IT-Sicherheitsgesetz 2.0 – Herausforderung und Chance
Das IT-Sicherheitsgesetz 2.0 – Herausforderung und Chance
Unternehmen effektiv schützen!
Das im Frühjahr 2021 beschlossene IT-Sicherheitsgesetz 2.0 hat landesweit, starke Auswirkungen auf Unternehmen, welche für unsere bundesweite Infrastruktur eine wichtige Rolle spielen. Dieses Gesetz stützt bzw. erweitert das im Jahr 2015 beschlossene IT-Sicherheitsgesetz (1.0) um den Schutz vor Bedrohungen und Risiken. Im Laufe des Jahre 2024, vermutlich im Herbst, wir eine überarbeitete Version des IT-Sicherheitsgesetz veröffentlicht werden, welche weitreichende Konsequenzen für bestimmt Unternehmen zur Folge haben werden. Es geht um die Umsetzung der EU Richtlinie NIS-2. In diesem Artikel soll es aber zunächst um den aktuellen Stand des Gesetzes zur IT-Sicherheit gehen.
Unternehmen welche von diesem Gesetz betroffen sind, werden unter der Kategorie „KRITIS“ (Kritische Infrastrukturen) eingestuft. Durch den stätigen technischen Wandel sowohl in Kleinst- aber auch Großunternehmen, schreitet die allgemeine Digitalisierung in Deutschland immer weiter voran. Dies hebt aber auch einige Risiken hervor, von physischen bis hin zu virtuellen Angriffen auf die IT-Infrastruktur eines Unternehmens, können viele ungelöste Sicherheitslücken, zu einem großen Schaden führen.
Durch den Beschluss des IT-Sicherheitsgesetz 2.0, das Gesetz zum Risiko- und Bedrohungsschutz, konnte das Bundesamt für Sicherheit in der Informationstechnik (BSI), neue und umfassende Maßnahmen zum Schutz der deutschen IT-Landschaft ergreifen. Unternehmen, welche der „KRITIS“-Kategorie angehören, werden hierdurch verpflichtet, in einem 2 jährlichen Rhythmus, den neusten Stand der Technik nachzuweisen.
„KRITIS“-Unternehmen im Sinne des IT-Sicherheitsgesetz 2.0 gehören zu folgenden Unterkategorien:
• Abfallwirtschaft
• Wasserversorgung
• Verkehrs- und Transportwesen
• Energieversorgung
• Informationstechnologie und Telekommunikation
• Kultur und Medien
• Finanzen und Versicherungen
• Gesundheitswesen
• Ernährung
• Staat und Verwaltung
Das Gesetz legte ebenfalls eine gesonderte Kategorie, „Unternehmen mit besonderem öffentlichem Interesse“ fest. Diese beinhaltet folgende Unterkategorien:
• Rüstungsindustrie
• Unternehmen mit besonderer volkswirtschaftlicher Bedeutung
• Unternehmen die der StöV unterliegen.
Im Allgemeinen legt das Gesetz die Mindeststandards für die IT-Security der Unternehmen landesweit. Um diese Standards einzuhalten, haben Unternehmen die Möglichkeit, einen speziellen Prüfbericht erstellen zu lassen. Dieser Bericht kann beispielweise vom TÜV Nord ausgestellt werden.
Um den o.g. neusten „Stand der Technik“ nachweisen zu können, können Sie beispielsweise eine ISO 27001 Zertifizierung durchlaufen. Die ISO 27001 Norm ist eine internationale Norm, die darauf abzielt, die Sicherheit von Informationen in gemeinnützigen, öffentlichen oder privaten Einrichtungen zu gewährleisten. Die Voraussetzungen für die Implementierung, Umsetzung, Durchführung und Optimierung eines dokumentierten Informationssicherheitsmanagementsystems (ISMS) werden in ihr beschrieben. Im Zuge der ISO 27001-Zertifizierung wird ein ISMS im Unternehmen geprüft und auf seine Effektivität getestet.
Die ISO 27001 basiert daher darauf, die Voraussetzungen für die Einführung und den Betrieb eines Informationssicherheitsmanagementsystems zu beschreiben. Dabei passt sich das ISMS den Umständen der spezifischen Organisation an und nimmt individuelle Besonderheiten in Betracht. Es legt auch Regeln, Verfahren, Maßnahmen und Werkzeuge fest, die zur Steuerung, Kontrolle, Sicherung und Optimierung der Informationssicherheit dienen.
Neben der ISO 27001 Zertifizierung, stellt das BSI eine Standardreihe für Unternehmen zur Verfügung gestellt. Diese zeigen ebenfalls wichtige Sicherheitsstandards auf, welche in einem Unternehmen gegeben sein sollte.
• 200-1 Managementsysteme für Informationssicherheit (ISMS)
• 200-2 IT-Grundschutz-Methodik
• 200-3 Risikoanalyse
• 200-4 Notfallmanagement
Wichtig zu beachten für Unternehmen ist, dass sie durch das Gesetz verpflichtet sind, Systeme zur Erkennung und zum Schutz vor Angriffen zu implementieren. Die sogenannten „Intrusion Detection Systems“ (IDS), greifen auf verschiedene Algorithmen zurück, um das Unternehmen effektiv zu schützen. Zusätzlich wurde seitens des Gesetzgebers festgelegt, dass System-Log-Daten, zukünftig protokolliert und analysiert werden müssen.
Eine weitere Verpflichtung für Unternehmen beinhaltet, die Erstellung von Reaktions- und Präventionsmaßnahmen. Hierfür werden vom Gesetzgeber verschiedene Desaster-Recovery-Szenarien verlangt, um eine wirkungsvolle Absicherung gewährlisten zu können.
Eine detaillierte Expertise im Bereich der IT-Sicherheit und Netzwerkadministration sowie ein fachliches Verständnis der Bestandteile und Zusammenhänge der
unternehmerischen IT-Infrastruktur sind für die Erstellung und Überprüfung solcher Pläne erforderlich. Im Zuge der System-Absicherung wird außerdem ein Audit durchgeführt, das dem BSI alle zwei Jahre zu bestätigen ist.
Wie oben bereits erwähnt wird das IT-Sicherheitsgesetz 2.0 aller Voraussicht nach im Herbst des Jahres 2024, durch seinen Nachfolger ersetzt. In der zugehörigen EU-Richtlinie gibt es zwar einen konkreten Termin zur verpflichtenden Umsetzung, dieser wird aber mit hoher Wahrscheinlichkeit nicht eingehalten werden können. Im neuen Gesetz werden die Vorgaben der EU-Richtlinie NIS-2 verarbeitet werden und der Kreis der betroffenen Unternehmen wird erheblich erweitert werden. Für die meisten Unternehmen deren Tätigkeitsbereich sich nahe der schon jetzt durch die KRITIS Verordnung betroffenen befindet, sollten die Zeit nutzen, die strukturellen Voraussetzungen für die kommenden Herausforderungen zu schaffen.
Wir verfügen über vom TÜV-Nord zertifizierte Experten zur ISO 27001 auf Basis von IT-Grundschutz Zertifizierung, sprechen Sie uns gerne an.