NET 4/2022

15 www.net-im-web.de 04/22 KR I T I SCHE KOMMUN I K AT I ON Ali Carl Gülerman Betreiber kritischer Infrastrukturen und Unternehmen mit besonderer volkswirtschaftlicher Bedeutung müssen sich vor dem Hintergrund einer steigenden Zahl an Cyber- angriffen mittlerweile nicht nur mit Erpressungsversuchen, sondern auch mit dem Thema Cyberkrieg auseinandersetzen. Denn: Ist eine Cyberattacke rein politisch moti- viert, können die Schäden nicht nur massive Auswirkungen auf die Geschäftsfähigkeit haben, sondern gesamtgesellschaftliche Dimen- sionen annehmen. Auf die neuen digitalen Herausforderungen hat der Gesetzgeber mit einer Aktua- lisierung der rechtlichen Rahmen- bedingungen auf deutscher und europäischer Ebene reagiert. Kritische Infrastrukturen und Cyberangriffe Schutzmaßnahmen im Einklang mit dem neuen IT-Sicherheitsgesetz 2.0 Ali Carl Gülerman ist CEO und General Manager bei Radar Cyber Security Im Kritis-Bereich ist es nicht nur aufgrund monetär motivierter Angriffe, sondern auch in Hinblick auf die nationale Sicherheit grundlegend, ein durchgängiges, integriertes Sicherheits- konzept für sowohl die IT- als auch OT- Infrastruktur zu implementieren, das als Ende-zu-Ende-Lösung über alle Bereiche hinweg Produkte, Prozesse und qualifizierte Security-Fachkräfte umfasst. Auflagen für Kritis-Betreiber Laut dem deutschen BSI-Gesetz sind Or- ganisationen Betreiber von kritischer Infra- struktur, wenn sie einemder sieben Sektoren Energie, Gesundheit, Informationstechnik und Telekommunikation, Transport und Verkehr,Wasser, Finanz- undVersicherungs- wesen und Ernährung angehören, kritische Dienstleistungen erbringen und dabei die in der BSI-Kritis-Verordnung definierten Schwellenwerte überschreiten. In Deutschland ist im Mai 2021 das Zweite Gesetz zur Erhöhung der Si- cherheit informationstechnischer Systeme – kurz: IT-Sicherheitsgesetz 2.0 – als Er- gänzung des BSI-Gesetzes in Kraft getre- ten. In ihm wurde der Kreis der kritischen Infrastrukturen um den Sektor Siedlungs- abfallentsorgung erweitert. Zudemmüssen künftig auch weitere Unternehmen im sog. besonderen öffentlichen Interesse, wie etwa Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung, bestimmte IT-Sicherheitsmaß- nahmen umsetzen. Für Unternehmen und teilweise auch für Kritis-Betreiber hat das IT-Sicher- heitsgesetz 2.0 erhebliche Anpassungen zur Folge: • Kritis-Betreiber müssen spätestens bis zum1. Mai 2023 Systeme zur Angriffs- erkennung implementieren. • Kritis-Betreiber müssen den geplanten erstmaligen Einsatz kritischer Kompo- nenten dem BMI anzeigen, etwa wenn der Hersteller von einemDrittstaat kon- trolliert wird oder sicherheitspolitischen Zielen der deutschen Bundesregierung, EU oder NATO widerspricht. Betreiber kritischer Infrastrukturen und Unternehmen mit besonderer wirtschaftlicher Bedeutung müssen sich mittler- weile auch mit dem Thema Cyberkrieg auseinandersetzen (Foto: Alexas_Fotos, pixabay)