IT-Sicherheitsgesetz 2.0
Author
Maren Keller, Fr, 3. Jun. 2022
in IT-Sicherheit

IT-Sicherheitsgesetz 2.0

Gesetz zum Schutz vor Cyberangriffen und den Folgen

Das IT-Sicherheitsgesetz 2.0 ist 2021 in Kraft getreten. Bis spätestens Mai 2023 müssen Unternehmen die im IT-SiG 2.0 enthaltenen Vorgaben erfüllen, denn es geht vor allem um den Schutz der Bevölkerung.

Was beinhaltet das IT-Sicherheitsgesetz? Wovor muss die Bevölkerung geschützt werden? Und gibt es einen Vorläufer? Alle Infos gibt es hier.

Was ist das IT-Sicherheitsgesetz?

Das IT-Sicherheitsgesetz trägt den  Namen „Gesetz zur Erhöhung der Sicherheit informations­technischer Systeme“. Es bildet den Grundstein zur Regulierung Kritischer Infrastrukturen. Bei den Kritischen Infrastrukturen (KRITIS) handelt es sich um Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Wenn sie ausfallen oder beeinträchtigt sind, käme es zu nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen. Zu den KRITIS zählen neun Sektoren:

  1. Energie
  2. Gesundheit
  3. Informationstechnik und Telekommunikation
  4. Transport und Verkehr
  5. Medien und Kultur
  6. Wasser
  7. Finanz- und Versicherungswesen
  8. Ernährung
  9. Staat und Verwaltung

Das IT-Sicherheitsgesetz (IT-SiG) regelt bereits seit 2015 die Sicherheit Kritischer Infrastrukturen. Dabei legt es Pflichten und Aufgaben von Betreiber und Staat fest. Im Mai 2021 ist der Nachfolger des IT-SiG in Kraft getreten: das neue IT-Sicherheitsgesetz 2.0. Es umfasst weitere Bereiche, umfasst mehr Pflichten für die Betreiber und erteilt dem Staat mehr Befugnisse. Ziel des Sicherheitsgesetzes ist es, die Bevölkerung vor Cyberangriffen und ihren Folgen zu schützen.

IT-Sicherheitsgesetz 2.0: Mit Schlössern verriegelte Fensterreihe. Bild: Pexels/Bich Tran

Sind alle Schotten dicht und gut gesichert, damit Cyberangriffe keine Chance haben? Bild: Pexels/Bich Tran

IT-Sicherheitsgesetz 2.0

Neben den bereits genannten Feldern, die vom IT-Sicherheitsgesetz betroffen sind, sind zwei Bereiche hinzugekommen: „Siedlungsabfälle“ und alle so genannten „Unternehmen im besonderen öffentlichen Interesse“ (UBI). Das bedeutet, dass der Kreis der betroffenen Unternehmen sich mit dem IT-Sicherheitsgesetz 2.0 deutlich erweitert.

Schwierigkeiten gibt es allerdings bei der Zuordnung. Vermutlich weiß jedes Unternehmen, ob es im Bereich der Siedlungsabfälle tätig ist. Aber wie sieht es mit dem besonderen öffentlichen Interesse aus? Die Frage, ob ein Unternehmen dazu gehört, ist nicht ganz so einfach zu beantworten. Denn: Zu den UBI gehören nicht nur die wirtschaftlich stärksten Unternehmen Deutschlands, sondern auch Rüstungsunternehmen und Störfallbetriebe. Aber auch Unternehmen, die im Bereich „von Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen oder für die IT-Sicherheitsfunktion wesentlicher Komponenten solcher Produkte tätig sind“ gehören dazu. Weitere Informationen hält das BSI auf seinen Internetseiten bereit.

IT-Sicherheit: Wettlauf ohne Ziellinie

Cyberattacken auf Firmen nehmen immer weiter zu, und oftmals sind gerade kleine Firmen darauf nur ungenügend vorbereitet. Dabei hilft eine ausgefeilte IT-Sicherheitsstrategie, um Angriffe zu verhindern und Datenverlust zu vermeiden. Dazu gehört neben der Backup-Strategie auch Maßnahmen im Bereich Security-Awareness, um die Schwachstelle Mensch zu stärken. Dennoch bleiben die Cyberkriminellen natürlich am Ball, verändern ihre Strategien und machen so den Wettlauf um die IT-Sicherheit zu einem Lauf ohne Ziel.

