Setzen Sie jetzt unkompliziert die Anforderungen in Ihrem Unternehmen um.

Das IT-SiG 2.0 verpflichtet alle KRITIS-Betreiber, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen.“ Im neuen § 8a Absatz 1a BSIG wird ausdrücklich auch der Einsatz von Systemen zur Angriffserkennung (SzA) benannt.

Die umgesetzten Maßnahmen sollen nach § 8a Absatz 3 BSIG und § 11 Absatz 1e EnWG über ein sechsstufiges Umsetzungsgradmodell nachgewiesen werden. Die Umsetzungsgrade reichen dabei von Stufe 0 (keine Anforderungen erfüllt) bis Stufe 5 (alle Anforderungen erfüllt).

Das IT-SiG 2.0 definiert, was unter einem System zur Angriffserkennung zu verstehen ist. Demnach geht es um Prozesse, die durch technische Werkzeuge und organisatorische Einbindung unterstützt werden und dazu dienen, Angriffe auf informationstechnische Systeme zu erkennen.

Um das zu erreichen, müssen die Systeme kontinuierlich und automatisch Parameter und Merkmale aus dem Betrieb der Systeme erfassen und auswerten. Sie müssen die verarbeiteten Daten mit Informationen und Mustern, die auf Angriffe hinweisen können, vergleichen. Zusätzlich sollen sie in der Lage sein, Bedrohungen zu erkennen und zu vermeiden sowie geeignete Beseitigungsmaßnahmen zu ergreifen, wenn eine Störung eintritt.

In Bezug auf ihre Funktionalität haben Systeme zur Angriffserkennung demnach drei wesentliche Aufgaben:

• Protokollierung
• Detektion
• Reaktion

Den Risiken eines Cybersecurity-Vorfalls ist jedes einzelne Unternehmen ausgesetzt – ganz unabhängig von der Branche und der Unternehmensgröße. Deshalb ist es grundsätzlich für jedes Unternehmen sinnvoll, die Forderungen aus dem IT-SiG 2.0 und die Empfehlungen aus dem IT-Grundschutz umzusetzen.

Gesetzlich verpflichtet sind jedoch derzeit nur Betreiber Kritischer Infrastrukturen

Laut § 2 Absatz 10 BSIG zählen dazu Einrichtungen, Anlagen oder Teile davon, die den folgenden Sektoren angehören:

• Energie
• Informationstechnik und Telekommunikation
• Transport und Verkehr
• Gesundheit
• Wasser
• Ernährung
• Finanz- und Versicherungswesen
• Siedlungsabfallentsorgung

Die Kritischen Infrastrukturen werden durch § 10 Absatz 1 BSIG noch näher bestimmt. Demnach müssen bestimmte Schwellenwerte erreicht oder überschritten werden, damit ein KRITIS-Betreiber den gesetzlichen Melde- und Nachweispflichten des BSI unterliegt. Die Schwellenwerte der BSI-Kritisverordnung können Sie hier nachlesen

Falls Ihr Unternehmen nicht unter die BSI-Kritisverordnung fällt, empfehlen wir Ihnen dennoch dringend, in eine sichere IT-Infrastruktur zu investieren. Wir beraten Sie gerne dazu.

Wenn Ihre IT-Infrastruktur nicht ausreichend abgesichert ist, wird Ihr Unternehmen zu einem leichten Angriffsziel, das unnötig hohen Risiken ausgesetzt ist. Ein Cyberangriff kann erhebliche Schäden verursachen wie zum Beispiel:

• Ausfall ganzer IT-Systeme oder Produktionsanlagen
• Finanzielle Verluste aufgrund von Ausfallzeiten
• Kompromittierung sensibler Daten
• Erpressung und Lösegeldforderungen
• Imageschaden

Für KRITIS-Betreiber können diese Folgen noch deutlich drastischer ausfallen. Darüber hinaus drohen ihnen bei Nichteinhaltung der Vorgaben aus dem IT-SiG 2.0 Bußgeldstrafen von bis zu 20 Mio. €.

Nicht selten führt ein Cyberangriff langfristig zur Insolvenz des betroffenen Unternehmens.

Da die Vorgaben aus dem IT-SiG 2.0 bereits seit dem 01.05.2023 umgesetzt sein sollten, besteht dringender Handlungsbedarf. Sie sollten schnell agieren, aber gut durchdacht.

Zunächst sollte der Status quo Ihrer IT-Sicherheitsmaßnahmen mit den gesetzlichen Anforderungen abgeglichen werden. Anschließend müssen identifizierte Lücken umgehend geschlossen werden. Sprechen Sie dazu den Verantwortlichen in Ihrer IT-Abteilung an.

Gerne beraten und unterstützen unsere IT-Security-Experten von C & C IT Sie vollumfänglich und liefern Ihnen mit ProLog eine schnelle und sichere All-in-One-Lösung zur Erfüllung der Vorgaben aus dem IT-SiG 2.0.