von Deniz Wetz
Das IT-Sicherheitsgesetz von 2015 und insbesondere die damit verbundenen Änderungen am BSI-Gesetz haben Anforderungen an Betreiber Kritischer Infrastrukturen (KRITIS) gestellt. Das IT-Sicherheitsgesetz 2.0 (auch Zweites IT-Sicherheitsgesetz) ist am 28.05.2021 in Kraft getreten und beinhaltet Erweiterungen in Bezug auf den Schutz von Kritischen Infrastrukturen. Daneben stärkt es den Aufgabenbereich des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Cyber-Sicherheitsbehörde des Bundes. Neben dem Verbraucherschutz zählen dazu Prüf- und Kontrollbefugnisse in der Bundesverwaltung und Anordnungsbefugnisse gegenüber Telekommunikations- und Telemedienanbietern. Zudem werden Bußgelder für Verstöße angehoben.
Erweiterung des Geltungsbereichs
Das IT-Sicherheitsgesetz 2.0 wird um „Unternehmen im besonderen öffentlichen Interesse“ erweitert. Hierzu zählen Unternehmen, die Güter nach § 60 Absatz 1 Nummer 1 und 3 der Außenwirtschaftsverordnung herstellen oder entwickeln, Unternehmen, die der Störfall-Verordnung unterliegen, sowie Unternehmen, die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und damit eine besondere volkswirtschaftliche Bedeutung haben. Zu letztgenannten zählen auch deren Zulieferer. Durch Rechtsverordnung werden wirtschaftliche Kennzahlen und Merkmale festgelegt, um diese zu bestimmen. Zusätzlich wird die Siedlungsabfallentsorgung zu einem weiteren Sektor der Kritischen Infrastrukturen.
Nachweise zur Informationssicherheit
Unternehmen im besonderen öffentlichen Interesse werden verpflichtet, mindestens alle zwei Jahre dem BSI eine Selbsterklärung zur IT-Sicherheit vorzulegen. Aus dieser muss hervorgehen, welche Zertifizierungen, Sicherheitsaudits oder Prüfungen im Bereich der IT-Sicherheit bestehen und wie sichergestellt wird, dass schützenswerte IT-Systeme, Komponenten und Prozesse angemessen und nach Stand der Technik geschützt werden. Ausgenommen hiervon sind Unternehmen, die der Störfall-Verordnung unterliegen, da diese bereits entsprechende Nachweispflichten vorsieht. Für Unternehmen im besonderen öffentlichen Interesse wird die Möglichkeit, branchenspezifische Standards vom BSI anerkennen zu lassen, wie dies bei Kritischen Infrastrukturen der Fall ist, nicht gegeben.
Anforderungen an Kritische Komponenten
Betreiber Kritischer Infrastrukturen müssen den Einsatz von Kritischen Komponenten beim Bundesministerium des Innern, für Bau und Heimat (BMI) anzeigen. Dabei handelt es sich um IT-Produkte, die in Kritischen Infrastrukturen eingesetzt werden oder von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Kritische Komponenten können auch auf Grund eines Gesetzes bestimmt werden. Diese dürfen nur eingesetzt werden, wenn der Hersteller eine Garantieerklärung gegenüber den Betreibern der Kritischen Infrastruktur abgegeben hat, aus welcher hervorgeht, dass diese nicht über technische Eigenschaften verfügen, die spezifisch dafür geeignet sind, missbräuchlich gegen die Kritische Infrastruktur eingesetzt zu werden.
Einsatz von Systemen zur Angriffserkennung
Zusätzlich werden Betreiber Kritischer Infrastrukturen ab Mai 2023 dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen. Diese Systeme müssen dazu in der Lage sein, sicherheitsrelevante Ereignisse aus dem laufenden Betrieb zu erfassen und auszuwerten, um Bedrohungen erkennen und auf diese reagieren zu können.
Herausgabe sicherheitsrelevanter Informationen
Während einer erheblichen Störung der Informationssicherheit kann das BSI im Einvernehmen mit der jeweils zuständigen Aufsichtsbehörde des Bundes von den betroffenen Betreibern Kritischer Infrastrukturen oder Unternehmen im besonderen öffentlichen Interesse die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen.
Mit Inkrafttreten des IT-Sicherheitsgesetzes 2.0 gilt es für Unternehmen im ersten Schritt festzustellen, ob sie in den erweiterten Geltungsbereich fallen. Eine ganzheitliche IT-Sicherheits-Strategie muss anschließend Wege definieren, um die Anforderungen an die Informationssicherheit auf möglichst effiziente Weise zu erfüllen und Synergien in der Verbesserung der Informationssicherheit schaffen.