Das bereits im Jahre 2021 verabschiedete „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz 2.0 oder auch IT-SiG 2.0) muss in den betroffenen Unternehmen bis zum 1. Mai 2023, und damit 2 Jahre nach Inkrafttreten, umgesetzt sein.
Als neue kritische Infrastruktur findet im IT-SiG 2.0 die Siedlungsabfallentsorgung nun ebenfalls Berücksichtigung. Darüber hinaus fallen durch die Absenkung von Schwellenwerten mehr Unternehmen unter die kritischen Infrastrukturen. Mit den „Infrastrukturen im besonderen öffentlichen Interesse“ ist zudem eine weitere Zielgruppe eingeführt. Weitergehend erhält das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der Gesetzesneuerung sehr viel mehr Kompetenzen und Personal, um die Einhaltung der Vorgaben zu kontrollieren.
KRITIS-Betreiber unterliegen u. a. folgenden Pflichten:
- Implementierung von Systemen zur Angriffserkennung als Bestandteil technischer und organisatorischer Sicherheitsvorkehrungen in KRITIS-Anlagen (KRITIS-Prüfungen sind nachzuweisen)
- IT-Sicherheit gemäß Stand der Technik umsetzen und dies alle 2 Jahre dem BSI gegenüber nachweisen
Die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) konkretisiert als Rechtsverordnung die Ausführungen des IT-SiG 2.0 dahingehend, welche Unternehmen als Betreiber kritischer Infrastrukturen das IT-SiG 2.0 umsetzen müssen. Sie definiert KRITIS-Anlagen in den einzelnen Sektoren und schreibt die Schwellenwerte fest.
Die nachfolgende Tabelle zeigt Sektoren, die von einer Senkung der Schwellenwerte betroffen sind:
Abb. 1: Schwellenwertsenkungen nach aktueller Kritisverordnung (23.Juni 2021)
Insbesondere die neu als kritische Infrastruktur eingestuften Zweige und die neu hinzu gekommenen Betreiber (in Summe ca. 250) dürfte die fristgerechte Umsetzung der aus dem IT-SiG 2.0 resultierenden Anforderungen vor große Aufgaben stellen. Dies insbesondere in Anbetracht einer Vielzahl anderer aktueller Herausforderungen für die Unternehmen und Institutionen wie Energiekosten, Fachkräftemangel und Pandemie. Umgekehrt hat aber die Bedrohungslage für Betreiber kritischer Infrastrukturen aufgrund der aktuellen weltpolitischen Lage eine neue Dimension erreicht. Neben physischen Beschädigungen kritischer Infrastrukturen (z. B. die Manipulation von Glasfasern der Deutschen Bahn und die verschiedenen Lecks in den Gaspipelines) ist hier insbesondere auch die Cyber-Bedrohungslage anzusprechen. Die Verwundbarkeit unserer kritischen Infrastrukturen wurde uns anhand der massiven Auswirkungen in Form der Lahmlegung des Bahnverkehrs, resultierend aus vergleichsweise geringen Manipulationen an Glasfaserverbindungen, schmerzlich vor Augen geführt. Mit einer umfassenden Cyber-Defense-Strategie könnten KRITIS-Betreiber jedoch ihre Ausfallsicherheit deutlich erhöhen, um dadurch vor Cyber-Angriffen besser geschützt zu sein.
Nicht zuletzt sollten auch die verstärkten Sanktionen in Form der Verhängung empfindlicher Bußgelder bis hin zu 2-stelligen Millionenbeträgen gemäß IT-SiG 2.0 für KRITIS-Unternehmen Antrieb genug sein, sich dem Thema – falls nicht bereits geschehen - schnellstmöglich zu widmen. So werden gemäß IT-SiG 2.0 vorsätzliche oder fahrlässige Verstöße gegen KRITIS-Vorgaben (wie z. B. fehlende Nachweise, Störungsmeldungen, Maßnahmen oder Fehler bei Zertifizierungen) als Ordnungswidrigkeiten festgelegt.
Erweiterte Befugnisse des BSI
Mit dem neuen Gesetz wurden auch die Befugnisse des BSI zum Schutz der Kommunikationstechnik und IT des Bundes deutlich erweitert. Hierzu zählen u. a.:
- die Aufgabe als zentrale allgemeine Meldestelle für Sicherheit in der Informationstechnik,
- die Übernahme der Aufgabe als nationale Behörde für Cybersicherheitszertifizierung
- oder die Kontrolle der Sicherheit der Kommunikationstechnik und Infrastrukturen des Bundes.
Zur Bewältigung der neuen Aufgaben des BSI sind 799 neue Planstellen angemeldet.
Es besteht jedoch nicht unerheblicher Zweifel, ob – und wenn ja, in welchem Umfang – dieses Ziel erreicht wird. Zumal dies aktuell nicht einmal der freien Wirtschaft mit in der Regel attraktiveren Gehaltsstrukturen und Arbeitsumfeldern gelingt.
Resümee
Unabhängig von dem Umstand, dass betroffenen Unternehmen und Institutionen bis zum 1. Mai 2023 die aus dem IT-SiG 2.0 resultierenden Pflichten umsetzen müssen, fordert es schon die aktuelle weltpolitische Lage, sich dem Schutz unserer kritischen Infrastrukturen mit hoher Priorität zu widmen.
Ob die hierfür erforderliche flankierende Unterstützung durch das BSI allerdings im vorgesehenen Umfang und zeitnah geleistet werden kann – u. a. durch die Aufstockung der BSI-Belegschaft um die vorgesehenen 799 neuen Planstellen – darf jedoch bezweifelt werden.