IT-Sicherheitsgesetz 2.0: Bringen Sie Ihre Sicherheitsarchitektur auf Stand
Die Inhalte des IT-Sicherheitsgesetzes 2.0 (ITSG) wurden durch einen dritten Referentenentwurf erst vor wenigen Wochen aktualisiert. Deshalb wird die Verabschiedung des Gesetzes in seiner endgültigen Form wohl nicht vor Ende 2020 zu erwarten sein. Doch erfahren Sie schon jetzt im magBLOG, was auf Sie zukommt: Was bedeutet das neue IT-Sicherheitsgesetz für Unternehmen – insbesondere KRITIS-Betreiber – und ihre Security-Maßnahmen?
Bereits 2015 brachte das erste IT-Sicherheitsgesetz die Notwendigkeit von erweiterten Sicherheitsregularien zum Ausdruck. Es legte genau fest, welche Anlagen grundsätzlich als kritische Infrastrukturen einzustufen sind, und stellte Unternehmen Kenngrößen zur Verfügung, anhand derer sie ermitteln konnten, ob ihre Anlagen unter die KRITIS-Regelungen fallen. Ziel war es, durch organisatorische und technische Maßnahmen die Sicherheit informationstechnischer Systeme in Unternehmen, Verwaltungen, Institutionen sowie in KRITIS-Umgebungen zu erhöhen.
Das Gesetz wurde durch zwei Rechtsverordnungen ergänzt: die sogenannte KRITIS-Verordnung (am 3. Mai 2016) sowie eine weitere am 30. Juni 2017. Die darauffolgende gesetzlich festgelegte zweijährige Umsetzungsfrist endete am 30. Juni 2019. Spätestens bis dahin mussten alle betroffenen Unternehmen die vorgeschriebenen Maßnahmen nachweislich umgesetzt haben.
Neue Ansätze im ITSG 2.0
Die Erfahrung hat jedoch gezeigt, dass Regularien zu eng gefasst waren und das Schutzkonzept für kritische Infrastrukturen somit noch Lücken aufwies. Kurzum: Bei der ersten Ausarbeitung des ITSG herrschte deutlicher Nachbesserungsbedarf. Aus diesem Grund verfolgt das IT-Sicherheitsgesetz 2.0 nun einen ganzheitlichen Ansatz, der Staat, Wirtschaft und auch Gesellschaft einschließt.
Nach dem ersten Referentenentwurf des ITSG 2.0 vom 27. März 2019 integriert sowohl der zweite (7. Mai 2020) als auch der dritte (19. November 2020) nicht nur neue Vorschriften für KRITIS-Betreiber. Diese weiten die für kritische Infrastrukturen gültigen Meldepflichten und Auflagen zur Einhaltung der Mindeststandards auf weitere Teile der Wirtschaft aus. So sollen nun verschärfte Verpflichtungen für Diensteanbieter zum Löschen, Melden und zu Bestandsauskünften gelten, um die rechtswidrige Verbreitung von Daten schnell zu unterbinden. Dafür greift das ITSG 2.0 auch in das Straf- und Strafverfahrensrecht ein. Außerdem stattet sowohl der zweite als auch der dritte Referentenentwurf das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit weitreichenderen Befugnissen, aber auch neuen Aufgaben aus.
Herausforderungen (nicht nur) für KRITIS-Betreiber
Nach wie vor liegt das ITSG 2.0 als dritter Referentenentwurf vor. Die Veröffentlichung des Gesetzes in seiner finalen Form steht noch aus, wobei die Neuauflage ebenfalls an eine Rechtsverordnung mit zweijähriger Frist zur Umsetzung gekoppelt ist.
Also alles noch weit hin und scheinbar viel zu ungewiss, um zu handeln? Dies ist mitnichten der Fall – ganz im Gegenteil: Betreiber kritischer Infrastrukturen, Anbieter digitaler Dienste, Unternehmen von besonderem öffentlichem Interesse sowie Hersteller von IT-Produkten sollten die Änderungen des IT-Sicherheitsgesetzes 2.0 bereits jetzt in ihrer Sicherheitsarchitektur berücksichtigen.
Denn es ist davon auszugehen, dass der Referentenentwurf auch weitestgehend in seiner jetzigen Form ratifiziert wird. Unternehmen sollten sich für die Planung und Implementierung der geforderten Security-Maßnahmen genügend Zeit einräumen, um nicht plötzlich unter Zugzwang zu geraten.
Was ändert sich?
- Erhöhung der Geldstrafen bei Verstößen: Angelehnt an die EU-DSGVO werden die Geldbußen z.B. bei nicht oder falsch erteilter Auskunft auf bis zu 20 Mio. Euro
- Abfallwirtschaft als KRITIS-Sektor: Die Siedlungsabfallentsorgung wird KRITIS-Betreiber und unterliegt nach Ratifizierung des Gesetzesentwurfs dem ITSG 2.0.
- Infrastrukturen von besonderem öffentlichem Interesse, die im Sinne von KRITIS behandelt werden, sind: Rüstungsindustrie, Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen, Unternehmen im Sinne der Regulierung durch die Störanfallordnung sowie Unternehmen von erheblicher volkswirtschaftlicher Bedeutung.
- Mindeststandard für IT-Kernkomponenten: Das BSI legt künftig einen IT-Sicherheitsstandard auf Basis technischer Richtlinien fest und darf diesen auch überprüfen und kontrollieren sowie im Falle einer erheblichen Störung von den Betroffenen die Herausgabe von Informationen verlangen. Dies können auch personenbezogene Daten sein.
- Einheitliches Sicherheitskennzeichen: Das BSI macht mit offiziellen IT-Sicherheitskennzeichen die IT-Sicherheit von Produkten sichtbar. Somit werden neuerdings Aufgaben des Verbraucherschutzes an das Bundesamt übertragen. Der Einsatz von BSI-zertifizierten Komponenten wird für Organisationen, die dem Bundesamt unterstellt sind, verbindlich. Das BSI darf folglich auch den Einsatz kritischer Komponenten von nicht vertrauenswürdigen Herstellern untersagen.
- Systeme zur Angriffserkennung: Die Notwendigkeit eines Security Information and Event Managementsystems (SIEM) wird künftig als Anforderung ausdrücklich vorgeschrieben! Das BSI macht konkrete Vorgaben zur Ausgestaltung dieser Systeme.
- Pentest: Das BSI darf künftig bei begründetem Verdacht auch öffentlich erreichbare Bereiche auf Sicherheitslücken überprüfen und den Betreibern Maßnahmen auferlegen, diese zu schließen, oder sie anweisen, den Datenverkehr zu blockieren oder umzuleiten.
- Verpflichtende Handlungsanweisungen: Neu ist auch, dass das BSI künftig Betreibern Verpflichtungen zum Erstellen von Sicherheitskonzepten sowie zum Melden und zu Bestandsauskünften bei Cybercrime-Vorfällen auferlegen kann.
Dies ist nur ein Auszug der umfangreichen Änderungen. Sie möchten kein Risiko eingehen und Ihre Sicherheitsarchitektur an die Bestimmungen des ITSG 2.0 anpassen? Die Experten von FERNAO beraten Sie gerne zur Einführung und Umsetzung eines regelkonformen Information Security Management Systems.