1 18 Table of Contents 20 52

NET 5/24

19 05/24 KR I T I SCHE KOMMUN I K AT I ON Network Information Security (NIS 2) Nicht nur KRITIS-Unternehmen im Fokus Kai-Oliver Detken Ab Mai 2023 mussten betroffene Unternehmen das 2015 einge - führte Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme von Betreibern kritischer Infrastruktur umgesetzt haben und sogenannte „Systeme zur Angriffs- erkennung” vorhalten. Ab Oktober 2024 werden diese Vorgaben durch die europäischen Regularien Network and Information Security (NIS 2) und Critical Entitites Resi- lience Directive (CER) noch einmal verschärft, so dass auch mittlere Unternehmen sich vor Angriffen schützen und diese dokumentieren müssen. Dabei bestehen allerdings Unklarheiten, was die Auswahl und den Betrieb solcher Systeme angehen. Prof. Dr.-Ing. Kai-Oliver Detken ist Geschäftsführer der DECOIT GmbH & Co. KG und Dozent an der Hochschule Bremen Das Sicherheitsgesetz 2.0 ist das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme und wurde bereits am 23. April 2021 vom Bundesrat verabschiedet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bekommt dadurch neue Kompeten- zen. Unternehmen kritischer Infrastruk- turen sind dadurch verpflichtet, Angriffe auf ihr Firmennetz unverzüglich demBSI zu melden, damit Gegenmaßnahmen empfohlen werden können. Auchmüssen erweiterte IT-Sicherheitsmaßnahmen um- gesetzt werden. KRITIS-Unternehmen arbeiten daher seit Jahren an einer Umset- zung, umdie neuen gesetzlichen Auflagen zu erfüllen. Dies ist keinesfalls trivial, da beispielsweise passende Anomalie-Erken- nungssysteme ausgewählt, getestet und implementiert werden müssen, ohne den täglichen Betrieb zu gefährden. Die Auflistung neuer Sicherheitsver- ordnungen seit 2015 verdeutlich, dass grundsätzlichUnternehmen immer mehr Auflagen erfüllen müssen, um sich gegen Cyberattacken schützen zu können: • Sicherheitsgesetz 1.0 (2015): Än- derungsgesetz zum BSIG, EnWG, TKG, AtG und TMG. Verpflichtet Betreiber Kritischer Infrastruktu- ren (KRITIS), ihre IT-Infrastruktur angemessen abzusichern und diese Sicherheit kontinuierlich überprüfen zu lassen. • BSI-KRITIS-Verordnung (2016): Definition von Sektoren und Schwel- lenwerten (Bedeutung des Versor- gungsgrads). Durch die europäischen Regelungen Network and Information Security (NIS) und Critical Entities Resilience Directive (CER) kommen einige Änderungen auf betroffene Unternehmen zu (Foto: Gerd Altmann, pixabay)

RkJQdWJsaXNoZXIy MjE2Mzk=