Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Das Jahr 2024 verändert nicht nur für die bisherigen KRITIS-Betreiber einiges. Mit der Version 3.0 des IT-Sicherheitsgesetzes erhalten voraussichtlich bis zu 30.000 weitere Unternehmen den nicht immer erwünschten KRITIS-Status.
Die Sicherheit kritischer Infrastrukturen ist für ein hoch industrialisiertes Land wie Deutschland unverzichtbar. Deshalb hat die Bundesregierung 2015 erstmals die Version 1.0 des „Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz oder IT-SIG) in Kraft gesetzt. Das oberste Ziel bestand schon damals darin, „die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen“. Vor allem in Unternehmen und der Bundesverwaltung, aber auch bei der alltäglichen Nutzung des Internets durch die Bürgerinnen und Bürger sollte das Gesetz für mehr Sicherheit sorgen.
Welche Merkmale das IT-Sicherheitsgesetz 2.0 aufweist
Im Jahr 2021 folgte die Version 2.0 des IT-Sicherheitsgesetzes. Mit der Fortschreibung verpflichtete die Bundesregierung die KRITIS-Betreiber, ihre Systeme auf den „Stand der Technik“ zu bringen und zusätzliche Sicherheitsmaßnahmen für ihre IT-Infrastrukturen umzusetzen. So müssen sie seitdem beispielsweise Systeme zur Angriffserkennung einsetzen. Zudem hat der Bund die Kompetenzen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erweitert, insbesondere bei der Aufdeckung von Sicherheitslücken und der Abwehr von Cyber-Gefahren. Zudem darf die Behörde seither Mindeststandards für andere Bundesbehörden verbindlich festlegen und deren Einhaltung auch kontrollieren.
Mit dem IT-SIG 2.0 wurde das BSI zur nationalen Behörde für die Cyber-Sicherheitszertifizierung nach den Vorgaben des Cybersecurity Acts (CSA) der Europäischen Union (EU). Das Bundesamt muss jedoch den Zertifizierungsbereich strikt von seinen Aufgaben zur Aufsichtsführung trennen.
Weitere Änderungen betrafen unter anderem die Mobilfunkbetreiber, die ebenfalls höhere Sicherheitsanforderungen erfüllen müssen. Sie dürfen bei kritischen Komponenten nur noch auf zertifizierte Produkte zurückgreifen. Darüber hinaus sollte das BSI ein Sicherheitskennzeichen einführen, um das Thema IT-Sicherheit für Verbraucher künftig transparenter zu gestalten.
Welche Entwürfe zum IT-SIG 3.0 bereits vorliegen
Im Mai 2023 sorgte ein inoffiziell veröffentlichter Entwurf der Version 3.0 des IT-Sicherheitsgesetzes für Aufregung. Grund für die erneute Novellierung des Gesetzes ist, dass Deutschland bis zum 17. Oktober 2024 die EU-Richtlinie NIS2 in nationales Recht umsetzen muss. In der Diskussion um das IT-SIG 3.0 wird die im Frühjahr bekannt gewordene Version auch als „Erster Referentenentwurf“ bezeichnet.
Im Sommer 2023 erschien die zweite Version dieses Dokuments. Aktuell ist derzeit der „Dritte Referentenentwurf“, der im September als „Diskussionspapier“ folgte. Er entspricht dem aktuellen Stand, der heute bekannt ist.
Bevor wir uns jedoch den IT-SIG-3.0-Neuerungen zuwenden, wollen wir zunächst die im Januar 2023 EU-weit in Kraft getretene Richtlinie NIS2 näher beleuchten. Wie der Name schon sagt, gab es bereits einen Vorgänger, die erste NIS-Richtlinie aus dem Jahr 2016. Die Abkürzung NIS steht für „Network and Information Security“.
