Mit dem Inkrafttreten des zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT Sicherheitsgesetz 2.0) intensiviert die Bundesregierung ihre Bemühungen, Deutschlands IT-Systeme und digitale Infrastrukturen zu sichern. Das Gesetz erweitert das ursprüngliche IT Sicherheitsgesetz von 2015, welches auch unter IT Sicherheitsgesetz 1.0 (IT-SiG 1.0) bekannt ist. Es konzentriert sich auf die Verbesserung der IT-Sicherheit in Unternehmen, in kritischen Infrastrukturen, in der Bundesverwaltung und für BürgerInnen im Internet. Die Gesetze sind ein zentraler Baustein der Strategie der Bundesregierung, um die digitale Infrastruktur Deutschlands zu stärken.
Aufgrund der steigenden Anzahl und Komplexität von Cyberangriffen und den damit einhergehenden erhöhten Sicherheitsanforderungen wurde das IT Sicherheitsgesetz 1.0 überarbeitet und das IT Sicherheitsgesetz 2.0 eingeführt. Das Gesetz fordert konkrete Maßnahmen und Schutzvorkehrungen. Darunter die Implementierung geeigneter Sicherheitsmaßnahmen, um unbefugten Zugriff zu verhindern und regelmäßige Sicherheitsüberprüfungen, um den Schutz vor Cyberangriffen zu stärken.
Zusammengefasst sind die Hauptziele des IT-Sicherheitsgesetz 2.0 die Stärkung der IT-Sicherheit kritischer Infrastrukturen sowie weiterer Unternehmen von öffentlichem Interesse, um potenzielle Angriffsflächen zu minimieren und die Resilienz gegenüber Cyberbedrohungen zu erhöhen.
Die Bundesregierung hat durch das erste IT Sicherheitsgesetz und die nachfolgende KRITIS-Verordnung bestimmte Sektoren von Wirtschaft und Verwaltung, die zum Beispiel besonders starken Schutz vor Ransomware und Cyberangriffen benötigen, adressiert. Laut der Definition des BSI sind kritische Infrastrukturen „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen”. Eine Störung oder ein Ausfall in einer solchen Einrichtung würde schwerwiegende Auswirkungen haben. Zu den kritischen Infrastrukturen im Rahmen des IT Sicherheitsgesetzes gehören insgesamt acht Bereiche:
BetreiberInnen kritischer Infrastrukturen müssen basierend auf § 8a Abs. 1 des IT Sicherheitsgesetzes angemessene technische und organisatorische Vorkehrungen treffen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme zu verhindern. Dazu gehören unter anderem die Implementierung von Firewalls, Intrusion Detection and Prevention Systemen, die regelmäßige Überwachung und Aktualisierung der Systeme sowie Schulungen und weitere Sensibilisierungsmaßnahmen für Mitarbeitende. Zusätzlich schreibt § 8a des IT Sicherheitsgesetzes vor, dass Sicherheitsaudits durchgeführt werden müssen, um die Wirksamkeit der Sicherheitsmaßnahmen zu bewerten und Schwachstellen zu identifizieren. BetreiberInnen kritischer Infrastrukturen müssen ihre IT-Systeme regelmäßig auf Schwachstellen und Risiken überprüfen und entsprechende Maßnahmen ergreifen.
Die erhöhten Sicherheitsanforderungen sollen die BetreiberInnen dazu motivieren, eine proaktive Sicherheitskultur zu entwickeln und sicherzustellen, dass sie angemessene Schutzmaßnahmen ergreifen, um ihre IT-Systeme vor potenziellen Bedrohungen zu schützen. Laut dem IT Sicherheitsgesetz müssen BetreiberInnen von kritischen Infrastrukturen zudem jedes zweite Jahr KRITIS-Audits durchführen lassen. Bei der aktuellen Geschwindigkeit der technologischen Entwicklung, vor allem im Bereich Cybersecurity, sind zwei Jahre eine lange Zeitspanne. So wird durch die Teilnahme an KRITIS-Audits sichergestellt, dass die Anforderungen des IT Sicherheitsgesetzes erfüllt werden. Grundsätzlich sind alle WirtschaftsprüferInnen berechtigt, ein solches Audit durchzuführen. Da aber nicht alle WirtschaftsprüferInnen das fachliche Know-how haben, sollte man vernünftigerweise IT-SpezialistInnen für die Auditierung beauftragen.
