Das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) ist seit Mai 2023 in neuester Version in Kraft getreten. Damit bekommt das BSI neue Kompetenzen und wird als Cyber-Sicherheitsbehörde des Bundes stärker. Mit dem Gesetz kommen auch auf den Mittelstand Herausforderungen im Bereich IT-Sicherheit zu.
Ziel des 2. IT-Sicherheitsgesetzes ist es, die IT-Sicherheit in Unternehmen und der öffentlichen Verwaltung zu verbessern. Das IT-Sicherheitsgesetz soll die Sicherheit informationstechnischer Systeme und digitaler Infrastrukturen Deutschlands erhöhen. Betreiber von kommerziellen Werbeangeboten müssen höhere Sicherheitsanforderungen erfüllen. Telekommunikationsanbieter sind sogar verpflichtet, bei Missbrauch ihre Kunden zu warnen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fungiert als zentrale Meldestelle für IT -Sicherheit, sammelt Informationen und überwacht die Einhaltung des Gesetzes. Es informiert über Sicherheitslücken sowie neue Angriffsmuster. Das Amt versteht sich als digitaler Verbraucherschutz.
Seit 01. Mai 2023 gilt nun die Version IT-Sig 2.0. Die wesentlichen Neuerungen bestehen darin, dass mehr Unternehmen zur Einhaltung des Gesetzes verpflichtet sind als bisher. Der Geltungsbereich wurde jetzt auf Unternehmen in dem neuen KRITIS-Sektor Siedlungsabfallentsorgung und in der Kategorie „Unternehmen im besonderen öffentlichen Interesse (UBI / UNBÖFI)“ erweitert.
Eine wesentliche Neuerung besteht für diese Unternehmen in der Pflicht, Systeme und Prozesse zur Erkennung von digitalen Angriffen (SIEM, SOC) einzuführen.
Weiterhin sind die Meldepflichten für diese Unternehmen erweitert worden. Sie sind verpflichtet an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu reporten, wenn es zu Angriffen auf die IT-Sicherheit kommt. Zur Meldepflicht gehören bei erheblichen Störungen zahlreiche Informationen und nun auch personenbezogene Daten. Die vom Gesetz erfassten Unternehmen müssen sich unmittelbar beim BSI registrieren und zudem eine Kontaktstelle im Unternehmen benennen. Das BSI ist in diesem Zusammenhang berechtigt, Betreiber kritischer Infrastruktur selber zu benennen.
Für den Mittelstand wurden so die Möglichkeiten erweitert, gegen das IT-Sig 2.0 zu verstoßen. Kommt es zu einem Verstoß, müssen auch mittelständische Unternehmen mit höheren Sanktionen rechnen. Die Schwellenwerte, ab denen ein Unternehmen als Betreiber einer kritischen Anlage gilt, sind ebenfalls herabgesetzt worden. Die Liste in Frage kommender Anlagen wurde ebenfalls erweitert. Eine Information des BSI dazu finden Sie hier.
Die BSI-KRITIS-Verordnung dient der Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSIG). Darin werden die zehn Sektoren mit den Schwellenwerten für die Anlagen definiert.
|
Diese sind:
|
|
Die Schwellenwerte in der BSI-KRTIS-V beziehen sich ausschließlich auf die Anlagen (Bsp. Kanalisation) für die Erbringung einer kritischen Dienstleistung (kDL = Abwasserentsorgung).
Ein Unternehmen ist dann betroffen, wenn es eine kritische Dienstleistung (kDL) in einem der 10 Sektoren erbringt und die dafür verwendeten Anlage voll oder anteilig betreibt. Es reicht nicht mehr aus, als Unternehmen eine ISO 27001 Zertifizierung zu haben. Vielmehr verlangt das BSIG eine Umsetzung der Informationssicherheit nach dem Stand der Technik. Dies muss alle zwei Jahre gegenüber dem BSI durch eine prüfende Stelle wie z.B. einer Wirtschaftsprüfung nachgewiesen werden.
Die Umsetzung der organisatorischen und technischen Informationssicherheit hat nach dem „Stand der Technik“ durch die Anwendung von branchenspezifischen Sicherheitsstandards (B3S) in den jeweiligen Sektoren zu erfolgen. Wurde ein solcher B3S von den Betreibern eines Sektors nicht vorgeschlagen und vom BSI als geeignet geprüft, sind die vom BSI veröffentlichten Anforderungen zu erfüllen.
Die Größe eines Unternehmens spielt bei der Betroffenheitsanalyse keine Rolle. Deshalb sind auch mittelständische Unternehmen weitgehend betroffen. Es gilt der strikte Anlagenbezug mit zugehörigen Schwellenwerten. Ein betroffenes Unternehmen gilt auch dann als Betreiber mit allen Pflichten, wenn es nur anteilig am Betrieb einer solchen Anlage beteiligt ist.
Die Nutzung von Drittanbietern durch betroffene Unternehmen spielt ebenfalls eine wesentliche Rolle. Die Einordnung, ob ein Unternehmen betroffen ist, kann durch die neuere Version des IT-Sig 2.0 durch die Bundesverwaltung, vertreten durch das BSI, erfolgen und registriert werden.
Grant Thornton kann ihr Unternehmen von der Betroffenheitsanalyse bis zur KRTIS-Auditierung unterstützen. Diese Auditierung beinhaltet u.a.
Wir bieten Ihnen zudem
Wir unterstützen Ihr Unternehmen auf dem Weg zu einem kontinuierlichen Monitoring bis hin zu der verantwortlichen Geschäftsleitung und Aufsichtsorganen.
Grant Thornton unterstützt gerne auch den Informationssicherheitsbeauftragten (ISB) und hilft Ihrem Unternehmen bei der Erstellung und Fortschreibung der Sicherheitsrichtlinie.