![\"Paragraph\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2018\/11\/Para.jpg\" "\\"Recht\\"")
Ab dem heutigen 1. Mai 2023 ist das IT-Sicherheitsgesetz 2.0 (IT-Sig 2.0) g\u00fcltig, bzw. die \u00dcbergangsfrist abgelaufen. Das IT-Sig 2.0 konkretisiert die Anforderungen an die KRITIS-Betreiber und weitet diese aus, indem es alle KRITIS-Betreiber sp\u00e4testens bis zum 01.05.2023 verpflichtet, erweiterte Sicherheitsma\u00dfnahmen f\u00fcr ihre IT umzusetzen.<\/p>\n
<\/p>\n
Lothar H\u00e4nsler, Operations Officer von RADAR Cyber Security, weist darauf hin, dass das Ganze nichts Neues sei. Mit dem ersten IT-Sicherheitsgesetz wurden bereits 2015 Vorgaben f\u00fcr kritische Infrastrukturen wie Energieversorger oder Krankenh\u00e4user eingef\u00fchrt, damit sich die mitunter lebenswichtigen Einrichtungen bestm\u00f6glich absichern.<\/p>\n
Das IT-Sicherheitsgesetz 2.0 trat 2021 in Kraft und verfolgt einen ganzheitlicheren Ansatz. Es umfasst mit der Siedlungsabfallentsorgung nicht nur eine neue kritische Infrastruktur. Durch die Absenkung von Schwellenwerten fallen auch mehr Unternehmen unter diese Definition. Zudem wurde mit \"Infrastrukturen im besonderen \u00f6ffentlichen Interesse\" eine weitere Zielgruppe eingef\u00fchrt, so der Anbieter Splunk<\/a>. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) erhielt zudem sehr viel mehr Kompetenzen und Personal, um die Einhaltung der Vorgaben zu kontrollieren (siehe auch diese BSI-Mitteilung<\/a>). <\/p>\n Das IT-Sicherheitsgesetz regelt die Melde- und Nachweispflichten f\u00fcr Betreiber kritischer Infrastrukturen (KRITIS). Unternehmen und Organisationen, die entsprechende Leistungen zur Versorgung der Bev\u00f6lkerung erbringen, m\u00fcssen bereits seit 2019 gegen\u00fcber dem Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) nachweisen, dass sie nach dem \u2013 bewusst vage formulierten \u2013 \"Stand der Technik\" gegen Cyber-Angriffe ger\u00fcstet sind, sagt Lothar H\u00e4nsler.<\/p>\n Das IT-Sicherheitsgesetz 2.0 ist bereits seit zwei Jahren g\u00fcltig, die \u00dcbergangsfrist zur Nachweispflicht von Angriffserkennung endet am 1. Mai, so Lothar H\u00e4nsler. Damit erreicht diese Regelung eine neue Dimension. <\/p>\n Konkret hei\u00dft das: KRITIS-Betreiber m\u00fcssen sp\u00e4testens bis zum Stichtag 1. Mai 2023 Systeme und Prozesse zur Angriffserkennung implementiert haben, die nun explizit zu den technischen und organisatorischen Sicherheitsvorkehrungen geh\u00f6ren. <\/p>\n Hierzu z\u00e4hlen, laut H\u00e4nsler, beispielsweise ein \"Security Information and Event Management\" (SIEM) oder ein \"Security Operations Center\" (SOC): Mit dem auch als \"Cyber Defense Center\" (CDC) bekannten Verteidigungszentrum k\u00f6nnen KRITIS-Betreiber ein durchg\u00e4ngiges Sicherheitskonzept f\u00fcr ihre IT- und OT-Infrastruktur implementieren. Hier sind Technologien und Prozesse mit dem Know-how der Experten vereint, die f\u00fcr \u00dcberwachung, Analyse und Aufrechterhaltung der Informationssicherheit eines Unternehmens verantwortlich sind. <\/p>\n Zudem sind die angesprochenen Unternehmen von besonderem \u00f6ffentlichem Interesse zur regelm\u00e4\u00dfigen Abgabe einer Selbsterkl\u00e4rung verpflichtet: Sie m\u00fcssen darlegen, welche IT-Sicherheitszertifizierungen in den vergangenen zwei Jahren durchgef\u00fchrt wurden und wie sie ihre IT-Systeme abgesichert haben. Kommt es zu