IT-Sicherheitsgesetz 2.0 – Weitere drastische Auflagen in der KRITIS-Verordnung geplant
ID: 1745764
KRITIS-Betreiber müssen sich auf gravierende Anpassungen des IT-Sicherheitsgesetzes 2.0 (IT-SiG) vorbereiten. Der fertige Entwurf der neuen Gesetzesvorlage ist zur Veröffentlichung in diesem Jahr geplant. Nach Inkrafttreten der Rechtsverordnung müssen dann innerhalb von zwei Jahren die Anforderungen umgesetzt werden (§ 8a Abs. 1 BSIG).
Verpflichtende Angriffserkennung
Inbetriebnahme von Systemen zur Erkennung von Cyber-Attacken.
Konkret: KRITIS-Betreiber müssen sicherstellen, dass neben einer Firewall sowie einer Anti-Viren Software zusätzlich Systeme implementiert sind, welche Cyber-Angriffe automatisch und im besten Fall in Echtzeit erkennen.
Dies kann beispielsweise mit sogenannten IDS/IPS (Intrusion Detection / Prevention System) oder SIEM-Lösungen umgesetzt werden.
Mindeststandards kritischer Komponenten
KRITIS-Kernkomponenten, die für eine Störung im Betrieb kritischer Dienstleistungen sorgen können, müssen Mindeststandards des BSI (Bundesamt für Sicherheit in der Informationstechnik) erfüllen und eine Vertrauenswürdigkeitserklärung der gesamten Zulieferkette dieser Komponente nachweisen.
Konkret: Hersteller, die beispielsweise medizinische oder IT-Geräte für kritische Dienstleistungen herstellen, müssen Mindeststandards vom BSI erfüllen und nachweisen. Zusätzlich muss der Hersteller eine sogenannte Vertrauenswürdigkeitserklärung abgeben, dass die komplette Lieferkette dieser Komponenten die Sicherheitskriterien erfüllt.
Bislang sind diese Mindeststandards noch nicht bekannt und werden erst in Gremien definiert. Fraglich ist derzeit, wie schnell diese Richtlinie umgesetzt wird, da ein Nachweis aus der gesamten Zulieferkette einen enormen Aufwand für die Hersteller bedeutet.
Drastische Erhöhung der Bußgelder
Mit der Anpassung an die EU-DSGVO werden Verstöße mit Geldbußen von bis zu 20.000.000 Euro bzw. 4% des weltweiten Unternehmensumsatzes verhängt
Konkret: Die Bußgelder des IT-Sicherheitsgesetzes werden analog zur bereits etablierten EU-DSGVO (Datenschutzgrundverordnung) erhöht. Das heißt, Stand heute max. 100.000 Euro Bußgeld wird auf 20.000.000 Euro bzw. 4% des weltweiten Unternehmensumsatzes angehoben.
Erkennung von Sicherheitsrisiken
Das BSI darf Maßnahmen zur Erkennung von Sicherheitslücken und Risiken in öffentlich erreichbaren Informationssystemen durchführen.
Konkret: Das BSI erhält das Recht, eigenständig alle öffentlich zugänglichen IT-Systeme (z.B. eine Website) von KRITIS-Betreibern auf Sicherheitslücken zu prüfen. Das bedeutet, dass das BSI diese Systeme genauso wie ein Angreifer untersuchen/penetrieren kann.
An dieser Stelle wird es sinnvoll werden, als Betreiber vorzubeugen und selbständig Penetrationstest der eigenen Systeme durchzuführen.
Erstellung von Krisenreaktionsplänen
In Zusammenarbeit mit dem BSI sowie dem Bundesamt für Bevölkerungsschutz und der Katastrophenhilfe sollen abgestimmte Entscheidungen im Notfall unverzüglich Maßnahmen ausführbar machen.
Konkret: KRITIS-Betreiber sollten Ressourcen für eine „Krisenmanager“ Position abstellen. Dieser sollte die Interessen der Klinikums gegenüber den Behörden vertreten und die Maßnahmen in Krisensituationen abstimmen.
Fazit
Bei Verabschiedung des IT-Sicherheitsgesetzes 2.0 werden die IT-sicherheitsrechtlichen Verpflichtungen deutlich erweitert, das BSI erhält weitreichende Kompetenzen und die Sanktionen bei Fehlverhalten werden drastisch erhöht.
