Das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) ist seit Mai 2023 in neuester Version in Kraft getreten. Damit bekommt das BSI neue Kompetenzen und wird als Cyber-Sicherheitsbehörde des Bundes stärker. Mit dem Gesetz kommen auch auf den Mittelstand Herausforderungen im Bereich IT-Sicherheit zu.
- Das IT Sicherheitsgesetz (IT-Sig) erhöht die Anforderungen an den Mittelstand
- Mittelständische Unternehmen sind zur umgehenden Meldung von Cyberangriffen an das BSI verpflichtet
- Kritische Dienstleistungen sind nicht mehr von der Größe des Unternehmens abhängig
- Die Zertifizierung DIN ISO 27001 reicht nicht mehr aus, um Haftung zu vermeiden
Was regelt das IT-Sicherheitsgesetz (IT-Sig)?
Ziel des 2. IT-Sicherheitsgesetzes ist es, die IT-Sicherheit in Unternehmen und der öffentlichen Verwaltung zu verbessern. Das IT-Sicherheitsgesetz soll die Sicherheit informationstechnischer Systeme und digitaler Infrastrukturen Deutschlands erhöhen. Betreiber von kommerziellen Werbeangeboten müssen höhere Sicherheitsanforderungen erfüllen. Telekommunikationsanbieter sind sogar verpflichtet, bei Missbrauch ihre Kunden zu warnen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fungiert als zentrale Meldestelle für IT -Sicherheit, sammelt Informationen und überwacht die Einhaltung des Gesetzes. Es informiert über Sicherheitslücken sowie neue Angriffsmuster. Das Amt versteht sich als digitaler Verbraucherschutz.
Was sind die aktuellen Neuerungen und worauf muss der Mittelstand jetzt achten?
Seit 01. Mai 2023 gilt nun die Version IT-Sig 2.0. Die wesentlichen Neuerungen bestehen darin, dass mehr Unternehmen zur Einhaltung des Gesetzes verpflichtet sind als bisher. Der Geltungsbereich wurde jetzt auf Unternehmen in dem neuen KRITIS-Sektor Siedlungsabfallentsorgung und in der Kategorie „Unternehmen im besonderen öffentlichen Interesse (UBI / UNBÖFI)“ erweitert.
Eine wesentliche Neuerung besteht für diese Unternehmen in der Pflicht, Systeme und Prozesse zur Erkennung von digitalen Angriffen (SIEM, SOC) einzuführen.
Weiterhin sind die Meldepflichten für diese Unternehmen erweitert worden. Sie sind verpflichtet an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu reporten, wenn es zu Angriffen auf die IT-Sicherheit kommt. Zur Meldepflicht gehören bei erheblichen Störungen zahlreiche Informationen und nun auch personenbezogene Daten. Die vom Gesetz erfassten Unternehmen müssen sich unmittelbar beim BSI registrieren und zudem eine Kontaktstelle im Unternehmen benennen. Das BSI ist in diesem Zusammenhang berechtigt, Betreiber kritischer Infrastruktur selber zu benennen.
Für den Mittelstand wurden so die Möglichkeiten erweitert, gegen das IT-Sig 2.0 zu verstoßen. Kommt es zu einem Verstoß, müssen auch mittelständische Unternehmen mit höheren Sanktionen rechnen. Die Schwellenwerte, ab denen ein Unternehmen als Betreiber einer kritischen Anlage gilt, sind ebenfalls herabgesetzt worden. Die Liste in Frage kommender Anlagen wurde ebenfalls erweitert. Eine Information des BSI dazu finden Sie hier.
Was ist die KRITIS Verordnung (KRITIS-V)?
Die BSI-KRITIS-Verordnung dient der Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSIG). Darin werden die zehn Sektoren mit den Schwellenwerten für die Anlagen definiert.
|
Diese sind:
- Energie
- Gesundheit
- IT- und TK
- Transport und Verkehr
- Medien und Kultur
|
- Wasser
- Finanzen und Versicherungen
- Abfallwirtschaft
- Ernährung
- Staat und Verwaltung
|
Die Schwellenwerte in der BSI-KRTIS-V beziehen sich ausschließlich auf die Anlagen (Bsp. Kanalisation) für die Erbringung einer kritischen Dienstleistung (kDL = Abwasserentsorgung).
Welche Unternehmen betrifft das IT-Sicherheitsgesetz?
Ein Unternehmen ist dann betroffen, wenn es eine kritische Dienstleistung (kDL) in einem der 10 Sektoren erbringt und die dafür verwendeten Anlage voll oder anteilig betreibt. Es reicht nicht mehr aus, als Unternehmen eine ISO 27001 Zertifizierung zu haben. Vielmehr verlangt das BSIG eine Umsetzung der Informationssicherheit nach dem Stand der Technik. Dies muss alle zwei Jahre gegenüber dem BSI durch eine prüfende Stelle wie z.B. einer Wirtschaftsprüfung nachgewiesen werden.
Die Umsetzung der organisatorischen und technischen Informationssicherheit hat nach dem „Stand der Technik“ durch die Anwendung von branchenspezifischen Sicherheitsstandards (B3S) in den jeweiligen Sektoren zu erfolgen. Wurde ein solcher B3S von den Betreibern eines Sektors nicht vorgeschlagen und vom BSI als geeignet geprüft, sind die vom BSI veröffentlichten Anforderungen zu erfüllen.
Warum müssen sich mittelständische Unternehmen jetzt damit befassen?
Die Größe eines Unternehmens spielt bei der Betroffenheitsanalyse keine Rolle. Deshalb sind auch mittelständische Unternehmen weitgehend betroffen. Es gilt der strikte Anlagenbezug mit zugehörigen Schwellenwerten. Ein betroffenes Unternehmen gilt auch dann als Betreiber mit allen Pflichten, wenn es nur anteilig am Betrieb einer solchen Anlage beteiligt ist.
Die Nutzung von Drittanbietern durch betroffene Unternehmen spielt ebenfalls eine wesentliche Rolle. Die Einordnung, ob ein Unternehmen betroffen ist, kann durch die neuere Version des IT-Sig 2.0 durch die Bundesverwaltung, vertreten durch das BSI, erfolgen und registriert werden.
Wie Grant Thornton konkret dem Mittelstand helfen kann
Grant Thornton kann ihr Unternehmen von der Betroffenheitsanalyse bis zur KRTIS-Auditierung unterstützen. Diese Auditierung beinhaltet u.a.
- die Analyse von Bedrohungen,
- die Identifikation vonSchwachstellen und
- die Feststellung der daraus resultierenden Gefährdungen für die Erbringung der kritischen Dienstleistung.
Wir bieten Ihnen zudem
- eine Reifegradanalyse zur Erkennung von Schwachstellen und daraus abgeleitete organisatorische und
- prozessuale und technische Maßnahmen zur Absicherung der Schutzziele für die Erbringung der kritischen Dienstleistung.
Wir unterstützen Ihr Unternehmen auf dem Weg zu einem kontinuierlichen Monitoring bis hin zu der verantwortlichen Geschäftsleitung und Aufsichtsorganen.
Grant Thornton unterstützt gerne auch den Informationssicherheitsbeauftragten (ISB) und hilft Ihrem Unternehmen bei der Erstellung und Fortschreibung der Sicherheitsrichtlinie.
