Mehr Sicherheit für die IT kritischer Infrastrukturen

2015 ist das sogenannte IT-Sicherheitsgesetz (IT-SiG) in Kraft getreten. Es wurde seither stetig ergänzt – zuletzt als IT-SiG 2.0 im Jahr 2021. Ziel ist es, die IT-Sicherheit kritischer Infrastrukturen (KRITIS) zu stärken. Welche Unternehmen sind hiervon betroffen und welche Anforderungen müssen sie erfüllen?

Was versteht man unter kritischen Infrastrukturen?

Kritische Infrastrukturen sind wichtige Einrichtungen für das Gemeinwesen, deren Ausfall bzw. Störung Versorgungsengpässe oder andere erhebliche Beeinträchtigungen für die Allgemeinheit nach sich ziehen würde. Hierunter fallen z.B. Energieversorger, das Gesundheitssystem, Transport und Verkehr, der Ernährungssektor, die Wasserversorgung sowie die Finanzwirtschaft. 

Was haben KRITIS-Unternehmen zu beachten?

Ergänzend zum IT-SiG wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) eine eine Kritisverordnung erlassen. Sie definiert für jeden KRITIS-Sektor entsprechende KRITIS-Anlagen und legt hierfür Schwellenwerte fest. Betreiber derartiger Anlagen müssen jährlich zum 1. April prüfen, ob eine Anlage im Vorjahr die festgelegten Schwellenwerte überschritten hat. Sollte dies der Fall sein, gilt diese Anlage ab sofort als KRITIS-Anlage und die Betreiber müssen alle entsprechenden Anforderungen gemäß IT-SiG umsetzen. So ist die Anlage beim BSI zu melden und die für die Anlage definierten Maßnahmen sind nunmehr umzusetzen. Ein erstmaliger Prüfnachweis gemäß BSI-Gesetz ist erst zwei Jahre später erforderlich. Zusätzlich sieht das IT-SiG 2.0 vor, dass Betreiber von KRITIS-Anlagen Systeme zur Angriffserkennung (SzA) einsetzen. Für die Umsetzung haben die Betreiber noch bis zum 1.5.2023 Zeit. Alle Prüfnachweise, die ab diesem Stichtag beim BSI eingereicht werden, müssen auch Prüfungen der SzA umfassen. Ein entsprechend angepasstes Prüfformular hat das BSI bereits zur Verfügung gestellt.

Was gilt für Energieversorger?

Energieversorger fallen unter das Energiewirtschaftsgesetz, das durch das IT-SiG 2.0 erweitert wurde. So gilt für sie ein IT-Sicherheitskatalog (IT-SiKat), nach dem sie zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) gemäß ISO 27001 verpflichtet sind. Während dies für Betreiber von Energieversorgungsnetzen unabhängig von Schwellenwerten gilt, sind die Betreiber von Energieanlagen nur zur Umsetzung verpflichtet, wenn sie die Schwellenwerte der BSI-Kritisverordnung überschreiten. Zwar unterliegen Energieversorger keiner Nachweispflicht gegenüber dem BSI, jedoch müssen sie ihr ISMS-Zertifikat bei der Bundesnetzagentur einreichen. Außerdem müssen auch sie ein System zur Angriffserkennung implementieren. Auch hier ist der Stichtag zur Umsetzung der 1.5.2023. Gleichzeitig ist dies auch die Frist für den ersten Nachweis. Danach wird der Nachweis alle zwei Jahre verlangt. Das BSI hat alle Betreiber von Energieversorgungsnetzen und Energieanlagen angeschrieben und auf diese Fristen hingewiesen.

Ausnahme für Betreiber von Energieversorgungsnetzen

Der IT-SiKat sieht vor, dass Betreiber von Energieversorgungsnetzen ein ISMS aufbauen müssen. Ein solches ISMS nimmt auch alle Telekommunikations- und EDV-Systeme in den Blick, die Teil der Netzsteuerung sind. Setzt ein Netzbetreiber keine derartigen Systeme zur Netzsteuerung ein, weil er z.B. ein rein druckgesteuertes Gasversorgungsnetz betreibt, dann kann er bei der Bundesnetzagentur die Nichtanwendbarkeit des IT-SiKat erklären. Wenn sich die Agentur dieser Auffassung anschließt, muss der Betreiber kein ISMS implementieren. Dies gilt dann im Übrigen auch für das System zur Angriffserkennung. Hierzu ist wiederum der Schriftwechsel mit der Bundesnetzagentur zur Nichtanwendbarkeit des IT-SiKat beim BSI einzureichen. 

Wie die dhpg Sie unterstützen kann

Die IT-Expert:innen der dhpg sind mit den Anforderungen des IT-SiG 2.0 und des IT-SiKat bestens vertraut und stehen Ihnen gerne beim Aufbau eines ISMS oder dessen Zertifizierung zur Seite. Gemeinsam mit unseren Kolleg:innen der Certified Security Operations Center GmbH richten wir gerne ein System zur Angriffserkennung in Ihrem Unternehmen ein. Sprechen Sie uns einfach an.