Was Unternehmen jetzt wissen und erledigen sollten

IT-Sicherheitsgesetz 2.0

Cybersecurity Stadt

Ab Mai 2023 gelten mit dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) schärfere Vorgaben für die IT-Sicherheit in KRITIS-Unternehmen.

Auch der Kreis der betroffenen Unternehmen erweitert sich deutlich. Für viele ist das eine neue Situation. Wer vorausschauend handelt, kann sich nicht nur sicher sein, jederzeit gesetzeskonform zu handeln, sondern sich mitunter auch einen wichtigen Wettbewerbsvorteil verschaffen.

Anzeige

Das IT-Sicherheitsgesetz (IT-SiG) ist seit 2015 eines der entscheidenden Gesetze, mit denen die Bundesregierung Behörden und die Bevölkerung vor Cyberangriffen und ihren Folgen schützen will. Mit Inkrafttreten des IT-SiG 2.0 im Jahr 2021 haben sich die Spielregeln auch für viele Unternehmen geändert, die zuvor noch nicht im Fokus standen – und sie bekamen zwei Jahre Zeit, die neuen Vorgaben umzusetzen. Bisher waren Betreiber Kritischer Infrastrukturen in den Bereichen Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Transport und Verkehr sowie Gesundheit betroffen. Neu hinzugekommen sind der Sektor Siedlungsabfälle und alle so genannten „Unternehmen im besonderen öffentlichen Interesse“ (UBI).

Was bedeutet besonderes öffentliches Interesse?

Während sicher jedes Unternehmen ohne Schwierigkeiten sagen kann, ob es im Bereich Siedlungsabfälle tätig ist oder nicht, lässt sich die Frage nach dem besonderen öffentlichen Interesse nicht ganz so einfach beantworten. Zu den UBI gehören neben den wirtschaftlich stärksten Unternehmen Deutschlands auch Rüstungsunternehmen, Störfallbetriebe sowie Unternehmen, die im Bereich „von Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen oder für die IT-Sicherheitsfunktion wesentlicher Komponenten solcher Produkte tätig sind.“ Mehr Informationen dazu, welche Kriterien ausschlaggebend sind, stellt das BSI auf seinen Internetseiten bereit, im Zweifelsfall können sich Unternehmen von externen Dienstleistern wie secunet beraten lassen. 

Genügt das aktuelle IT-Sicherheitsniveau den Anforderungen?

IT-Sicherheit ist ein Wettlauf ohne Ziellinie, bei dem grundsätzlich gilt: Schadensvermeidung ist besser als Schadensbekämpfung. Unternehmen, die bereits angegriffen wurden, können dies sicher bestätigen. Das IT-SiG 2.0 berücksichtigt diesen Umstand stärker als die vorherige Version. Konkret heißt das, dass den bestehenden fünf Pflichten zwei neue hinzugefügt wurden. Bislang mussten betroffene Unternehmen alle zwei Jahre einen Nachweis des Mindestniveaus durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erbringen; ihre IT-Sicherheit gemäß dem Stand der Technik aufrechterhalten; IT-Störungen oder erhebliche Beeinträchtigungen melden; dem BSI auf Nachfrage Auskunft erteilen und Unterlagen zur Verfügung stellen; Kritische Infrastrukturen beim BSI registrieren. Neu ist nun: Erstens dürfen sämtliche sicherheitsrelevanten Netz- und Systemkomponenten nur von vertrauenswürdigen Herstellern stammen. Zweitens müssen Unternehmen Systeme zur Angriffserkennung im Einsatz haben. Im Idealfall erreichen Angriffe dadurch gar nicht erst die Unternehmen, weil sie bereits frühzeitig erkannt und gestoppt werden.

NL Icon 2
Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.

Was müssen Unternehmen jetzt tun?

Für KRITIS- und UBI-Anbieter gleichermaßen sind die Anforderungen durch das IT-SiG 2.0 gestiegen. Um eine Ist-Analyse samt abgeleiteten Maßnahmen und Implementierungsplänen kommen sie nicht herum. Das bindet Ressourcen und fordert Know-how, das teilweise erst aufgebaut werden muss. So gesehen verursacht das durch das Gesetz vorgeschriebene Maß an IT-Sicherheit erst einmal zusätzliche Kosten. Da der Gesetzgeber bei Verstößen zudem mit Geldbußen in Höhe von bis zu 20 Millionen Euro droht, kommt auf viele Unternehmen eine neue Art Risiko hinzu. Es ist wichtig, sofort zu handeln.

