Neuerungen für Betreiber Kritischer Infrastrukturen - Bundestag beschließt IT-Sicherheitsgesetz 2.0

28. April 2021

Am 23. April nahm der Bundestag den Entwurf der Bundesregierung für ein zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme in der vom Innenausschuss geänderten Fassung an.

Das BSI erhält in der neuen Fassung umfangreiche Kontroll- und Prüfbefugnisse gegenüber der Bundesverwaltung und Telekommunikationsunternehmen. Darüber hinaus wird seine beratende Rolle in Digitalisierungsprojekten des Bundes ausgebaut.

Das IT-Sicherheitsgesetz 2.0 sieht außerdem unter anderem eine Stärkung des Verbraucherschutzes sowie der staatlichen Schutzfunktion gegenüber kritischen IT-Komponenten vor.

Für Betreiber Kritischer Infrastrukturen (KRITIS) enthält die neue Fassung einige relevante Änderungen:

  • Der Sektor der Siedlungsabfallentsorgung wird nun auch als Kritische Infrastruktur im Sinne des BSIG klassifiziert. Es bestehen dieselben Pflichten wie für Unternehmen der anderen Sektoren.
  • Nach Inkrafttreten der Regelung gilt für alle neuen KRITIS-Unternehmen eine angemessene Übergangsfrist, in der sie ihre IT-Systeme den gesetzlichen Anforderungen anpassen und dies durch ein KRITIS-Audit nachweisen müssen
  • Betreiber Kritischer Infrastrukturen werden nun ausdrücklich aufgefordert, ein System zur Angriffserkennung einzusetzen. Bislang ergab sich diese Vorgabe nur implizit aus dem Erfordernis zur Etablierung eines Informationssicherheitsmanagementsystems (ISMS), z.B. entsprechend der ISO/IEC 27001 bzw. dem Branchenstandard B3S. Mit der neuen Fassung erhöhen sich zudem die Anforderungen an das System zur Angriffserkennung, da das BSI hierzu konkrete Vorgaben macht
  • Die Bußgelder für Nichteinhaltung der gesetzlichen Vorgaben wurden in der neuen Fassung deutlich auf bis zu 2 Millionen Euro erhöht. In speziellen Fällen können Bußgelder sogar verzehnfacht werden, also auf bis zu 20 Millionen Euro steigen

Sind Sie Betreiber Kritischer Infrastrukturen und benötigen Unterstützung? Wir sind der optimale Partner für Ihr KRITIS-Audit.

Sie haben Fragen zum neuen IT-Sicherheitsgesetz? Kontaktieren Sie uns, wir helfen Ihnen gern.

Auch interessant:

PCI DSS v4.0: INFI Worksheet eingestellt

PCI DSS v4.0: INFI Worksheet eingestellt

Das Payment Card Industry Security Standards Council (PCI SSC) hat die Einstellung des Worksheets "Items Noted for Improvement" (INFI) verkündet. INFI, eine Vorlage zur Dokumentation von verbesserungswürdigen Bereichen, war mit PCI DSS v4.0 eingeführt worden. Ab...

mehr lesen

Kategorien

Kategorien