IT-Sicherheitsgesetz 2.0 – Ein Paukenschlag, nicht nur für KRITIS-Betreiber

11 Juni, 2019

Hat der Gesetzgeber im ersten Sicherheitsgesetz noch einen Strafrahmen von 100.000 Euro je Verstoß vorgesehen, so wurden diese nun an die Regelungen der EU-DSGVO angeglichen. Zukünftig sieht der Gesetzgeber für Verstöße maximal „Geldbußen von bis zu 20.000.000 EURO oder von bis zu vier Prozent des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist“ vor.

Abfallwirtschaft neuer kritischer Sektor

Neben den bisherigen kritischen Sektoren wurde die Abfallwirtschaft zum kritischen Sektor bestimmt. Zu den konkreten Bestimmungen bleiben die konkreten Regelungen der kommenden Rechtsverordnung abzuwarten.

Infrastrukturen im besonderen öffentlichen Interesse

Neu ist auch die Definition sogenannter „Infrastrukturen im besonderen öffentlichen Interesse“. Das sind zwar nicht unmittelbar kritische Infrastrukturen, dennoch werden sie als solche behandelt. Dazu zählen

  • Rüstungsindustrie, 
  • Kultur und Medien sowie
  • Unternehmen von erheblicher volkswirtschaftlicher Bedeutung.

Da diese Begrifflichkeiten sehr weit gefasst werden können, sind auch hier die Konkretisierungen der Rechtsverordnung abzuwarten.

Bestimmung von „KRITIS-Kernkomponenten“

KRITIS-Kernkomponenten gab es bisher auch schon. Dazu zählten alle diejenigen Assets, die unmittelbar für den Betrieb der kritischen Anlagen notwendig waren oder deren Störung umgekehrt eine Störung der kritischen Dienstleistung bewirkt hätte. Neu ist, dass für diese KRITIS-Kern¬kom¬ponenten zukünftig explizit Mindeststandards durch das BSI definiert werden. Auch dürfen dafür zukünftig nur noch solche Komponenten von Herstellern verbaut werden, für die eine „Vertrauens¬würdig¬keits-erklärung“ abgegeben wurde, die also demnach über ein BSI-Sicherheits¬kennzeichen verfügen. Diese Anforderung schließt die gesamte Zulieferkette des Herstellers ausdrücklich ein.

Ganzheitliche Ansatz

Das BSI erweitert den Betrachtungsfokus zukünftig auch auf allgemein vernetzte Systeme, z.B. Industrial Control Systems (ICS-Geräte) oder Internet of Things Systeme (IoT-Geräte), die offene Dienste (Ports) und diverse andere Schwachstellen aufweisen können. Im Kontext mit den o.g. KRITIS-Kernkomponenten wird damit die ganzheitliche Sicht für Betreiber kritischer Infrastrukturen zukünftig in den Fokus rücken müssen.

Systeme zur Angriffserkennung

Die Notwendigkeit zur Einrichtung von Systemen zur Angriffserkennung (sogn. Security Incident & Event Management Systeme, kurz „SIEM“) und -bewältigung hat sich bisher implizit ergeben, um ein Informationssicherheitsmanagementsystem (kurz „ISMS“) wirksam betreiben zu können. Im neuen ITSiG ist diese Anforderung ausdrücklich festgeschrieben. Mehr noch, das BSI macht künftig konkrete Vorgaben zur Ausgestaltung solcher Systeme.

Krisenreaktionsplan

Das BSI stellt zukünftig im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und der jeweils zuständigen Aufsichtsbehörde des Bundes und in Abstimmung mit den jeweiligen Betreibern kritischer Infrastrukturen Krisenreaktionspläne auf. Diese sollen die an der Krisenreaktion beteiligten Behörden, Betreiber Kritischer Infrastrukturen und Betreiber weiterer Anlagen im besonderen öffentlichen Interesse in die Lage versetzen, im Notfall unverzüglich abgestimmte Entscheidungen zu treffen und angemessene Maßnahmen rechtzeitig durchzuführen.

Fazit: Anforderungen bereits jetzt in Sicherheitsstrategien berücksichtigen

Selbstverständlich enthält der Referentenentwurf noch eine Vielzahl weiterer konkreter Änderungen. Die in unserem Beitrag vorgestellten Neuerungen stellen einen wesentlichen Ausschnitt aus dem Gesamtpaket der Veränderungen dar, der insbesondere auf die für Betreiber kritischer Infrastrukturen relevanten Bestimmungen abzielt.

Die Erfahrung mit dem Referentenentwurf zum, ersten IT-Sicherheitsgesetz lehrt, dass bis zum finalen Gesetzestext durchaus noch inhaltliche Anpassungen möglich sind. Die Diskussion des Papiers in den Gremien und Verbänden hat gerade erst begonnen.

Dennoch gibt dieser Referentenentwurf eine klare Zielvorgabe - auch und vor allem für Betreiber kritischer Infrastrukturen. Diese sollten die formulierten Anforderungen bereits jetzt in ihren Sicherheitsstrategien berücksichtigen.

Icon: Abonnieren Sie den Newsletter IT Security & Data Protection von PwC Deutschland

Dieser Artikel ist Teil des quartalsweise erscheinenden Newsletters IT Security & Data Protection. Kostenlos anmelden können Sie sich hier.

Contact us

Derk Fischer

Derk Fischer

Partner, Cyber Security & Privacy, PwC Germany

Tel.: +49 211 981-2192

Hendrik Gollnisch

Hendrik Gollnisch

Kritische Infrastruktur und Sicherheitsmanagement, PwC Germany

Tel.: +49 30 2636-1500

Follow us