Am 28.05. 2021 ist das neue IT-Sicherheitsgesetz (IT-SIG 2.0) nun in der Version 2.0 in Kraft getreten. Die Übergangsfrist bis zur Umsetzung beträgt 2 Jahre. Bis Mai 2023 müssen daher Betreiber Kritischer Infrastrukturen (KRITIS) die Änderungen des neuen IT-SIG 2.0 umgesetzt haben und die haben es in sich.

So werden KRITS-Betreiber hierin verpflichtet, Angriffserkennungssysteme nicht nur vorzuhalten, sondern auch die daraus gewonnenen Informationen regelmäßig auszuwerten. Sicherheitssysteme wie SIEM (Security Event Management), SOC (Security Operation Center) oder Vulnerability Management (Schwachstellenmanagement) gehören damit unerlässlich zum Standardrepertoire der IT.

Weiterhin wurden die Schwellenwerte in 6 Bereichen gesenkt, womit zwangsläufig mehr Unternehmen unter die Zertifizierungspflicht der ISO 27001 fallen.

Beim Sektor „Energie“ wurde der bisherige Schwellenwert (ab 50.000 versorgte Haushalte Zertifizierung nach ISO 27001 erforderlich) gleich komplett gestrichen, womit nun jeder Energieversorger die ISO 27001 Zertifizierung benötigt. Es ist auch davon auszugehen, dass die Schwellenwerte in der Zukunft weiter abgesenkt werden.

Neu ist auch, dass KRITIS-Betreiber, die unter den Schwellenwert fallen, sich beim BSI registrieren müssen. Auch hat das BSI im IT-SIG 2.0 erweiterte Befugnisse erhalten und darf nun auch tiefergehende Prüfungen bei KRITIS-Betreibern vornehmen. Hierfür wird dem BSI auch mehr Personal zur Seite gestellt.

Neu hinzugekommen ist der Sektor „Entsorgung“ und die UNBÖFI (Unternehmen im besonderen öffentlichen Interesse). Diese sind in 3 Kategorien aufgeteilt.

  1. UNBÖFI Rüstung, Waffen und VS-IT (nach AWV)
  2. UNBÖFI Volkswirtschaftliche Bedeutung
  3. UNBÖFI Gefahrstoffe (Betriebsbereiche obere Kl.)

Diese unterliegen auch eigenen speziellen Cyber Security Pflichten

Neu ist auch der im IT-SIG 2.0 enthaltene § 9b, der besondere Aufmerksamkeit verdient. Hierin werden Betreiber kritischer Infrastrukturen verpflichtet, kritische Komponenten nur dann betreiben zu dürfen, wenn der Hersteller der Komponente, eine Erklärung gegenüber dem Betreiber der kritischen Infrastruktur abgegeben hat (Garantieerklärung). Das BMI legt hierbei die Mindestanforderungen für die Garantieerklärung im Rahmen einer Allgemeinverfügung fest. Weiterhin erstreckt sich der § 9b auf die gesamte Lieferkette. Wohl dem, der bereits ein fertiges Sec LA in der Schublade hat.