Zusätzlich zu BetreiberInnen kritischer Infrastrukturen müssen auch weitere Unternehmen, die im besonderen öffentlichen Interesse stehen, wie zum Beispiel RüstungsherstellerInnen oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung, bestimmte IT-Sicherheitsmaßnahmen umsetzen. Diese Unternehmen werden ebenfalls in den Informationsaustausch mit dem Bundesamt für Sicherheit in der Informationstechnik einbezogen.
Das IT-Sicherheitsgesetz 2.0 erweitert die Verantwortung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und verschärft die Meldepflichten für IT-Sicherheitsvorfälle. BetreiberInnen kritischer Infrastrukturen und Unternehmen, die im besonderen öffentlichen Interesse stehen, sind nun verpflichtet, erhebliche IT-Störungen und Sicherheitsvorfälle dem BSI zu melden. Das BSI fungiert als zentrale Kontaktstelle für diese Meldungen und arbeitet eng mit den betroffenen Unternehmen und Behörden zusammen.
Die Meldepflichten und die gestärkte Rolle des BSI ermöglichen eine effizientere Reaktion auf IT-Sicherheitsvorfälle. Durch die Meldungen kann das BSI schnell auf die Bedrohungslage reagieren, diese analysieren und geeignete Gegenmaßnahmen koordinieren. Dadurch können Schäden begrenzt und die betroffenen Systeme schneller wiederhergestellt werden.
Das IT-Sicherheitskennzeichen bietet Herstellern und Dienstleistern in der Informationstechnologie die Möglichkeit, durch eine Selbsterklärung, freiwillig Transparenz zu schaffen und den Verbrauchern zu zeigen, dass ihre Produkte oder Dienste bestimmte Sicherheitsmerkmale aufweisen und relevante IT-Sicherheitsstandards erfüllen.
Dieses Kennzeichen wird vom Bundesamt für Sicherheit in elektronischer Form bereitgestellt. Hersteller und Dienstleister können das Label anschließend auf ihren Geräten, Verpackungen oder Unternehmenswebseiten platzieren.
Das BSI legt Mindeststandards für die Informationstechniksicherheit des Bundes fest. Dies erfolgt in Übereinstimmung mit den jeweiligen Bundesbehörden auf der Grundlage des § 8 Absatz 1 des Bundesgesetzes für die Sicherheit in der Informationstechnik (BSIG). Diese Mindeststandards sind gesetzlich vorgeschrieben und definieren das niedrigste akzeptable Sicherheitsniveau für Informationssysteme.
Die Mindeststandards gelten für:
Im § 14 des BSIG wurden neue Bußgeldregelungen eingeführt. Diese betreffen die Nichterbringung von erforderlichen Nachweisen, die Nichterreichbarkeit vorgeschriebener Kontaktstellen und das Verweigern der Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnik.
Die Bußgelder reichen von 100.000 € bis zu 20 Mio. €. Hier sind einige Beispiele für die Höchstbeträge:
Auch der Datenschutz in Unternehmen wird vom IT Sicherheitsgesetz 2.0 beeinflusst. Das Gesetz legt großen Wert auf angemessene IT-Sicherheitsmaßnahmen, um personenbezogene Daten zu schützen. Unternehmen müssen sicherstellen, dass ihre IT-Sicherheitsstrategien die Datenschutzvorschriften einhalten und vor unbefugtem Zugriff, Datenverlust oder Missbrauch schützen. Das BSI hat nun die Befugnis, Protokolldaten, die bei der Nutzung von Bundeskommunikationstechnik anfallen, bis zu 18 Monate lang zu speichern. Dies betrifft Informationen, die während der Kommunikation zwischen BürgerInnen und Behörden entstehen. Diese erweiterte Datenspeicherung ermöglicht es dem BSI, Sicherheitsrisiken genauer zu überwachen und auf Bedrohungen effektiver zu reagieren.
