Blog
IT-Sicherheitsgesetz 2.0: So müssen sich KRITIS-Unternehmen ab Mai 2023 aufstellen
Mit dem zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme kommen auf Betreiber Kritischer Infrastrukturen (KRITIS) ab 1. Mai 2023 neue Anforderungen zu. Das Gesetz erweitert die bisherige Regulierung aus 2015 deutlich. Ziel ist es, die Cyber Security durch eine einheitliche Umsetzung von Sicherheitsmaßnahmen zu erhöhen.
Welche wesentlichen Neuerungen treten in Kraft?
- Betroffene Unternehmen: Der Kreis der KRITIS-Betreiber wird um den Bereich Entsorgung erweitert. Zudem wird die Kategorie „Infrastrukturen im besonderen öffentlichen Interesse“ ergänzt. Dazu zählen die Bereiche Kunst und Medien, die Rüstungsindustrie sowie diejenigen Anlagen und Systeme, die einen Schaden bei Unternehmen aus dem Bereich der Prime Standards der Frankfurter Börse hervorrufen würden.
- Fokusbereiche: Das Thema Cyber Security rückt stärker in den Fokus. So müssen das Internet of Things (IoT) oder Industrial Control Systems (ICS) künftig von KRITIS-Betreibern berücksichtigt werden.
- Meldepflichten: KRITIS-Betreiber sind verpflichtet, alle Störungen an das BSI zu melden. Anderenfalls riskieren sie hohe Bußgelder.
- Geldbußen: Bei Verstößen gegen die gesetzlichen Regelungen werden zukünftig höhere Strafen fällig. Damit orientiert man sich an den Geldbußen der DSGVO.
- Mehr Befugnisse für das BSI: Das BSI soll zukünftig aktiv nach Sicherheitslücken suchen und die Behebung dieser durch Provider auf Geräten anordnen dürfen.
- Systeme zur Angriffserkennung: Ab 1. Mai 2023 besteht für KRITIS-Betreiber die Pflicht, Systeme zur Angriffserkennung einzusetzen. Eine Orientierungshilfe zum Einsatz solcher Systeme listet das BSI in einem Maßnahmenkatalog.
Wie können Sie diese Anforderungen angemessen erfüllen?
Als Branchenexperte für Versorgungsunternehmen und den öffentlichen Sektor sind wir mit den spezifischen Anforderungen von KRITIS-Unternehmen bestens vertraut. Ein Baustein ist zum Beispiel das 7×24/365 SOC – Security Operation Center der GISA. Ein Team aus hochqualifizierten IT-Sicherheits-Experten kümmert sich darum, Schwachstellen in der zu überwachenden Landschaft zu identifizieren, Hacker-Angriffe frühzeitig zu erkennen und Gegenmaßnahmen einzuleiten. So sollen mögliche Schäden erst gar nicht entstehen oder – im Falle eines Angriffs – verringert werden. Mit der „Rund-um-die-Uhr“-Überwachung Ihrer sicherheitskritischen Systeme und unseren etablierten Security Incident- sowie Notfall-Prozessen tragen wir wesentlich zur Einhaltung Ihrer Schutzziele bei.
Mit den Full Managed Security Services der GISA finden wir gemeinsam die passende Lösung für Ihre spezifischen Anforderungen.
Mehr dazu erfahren Sie hier.

Hendrik Nitz
Hendrik Nitz ist Diplom-Wirtschaftsingenieur und verantwortet als Chief Governance Officer bei GISA alle Belange rund um effektive, Kunden-ergebnisorientierte IT-Servicemanagement Prozesse und die IT Security. Zudem stellt er die strategische Ausrichtung und Weiterentwicklung der damit verbundenen Themenfelder für GISA sicher.
Diese Beiträge könnten Sie auch interessieren:
Wir feiern Enthusiasten… Von Gelegenheiten und Gemeinschaftsgefühl
Auch GISA-CEO Heino Feige ist einmal gestartet und stand dabei vor verschiedenen Herausforderungen. Hier erzählt er, welche das waren und wie es dann weiterging.
Wir feiern Ideengärtnerinnen… Mit Geduld und Weitsicht für guten Service
Beitrag teilen auf: Wir feiern IDEENGÄRTNERINNEN Mit Geduld und Weitsicht für guten Service Tamina Klinger weiß, wie man Dinge wachsen
Wir feiern Umtriebige… Immer auf Achse, immer nah dran an den Menschen
Andreas Imiela ist für GISA immer unterwegs und führt seit 17 Jahren ein Leben „aus dem Koffer“. Die Gründe dafür nennt er im Interview.