Seit über fünf Jahren ist das IT-Sicherheitsgesetz (IT-Sig) im Zusammenspiel mit der KRITIS-Verordnung im Einsatz. Das Hauptziel ist die Regulierung der KRITIS-Betreiber nach BSI-Gesetz. Das des Bundesamts für Sicherheit in der Informationstechnik (BSI) begleitet Gesetz und Verordnung mit der sogenannten BSI Orientierungshilfe zu Nachweisen.
IT-Sig 2.0 – Kommt es oder kommt es nicht?
Um das Thema „IT-Sicherheitsgesetz 2.0“ ist es leider in letzter Zeit sehr still geworden. Somit ist auch kurzfristig mit keiner Novellierung der KRITIS-Verordnung zu rechnen. Dem vorliegenden Referentenentwurf zum IT-Sig 2.0 sind aber die aktuellen Überlegungen zu entnehmen. So ist bspw. die Aufnahme der Entsorgung zu den bisherigen Sektoren angedacht. Zudem ist eine Erweiterung des Adressatenkreises über die KRITIS-Betreiber hinaus auf Unternehmen im besonderen öffentlichen Interesse (u.a. aufgrund volkswirtschaftlicher Bedeutung) angedacht. Für diese stehen die Erstellung von Sicherheitskonzepten, die Pflicht zur Meldung von Störungen, die Registrierung und Führung einer Meldestelle sowie die Vertrauenswürdigkeit der Beschäftigten im Raum. Besonders markant ist die geplante Verschärfung des Bußgeldrahmens von bisher maximal EUR 100.000 auf max. EUR 20.000.000 (bzw. 4% des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahrs).
Neue Orientierungshilfe zu Nachweisen
Während das IT-Sig 2.0 noch auf sich warten lässt, hat in der zweiten Augusthälfte das BSI seine neue „Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG“ veröffentlicht. Die Versionsnummer 1.1 lässt es bereits vermuten: zu den Änderungen gehören viele Konkretisierungen und Klarstellungen der Sachverhalte und Anforderungen. Darüber hinaus gibt es weitere signifikante Änderungen. So vereint das neue Formular P die Informationen der bisher verwendeten Formulare PD (Prüfdurchführung), PE (Prüfergebnisse) und PS (prüfende Stelle). Neben der schriftlichen Einreichung ist jetzt auch eine digitale/maschinenlesbare Kopie erforderlich. Die Liste der Sicherheitsmängel und der Umsetzungsplan sind ab sofort in einem Dokument zusammengefasst, während vorhandene Prüfergebnisse (maximal zwölf Monate alt) explizit auf Aktualität und Bestand geprüft werden müssen. Eine deutliche Neuerung ist die begründete Bewertung der Reifegrade der Managementsysteme für Informationssicherheit (ISMS) und Business Continuity (BCMS). Sehr auffällig ist auch der starke Fokus auf dem Aspekt der Nachvollziehbarkeit. Dieser wird an diversen Stellen sichtbar:
- Detaillierte Beschreibung des Geltungsbereichs (mit seinen Schnittstellen, Abhängigkeiten und durch Dritte betriebene Teile der kritischen Dienstleistung) sowie
- der Anlage (inklusive zugehöriger Teile der kritischen Dienstleistung und aller wesentlichen Merkmale) als auch
- Bereitstellung eines verständlichen Netzstrukturplan.
- Zudem muss eine Mängelliste auch ohne weitere Dokumente verständlich sein.
Auch ohne IT-Sig 2.0 erfordert die neue Orientierungshilfe des BSI Beachtung. SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswirkungen aus und unterstützen Sie bei der Umsetzung der erweiterten Anforderungen.