IT-Sicherheit zum Zweiten

Neues IT-Sicherheitsgesetz für Kritis-Betreiber

30. November 2021, 14:30 Uhr | Jörg Schröper | Kommentar(e)

Fortsetzung des Artikels von Teil 1

Die neuen Pflichten für Kritis-Betreiber

Unternehmen mit kritischen Infrastrukturen sind ab sofort explizit dazu verpflichtet, technische und organisatorische Sicherheitsmaßnahmen in ihren Anlagen zu implementieren. Entsprechende Tools und Prozesse müssen dazu beitragen, dass potenzielle Cyberattacken frühzeitig erkannt werden. Darunter fallen zum Beispiel der Einsatz von Security-Information-and-Event-Management-Lösungen (SIEM), Extended-Detection-and-Response-Plattformen (XDR) und die Einführung eines dedizierten IT-Security-Teams, dessen Fokus auf der Erkennung und das Abwenden von sicherheitsrelevanten Vorfällen liegt.

Sollte es doch zu einem Vorfall oder erheblichen Störungen kommen, sind Kritis-Betreiber verpflichtet, diese umgehend zu melden und dem BSI auf Nachfrage alle zur Behebung notwendigen Informationen zukommen zu lassen.

Wurde ein Unternehmen als Kritis-Betrieb eingestuft, ist eine unmittelbare Registrierung beim BSI nun obligatorisch. Bei Versäumen dieser Registrierung kann das BSI diese eigenständig vornehmen und Einblick in die notwendigen Unterlagen des Betreibers einfordern. Doch nicht nur die Anmeldung eines Kritis-Unternehmen ist vorgeschrieben. Auch der Einsatz sogenannter „kritischer Komponenten“ ist ab sofort beim BSI zu melden. Dabei handelt es sich um IT-Produkte in Kritis-Betrieben, deren Ausfall die Funktionsfähigkeit des Betriebs beeinträchtigen würde.

Im Falle eines Verstoßes zum Beispiel in Form von fehlenden Maßnahmen, Auskünften oder Meldungen drohen Kritis-Unternehmen ab sofort höhere Bußgelder als bisher. Diese wurden an diejenigen der EU-DSGVO angeglichen und betragen nun maximal 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Umsatzes. Um solchen Sanktionen entgegenzuwirken und „compliant“ zu sein, gilt es für Kritis-Betriebe, die richtigen IT-sicherheitsrelevanten Maßnahmen zu ergreifen.

Ganzheitliche IT-Sicherheit für Kritis-Betriebe

Die Bedrohungslage hat sich in den vergangenen Monaten verschärft – Cyberkriminelle nehmen zunehmend Kritis-Unternehmen aus der Finanzbranche und der Energie- und Kraftstoffversorgung sowie (Bundes-) Behörden ins Visier. Die folgenden Maßnahmen schlagen demnach gleich zwei Fliegen mit einer Klappe: KRITIS-Unternehmen entsprechen den durch das IT-SiG 2.0 vorgegebenen Sicherheits- und Compliance-Anforderungen und schützen sich gleichzeitig vor der steigenden Cyber-Bedrohung.

Datenlecks, Malware und Cyber-Attacken zu identifizieren, zu untersuchen und zu verhindern bevor sie unternehmensweit Schaden anrichten, ist eine Aufgabe, die sehr viel Zeit und Ressourcen erfordert. Dennoch sollte sie aufgrund der sich stetig weiterentwickelnden Bedrohungslandschaft hohe Priorität genießen. Viele Unternehmen richten zu diesem Zweck ein Security Operations Center (SOC) ein. Dabei handelt es sich um ein separates, zentrales Hub-Team, das sich ausschließlich um die IT-Sicherheit im Unternehmen kümmert. Es untersucht sämtliche Telemetrie-Daten aus der gesamten Unternehmens-IT-Infrastruktur und entscheidet, ob und wie im Falle eines sicherheitsrelevanten Vorfalls gehandelt und reagiert werden soll.


  1. Neues IT-Sicherheitsgesetz für Kritis-Betreiber
  2. Die neuen Pflichten für Kritis-Betreiber
  3. SOC

Verwandte Artikel

WEKA FACHMEDIEN

Datacenter

IT-Security

Anbieterkompass