Anzeige

IT-Sicherheitsgesetz

Das neue IT-Sicherheitsgesetz 2.0 des Bundesinnenministeriums steht kurz vor der Verabschiedung. Es sieht unter anderem Veränderungen im Zusammenhang mit dem Schutz kritischer Infrastrukturen (KRITIS) vor. Für KRITIS-Unternehmen soll es zum Beispiel eine Ausweitung der Berichtspflichten geben.

Die CARMAO GmbH, Spezialist für Unternehmensresilienz, zeigt zusätzliche Pflichten auf und wie Unternehmen den neuen Anforderungen entsprechen können.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 2020 einen umfassenden Bericht zur Lage der IT-Sicherheit in Deutschland vorgelegt. Das Ergebnis: IT-Systeme in kritischen Infrastrukturen sind nicht ausreichend vor Cyberangriffen gefeit. Die Zahl der meldepflichtigen IT-Sicherheitsvorfälle bei KRITIS-Betreibern verzeichnete einen Anstieg von über 60 Prozent im Vergleich zu 2019. Die Bundesregierung sieht bei vielen KRITIS-Betreibern im Bereich Informationssicherheit Nachholbedarf, weshalb eine Anpassung des IT-Sicherheitsgesetzes auf den Weg gebracht wurde.

KRITIS-Unternehmen durch Sicherheitsgesetz 2.0 stärker gefordert

Das neue IT-Sicherheitsgesetz 2.0 steht kurz vor der Verabschiedung – trotz kritischer Stimmen. Es sieht unter anderem vor, dass Unternehmen eine verstärkte Meldepflicht gegenüber dem BSI haben, wenn bestimmte, im Gesetz definierte KRITIS-Anlagen betroffen sind. Als KRITIS-Unternehmen gelten Organisationen oder Einrichtungen mit entscheidender Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere wesentliche Folgen für das Gemeinwohl eintreten würden. 

Betreiber Kritischer Infrastrukturen sollen stärker in die Pflicht genommen werden, indem sie beispielsweise umfangreiche Dokumentations- und Berichtspflichten umsetzen müssen. Eine wesentliche Neuerung des Gesetzes ist in diesem Zusammenhang auch die Aufnahme des Bereiches „Entsorgung“ in die Liste der Branchen, die Kritische Infrastrukturen betreiben. Außerdem wurde die Kategorie „Infrastruktur von besonderem öffentlichen Interesse“ eingeführt, für die die KRITIS-Regeln ebenfalls angewandt werden sollen. Dies betrifft u.a. Bereiche wie Kultur, Medien und Rüstung.

Auch Unternehmen „von erheblicher volkswirtschaftlicher Bedeutung“ sollen im Zuge des IT-Sicherheitsgesetzes 2.0 dem BSI gegenüber darlegen, welche Maßnahmen sie zur Verbesserung ihrer IT-Sicherheit planen. Das Amt soll daraufhin zusätzliche Maßnahmen für die Unternehmen anordnen können. Außerdem sollen Unternehmen der Verpflichtung gegenüber dem BSI unterliegen, Cyberangriffe unverzüglich zu melden. 

Ulrich Heun, Geschäftsführer der CARMAO GmbH, sagt: „Experten sehen in den neuen umfangreichen Dokumentations- und Berichtspflichten keinen wesentlichen Sicherheitsgewinn – im Gegenteil: Die zusätzlichen Pflichten halten Unternehmen von ihrem Kerngeschäft ab. Betroffene Unternehmen sollten daher über ein Informationssicherheits-Managementsystem (ISMS) nachdenken oder sich an IT-Sicherheitsspezialisten wenden, um die verschärften Anforderungen erfüllen zu können.“

In der IT-Sicherheitsinfrastruktur eines Unternehmens bleiben ohne eine durchgängige Grundstruktur mögliche Schwächen oftmals unentdeckt. In Problemfällen fehlt es dann an klaren Abläufen und Zuständigkeiten. Durch ein Informationssicherheits-Managementsystem (ISMS) wird die erforderliche klare Grundordnung geschaffen. 

Ulrich Heun erklärt: „Ein ISMS kann als Basis für eine umfassende IT-Sicherheitsstrategie fungieren. CARMAO hat deshalb einen Leitfaden zur strategischen Ausrichtung und Einführung eines ISMS herausgegeben, den Unternehmen kostenfrei anfordern können. Unsere Experten leisten darüber hinaus Unterstützung bei der Umsetzung von spezifischen Maßnahmen im Bereich Informationssicherheit, z.B. durch die Bereitstellung externer Informationssicherheitsbeauftragter, Überprüfung des IT-Notfallmanagements, interne Audits, Vorbereitung auf KRITIS-Audits, Resilience Assessments und vieles mehr.“

www.carmao.de

 


Artikel zu diesem Thema

Cyber Attacke
Feb 19, 2021

Unternehmen sehen gestiegene Gefahr von Cyberangriffen

Die Gefahr, zum Opfer von Cyberangriffen zu werden, ist aus Sicht vieler Unternehmen im…
Paragraph
Feb 15, 2021

IT-Sicherheitsgesetzes 2.0: Quo vadis IT-Sicherheit in KRITIS?

IT-Systeme in kritischen Infrastrukturen (KRITIS) sind nicht vor Cyberangriffen gefeit.…

Weitere Artikel

Hacker-Travel

Sommerzeit – Urlaubszeit – wie Mitarbeiter sich vor Cyberattacken schützen können

„Habt ihr Tipps für Reiseziele?“, „Wer kennt ein gutes Hotel auf Bali?“, „Ich bin dann mal zwei Wochen weg“ – der Sommer ist zurück, Reisen ist wieder erlaubt (wenn auch mit den ein oder anderen Vorgaben) und das Fernweh kann gestillt werden.
Cyber Security

SASE etabliert sich als zentraler Trend der IT-Sicherheit

Unternehmen müssen die Sicherheit ihrer IT-Infrastruktur neu definieren, weil immer mehr Mitarbeiter im Homeoffice arbeiten.
Olympische Spiele

Cybersicherheit bei den Olympischen Spielen in Tokio

Seit den Olympischen Spielen 2004 in Athen ist Cybersicherheit ein immer wichtigeres Thema sowohl für Gastgeberländer als auch das Internationale Olympische Komitee (IOC). Die wachsende Abhängigkeit der Abläufe von der IT-Infrastruktur hat zu erhöhten…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.