NET 4/2023

22 www.net-im-web.de 4/23 Kritis-Unternehmen in Zugzwang Dezember letzten Jahres. In beiden Fällen hatten es professionelle Cyberkriminelle auf sensible Daten abgesehen. Der Betrieb von Continental war nach eigenen An- gaben nicht beeinträchtigt, aber rund 40 Tbyte an Daten wurden entwendet. Die Stadt Potsdam hingegen hatte nach eige- nen Angaben zwar keine Datenabflüsse erlitten, jedoch war die Stadtverwaltung wochenlang offline. Es ist nicht viel Fantasie nötig, um sich auszumalen, welche Konsequen- zen ein solcher Angriff hat, wenn er einen Stromversorger oder einWasserwerk trifft – oder ein Krankenhaus. Auch Fälle, in denen Patienten verstarben, da Compu- tersysteme aufgrund von Cyberattacken vorübergehend nicht erreichbar waren, wurden schon bekannt. All diese Beispiele zeigen, dass gerade Kritis-Einrichtungen in der Pflicht stehen, auf die sich zuspit- zende Bedrohungslage zu reagieren. NIS, IT-SiG und BSIG Die Politik hat dieses Problem bereits vor einigen Jahren erkannt und eine Reihe von Gesetzen undVerordnungen beschlossen, umdarauf zu reagieren. Im Jahr 2015 trat das IT-Sicherheitsgesetz (IT-SiG) inKraft, das den Kern aller Regeln und Auflagen bildet, denen kritische Infrastrukturen unterliegen. Es definiert zum Beispiel die Rechte und Pflichten des Bundesamts für Sicherheit in der Informationstechnik (BSI) gegenüber Kritis-Betreibern und welche Einrichtungen in diese Katego- rie fallen. Auch die Anforderungen an die Kritis-Betreiber, Meldepflichten bei Angriffen und Mindeststandards in der Cyberabwehr sind darin festgelegt. Und natürlich die Möglichkeiten der Strafver- folgung, sofern die Kritis-Betreiber ihren Pflichten nicht nachkommen. Das „Gesetz über das Bundesamt für Sicherheit und Informationstechnik“ (BSIG) konkretisiert die allgemein gehal- tenen Richtlinien des IT-SiG und fasst die zentralen Pflichten der Kritis-Betrei- ber juristisch zusammen. Sie sind zum Beispiel dazu verpflichtet, angemessene technische und organisatorische Sicher- heitsmaßnahmen nach aktuellem Stand der Technik zu gewährleisten. Dazu zählt unter anderem auch die Angriffserken- nung. Die Kritis-Verordnung (KritisV) von 2016 lieferte die notwendigen Defi- nitionen und Sachverhalte, um das BSIG auch praktisch umzusetzen. Sie bestimmt etwa, was unter den BegriffKritis-Anlagen fällt. ImMai 2021 traten schließlich das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) und die Kritis-Verordnung 2021 (1.5) in Kraft. Sie erweiterten die älteren Ver- ordnungen, um den aktuellen Entwick- lungen gerecht zu werden. Das IT-SiG 2.0 orientiert sich dafür an der Richtlinie zur Gewährleistung eines hohen gemein- samen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS) der EU und implementiert bereits einen Teil der Bestimmungen des designierten Nachfolgers (NIS2), die spätestens ab 2024 verpflichtend werden. NIS2: Mehr kritische Sektoren Seit Verabschiedung des IT-Sicherheits- gesetzes 2.0 gelten neben Unternehmen und Einrichtungen aus den Bereichen Energie,Wasser, Ernährung, Gesundheit, Transport und Verkehr, Informations- technik und Telekommunikation sowie Finanz- und Versicherungswesen auch solche aus dem Bereich Entsorgung als kritische Infrastruktur. Hinzu kommen sogenannte Unternehmen im besonderen öffentlichen Interesse. Mit NIS2 erweitert sich dadurch die Liste, so dass ab Inkraft- treten 18 Sektoren den Regelungen für Kritis-Betriebe unterliegen – darunter die öffentliche Verwaltung und Forschungs- einrichtungen, aber auch Automobilkon- zerne und Anbieter digitaler Dienste. Zu Letzteren zählen beispielsweise Online- Marktplätze wie Amazon, Suchmaschinen wie Google, aber auch soziale Netze. Schätzungen zufolge sind in Kürze also rund 20.000 Betriebe und öffentliche Einrichtungen in Deutschland mit den Auflagen und Anforderungen der Kritis- Regulierungen konfrontiert und müssen dringend ihre Sicherheitsmaßnahmen auf Stand bringen. Kommen sie den Auflagen nicht nach, drohen bei Ver- stößen horrende Geldstrafen mit einem Höchstbetrag von mindestens 10 Mio. € oder mindestens 2 % des weltweiten Umsatzes imvorangegangenenGeschäfts- jahr – je nachdem, welcher Betrag höher ist. Eine weitere Änderung, die NIS2 mit sich bringt, ist die sogenannte Organhaf- tung. Gemeint ist, dass zukünftig auch Leitungsorgane, also Geschäftsführer oder Behördenleiter, persönlich haftbar gemacht werden, sollte ihre Organisation den Regulierungen nicht ausreichend nachkommen. Das zeigt deutlich, dass die Politik es ernst meint und die Ver- antwortlichen zum Handeln zwingt. Konkrete Sicherheitsmaßnahmen ImHinblick auf die Cybersicherheit legt NIS2 zehn Schutzmaßnahmen für Netz- und Informationssysteme fest. Sie müssen Folgendes umfassen: Alexander Gaiswinkler Mit Verabschiedung des NIS2 im EU-Parlament und dem voraussichtlich 2023 in Kraft tretenden IT-Si- cherheitsgesetz 3.0 werden rund 20.000 Unterneh- men zu Kritis-Betrieben