Entwurf IT-Sicherheitsgesetz 2.0: KRITIS-Sektoren betroffen

Der Referentenentwurf des IT Sicherheitsgesetzes 2.0 fügt einen neuen betroffenen Sektor hinzu, definiert „Kernkomponenten“ und nimmt Hersteller verstärkt in die Pflicht

Das sich noch im Entwurf befindliche ITSiG 2.0 (Stand 27.03.2019) beschäftigt sich im Wesentlichen mit Änderungen bezüglich der Kernthemen:

  • Schutz der Bundesverwaltung (Ausweitung der Befugnisse des BSI),
  • Schutz der Verbraucher (IT Sicherheitskennzeichen; Elektronischer Beipackzettel) sowie
  • Schutz der Kritischen Infrastrukturen

Den Neuerungen beim Schutz Kritischer Infrastrukturen widmet sich dieser Newsletter.

Der Neue KRITIS Sektor Entsorgung

Die bisherigen KRITIS Sektoren (Energie, Wasser, Gesundheit, Ernährung, Transport & Verkehr, Finanz- & Versicherungswesen sowie Informationstechnik & Telekommunikation) werden zukünftig um den Sektor Entsorgung erweitert. Die kritische Dienstleistung in diesem Sektor ist die Beseitigung von Siedlungsabfällen. Dabei geht es konkret um das Sammeln und das anschließende Beseitigen oder Verwerten von Abfällen. Ähnlich wie in der Branche Abwasser ist der Hintergrund bei den Entsorgern das Vermeiden von Umweltverschmutzung und eines (kurzzeitigen) Anstiegs der Seuchengefahr im Fall ihres Ausfalls.

ITSiG 2.0 bezieht IT-Kernkomponenten für KRITIS-Sektoren ein

In vielen Branchen gibt es spezifische IT-Produkte, die für die jeweilige Branche eine große Bedeutung haben oder sogar speziell für diese Branche und für die kritische Dienstleistung entwickelt oder abgeändert wurden. Gemäß dem Referentenentwurf des ITSiG 2.0 vom März sind derartige KRITIS-Kernkomponenten:

[…] Sektor Energie:
IT-Produkte für die Kraftwerksleittechnik, für die Netzleittechnik oder für die Steuerungstechnik zum Betrieb von Anlagen oder Systemen zur Stromversorgung, Gasversorgung, Kraftstoff- oder Heizölversorgung oder Fernwärmeversorgung

Sektor Wasser:
IT-Produkte für die Leit-, Steuerungs- oder Automatisierungstechnik von Anlagen zur Trinkwasserversorgung oder Abwasserbeseitigung,

Sektor Informationstechnik und Telekommunikation:
IT-Produkte zum Betrieb von Anlagen oder Systemen zur Sprach- und Datenübertragung oder zur Datenspeicherung und -verarbeitung. Soweit IT-Produkte und deren Einsatz dem Anwendungsbereich des TKG unterfallen, gelten diese nur dann als KRITIS-Kernkomponenten im Sinne dieser Vorschrift, wenn sie durch den Sicherheitskatalog nach § 109 Absatz 6 TKG als solche festgelegt sind.

Sektor Ernährung:
IT-Produkte zum Betrieb von Anlagen oder Systemen zur Lebensmittelversorgung.

Sektor Gesundheit:
IT-Produkte zum Betrieb eines Krankenhausinformationssystems, zum Betrieb von Anlagen oder Systemen zum Vertrieb von verschreibungspflichtigen Arzneimitteln sowie zum Betrieb eines Laborinformationssystems,

Sektor Finanz- und Versicherungswesen:
IT-Produkte zum Betrieb von Anlagen oder Systemen der Bargeldversorgung, des kartengestützten Zahlungsverkehrs, des konventionellen Zahlungsverkehrs, zur Verrechnung und der Abwicklung von Wertpapier- und Derivatgeschäften oder zur Erbringung von Versicherungsdienstleistungen,

Sektor Transport und Verkehr:
IT-Produkte zum Betrieb von Anlagen oder Systemen zur Beförderung von Personen und Gütern im Luftverkehr, im Schienenverkehr, in der See- und Binnenschifffahrt, im Straßenverkehr, im öffentlichen Personennahverkehr oder in der Logistik,

Sektor Entsorgung:
IT-Produkte zum Betrieb von Anlagen oder Systemen zur Abfallentsorgung.“

Hersteller von Kernkomponenten müssen vertrauenswürdig sein

Beim erstmaligen Einsatz eines der als Kernkomponenten definierten Systeme muss der Hersteller eine Erklärung über die Vertrauenswürdigkeit für die gesamte Lieferkette beim Betreiber der Kritischen Infrastruktur abgeben.
Des weiteren müssen Hersteller von KRITIS-Kernkomponenten alle Störungen bzgl. Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer Software unverzüglich dem Bundesamt melden, wenn die Anwendung dieser Software zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit von Kritischen Infrastrukturen führen kann.

Schulungen zum Thema Informationssicherheitssysteme

Unsere GUTcert Akademie bietet viele praxisorientierte Seminare zum Thema Informationssicherheitssysteme an, u.a. eine Schulung zum Informationssicherheitsbeauftragten/-auditor
nach ISO 27001 (GUTcert). Verschaffen Sie sich das nötige Know-how, um Ihre Organisation kompetent abzusichern.

Für Informationen zum Schulungsprogramm steht Ihnen das Team der GUTcert Akademie zur Verfügung.

Fragen oder Hinweise zum Thema richten Sie gerne an Herrn Marcel Däfler.

Zurück