Der Stichtag für die Umsetzung der Anforderungen des IT-Sicherheitsgesetzes (IT-SiG) 2.0 fällt auf den 1. Mai 2023, den „Tag der Arbeit“. Das passt, denn Unternehmen und Organisationen haben noch alle Hände voll zu tun, um die geforderten Sicherheitsmaßnahmen umzusetzen.
Vor dem Hintergrund rasant zunehmender Cyber-Angriffe und der fortschreitenden Digitalisierung soll das neue IT-Sicherheitsgesetz die IT-/OT-Sicherheit kritischer Infrastrukturen (Kritis) verbessern. Unternehmen und Organisationen aus den Bereichen Energie, Wasser, Ernährung, Gesundheit, Transport und Verkehr, IT und Telekommunikation, Finanz- und Versicherungswesen und auch Entsorgung müssen ab Mai 2023 umfassendere Sicherheitsrichtlinien erfüllen. Durch die Absenkung der Schwellenwerte werden zudem deutlich mehr Organisationen als bisher in die Pflicht genommen.
Es besteht Nachholbedarf
Der Status quo zeigt jedoch, dass in vielen Fällen noch Nachholbedarf besteht, der die Betreiber im wahrsten Sinne des Wortes teuer zu stehen kommen kann. Denn schwächere Sicherheitsmaßnahmen bedeuten nicht nur einen geringeren Schutz – und damit ein erhöhtes Risiko für die Business Continuity und die Versorgungssicherheit –, es drohen auch empfindliche Bußgelder von bis zu 20 Millionen Euro, wenn die Anforderungen nicht erfüllt werden. Eine der wichtigsten neuen Anforderungen ist der Einsatz von Systemen zur Angriffserkennung, verbunden mit einer gesetzlichen Nachweispflicht. Organisationen müssen in der Lage sein, Anomalien zu identifizieren, um Angriffe frühzeitig zu erkennen und Gegenmaßnahmen zu ergreifen, z.B. mit einem SIEM-System. Darüber hinaus sind Organisationen verpflichtet, ihre IT-Infrastruktur regelmäßig zu aktualisieren und Schwachstellen, die ein Einfallstor für Angreifer darstellen, zu patchen.
Für den Fall eines Angriffs müssen Reaktions- und Notfallpläne vorliegen, die festlegen, wer im Ernstfall wann und in welcher Reihenfolge bestimmte Aufgaben übernimmt, um den Schaden zu minimieren oder zu verhindern. Für den Fall, dass Hacker und Cyber-Kriminelle trotz Präventionsmaßnahmen erfolgreich sind, wird ein Disaster-Recovery-Plan gefordert, der im Falle eines Angriffs eine schnellstmögliche Wiederaufnahme des Betriebs ermöglicht. Für kritische Infrastrukturen ist dies von entscheidender Bedeutung.
Wichtige Initiative, komplexe Umsetzung: eine Einschätzung
Das IT-Sicherheitsgesetz 2.0 ist eine wichtige und absolut notwendige Initiative – insbesondere, weil sich die Cyber-Sicherheitslage weiter verschärft und kritische Infrastrukturen immer stärker in den Fokus von Cyberkriminellen rücken – auch unter dem Eindruck aktueller geopolitischer Konflikte und des Cyberkriegs im Kontext des Angriffs Russlands auf die Ukraine. Der Stichtag am 1. Mai verdeutlicht die Notwendigkeit adäquater Maßnahmen für Organisationen mit Versorgungsverantwortung. Ferner, werden sich die Anforderungen an die IT-Sicherheit und die Ausweitung der Anwendungsbereiche durch den EU-Beschluss zu NIS2 im nächsten Jahr weiter verschärfen.
Allerdings stehen schon jetzt Betreiber kritischer Infrastrukturen – wie übrigens auch viele Unternehmen aus anderen Branchen – bei der Umsetzung der Anforderungen und adäquater Sicherheitsmaßnahmen oftmals vor enormen Herausforderungen: fehlendes Know-how, knappe Personalressourcen und große Schwierigkeiten, geeignetes IT-Personal zu finden und langfristig zu binden, um ein 24/7-Monitoring und schnellere Reaktionszeiten zu ermöglichen. Organisationen, die sich mit den neuen Richtlinien allein gelassen fühlen, können externe Hilfe in Anspruch nehmen. Sicherheitspartner bieten die notwendige Unterstützung, um die Anforderungen des IT-SiG 2.0 zu erfüllen und den Cyberschutz kontinuierlich zu verbessern, um das Cyberrisiko zu minimieren.