesetzesanforderungen ab Beginn der Planung bis zu zwei Jahre dauert.
Der komplette Gesetzesentwurf (IT-SiG 2.0) enthält noch eine Vielzahl weiterer konkreter Änderungen. In diesem Beitrag wurden nur wesentliche Ausschnitte beschrieben, die insbesondere für Betreiber kritischer Infrastrukturen relevant sind.
