ALPS GmbH

IT-Sicherheitsgesetz 2.0 - was bedeutet das für KRITIS Betreiber?

Juni 2019 IT-Sicherheit, KRITIS Adrian Lambeck

Informationen zum neuen IT-Sicherheitsgesetz 2.0

photo by Gerd Altmann on Pixabay

Anfang April 2019 hat netzpolitik.org einen Entwurf des IT-Sicherheitsgesetzes 2.0 veröffentlicht. Wir beschäftigen uns schon jetzt damit was dieser Entwurf für Betreiber kritischer Infrastruktur (KRITIS) bedeutet.

Neue Anforderungen an KRITIS Betreiber

Für KRITIS Betreiber finden sich die folgenden drei wichtigsten Anforderungen im Entwurf:

  1. Die Möglichkeiten ein Bußgeld zu verhängen werden deutlich ausgeweitet – zum Beispiel im Falle der „Nichterreichbarkeit der Kontaktstelle“. Zudem werden die Bußgeldhöhen bei Verstößen mit denen der Datenschutz Grundverordnung (DSGVO) angeglichen (von bis zu 2% – 4% des Jahresumsatzes).
  2. Das Gesetz fordert von KRITIS Betreibern eine „Angriffserkennung“ – Details dazu fehlen bisher komplett und sollen in einer technischen Richtlinie des BSI ausformuliert werden.
  3. Hersteller von KRITIS-Komponenten sollen eine Vertrauenswürdigkeitserklärung nachweisen. Auch an dieser Stelle werden die Details nicht im Gesetz geregelt, sondern durch eine noch zu definierende Richtlinie des Bundesinnenministeriums.

Unser Fazit

Der Entwurf soll bis Ende 2019 als Gesetz verabschiedet werden – welche Anforderungen aus dem Entwurf sich im finalen Gesetz wiederfinden ist bis dahin offen.

Betreiber kritischer Infrastruktur müssen für das Jahr 2020 weitere Aktivitäten und Aufwände bezüglich des IT-Sicherheitsgesetzes 2.0 einplanen. Auch wenn sich konkrete Maßnahmen zum aktuellen Zeitpunkt nicht ableiten lassen, so ist aus unserer Sicht mit folgendem zu rechnen:

  • Die KRITIS-Verordnung wird aktualisiert – wahrscheinlich werden Schwellenwerte abgesenkt und somit weitere Anlagen und Betreiber KRITIS relevant.
  • Die Branchenspezifischen Sicherheitsstandards (B3S) werden aktualisiert – die Umsetzung der neuen Standards muss vorgenommen werden.
  • Es werden neue Anforderungen auf Betreiber und deren Zulieferer zukommen: die Umsetzung der Richtlinien zur „Angriffserkennung“ und „Vertrauenswürdigkeitserklärung“ müssen eingeplant werden.
  • Vorbereitung auf das Audit im Jahr 2021: die KRITIS Prüfer haben in den letzten Jahren Erfahrung gesammelt und KRITIS Betreiber sollten Erfahrungen aus den vergangenen Audits nutzen um das kommende Audit bereits im Jahr 2020 vorzubereiten. Gerne sind wir Ihnen bei den Vorbereitungen behilflich!

Haben Sie noch weitere Fragen? – Senden Sie uns Ihre Nachricht!

Ihr ALPS-Experten-Team