Außerdem kann das BSI Informationen, einschließlich persönlicher Daten, von BetreiberInnen kritischer Infrastrukturen anfordern, wenn es Störungen gibt. Dies gibt dem BSI die Möglichkeit, schnell zu handeln und geeignete Maßnahmen zur Problembehebung zu ergreifen. Das Hauptziel des Gesetzes ist es, Datenschutz als integralen Bestandteil der Informationssicherheit zu etablieren und Unternehmen bei der Umsetzung angemessener Datenschutzmaßnahmen zu unterstützen. Gleichzeitig erhält das BSI erweiterte Befugnisse zur Datenspeicherung und Informationsanforderung, um seinen Verpflichtungen nachzukommen.
Das IT Sicherheitsgesetz 2.0 hat einen erheblichen Einfluss auf die IT-Sicherheitsstrategie und Geschäftspraktiken von Unternehmen. Die Sicherheit und der Schutz kritischer Infrastrukturen müssen nun höchste Priorität haben. Unternehmen müssen ihre Sicherheitsmaßnahmen überprüfen und gegebenenfalls anpassen, um den verschärften Anforderungen gerecht zu werden. Dies erfordert die Integration wirksamer Sicherheitslösungen, regelmäßige Systemaktualisierungen und vor allem Schulungen und die nachhaltige Sensibilisierung der Mitarbeitenden zu Sicherheitsthemen. Darüber hinaus müssen Unternehmen ihre Datenschutz- und Compliance-Richtlinien überarbeiten, um den rechtlichen Anforderungen des IT Sicherheitsgesetzes 2.0 gerecht zu werden. Verstöße gegen diese Vorschriften können mit erheblichen Geldbußen von bis zu 20.000.000 EUR oder 4 % des weltweiten Unternehmensumsatzes geahndet werden.
IT-Sicherheit ist von entscheidender Bedeutung für alle Unternehmen, unabhängig von ihrer Größe oder Branche. Sie schützt vor Cyberangriffen, bewahrt sensible Daten, gewährleistet die Betriebskontinuität und hilft, gesetzlichen Anforderungen gerecht zu werden. Unternehmen, die in IT-Sicherheit investieren, können nicht nur ihre Reputation schützen, sondern auch einen Wettbewerbsvorteil erlangen. Da Cyberkriminelle keine Unterschiede machen, ist die Gewährleistung der IT-Sicherheit ein unabdingbarer Aspekt der modernen Unternehmensführung und schützt nicht nur das Unternehmen selbst, sondern auch seine KundInnen, GeschäftspartnerInnen und die Gesellschaft vor den verheerenden Auswirkungen von Cyberangriffen.
Die erfolgreiche Implementierung des IT Sicherheitsgesetzes erfordert eine Reihe konkreter Maßnahmen. Im Folgenden finden Sie Tipps, wie Sie die Vorgaben des Gesetzes effektiv umsetzen können, um die Sicherheit Ihrer IT-Systeme zu gewährleisten:
In der heutigen digitalen Welt sind Cyber-Sicherheitsverletzungen bedauerlicherweise zur Regel geworden, und sie werden oft durch menschliches Versagen begünstigt, was Angriffserkennung umso wichtiger macht. Das Bundesamt für Sicherheit in der Informationstechnik unterstreicht die Bedeutung regelmäßiger Schulungen für die Belegschaft. In diesem Kontext bieten Lernprogramme und Schulungen eine Möglichkeit, Mitarbeitende von potenziellen Risikofaktoren zu wertvollen VerteidigerInnen der IT-Sicherheit Ihres Unternehmens zu transformieren. Solche Schulungen fördern eine langanhaltende Sicherheitskultur und tragen dazu bei, dass Teammitglieder zu wichtigen Schutzschilden gegenüber den ständig präsenten Cyberbedrohungen werden. Die Investition in die IT-Sicherheit eines Unternehmens ist entscheidend, um die IT-Infrastruktur zu schützen und die Sicherheit von Daten zu gewährleisten.
