4 Minuten Lesezeit 2 März 2021
Frustrierte weibliche Computer-Programmierer mit Kopf in den Händen sitzen in kreativen Büro

„IT-Sicherheitsgesetz 2.0“: neue Pflichten für Unternehmen oder neue Chancen?

Der Gesetzgeber unterstreicht die Bedeutung von Informations- und Cybersicherheit: Das IT-SiG 2.0 umfasst den Schutz der Bundesverwaltung, Kritischer Infrastrukturen (KRITIS) und von Unternehmen im besonderen öffentlichen Interesse sowie den Verbraucherschutz.

Überblick
  • Neben Kritischen Infrastrukturen rücken Unternehmen im besonderen öffentlichen Interesse und der Verbraucherschutz in den Fokus.
  • Der Gesetzgeber stärkt das Bundesamt für Sicherheit in der Informationstechnik (BSI) durch weitere Prüf- und Kontrollbefugnisse und Festlegung von Mindeststandards.
  • Das BSI wird die nationale Behörde für (EU-)​Cybersicherheitszertifizierungen.

Lange galt: Wie gut oder wie schlecht private Unternehmen ihre IT-Systeme gegen Cyberangriffe absichern, bleibt ihnen überlassen. Die Politik hielt sich weitgehend raus. Gleichzeitig zeigte sich ein rasant steigendes Risiko, dass Angreifer fehlende IT-Sicherheit gezielt ausnutzen, bis hin zur Durchsetzung geopolitscher Interessen oder sogar als möglicher Angriff im Rahmen moderner Kriegsführung.

Erst das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (auch bekannt als „IT-Sicherheitsgesetz“) von 2015 nahm sogenannte „Kritische Infrastrukturen (KRITIS) in den Blick. Als solche wurden Dienstleistungen definiert, durch deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen der öffentlichen Sicherheit zu erwarten wären. Berücksichtigt wurden zunächst die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Kommunikation, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr, wobei eine Dienstleistung als kritisch gilt, wenn ein festgelegter Schwellenwert überschritten wird.

  • Co-Autor: Lutz Naake

    Lutz Naake betreut als Senior Manager im Bereich Business Consulting GSA Unternehmen in der Umsetzung der KRITIS-Anforderungen des IT-Sicherheitsgesetzes. Er gehörte der IDW-Arbeitsgruppe an, die mit dem BSI die Konkretisierung der Anforderungen an Betreiber Kritischer Infrastrukturen erarbeite (Veröffentlichung März 2020). Zu seinen Kunden zählen Unternehmen aus den Sektoren IT und Telekommunikation, Logistik, Energie, Gesundheit sowie Banken und Versicherungen.

  • Co-Autor: Marc Ragg

    Marc Ragg führt als Director im Bereich Cybersecurity GSA Projekte zur Informationssicherheit, Cybersicherheit und zum Notfallmanagement durch. Er unterstützt Unternehmen bei Planung und Etablierung von Informationssicherheitsmanagementsystemen (ISMS) gemäß ISO 27001 und unter Berücksichtigung von IT-Grundschutz und dem IT-Sicherheitsgesetz.

Die KRITIS-Betreiber wurden zur Umsetzung eines Mindestmaßes an IT-Sicherheit für alle Systeme, Komponenten und Prozesse verpflichtet, die für die Realisierung der kritischen Dienstleistungen benötigt werden. Die Formulierung dieser Vorgaben erfolgte jedoch im Rahmen des Gesetzes mit einer starken Abstraktion. So wird unter anderem auf „angemessene organisatorische und technische Vorkehrungen“ verwiesen, die „den Stand der Technik“ einhalten sollen. Legaldefinitionen zu diesen Begriffen lagen jedoch nicht vor und führten zu Unsicherheiten bei den KRITIS-Betreibern hinsichtlich der Erfüllung der gesetzlichen Anforderungen.

In Ermangelung einheitlicher Regelungen, wie diese Anforderungen umzusetzen sind, stimmten Branchenverbände vereinzelt mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) branchenspezifische Sicherheitsstandards ab. Doch auch bei deren Einsatz verbleibt die Pflicht zur Gewährleistung der vollständigen und korrekten Erfüllung des Gesetzes stets beim KRITIS-Betreiber. Insbesondere ist zu beachten, dass die Sicherheitsstandards in der Regel nicht ohne Anpassung für alle Branchenmitglieder anwendbar sind oder gänzlich fehlen können.

Übergreifend zeigte sich somit unverändert eine große Unsicherheit bei den KRITIS-Betreibern hinsichtlich der Erfüllung der gesetzlichen Anforderungen. Um diese Unklarheiten zu beseitigen und KRITIS-Betreibern konkrete Hilfestellungen zu geben, wird das Gesetz überarbeitet. Bereits im März 2020 hatte das BSI, in Zusammenarbeit mit dem Institut der Wirtschaftsprüfer in Deutschland e. V. (IDW), die Anforderungen [an die gemäß §  8a Absatz  1 BSIG umzusetzenden Maßnahmen für KRITIS-Betreiber Kritischer Infrastrukturen] konkretisiert [1]. Ziel war es, die Unternehmen durch Bereitstellung detaillierter Hilfen für die umzusetzenden Maßnahmen und Kontrollen zu unterstützen und die bestehenden Unsicherheiten auszuräumen.

