IT-Sicherheitsgesetz 2.0 – Regelungen für Unternehmen

Am 28.05. ist das „IT-Sicherheitsgesetz 2.0" in Kraft getreten, dass zuvor im April der Deutsche Bundestag beschlossen hatte (BGBl 2021 Teil I Nr. 25). Künftig müssen nicht nur Unternehmen und Organisationen, die zu den kritischen Infrastrukturen (KRITIS) gehören, entsprechende Vorkehrungen treffen, um Störungen ihrer IT-Systeme zu vermeiden. Zu den systemkritischen Unternehmen kommen nun „Unternehmen im besonderen öffentlichen Interesse“ neu hinzu. Dieses Gesetz markiert eine signifikante Weiterentwicklung der hiesigen IT-Sicherheitslandschaft.

Neu hinzugekommen sind die sogenannten „Unternehmen im besonderen öffentlichen Interesse“, wodurch nun eine breitere Basis systemrelevanter Organisationen in den Fokus der IT-Sicherheitsvorgaben rückt. Was genau diese neuen Pflichten für die betroffenen Unternehmen bedeuten und welche konkreten Maßnahmen nun erforderlich sind, beleuchten wir in diesem Beitrag."

A. IT-Sicherheitsgesetz 2.0: Was sind Unternehmen im besonderem öffentlichen Interesse?

Das IT-Sicherheitsgesetz 2.0 ist eine Weiterentwicklung des ursprünglichen IT-Sicherheitsgesetzes (IT-SiG 1.0) aus dem Jahr 2015 und ist im Mai 2021 in Deutschland in Kraft getreten. Sein Hauptziel ist es, die digitale Sicherheit in Deutschland erheblich zu verbessern und das Land besser vor Cyberangriffen zu schützen. Angesichts der zunehmenden Bedrohung durch Cyberkriminalität und staatliche Akteure wurde eine Verschärfung und Erweiterung der bisherigen Regelungen notwendig.

Die betroffenen Unternehmen sind im Kern

• Raumfahrtunternehmen,
• Rüstungshersteller,
• Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen,
• große Unternehmen mit volkswirtschaftlicher Bedeutung sowie
• Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung (z.B. Chemieunternehmen)

Die wichtigsten Punkte des IT-Sicherheitsgesetzes 2.0

• Erweiterung des Anwendungsbereichs:

  • IT-SiG 2.0 significantly expands this group to include ‘companies of particular public interest’. These include, among others, defence companies, companies of high economic importance (e.g. large companies that are systemically important for the German economy) and certain waste disposal companies. Providers of digital services (such as cloud services, online search engines, social networks) have also come under greater scrutiny.

• Verschärfung der Anforderungen an die IT-Sicherheit:

  • Für KRITIS-Betreiber und die neu hinzugekommenen Unternehmen im besonderen öffentlichen Interesse werden die Anforderungen an die technische und organisatorische IT-Sicherheit erhöht.

  • Es wird explizit der "Stand der Technik" als Maßstab für die umzusetzenden Sicherheitsmaßnahmen genannt. Das bedeutet, Unternehmen müssen kontinuierlich ihre IT-Sicherheit an die neuesten Entwicklungen und Bedrohungen anpassen.

  • Ein wichtiger Punkt ist die Pflicht zum Einsatz von Systemen zur Angriffserkennung. Unternehmen müssen also nicht nur präventive Maßnahmen treffen, sondern auch aktiv nach Cyberangriffen suchen und diese erkennen können.

• Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (BSI):

  • Das BSI erhält mit dem IT-SiG 2.0 erweiterte Befugnisse und eine stärkere Rolle als zentrale Cybersicherheitsbehörde in Deutschland.

  • Es kann Kontroll- und Prüfbefugnisse gegenüber der gesamten Bundesverwaltung ausüben.

• Verschärfung der Meldepflichten und Bußgelder:

  • Die Meldepflichten für IT-Sicherheitsvorfälle an das BSI bleiben bestehen und wurden teilweise präzisiert. Ziel ist es, dem BSI ein umfassendes Lagebild zu ermöglichen, um schnell auf Bedrohungen reagieren zu können.

• Regelungen für kritische Komponenten:

  • Das Gesetz enthält auch Vorgaben für die Verwendung "kritischer Komponenten" in sicherheitssensiblen Bereichen (z.B. in Mobilfunknetzen). Hier kann das BSI unter bestimmten Umständen die Verwendung bestimmter Komponenten untersagen, wenn Sicherheitsbedenken bestehen.
    