Seit geraumer Zeit kursieren Spekulationen über die Erweiterung des IT Sicherheitsgesetzes zu einem “IT-SiG 3.0”. Es ist vorhersehbar, dass es durch die Umsetzung der NIS 2-Richtlinie zu maßgeblichen Anpassungen in der deutschen Gesetzgebung im Bereich der Cybersicherheit kommen wird. Der Anwendungsbereich soll neu gestaltet und der Adressatenkreis deutlich erweitert werden. In Zukunft müssen alle mittelständischen und großen Unternehmen in den von dem IT-SiG 3.0 genannten Branchen Cybersicherheitsverpflichtungen erfüllen. Nur Kleinst- und kleine Unternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz oder einer Jahresbilanz von nicht mehr als 10 Mio. Euro sollen von der Anwendung ausgenommen werden. Es wird angenommen, dass mindestens 30.000 weitere Unternehmen erfasst werden sollen.
In Zukunft soll es im Wesentlichen eine Unterscheidung zwischen den BetreiberInnen von kritischen Anlagen (früher kritische Infrastrukturen), besonders wichtigen Einrichtungen (früher wichtige Einrichtungen gemäß der NIS 2-Richtlinie) und wichtigen Einrichtungen geben. Die AdressatInnen haben wichtige Aufgaben gemäß den §§ 30 ff. BSIG, wie z. B. die Implementierung von Risikomanagementmaßnahmen und eine ständige Bereitstellung von Nachweisen, die Meldung von Cybersicherheitsvorfällen, die Registrierung der BetreiberInnen beim BSI und teilweise die Unterrichtung von Cyberangriffen betroffenen eigenen KundInnen. Je nachdem, ob es sich um eine kritische Einrichtung, eine besonders wichtige Einrichtung oder eine wichtige Einrichtung handelt, wird die Implementierung von Risikomanagementmaßnahmen innerhalb der Pflichten eingestuft. Nur BetreiberInnen von kritischen Anlagen sind verpflichtet, Systeme zur Angriffserkennung einzusetzen. Es ist möglich, dass die Bußgelder bis zu 20 Millionen Euro betragen. Einige Bußgelder werden je nach Betreiber von kritischen Anlagen, besonders wichtigen oder bedeutenden Einrichtungen abgestuft.
Insgesamt hat das IT Sicherheitsgesetz 2.0 erhebliche Auswirkungen auf Unternehmen und deren IT-Sicherheit. Die Einhaltung strenger Sicherheitsstandards und der Schutz wichtiger Infrastrukturen erfordern einen verstärkten Fokus. Um den Anforderungen des Gesetzes gerecht zu werden, müssen Unternehmen ihre IT-Sicherheitsstrategien überprüfen, geeignete Maßnahmen ergreifen und Mitarbeitende ständig auf dem aktuellen Stand der Dinge halten, da nicht nur der Bereich IT-Sicherheit, sondern auch Datenschutz als kritische Felder tangiert werden.
Um ihr Unternehmen vor Risiken und Verstößen gegen geltenden IT-Sicherheits- sowie vor Datenschutzvorschriften und damit verbundenen Geldbußen oder Schadensersatzforderungen zu schützen, müssen ihre Mitarbeitenden kontinuierlich für einen verantwortungsvollen Umgang mit personenbezogenen Daten sowie im Umgang mit gängigen IT-Sicherheitsrisiken sensibilisiert und regelmäßig geschult werden.
Inhaltsangabe