Können Unternehmen aus der Verpflichtung einen Geschäftsvorteil ziehen?

Bei allen Verpflichtungen birgt das Gesetz jedoch auch einen wichtigen unternehmerischen Nutzen – und er wird umso deutlicher, je wichtiger datenbasierte oder datengetriebene Geschäftsmodelle werden. Das Beispiel Automotive und Mobility zeigt, wie Anbieter ihre Geschäftsmodelle transformieren und dabei zunehmend auf Daten setzen. Aus Daten Wert zu schöpfen, mit Daten Geld zu verdienen, ist eine für ihre Zukunft kaum zu überschätzende Aufgabe. Basis dafür ist das sichere Teilen von Daten, sei es mit Fahrzeugen, mit IoT- und Smart-City-Geräten, mit Kunden, Partnern, Lieferanten und anderen Anbietern. In anderen Branchen sieht es ähnlich aus.

Angesichts der stetig ansteigenden Datenflut müssen wohl die meisten Unternehmen davon ausgehen, dass ihre eigenen IT-Kapazitäten dafür nicht ausreichen. Die Lösung liegt in der Vernetzung. Nicht nur Daten zu teilen, sondern Infrastrukturen miteinander zu verbinden und, wo es sinnvoll ist, Kapazitäten und Services aus den Clouds nutzen, wird zunehmend zur Basis des künftigen Geschäftserfolgs – und spätestens damit wird auch der unternehmerische Wert einer sicheren IT deutlich. Unternehmen, die sich einer solchen gewiss sein können, haben sich nicht nur in eine gesetzliche Notwendigkeit gefügt, sondern investieren sinnvoll in ihre Zukunft im digitalen Ökosystem.

So helfen Lösungen von secunet beim Erfüllen von IT-SiG 2.0-Vorgaben

Für KRITIS und UBI bietet secunet umfangreiche Beratungs-, Penetrations- und Forensik-Dienstleistungen sowie auch IT- bzw. OT-Sicherheitslösungen an. Die folgenden drei Beispiele gehören zu den zentralen Bausteinen, mit denen Unternehmen ihre IT-Sicherheit verbessern:

Die für ein transparentes IT-Sicherheitsmonitoring und eine frühzeitige Angriffserkennung entwickelte Lösung secunet monitor erstellt ein Lagebild, um potenzielle Sicherheitsvorfälle schnell sichten, bewerten, eindämmen oder direkt unterbinden zu können. Zusätzlich erleichtert die Lösung die Bewertung durch das Management und die zuständigen Behörden. So werden Unternehmen in die Lage versetzt, viel zielgerichteter kurz-, mittel- und langfristige Strategien und Maßnahmen zu entwickeln und umzusetzen.

Mit SecuStack bietet secunet ein auf der führenden Open-Source-Software „OpenStack“ basierendes Cloud-Betriebssystem an. Gemeinsam mit Cloud&Heat entwickelt, bietet SecuStack Kunden größtmöglichen Schutz vor unerlaubten Zugriffen und Hacker-Angriffen.

Mit der Sicheren Inter-Netzwerk Architektur SINA können Unternehmen sämtliche Sicherheitsvorgaben abdecken, die das BSI für die Arbeit mit sensiblen Daten und Unterlagen vorsieht. Mitarbeiter können mit SINA auf ihren Endgeräten unabhängig von ihrem Standort auf sensible Daten zugreifen, wobei die Lösung selbst die Anforderungen für Verschlusssachen in Behörden erfüllt. Dabei kann SINA aufgrund der großen Vielfalt an verfügbaren Komponenten auf sehr unterschiedliche Sicherheitsanforderungen zugeschnitten werden – auch auf diejenigen von KRITIS und UBI.

Steffen Heyde

secunet Security Networks AG -

Leiter Marktsegmente

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.