IT-Sicherheitsgesetz 2.0: So müssen sich KRITIS-Unternehmen ab Mai 2023 aufstellen

Mit dem zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme kommen auf Betreiber Kritischer Infrastrukturen (KRITIS) ab 1. Mai 2023 neue Anforderungen zu. Das Gesetz erweitert die bisherige Regulierung aus 2015 deutlich. Ziel ist es, die Cyber Security durch eine einheitliche Umsetzung von Sicherheitsmaßnahmen zu erhöhen.

Welche wesentlichen Neuerungen treten in Kraft?

• Betroffene Unternehmen: Der Kreis der KRITIS-Betreiber wird um den Bereich Entsorgung erweitert. Zudem wird die Kategorie „Infrastrukturen im besonderen öffentlichen Interesse“ ergänzt. Dazu zählen die Bereiche Kunst und Medien, die Rüstungsindustrie sowie diejenigen Anlagen und Systeme, die einen Schaden bei Unternehmen aus dem Bereich der Prime Standards der Frankfurter Börse hervorrufen würden.
• Fokusbereiche: Das Thema Cyber Security rückt stärker in den Fokus. So müssen das Internet of Things (IoT) oder Industrial Control Systems (ICS) künftig von KRITIS-Betreibern berücksichtigt werden.
• Meldepflichten: KRITIS-Betreiber sind verpflichtet, alle Störungen an das BSI zu melden. Anderenfalls riskieren sie hohe Bußgelder.
• Geldbußen: Bei Verstößen gegen die gesetzlichen Regelungen werden zukünftig höhere Strafen fällig. Damit orientiert man sich an den Geldbußen der DSGVO.
• Mehr Befugnisse für das BSI: Das BSI soll zukünftig aktiv nach Sicherheitslücken suchen und die Behebung dieser durch Provider auf Geräten anordnen dürfen.
• Systeme zur Angriffserkennung: Ab 1. Mai 2023 besteht für KRITIS-Betreiber die Pflicht, Systeme zur Angriffserkennung einzusetzen. Eine Orientierungshilfe zum Einsatz solcher Systeme listet das BSI in einem Maßnahmenkatalog.

Wie können Sie diese Anforderungen angemessen erfüllen?

Als Branchenexperte für Versorgungsunternehmen und den öffentlichen Sektor sind wir mit den spezifischen Anforderungen von KRITIS-Unternehmen bestens vertraut. Ein Baustein ist zum Beispiel das 7×24/365 SOC – Security Operation Center der GISA. Ein Team aus hochqualifizierten IT-Sicherheits-Experten kümmert sich darum, Schwachstellen in der zu überwachenden Landschaft zu identifizieren, Hacker-Angriffe frühzeitig zu erkennen und Gegenmaßnahmen einzuleiten. So sollen mögliche Schäden erst gar nicht entstehen oder – im Falle eines Angriffs – verringert werden. Mit der „Rund-um-die-Uhr“-Überwachung Ihrer sicherheitskritischen Systeme und unseren etablierten Security Incident- sowie Notfall-Prozessen tragen wir wesentlich zur Einhaltung Ihrer Schutzziele bei.

Mit den Full Managed Security Services der GISA finden wir gemeinsam die passende Lösung für Ihre spezifischen Anforderungen.
Mehr dazu erfahren Sie hier.