    

B. IT-Sicherheitsgesetz 2.0: Neue Anforderungen

Unternehmen im besonderen öffentlichem Interesse müssen nach dem neuen IT-Sicherheitsgesetz 2.0 eine Selbsterklärung für ihre IT-Sicherheit darlegen. Aus dieser Erklärung muss hervorgehen, welche Sicherheitszertifizierungen sie in den letzten zwei Jahren durchgeführt haben (mit Prüfgrundlage und Geltungsbereich). Außerdem muss sie darüber aufklären, welche sonstigen Sicherheitsaudits oder Prüfungen im Bereich IT-Security in den letzten beiden Jahren durchgeführt wurden (auch hier mit Prüfungsgrundlage und Geltungsbereich). Zudem müssen sie darüber informieren, wie sie besonders schützenswerte IT-Systeme, Komponenten und Prozesse unter Einhaltung des Stands der Technik absichern.

Zusätzlich müssen sie eine zu Geschäftszeiten erreichbare Stelle benennen und Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit melden.

C. Kritische Infrastrukturen

Betreiber kritischer Infrastrukturen sind nunmehr verpflichtet, sich unmittelbar beim BSI zu registrieren (vgl. § 8b Abs. 3 S. 1 BSI-Gesetz neu). Zudem müssen sie ab dem 01.05.2023 „Systeme zur Angriffserkennung“ verwenden.

Erhöhung der Bußgelder

Die bisherigen Bußgeldvorschriften werden verschärft. Der Gesetzentwurf sieht jetzt Bußgelder von EUR 2 Mio. und mehr vor. Bisher waren Bußgelder bis max. EUR 100.000 vorgesehen.

OT-Sicherheit und Kritische Infrastrukturen

Kritische Infrastrukturen sind die lebenswichtigen Systeme und Dienstleistungen, die das Funktionieren einer Gesellschaft unterstützen, wie Stromnetze, Wasserversorgung, Verkehrssysteme und Gesundheitseinrichtungen. 

Die Sicherheit dieser Infrastrukturen, insbesondere in Bezug auf Operationstechnologie (OT), ist von entscheidender Bedeutung, da sie zunehmend digitalisiert und vernetzt sind. OT-Security bezieht sich auf die Praktiken und Technologien, die eingesetzt werden, um OT-Systeme vor Cyberbedrohungen zu schützen. 

Da diese Systeme oft älter sind und nicht für eine digitale Welt entwickelt wurden, sind sie anfällig für Angriffe. Ein effektiver OT-Security-Ansatz erfordert eine Kombination aus physischen, technischen und organisatorischen Maßnahmen, um die Integrität, Verfügbarkeit und Vertraulichkeit kritischer Infrastrukturen zu gewährleisten.

IT-Sicherheitsgesetz 2.0: Fazit

Systemkritische Unternehmen müssen dem Thema IT-Sicherheit hohe Priorität einräumen und sich mit Präventionswerkzeugen befassen. Das legt nicht nur der stetige Anstieg an Cyberangriffen nahe. Das BSI veröffentlichte in seinem Lagebericht für 2020 einen durchschnittlichen Zuwachs von rund 322.000 Schadprogramm-Varianten pro Tag. DriveLock bietet mit seiner Zero Trust Plattform eine ganze Lösungspalette für Erkennung, Prävention und Reaktion auf Cyberangriffe.

Die weitreichendsten Neuerungen des IT-Sicherheitsgesetzes 2.0 sind die Ausweitung des Kreises der Verpflichteten auf "Unternehmen im besonderen öffentlichen Interesse" – dazu gehören etwa Rüstungsunternehmen oder Unternehmen mit hoher volkswirtschaftlicher Bedeutung. Diese müssen nun ähnliche Sicherheitsstandards und Meldepflichten erfüllen wie die traditionellen Betreiber Kritischer Infrastrukturen (KRITIS). Zudem wird der Einsatz von Systemen zur Angriffserkennung explizit vorgeschrieben. Es reicht also nicht mehr aus, nur Mauern zu bauen; man muss auch in der Lage sein, Eindringlinge frühzeitig zu bemerken. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spielt hier eine zentrale Rolle: Es erhält erweiterte Befugnisse zur Unterstützung, aber auch zur Kontrolle und Durchsetzung der gesetzlichen Vorgaben, inklusive der Verhängung empfindlicher Bußgelder bei Nichteinhaltung. Für Unternehmen wie Ihres, die Präventionswerkzeuge anbieten, ist das IT-Sicherheitsgesetz 2.0 daher nicht nur eine regulatorische Herausforderung, sondern auch eine Chance, Ihre Lösungen als essenziellen Bestandteil der Compliance zu positionieren.

Das IT-Sicherheitsgesetz 2.0 ist somit ein klares Signal: Cybersicherheit ist keine Option mehr, sondern eine rechtliche und strategische Notwendigkeit. Wie bereiten Sie Ihr Unternehmen auf diese verschärften Anforderungen vor?