Sie sind hier: Home » Markt » Hinweise & Tipps

Wichtige Frist für KRITIS-Betreiber


Stichtag 1. Mai 2023: Systeme zur Angriffserkennung müssen implementiert und von unabhängiger Seite geprüft sein
Das IT-SiG 2.0 wurde im April 2021 verabschiedet. Es dient der Modernisierung und Verbesserung informationstechnischer Systeme von KRITIS-Betreibern



KRITIS-Betreiber müssen Systeme zur Angriffserkennung etablieren, um ihre Widerstandsfähigkeit gegen Cyber-Attacken zu verbessern. Das schreibt das IT-Sicherheitsgesetz 2.0 vor. Für die Betreiber ist Eile geboten, denn das Gesetz verlangt einen Nachweis der unabhängigen Prüfung der Systeme.

TÜV SÜD erinnert die Betreiber von Kritischen Infrastrukturen (KRITIS) zur Implementierung von Systemen für Angriffserkennung (SzA). Das "Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme", oft auch als IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) bezeichnet, mit dem u.a. BSIG und EnWG geändert wurden, hat entsprechende Regelungen geschaffen.

Nach dem IT-SiG 2.0 müssen betroffene Unternehmen bis zum 1. Mai 2023 ein solches System etabliert haben. Zudem sind KRITIS-Betreiber dazu verpflichtet, die neuen Systeme von unabhängiger Seite prüfen zu lassen und dem Bundesministerium für Sicherheit in der Informationstechnik (BSI) einen entsprechenden Nachweis der Funktionstüchtigkeit vorzulegen.

Das IT-SiG 2.0 wurde im April 2021 verabschiedet. Es dient der Modernisierung und Verbesserung informationstechnischer Systeme von KRITIS-Betreibern. Das Gesetz verpflichtet die Betreiber dazu, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Das IT-Sicherheitsgesetz 2.0 ergänzt § 8a BSIG um den Absatz 1a, der ausdrücklich den Einsatz von Systemen zur Angriffserkennung als effektive Maßnahme zur frühzeitigen Erkennung von Cyber-Angriffen sowie zur Schadensreduktion und Schadensvermeidung fordert.

Betreiber von Energieversorgungsnetzen und Energieanlagen, die nach § 10 Absatz 1 BSIG als Kritische Infrastruktur gelten, müssen zum 1. Mai 2023 ein implementiertes System zur Angriffserkennung (SzA) gemäß § 11 Absatz 1f EnWG nachweisen. Diese Frist gilt unabhängig von laufenden oder geplanten Zertifizierungsverfahren nach den IT-Sicherheitskatalogen der Bundesnetzagentur. Grundsätzlich gilt, dass die regelmäßig zu erbringenden Nachweise der KRITIS- Betreiber ab diesem Datum auch eine Aussage zu SzA enthalten müssen.

"Kritische Infrastrukturen stehen mehr denn je im Fokus von Hackern – das gilt für kommunale Wasserversorger genauso wie für bundesweite Stromanbieter", sagt Alexander Häußler, Global Product Performance Manager IT and Lead Auditor der TÜV SÜD Management Service GmbH. "Die verpflichtende Einführung von Systemen zur Angriffserkennung ist die logische Reaktion auf diese Entwicklung, denn diese Systeme erhöhen die Widerstandsfähigkeit der Betreiber – sofern sie richtig aufgesetzt und betrieben werden." Damit der Nachweis fristgemäß erfolgen kann, rät Häußler den Betreibern dazu, so schnell wie möglich aktiv zu werden und die Funktionstüchtigkeit der SzA von unabhängigen Experten prüfen und bestätigen zu lassen, wie das im Gesetz vorgeschrieben ist. (TÜV SÜD: ra)

eingetragen: 01.04.23
Newsletterlauf: 11.07.23

TÜV Süd: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Stresstest der Europäischen Zentralbank

    Am 2. Januar 2024 hat der Stresstest der Europäischen Zentralbank für große Institute im Euroraum begonnen. Insgesamt sind mehr als 100 Banken betroffen, ein tiefer gehender Test steht im Nachgang für über 20 dieser Banken an. Mit der "Trockenübung" eines Cyberangriffs möchte die EZB Melde- und Wiederherstellungsprozesse der Banken prüfen. Welche größeren Schwachstellen wird die EZB dabei identifizieren?

  • Compliance, Regulierung und betriebliche Risiken

    Betriebsleiter jonglieren täglich mit unterschiedlichen Risiken. Es ist ihre Aufgabe, bestehende Risiken zu bewerten und abzuschwächen sowie Strategien zur Vermeidung künftiger Risiken zu entwickeln. Dabei steht viel auf dem Spiel: Risikofolgen reichen von Produktivitätsverlusten - während die Mitarbeiter mit der Behebung von Fehlern beschäftigt sind - bis hin zu Geldverschwendung, wenn Fristen und Fortschritte nicht eingehalten werden.

  • An der Quelle der Informationen beginnen

    Im Kontext steigender Cyberbedrohungen gewinnt die strikte Einhaltung bzw. Umsetzung entsprechender Compliance-Vorschriften stetig an Bedeutung. Als Bereitsteller kritischer Infrastruktur gilt insbesondere für Finanzunternehmen, IT-Ausfälle und sicherheitsrelevante Vorfälle zu verhindern, um für die Aufrechterhaltung des Betriebs zu sorgen.

  • DORA-Compliance komplex

    Bereits im Januar 2023 ist der Digital Operational Resilience Act (DORA), eine Verordnung der europäischen Union, in Kraft getreten. Umzusetzen ist das EU-Gesetz bis zum 17.01.2025. Obwohl es sich vorrangig an den Finanzsektor richtet, können auch andere Unternehmen, wie beispielsweise IT-Dienstleister davon betroffen sein.

  • Umsetzung der ESG-Verordnung

    Im Sommer 2021 wurde von der EU das "Europäische Klimagesetz" verabschiedet. Es soll helfen, den Klimaschutz spürbar voranzutreiben. Eine der beschlossenen Maßnahmen ist das sogenannte ESG-Reporting, das viele Unternehmen erst einmal vor Herausforderungen stellt.

Zeit, sich schon jetzt auf NIS 2 vorzubereiten Gewährleistung des Datenschutzes

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen