IT-Sicherheit

IT-Sicherheitsgesetz 2.0 – Wie ausgefuchst ist das neue KRITIS-Gesetz?

Die IT-Sicherheitslage in Deutschland bleibt „angespannt bis kritisch“. Im Bereich der Informationssicherheit „haben wir – zumindest in Teilbereichen – Alarmstufe Rot“. Das sind keine Kassandrarufe irgendwelcher selbst ernannter Experten. Nein, die Zitate stammen vom Bundesamt für Sicherheit in der Informationstechnik (BSI), das im Oktober seinen aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland veröffentlicht hat. KRITIS-Betreiber stehen dabei besonders im Fokus, für sie seien Cyberangriffe „beinahe an der Tagesordnung“. Kein Wunder also, dass die Bundesregierung mit dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) die Schrauben nachgezogen hat. Damit kommen auf viele Unternehmen neue Pflichten zu. Wir stellen sie euch hier und ausführlich in einem neuen E-Book näher vor.

Wann tritt das IT-Sicherheitsgesetz 2.0 in Kraft?

Kritische Infrastrukturen heißen nicht umsonst so: Sie sind für die Bevölkerung enorm wichtig – teilweise sogar lebenswichtig, wenn man beispielsweise an Krankenhäuser denkt. Fällt ihre IT aus, kann das mitunter dramatische Folgen haben. Zwar gab es bereits ein IT-Sicherheitsgesetz. Das stammt aber aus dem Jahr 2015 und entsprach nicht mehr den Anforderungen der heutigen Zeit. Nachdem der Bundestag das neue Sicherheitsgesetz am 23. April 2021 verabschiedet hatte, zog der Bundesrat am 7. Mai mit seiner Billigung nach. Am 27. Mai wurde es im Bundesgesetzblatt veröffentlicht. Das IT-SiG 2.0 trat somit bereits am 28. Mai in Kraft. Sein Ziel ist – um im IT-Jargon zu bleiben – ein dringendes Upgrade der Informationssicherheit in Deutschland.

Was gehört zur kritischen Infrastruktur?

Der Bund definiert kritische Infrastrukturen (KRITIS) als „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Sie werden in zehn Sektoren eingeteilt: Energie, Ernährung, Finanz- und Versicherungswesen, Gesundheit, Informationstechnik und Telekommunikation, Medien und Kultur, Siedlungsabfallentsorgung, Staat und Verwaltung, Transport und Verkehr sowie Wasser. Innerhalb der Sektoren wird noch einmal nach Branchen unterschieden. Beim Energiesektor sind das beispielsweise Elektrizität, Gas, Mineralöl und Fernwärme. Damit ist das Konzept besser greifbar, wenngleich natürlich Störungen oder Ausfälle in einem Bereich meist auch Auswirkungen auf andere haben.

Was müssen Betreiber kritischer Infrastrukturen beachten?

Eine ganze Menge. Das IT-Sicherheitsgesetz 2.0 hat die Änderung bereits bestehender Gesetze zum Inhalt. Besonders viele Änderungen haben sich vor allem im BSI-Gesetz ergeben. Das BSI als nationale Cybersicherheitsbehörde hat dadurch viel mehr Befugnisse bekommen. So müssen Betreiber kritischer Infrastrukturen eine Kontaktstelle einrichten, über die sie für das BSI rund um die Uhr erreichbar sind (§ 8b Abs. 3 BSIG). Außerdem müssen KRITIS-Betreiber künftig verpflichtend Systeme zur Angriffserkennung nutzen, die konkrete Vorgaben des Gesetzgebers erfüllen (§ 8a Abs. 1a BSIG). Diese Systeme müssen „geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten“. Dabei soll der Stand der Technik eingehalten werden. Diesen Anspruch erfüllt beispielsweise ein SIEM (Security Information and Event Management). Außerdem dürfen KRITIS-Betreiber nur noch kritische Komponenten verbauen, für die der Hersteller eine Garantieerklärung abgegeben hat (§ 9b Abs. 3 BSIG). Das Bundesministerium des Innern darf nun sogar Hersteller als nicht vertrauenswürdig einstufen. Deren Produkte dürfen von KRITIS-Betreibern dann nicht mehr eingesetzt werden. Somit sind nun also auch explizit Zulieferer von Betreibern kritischer Infrastrukturen von dem Gesetz betroffen.

Was hat es mit der KRITIS-Verordnung auf sich?

Anders als das IT-Sicherheitsgesetz 2.0 tritt die neue BSI-KRITIS-Verordnung (BSI-KritisV) erst am 1. Januar 2022 in Kraft. Sie konkretisiert das Gesetz in einigen wichtigen Punkten. Dazu zählt vor allem die Änderung der Schwellenwerte bzw. Anlagen, die Unternehmen zu Betreibern kritischer Infrastrukturen machen. Nach Schätzungen der Bundesregierung erhöht sich die Anzahl der KRITIS-Betreiber damit von 1.600 auf rund 1.850. Etwa die Hälfte der Unternehmen und Organisationen, die damit von 2022 an erstmals unter das KRITIS-Gesetz fallen, stammt aus dem Energiesektor.

Wer gehört zur kritischen Infrastruktur?

Alle, die entsprechende Anlagen betreiben und die Schwellenwerte überschreiten, die in der KRITIS-Verordnung angegeben sind. Für die Identifikation – also für die Antwort auf die Frage „Sind wir KRITIS?“ – sind die Unternehmen und Organisationen selbst verantwortlich. Fällt die Prüfung positiv aus, müssen sie sich als KRITIS-Betreiber und die entsprechenden Anlagen als kritische Infrastruktur beim BSI registrieren. Für sie gelten dann ab sofort die einschlägigen Regelungen. Wer namentlich einer der bislang rund 1.600 KRITIS-Betreiber ist, wird nicht veröffentlicht – schließlich geht es darum, gerade diese Infrastrukturen besonders zu schützen.

Wo finde ich weitere Informationen zum IT-SiG 2.0?

Zunächst einmal natürlich in den betreffenden Gesetzen, also vor allem im IT-Sicherheitsgesetz 2.0 und im BSI-Gesetz in seiner aktuellen Fassung. Das Bundesamt hält außerdem auf seiner Website viele Informationen zum Thema bereit, etwa eine umfangreiche KRITIS-FAQ. In einem praxisnahen E-Book haben wir für euch außerdem anschaulich zusammengefasst, was IT-Entscheider für ihre praktische Arbeit über das IT-SiG 2.0 wissen müssen. Ihr könnt es hier kostenfrei als PDF herunterladen.

Sascha Rosbach kam im August 2018 zu Splunk und ist mit seinem Team verantwortlich für den Vertriebsbereich Öffentliche Auftraggeber in Deutschland. Er ist der festen Überzeugung, dass eine intensive Analyse von Daten zu einer effizienteren Verwaltung und sogar zu einer besseren Politik führen kann. Schnelle und richtige Entscheidungen können nur getroffen werden, wenn alle Fakten vorliegen. Als technologiebegeisterter Politologe verfügt Sascha über fast 20 Jahre Erfahrung in leitenden Positionen im Software Vertrieb, ist ein ruheloser Jogger und begeisterter (Fußball-)Stadiongänger.