St\u00f6rungen, muss das BSI dar\u00fcber umgehend informiert werden. Die Beh\u00f6rde nutzt die Meldungen dazu, die Betroffenen zu unterst\u00fctzen und andere Unternehmen vor Gefahren zu warnen. Bei Nichtmeldung oder fehlender Registrierung m\u00fcssen die Betroffenen mit hohen Bu\u00dfgeldern rechnen. Auch wenn bei einer Kontrolle die mangelhafte Umsetzung der Angriffserkennung festgestellt wird, ist mit Geldstrafen bis zu zwei Millionen Euro zu rechnen \u2013 bei vors\u00e4tzlichen Verst\u00f6\u00dfen kann sogar eine Geldstrafe von bis zu 20 Millionen Euro anfallen. Das sind mit gutem Grund empfindliche Strafen. Schlie\u00dflich h\u00e4tten Versorgungsengp\u00e4sse oder gar komplette Systemausf\u00e4lle dramatische Folgen f\u00fcr Staat, Wirtschaft und Gesellschaft. <\/p>\n Umso wichtiger ist es also, dass die angesprochenen Einrichtungen integrierte L\u00f6sungen nutzen, die sich im Einklang mit IT-Sicherheitsgesetz 2.0, dem BSI-Gesetz sowie den ISO-27000-Standards zur Informationssicherheit befinden. KRITIS-Betreiber sind nun verpflichtet, ihre IT-Systeme auf den bereits angesprochenen \"Stand der Technik\" zu bringen. Dazu z\u00e4hlt auch der Nachweis von Sicherheitsaudits oder Zertifizierungen wie eben ISO-27001. Nutzung europ\u00e4ischer Sicherheitstechnologien ist zwar nicht verankert, empfiehlt sich aber aus mehreren Gr\u00fcnden: Die Erf\u00fcllung der gesetzlichen Vorgaben der Datenschutzgrundverordnung (DSGVO) und des BSI-Gesetzes sowie zum Schutz vor dem Vorwurf einer Drittstaaten-Einmischung. Eine \u00dcbersicht samt FAQ<\/a> findet sich auf rz10.de. <\/p>\n IT-Sicherheit ist bekannterma\u00dfen ein Prozess. Auch im konkreten Fall ist die Reise noch lange nicht zu Ende: Zur Verbesserung der digitalen und physischen Resilienz kritischer Einrichtungen und Netze hat die Europ\u00e4ische Kommission au\u00dferdem die NIS-Richtlinie reformiert. Die zweite Version der \"Network and Information Security Directive\" wurde Ende des vergangenen Jahres vom Europ\u00e4ischen Parlament angenommen, trat im Januar in Kraft und soll bis Ende 2024 in nationales Recht \u00fcberf\u00fchrt werden. <\/p>\n W\u00e4hrend die Umsetzung von NIS-2 wiederum eine erneute \u00dcberarbeitung des IT-Sicherheitsgesetzes 2.0 zur Folge haben kann, bildet das IT-Sicherheitsgesetz bereits jetzt einige Neuerungen von NIS-2 ab. Zus\u00e4tzlich soll die Gesetzesinitiative der EU-Kommission zur Einf\u00fchrung des EU-Cyberresilience-Act Hersteller und H\u00e4ndler dazu bringen, k\u00fcnftig nur noch IT-L\u00f6sungen mit hohen Cyber-Sicherheitsstandards auf den Markt zu bringen.<\/p>\n","protected":false},"excerpt":{"rendered":" Ab dem heutigen 1. Mai 2023 ist das IT-Sicherheitsgesetz 2.0 (IT-Sig 2.0) g\u00fcltig, bzw. die \u00dcbergangsfrist abgelaufen. Das IT-Sig 2.0 konkretisiert die Anforderungen an die KRITIS-Betreiber und weitet diese aus, indem es alle KRITIS-Betreiber sp\u00e4testens bis zum 01.05.2023 verpflichtet, erweiterte … Weiterlesen Was gilt ab 1. Mai 2023<\/h2>\n
\n
Was ist gefordert?<\/h2>\n<\/p>\n
Der Bedarf ist real: Allein 2022 wurden in Deutschland \u00fcber 80 F\u00e4lle bekannt, in denen Unternehmen Opfer eines Cyber-Angriffs wurden. Die Dunkelziffer ist sicherlich deutlich h\u00f6her. Dabei sind KRITIS-Betreiber schon lange im Fadenkreuz der Kriminellen. <\/p>\nWas ist bei einer St\u00f6rung zu tun?<\/h2>\n<\/p>\n
Wie geht es weiter?<\/h2>\n<\/p>\n