Umso wichtiger ist es also, dass Unternehmen sich und ihre Mitarbeiter vorbereiten. Denn ein Hackerangriff kann vor allem für kleine Unternehmen ruinöse Folgen haben. Möglichweise kann das Lösegeld nicht aufgetrieben werden oder die geklauten Daten werden im Darknet veröffentlicht, sodass Betriebsgeheimnisse frei zugänglich sind. Hinzu kommt, dass der Ruf einer Firma, die Daten nicht ordentlich sichern kann, schwerwiegend geschädigt wird.

Es ist also deutlich besser, vorzusorgen, als hinterher der Dumme zu sein. Dabei hilft übrigens der IT-Basisschutz von PC-SPEZIALIST.

IT-Sicherheitsgesetz 2.0: Aufgeklapptes Laptop, Hand steckt verschlüsselten USB-Stick ein. Bild: Pexels/Cottonbro

Für Firmen gibt es mit dem IT-Sicherheitsgesetz 2.0 Neuerungen, die den Schutz der Bürger vor Cyberangriffen erhöhen sollen. Bild: Pexels/Cottonbro03

IT-Sicherheitsgesetz 2.0 – das ist neu

Doch was unterscheidet das IT-Sicherheitsgesetz vom neuen IT-Sicherheitsgesetz 2.0? Wir fassen zusammen: Bislang mussten betroffene Unternehmen alle zwei Jahre einen Nachweis des Mindestniveaus durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erbringen. Sie mussten zudem ihre IT-Sicherheit gemäß dem Stand der Technik aufrechterhalten und IT-Störungen oder -Beeinträchtigungen melden. Hinzu kam, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Anfrage Auskunft erhalten musste und Unterlagen zur Verfügung gestellt bekommen musste. Besonders wichtig: Firmen, die mit Kritischen Infrastrukturen zu tun haben, müssen sich beim BSI registrieren.

Mit dem IT-Sicherheitsgesetz 2.0 kommen nicht nur die zwei genannten Bereiche hinzu, sondern auch weitere Pflichten: Neu ist, dass sämtliche sicherheitsrelevanten Netz- und Systemkomponenten nur von vertrauenswürdigen Herstellern stammen dürfen. Außerdem müssen Unternehmen Systeme zur Angriffserkennung im Einsatz haben. Im Idealfall erreichen Angriffe dadurch gar nicht erst die Unternehmen, weil sie bereits frühzeitig erkannt und gestoppt werden. Der IT-Basisschutz ist für kleine Firmen mit bis zu zehn Arbeitsplätzen genau dafür ideal.

IT-Sicherheitsgesetz 2.0 und PC-SPEZIALIST

Sie fragen sich, wie Sie den Anforderungen an das IT-Sicherheitsgesetz 2.0 gerecht werden? Wenden Sie sich gern an Ihren PC-SPEZIALIST vor Ort und lassen Sie sich beraten. Unsere IT-Experten erfassen mit der Infrastrukturanalyse zunächst den Ist-Zustand Ihrer IT und geben ihnen Handlungsanweisungen, wie Ihre IT sicherer wird.

Aber nicht nur das: Mit dem IT-Basisschutz können unsere IT-Dienstleister potenzielle Sicherheitsvorfälle schnell sichten, bewerten und unterbinden – und das alles, ohne dass Sie in Ihrem Arbeitsablauf unterbrochen werden. Das alles natürlich strengt nach den Vorgaben der DSGVO.

Wenn Sie keine proaktive IT-Dienstleistung in Anspruch nehmen möchten, aber durchaus wissen, dass Ihre IT nicht auf dem neuesten Stand ist, stehen Ihnen unsere Experten natürlich auch mit einmaligen Dienstleistungen zur Seite. Ob Antivirenschutz oder Firewall, ob Backup oder IT-SicherheitscheckPC-SPEZIALIST ist für Sie da!

_______________________________________________

Verwendete Quellen: it-daily.net, BSI, openkritis, BSI

0 Kommentare

    Schreiben Sie einen Kommentar

    Ihre E-Mail Adresse wird nicht veröffentlicht.