Das IT Sicherheitsgesetz 2.0

Durch die Beschlussfassung über das IT-SiG 2.0 am 16. Dezember 2020 über das IT-SiG 2.0 sowie die erste Lesung des Gesetzes im Bundestag werden die Sektoren der Kritischen Infrastrukturen nun um weitere Bereiche ergänzt.

Aktuell ist das IT-SiG 2.0 zwar noch nicht veröffentlicht, jedoch empfehlen wir Ihnen, sich schon jetzt mit den gestiegenen Anforderungen vertraut zu machen, die in diesem Rahmen auf Sie als Unternehmen der Abfallwirtschaft zukommen.

Wir haben die wichtigsten Punkte für Sie zusammengestellt:

Sicherheitsbeauftragter (ISB)

Zunächst ist es sinnvoll, dem BSI den IT-Sicherheitsbeauftragten des Unternehmens zu benennen. Sofern das Unternehmen nicht bzw. noch nicht über einen IT-Sicherheitsbeauftragten verfügt, sollte diese(r) bestellt werden.

Selbstverständlich kann ein ISB auch extern beauftragt werden.

Kontaktstelle

Betreiber einer Kritischen Infrastruktur sind verpflichtet, dem BSI eine Kontaktstelle zu benennen, über die sie rund um die Uhr (24/7) erreichbar sind.

Zu diesem Zweck bietet es sich an, ein Funktionspostfach anzugeben, auf das mehrere Mitarbeiter Zugriff haben, sodass die ständige Erreichbarkeit gewährleistet ist.

Die Formulare zur Registrierung einer Kontaktstelle finden Sie im Melde- und Informationsportal des BSI.

Meldepflicht

Nach dem Registrieren der Kontaktstelle erhält man umfangreiche Informationen, unter anderem zur Meldepflicht von Störungen.

Ziel der Meldepflicht ist es, IT-Störungen organisations-übergreifend zu verhindern oder ihre Auswirkungen abzumildern.

Aus diesem Grund sammelt das BSI gezielt Informationen zu entsprechenden Vorfällen, die es dann an andere KRITIS-Betreiber weitergeben und diese vor bestimmten Schwachstellen proaktiv warnen kann.

IT Sicherheits-konzept

Insbesondere das vorzulegende IT-Sicherheitskonzept sollte sorgfältig unter Einbeziehung von ISO 27001 und zertifizierten BSI-Auditoren, der IT und Fachabteilungen erarbeitet werden.

In diesem Rahmen sollte dargelegt werden können, dass die Systeme und Komponenten den Anforderungen an IT- und Datensicherheit dem aktuellen Stand der Technik genügen.

Regelmäßiger Nachweis

Als Betreiber einer Kritischen Infrastruktur sind Sie laut BSI-Gesetz dazu verpflichtet, zum Schutz Ihrer IT-Systeme, -Komponenten und -Prozesse angemessene organisatorische und technische Vorkehrungen nach dem "Stand der Technik" zu treffen.

Die Umsetzung ist alle 2 Jahre gegenüber dem BSI nachzuweisen.

Zertifizierte Komponenten

Das IT-SiG 2.0 sieht vor, dass in Bezug auf Kritische Infrastrukturen nur noch Komponenten verbaut werden dürfen, die über ein BSI-Sicherheitskennzeichen verfügen.

Das heißt, Hersteller von Komponenten, die im KRITIS-Bereich zum Einsatz kommen, müssen in Zukunft die Vertrauenswürdigkeit ihrer gesamten Lieferkette sicherstellen und eine entsprechende Erklärung abgeben.

SIEM verpflichtend

Als KRITIS-Betreiber wird man mit dem IT-SiG 2.0 verpflichtet, Systeme zur Angriffserkennung einzusetzen (SIEM = Security Information and Event Management), die Sie bei einem Sicherheitsvorfall automatisch und in Echtzeit alarmieren.

Unterstützung

Als hiesiges Unternehmen unterstützen wir Sie dabei, die gegebenen Anforderungen umzusetzen und die entsprechenden Nachweise zu erbringen. Von Workshops über Gap-Analysen bis hin zu Prüfungen bieten wir Ihnen ein Rundum-Paket an, mit dem Sie die gesetzlichen Forderungen erfolgreich erfüllen.

Anfragen zu diesem Thema richten Sie bitte an info@business-tv-gmbh.de