Betreiber kritischer Infrastrukturen müssen sich auf Änderungen einstellen, da das dritte KRITIS-Gesetz vor der Tür steht. „Mit der Version 3.0 des IT-Sicherheitsgesetzes erhalten voraussichtlich bis zu 30.000 weitere Unternehmen den nicht immer erwünschten KRITIS-Status“, schreibt NCP in einem Blog-Beitrag.
„Die Sicherheit kritischer Infrastrukturen ist für ein hoch industrialisiertes Land wie Deutschland unverzichtbar“, betont die NCP engineering GmbH in dem Blog-Beitrag. „Deshalb hat die Bundesregierung 2015 erstmals die Version 1.0 des ,Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme‘ (IT-Sicherheitsgesetz oder IT-SIG) in Kraft gesetzt.“ Es sollte die digitalen Systeme in der BRD extrem sicher machen und den Bundesbürgern ein gutes Gefühl vermitteln.
Die zweite Version von 2021
Sechs Jahre später folgte die zweite Version des IT-Sicherheitsgesetzes, das mehr Anstrengungen bei der Sicherheit fordert. KRITIS-Betreiber sind seitdem zum Beispiel dazu verpflichtet, die Angriffserkennung durch spezielle Systeme zu verstärken. „Zudem hat der Bund die Kompetenzen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erweitert, insbesondere bei der Aufdeckung von Sicherheitslücken und der Abwehr von Cyber-Gefahren“, so NCP. „Zudem darf die Behörde seither Mindeststandards für andere Bundesbehörden verbindlich festlegen und deren Einhaltung auch kontrollieren.“ Durch das IT-Sicherheitsgesetz 2.0 avancierte das BSI „zur nationalen Behörde für die Cyber-Sicherheitszertifizierung nach den Vorgaben des Cybersecurity Acts (CSA) der Europäischen Union (EU)“, so NCP.
Die NIS2-Richtlinie
Seit Mai 2023 existiert ein inoffizieller Entwurf der dritten Version, der prompt Aufsehen erregte. Demnach muss die BRD „bis zum 17. Oktober 2024 die EU-Richtlinie NIS2 in nationales Recht umsetzen“, schreibt NCP. Die seit Januar 2023 in der EU geltende NIS2-Richtlinie steht für „Network and Information Security“ und löste die seit 2016 geltende erste NIS-Richtlinie ab. „Die aktualisierte NIS2-Fassung soll ein einheitlich hohes Sicherheitsniveau in der gesamten Europäischen Union gewährleisten“ und konzentriert sich dabei besonders auf kritische Infrastrukturen. Laut NIS2 müssen die Mitgliedsstaaten beispielsweise Computer-Security-Incident-Response-Teams (CSIRT) ins Leben rufen und stärker mit anderen EU-Ländern beim Informationsaustausch kooperieren. „Damit die höheren Anforderungen kleine und mittlere Unternehmen (KMU) nicht überfordern, gibt es Begrenzungen nach unten“, so NCP. „So gilt NIS2 nur für Unternehmen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von mehr als zehn Millionen Euro.“
Version 3.0 des IT-Sicherheitsgesetzes
Welche weiteren Neuerungen die dritte Version des IT-Sicherheitsgesetzes bringen wird und wie sich das auf das BSI auswirkt, erfahren Sie im weiteren Verlauf des Blogs.