Wie die wesentlichen Bestimmungen von NIS2 lauten
Die aktualisierte NIS2-Fassung soll ein einheitlich hohes Sicherheitsniveau in der gesamten Europäischen Union gewährleisten. Ein besonderes Augenmerk liegt dabei erneut auf den kritischen Infrastrukturen, den sogenannten KRITIS. Wie oben bereits kurz erwähnt, müssen die EU-Länder die Vorgaben der NIS2-Richtlinie bis 2024 umsetzen. Daher kommt auch der Druck, das noch gar nicht so alte IT-Sicherheitsgesetz in Deutschland erneut zu novellieren. NIS2 fordert von den EU-Ländern unter anderem:
- Die Einrichtung von Computer Security Incident Response Teams (CSIRT).
- Die Benennung einer nationalen Behörde für Netz- und Informationssysteme.
- Den Ausbau der Zusammenarbeit mit anderen EU-Staaten zur Unterstützung und Erleichterung ihrer strategischen Zusammenarbeit sowie zum beschleunigten Informationsaustausch.
- Die gezielte Förderung einer „Kultur der Sicherheit“ in Sektoren wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitsversorgung und digitale Infrastruktur.
Damit die höheren Anforderungen kleine und mittlere Unternehmen (KMU) nicht überfordern, gibt es Begrenzungen nach unten. So gilt NIS2 nur für Unternehmen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von mehr als zehn Millionen Euro. Ausnahmen gibt es für Firmen, die alleiniger Anbieter eines bestimmten landeskritischen Dienstes sind.
Welche Neuerungen die IT-SIG in der Version 3.0 bringt
Eine der wichtigsten Neuerungen, die das IT-SIG 3.0 bringen soll, ist die Ausweitung auf weitere Unternehmen, die zukünftig zu den KRITIS zählen. So hat die Coronakrise gezeigt, dass weit mehr Unternehmen systemrelevant sind, als noch vor Kurzem angenommen wurde. Nach ersten Schätzungen könnten schon bald rund 30.000 weitere Firmen als KRITIS gelten.
Auch das BSI wird voraussichtlich erneut erweiterte Befugnisse erhalten. So soll es künftig unangekündigte Sicherheitsaudits bei Unternehmen durchführen dürfen, um die Einhaltung von Compliance-Vorgaben zu überprüfen. Auch die Anforderungen an Zertifizierungen könnten verschärft werden.
Hinzu kommen voraussichtlich erweiterte Meldepflichten. So gehen Beobachter davon aus, dass von einem Cyber-Angriff betroffene Unternehmen diesen künftig noch früher und zudem mit mehr Informationen über den Vorfall an das BSI melden müssen. Auch die Höhe der Bußgelder bei Verstößen soll mit dem IT-SIG 3.0 noch einmal steigen. Es stehen Summen von bis zu 20 Millionen Euro im Raum. Noch unklar ist, ob es zu einer Verschärfung der Haftungsregelungen für die Unternehmensleitung kommen wird. Dieser Teil wurde aus dem letzten Referentenentwurf wieder gestrichen. Gleiches gilt für die Schulungspflichten der Mitarbeiter.
Fazit
Das IT-SIG 3.0 soll im März 2024 verkündet werden. Wenn alles nach Plan läuft, tritt es dann im Oktober 2024 in Kraft. Danach gibt es noch Übergangsfristen. Die größten Auswirkungen hat es für Unternehmen, die dann neu zum Kreis der KRITIS zählen – ob sie wollen oder nicht. Für bestehende KRITIS-Betreiber dürfte sich dagegen weniger ändern. Allerdings könnten sich die bisher alle zwei Jahre vorgesehenen Audits auf jeweils drei Jahre verlängern.
Denn KRITIS-Betreiber müssen die Sicherheit ihrer Anlagen nicht nur dauerhaft gewährleisten, sondern dies auch regelmäßig in Form einer Prüfung nachweisen. Welche Regeln dabei gelten, erfahren Sie in unserem Beitrag „Was sind KRITIS-Prüfungen und welchen Regeln unterliegen sie“.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.