Im Mai 2023 endet die Übergangsfrist für das 2021 in Kraft getretene IT-Sicherheitsgesetz 2.0. Es weitet den Kreis der zur kritischen Infrastruktur gehörenden Unternehmen (KRITIS) deutlich aus und verschärft die Anforderungen erheblich. Lesen Sie in diesem Whitepaper, wie Sie sich am besten auf die neuen Anforderungen vorbereiten.
Inhalt:
Unternehmen scheinen Übergangfristen von Gesetzen gerne zu verdrängen. Das war schon bei der Datenschutzgrundverordnung (DSGVO) so, die bereits 2016 in Kraft trat und 2018 dann „völlig überraschend“ wirksam wurde. Eine ähnliche Situation könnte mit dem IT-Sicherheitsgesetz 2.0 eintreten, das seit Mai 2021 in Kraft ist. Bis zum Stichtag, dem 01.05.2023, müssen die geforderten Maßnahmen umgesetzt werden – und das ist vor allem für kleine und mittlere Unternehmen alles andere als einfach. So fordert das Gesetz beispielsweise, dass die betroffenen Betriebe „geeignete Parameter und Merkmale [zur Angriffserkennung] aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten“.
In diesem Whitepaper zeigen Ihnen die Autoren, wie Sie Sophos-Lösungen bei der Einhaltung der gesetzlichen Vorgaben unterstützen können.
Sie lesen unter anderem:
- Was kritische Infrastruktur eigentlich ist und warum sie besonders geschützt werden muss.
- Welche Anforderungen das IT-Sicherheitsgesetz 2.0 an KRITIS-Betreiber stellt.
- Wie sich diese Anforderungen mit Sophos-Lösungen abdecken lassen.
Originalauszug aus dem Dokument:
Kritische Infrastrukturen sind Einrichtungen und Anlagen bestimmter Sektoren (etwa Energie, Gesundheit, Wasser oder Ernährung), die eine besondere Bedeutung für die Sicherung der Grundbedürfnisse der Bevölkerung haben und deren Kapazitäten gewisse Schwellenwerte überschreiten. Betreiber solcher Kritischen Infrastrukturen sind gesetzlich dazu verpflichtet, technische und organisatorische Maßnahmen zu deren Sicherung, gerade im Hinblick auf ihre informationstechnischen Systeme zu treffen. Die Erfüllung der Anforderungen ist dem Bundesamt für Sicherheit in der Informationstechnik („BSI“) nachzuweisen. Die Behörde kann die Einhaltung der Pflichten auch selbstständig überprüfen. Bei Verstößen drohen KRITIS-Betreibern Bußgelder in Höhe von bis zu 20 Mio. Euro. Dabei beschreibt das Gesetz die Art und den Umfang der zu treffenden Maßnahmen nur abstrakt. Die Vorkehrungen müssen „angemessen“ sein und sollen dem „Stand der Technik“ entsprechen. Der Gesetzgeber will durch die Verwendung dieser unbestimmten Begriffe sicherstellen, dass die Sicherheitsvorkehrungen der Unternehmen der tatsächlichen Bedrohungslage ausreichend entsprechen. Ferner soll die fortschreitende Innovation auf dem Gebiet der IT-Technik nicht dazu führen, dass die gesetzlichen Pflichten mit dem Aufkommen neuer Technologien schnell wieder veralten. Dieser „innovationsfreundliche“ Ansatz stellt KRITIS-Betreiber jedoch bei der Umsetzung der gesetzlichen Pflichten vor besondere Herausforderungen.