Einführung der Kategorie "Unternehmen im besonderen öffentlichen Interesse"
Das neuen IT-SiG 2.0 führt die Kategorie „Unternehmen im besonderen öffentlichen Interesse“ ein. Diese sind nicht unbedingt KRITIS-Betreiber, werden jedoch als solche behandelt und unterliegen den gleichen rechtlichen Verpflichtungen.
Darunter fallen u.a.
- Unternehmen aus der Rüstungsindustrie
- Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung
- Unternehmen, die einer Regulierung durch die Verordnung zum Schutz von Gefahrenstoffen unterliegen
- Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen
Neuer Bußgeldkatalog
Betrug die maximale Geldstrafe bisher 100.000 Euro je Verstoß, können nun Geldbußen von bis zu 20.000.000 Euro oder bis zu vier Prozent des gesamten, weltweit erzielten Umsatzes fällig werden. Der Gesetzgeber orientiert sich hierbei an den Regelungen der DSGVO.
Siedlungsabfallentsorgung wird neuer KRITIS-Sektor
Zu den bisherigen Kritischen Infrastrukturen gehörten die Bereiche Energie, Wasser, Gesundheit, Ernährung, Informationstechnik & Telekommunikation, Finanz- & Versicherungswesen, Transport & Verkehr, Medien & Kultur sowie Staat & Verwaltung.
In die Liste der kritischen Infrastrukturen wurde nach der Veröffentlichung des IT-SiG 2.0 der Bereich „Entsorgung von Siedlungsabfällen“ aufgenommen.
Verpflichtung zum Einsatz von Systemen zur Angriffserkennung
Das neuen IT-SiG 2.0 fordert ausdrücklich den Einsatz von Systemen zur Angriffserkennung sowie einen entsprechenden Nachweis gegenüber dem BSI. Bisher hat sich die Notwendigkeit zur Einrichtung solcher Systeme bisher implizit ergeben.
Ganzheitliche Ansätze
Das BSI weitet zukünftig den Betrachtungsfokus auf wichtige vernetzte Systeme aus. Darunter fallen z.B. Industrial Control Systems (ICS-Geräte) oder Internet of Things Systeme (IoT-Geräte), die häufig mögliche Schwachstellen für Angriffe bieten können. Damit wird für KRITS-Betreiber die ganzheitliche Sicht immer wichtiger.
BSI erhält erweiterte Befugnisse
Um die IT-Systeme des Staates, der Bürger und der Wirtschaft optimal schützen zu können, wird das BSI im Rahmen der Veröffentlichung des IT-SiG 2.0 mit erweiterten Befugnissen, Informationsbedarf und einer stärkeren Organisation ausgestattet.
Mindeststandards für KRITIS-Kernkomponenten
Das BSI definiert zukünftig Mindeststandards für kritische Kernkomponenten. Dies bedeutet, dass nur noch Komponenten verbaut werden dürfen, die über ein BSI-Sicherheitskennzeichen verfügen. Dabei wird die gesamte Lieferkette des Herstellers ausdrücklich mit eingeschlossen. In Zukunft müssen somit Hersteller im KRITIS-Bereich die Vertrauenswürdigkeit ihrer gesamten Lieferkette sicherstellen und entsprechende Vertrauenswürdigkeitserklärungen vorlegen.
Zu kritischen Komponenten gehören IT-Produkte, deren Ausfall die Funktionalität der Anlagen beeinträchtigen würden.
