Staatlich verordnete Sicherheit – das IT-SiG 2.0 kommt mit hohen Anforderungen, neuen kritischen Infrastrukturen (KRITIS) und noch höheren Bußgeldern.

Bereits im Dezember 2020 hat der Bundestag den Referentenentwurf des neuen IT-SiG 2.0 verabschiedet. Diese Version des Gesetzes kommt mit neuen Hürden für die Betreiber kritischer Infrastrukturen, weitreichenderen Befugnissen für das BSI und Bußgeldern, die sich in der Höhe an denen der DS-GVO orientieren. Zukünftig werden auch die Entsorger als kritische Infrastruktur behandelt und zudem ist vorgesehen, das Gesetz auf weitere Unternehmen von „öffentlichem Interesse“ auszuweiten. Welche Unternehmen das genau sind, bleibt bisher jedoch offen – es könnte sich dabei neben Unternehmen aus der Rüstungsindustrie auch um die Top 100 und DAX-Unternehmen handeln.

Diese gesetzlich verordnete Sicherheit sieht auch massive Änderungen für die Sicherheitsstandards vor. Bisher wurden die Anforderungen nur implizit durch die Einführung und Etablierung eines ISMS nach ISO 27001 oder den Branchenstandards B3S benannt.

Jetzt wird jedoch explizit ein System zur Angriffserkennung (SIEM) gefordert. Demnach muss vom Unternehmen künftig, nachgewiesen werden, dass es funktionierende technische und organisatorische Prozesse gibt, die eine zuverlässige Erkennung von Angriffsversuchen gewährleisten. Zusätzlich wird es mit dem Inkrafttreten des IT-SiG 2.0 eine Meldepflicht bei Verwendung von „als nicht vertrauenswürdig eingestuften Komponenten“ geben, sofern diese in kritischen Bereichen eingesetzt werden. Die Einstufung, welche Komponenten als nicht vertrauenswürdig gelten, wird künftig über das BSI erfolgen. Die Betreiberunternehmen müssen den Nachweis erbringen, dass nur entsprechend gekennzeichnete Komponenten eingesetzt werden oder ggf. einen Rückbau oder Austausch veranlassen.

Das BSI erhält weitere Befugnisse und darf damit auch aktiv Portscans durchführen und Honeypots oder Sinkholes betreiben, um Schwachstellen und Angriffsszenarien aufzuspüren. Zudem werden Unternehmen verpflichtet, noch aktiver Vorfälle zu melden deren Daten und Informationen dann beim BSI erfasst und für bis zu 18 Monaten gespeichert werden – dazu zählen möglicherweise dann auch personenbezogene Daten.

KRITIS-Betreiber sollten sich also bereits jetzt, insbesondere bei der Umsetzung neuer Projekte, mit den Anforderungen des IT-SiG 2.0 beschäftigen und diese proaktiv berücksichtigen. Dies erspart Zeit und Nachbesserungsaufwand und verschafft ggf. einen zeitlichen Vorteil bei den Umsetzungsfristen. Vermutlich werden diese aufgrund der zunehmenden Cyber-Angriffe entsprechend kurz ausfallen.