Was bringt das neue IT-Sicherheitsgesetz 2.0?
Einige wichtige Schwellenwerte wurden gesenkt – deutlich mehr Unternehmen sind nun von dem Gesetz betroffen
Der letzte Entwurf des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) wurde am 7. Mai 2021 vom Bundestag gebilligt und wartet nur noch auf die Unterschrift des Bundespräsidenten. Einige Kernschwellenwerte wurden geändert: nun müssen viel mehr Unternehmen die Anforderungen des IT-Sicherheitsgesetzes erfüllen.
Neue Schwellenwerte in der Energiebranche und der IT
Das neue IT SiG 2.0 betrifft fast alle Branchen, signifikant sind die Änderungen jedoch für Energieversorgung und Informationstechnik und Telekommunikation.
Bisher gehören zur KRITIS-Rechtsverordnung ungefähr 1600 Institutionen. Nach dem Inkrafttreten des neuen IT-Sicherheitsgesetzes steigt die Zahl um etwa 270. Nach der Absenkung der Schwellenwerte bei Energieerzeugungsanlagen von derzeit 420 MW Leistung auf 36 MW Leistung ist zu erwarten, dass die Gruppe des Energiebereichs um einiges erweitert wird und sich die Anforderungen deutlich verschärfen.
Tabellarische Übersicht zu den neuen Schwellenwerten
Darüber hinaus wurden zwei neue Schwellenwerte für Öl (63,7 Tsd. T Flugkraftstoff) und Logistik (51,5 Mio Sendungen) eingesetzt sowie 18 neuen Anlagen hinzugefügt.
Neue Pflichten für KRITIS- und Quasi-KRITIS-Betreiber
Hauptgrund für das neue IT-Sicherheitsgesetz 2.0 ist die massive Digitalisierung aller Wirtschaftsbereiche, die durch die Covid-19 Pandemie noch beschleunigt wurde.
In der Folge erhält das Bundesamt für Sicherheit in der Informationstechnik erweiterte Kompetenzen bei der Detektion von Sicherheitslücken und der Abwehr von Cyberangriffen und wird zur zentralen Meldestelle für Sicherheit in der Informationstechnik ausgebaut.
Hieraus ergeben sich besondere Pflichten für Betreiber, die sogenannte „Systeme zur Angriffserkennung“ einführen müssen. Laut der Änderung des Energiewirtschaftsgesetzes (EnWG) haben alle KRITIS-Betreiber, die „in ihren informationstechnischen Systemen, Komponenten oder Prozessen, die für die Funktionsfähigkeit der von ihnen betriebenen Energieversorgungsnetze oder Energieanlagen maßgeblich sind, in angemessener Weise Systeme zur Angriffserkennung einzusetzen", gegenüber dem BSI nachzuweisen und eine Meldestelle von Ort einzurichten. Details hierzu auch in der GUTcert-News vom 20.01.2021.
Als neue Kategorie für KRITIS-Institutionen sind jetzt auch „Unternehmen im besonderen öffentlichen Interesse“ hinzugekommen. Das sind Quasi-KRITIS-Unternehmen, die zwar nicht direkt zu KRITIS gehören, für die Sicherheit der Gesellschaft aber durchaus bedeutsam sind und deshalb ähnliche Anforderungen erfüllen müssen wie KRITIS-Betreiber – jedoch mit Ausnahme externer Prüfungen.
Über den Entwurf wurde seit April letzten Jahres in vielen Gremien wie dem Bitkom diskutiert und einige Cybersicherheits-Fachexperten sind der Meinung, dass das IT-SiG 2.0 noch immer zu schwach ist. Es steht also zu erwarten, dass parallel zum dynamischen Einsatz neuer Technologien im Alltag auch die Regeln und die Kontrolle weiter verschärft werden.
Um mit sich ändernden Anforderungen in der Digitalisierung auch was die Compliance angeht Schritt halten zu können, steigt auch der Bedarf an externer Prüfung der implementierten Lösungen. Mit der Zertifizierung durch eine unabhängige Stelle wird belegt, dass alle notwendigen Maßnahmen umgesetzt wurden, um IT-Sicherheit zu gewährleisten.
Haben Sie Fragen zu ISO/IEC 27001 oder KRITS? Unser Informationssicherheitsmanagement-Team steht Ihnen jederzeit zu Verfügung wenden Sie sich gerne an Andreas Lemke und Bozena Jakubowska.