Überblick über die wesentlichen Neuerungen des IT-Sicherheitsgesetzes 2.0:

  • Erweiterte Prüf- und Kontrollbefugnisse für das BSI

Das BSI erhält neue Rechte. So soll es IT-Produkte wie „kritische Komponenten“ auf ihre Sicherheit prüfen und einheitlich kennzeichnen dürfen. Das Bundesamt erhält zudem weitere Befugnisse für den Fall, dass IT-Systeme von KRITIS- oder anderen wichtigen Unternehmen angegriffen werden. Gleichzeitig wird das BSI befugt, Sicherheitslücken an den Schnittstellen von öffentlichen Telekommunikationsnetzen zu detektieren. Reagiert daraufhin ein betroffener Diensteanbieter nicht angemessen, so können Maßnahmen zur Abwehr konkreter erheblicher Gefahren angeordnet werden.

  • BSI als nationale Behörde für EU-Cybersicherheitszertifizierungen

Das BSI wird zur nationalen Behörde für Cybersicherheitszertifizierungen gemäß dem Cybersecurity Act der EU (VO EU 2019/881). So können Produkte, Dienstleistungen und Prozesse der Informations- und Kommunikationstechnologien durch das BSI oder ernannte Konformitätsbewertungsstellen nach EU-weit einheitlichen Cybersecurity-Standards zertifiziert werden.

  • Drastisch erhöhte Geldbußen

Analog den Regelungen der EU-Datenschutz-Grundverordnung werden bei Verstößen im Einzelfall künftig Geldbußen von bis zu 2 Millionen Euro für natürliche und 20 Millionen Euro für juristische Personen fällig statt bisher 100.000 Euro.

  • Weiterer Sektor wird kritische Infrastruktur

Die Siedlungsabfallentsorgung zählt künftig ebenfalls als KRITIS. Grund: Ausfälle können hier neben massiven Umweltverschmutzungen auch zu einem Anstieg der Seuchengefahr führen. Bislang wurden die Branchen Energie, Gesundheit, Ernährung, Wasser, Transport und Verkehr, Finanz- und Versicherungswesen sowie Informationstechnik und Telekommunikation berücksichtigt.

  • Neu sind Infrastrukturen im besonderen öffentlichen Interesse

Neu ist die Kategorie „Infrastrukturen im besonderen öffentlichen Interesse“ wie die Rüstungsindustrie und Unternehmen mit hoher volkswirtschaftlicher Bedeutung (auch Unternehmen mit „besonderem öffentlichen Interesse“ genannt). Diese zählen zwar nicht direkt zu den KRITIS, werden aber mit allen Verpflichtungen als solche behandelt. So müssen diese Unternehmen sich beim BSI registrieren, erhebliche Störungen melden und die IT-Sicherheit entsprechend nachweisen.

  • Pflicht zur aktiven Angriffserkennung und -Bewältigung für KRITIS-Betreiber und betroffene Unternehmen

KRITIS-Betreiber werden verpflichtet, „Systeme zur Angriffserkennung und Angriffsbewältigung“ zu betreiben. Dazu gehören insbesondere SIEM-Systeme (Security Incident & Event Management) für das Schnelle Erkennen von Angriffen. Für eine umfassende Angriffsbewältigung und -nachbereitung müssen geeignete Protokolldaten der relevanten IT-Systeme kontinuierlich und automatisch erfasst und ausgewertet werden. Die Formulierung des Gesetzesentwurfes lässt auch in Richtung SOAR („Security Orchestration, Automation and Response“) schließen, also möglichst automatische und damit schnelle Gegenreaktionen auf stattfindende Angriffe.

Damit werden konkrete IT-Sicherheitsvorkehrungen zur Stärkung der Cybersicherheit gefordert und müssen gegebenenfalls neu aufgebaut oder vorhandene Systeme entsprechend erweitert werden. Auf die Unternehmen kommen allerdings nicht nur Kosten zu, die zur Anschaffung dieser Systeme und für das entsprechende Fachpersonal anfallen, sondern sie haben auch die Chance, Cyberangriffe gezielt zu erkennen und in Echtzeit abzuwehren.

  • Stärkung des Verbraucherschutzes

Neu im Aufgabenbereich des BSI ist der Verbraucherschutz; außerdem kann die Behörde IT-Sicherheitskennzeichen für IT-Produkte erteilen. Durch diese freiwilligen Zertifizierungen werden die Verbraucher künftig besser über sicherheitsrelevante Funktionen von IT-Produkten informiert.

Fazit

Die Bedeutung der Informations- und Cybersicherheit für die Gesellschaft, Unternehmen und Politik nimmt auch künftig weiter zu. Nicht nur Betreiber Kritischer Infrastrukturen wie Energieversorger, Telekommunikationsanbieter oder das Gesundheitswesen stehen im Fokus; auch Unternehmen und Infrastrukturen im besonderen öffentlichen Interesse und der Verbraucherschutz für „sichere“ IT-Produkte werden Teil des Regelungsbereichs des IT-Sicherheitsgesetztes 2.0 (IT-SiG 2.0). Dem BSI werden weitreichende, umfassende Befugnisse eingeräumt. Das Amt wird die nationale Behörde für Cybersicherheitszertifizierungen der EU. Zudem kann zukünftig der Einsatz „Kritischen Komponenten“ bei KRITIS-Betreibern untersagt werden. Betroffene Unternehmen sollten sich auf die neuen Anforderungen vorbereiten, Expertise aufbauen und Informations- und Cybersicherheit ganzheitlich angehen.

Über diesen Artikel

Von EY Deutschland

Building a better working world