Die Zeit zur Umsetzung angemessener organisatorischer und technischer Vorkehrungen zum Schutz der IT-Systeme sollte deswegen nicht zu knapp kalkuliert werden. KRITIS-Betreiber sollten schon jetzt mit der Planung notwendiger Schritte beginnen, da erfahrungsgemäß die Umsetzung der Gesetzesanforderungen ab Beginn der Planung bis zu zwei Jahre dauert.
Der komplette Gesetzesentwurf (IT-SiG 2.0) enthält noch eine Vielzahl weiterer konkreter Änderungen. In diesem Beitrag wurden nur wesentliche Ausschnitte beschrieben, die insbesondere für Betreiber kritischer Infrastrukturen relevant sind.Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Datum: 19.08.2019 - 10:56 Uhr
Sprache: Deutsch
News-ID 1745764
Anzahl Zeichen: 4290
Kontakt-Informationen:
Kategorie:
IT Service
Meldungsart: Erfolgsprojekt
Versandart: Veröffentlichung
Diese Pressemitteilung wurde bisher 1063 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"IT-Sicherheitsgesetz 2.0 – Weitere drastische Auflagen in der KRITIS-Verordnung geplant"
steht unter der journalistisch-redaktionellen Verantwortung von
Adiccon GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Im Jahr 2026 steht die Informationssicherheit im Krankenhaus stärker denn je im Fokus der Unternehmensverantwortung. Krankenhäuser werden bereits seit 2019 als kritische Infrastrukturen (KRITIS) klassifiziert, wenn sie mehr als 30.000 Patienten pro Jahr vollstationär behandeln, und müssen eine V
NIS 2.0 im Krankenhaus ...
Cybersecurity ist keine IT-Frage mehr – sondern Führungsverantwortung Die Digitalisierung hat die medizinische Versorgung grundlegend verändert. In den Krankenhäusern und Klinikgruppen sind klinische Kernprozesse, Medizintechnik, Verwaltung und externe Dienstleister heute eng miteinander ver
KI im Krankenhaus: Bedeutung, Nutzen und Risiken aus Sicht der IT-Leitung ...
Künstliche Intelligenz gewinnt im Krankenhausumfeld spürbar an Relevanz. Immer mehr Fachabteilungen prüfen KI-gestützte Anwendungen, etwa für Diagnostik, Bildanalyse oder die Steuerung klinischer Prozesse. Dadurch steigt der Handlungsdruck auf die IT-Abteilung. Sie bewertet Anfragen, prüft die
Weitere Mitteilungen von Adiccon GmbH
Warenwirtschaft für Bahninfrastruktur und Schienenfahrzeuge automatisieren ...
Immer alles auf Lager Gut zu wissen, dass zedas®asset mit dem Stock Manager nun auch die Lagerbestände Ihrer Werkstätten im Blick behält und mit durchdachten Bestellvorschlägen dafür sorgt, dass Fahrzeuge nicht mehr durch fehlende Ersatzteile ausfallen. Werkstattaufträge werden beschleunigt
Exklusives Grill-BBQ am 5. September 2019 in der PERCUMA-Eventlocation in der Nähe von Frankfurt (Main) ...
Nehmen Sie sich die Zeit, um in angenehmer Atmosphäre und klimatisierten Räumen die umfang-reichen Möglichkeiten der Produkte der Firmen Devolutions und iOFABRIC kennenzulernen. Die Veranstaltung findet bei jedem Wetter statt: Am 5. September 2019 von 08:30 bis ca. 14:30 Uhr in der PER
Healthcare Consulting Services Market | Future Growth Analysis ...
Healthcare Consulting can help you transform your healthcare organization to achieve better outcomes and improve patient care, which will result in business and revenue growth of your company. This report broadly segments the healthcare consulting services market by the type of service, end user, an
novaCapta bietet künftig Office 365 Know-how von Nürnberg aus ...
Mit dem Fokus auf Office 365 konnte die novaCapta sich erneut als attraktiver Arbeitgeber positionieren und ein ganzes Team an erfahrenen Consultants, Projektleitern und Entwicklern für sich begeistern. Durch zehn neue Fachkräfte gewinnt das Unternehmen mit einem Schlag viel Microsoft Know-how und
