41 DSD 4 | 2025 WIRTSCHAFT UND POLITIK verabschiedet worden. Die nachfolgend genannten Vorschriften sind Inhalt von Art. 1 des NIS2UmsuCG zur Änderung des BSIG. § 28 Abs.1 E benennt die besonders wichtigen Einrichtungen. Das sind Betreiber von neun KRITIS-Sektoren, Anbieter von Vertrauensdiensten oder Domain-Name-Systemen, Anbieter und Betreiber öffentlicher und öffentlich zugänglicher TKNetze mit mindestens 50 Mitarbeitern und 10 Millionen Euro Jahresumsatz sowie Anbieter von Waren und Dienstleistungen für eine Einrichtung in den insgesamt 18 Sektoren der besonders wichtigen Einrichtungen mit mindestens 250 Mitarbeitern und 50 Millionen Euro Jahresumsatz sowie 43 Millionen Euro Jahresbilanz. § 28 Abs. 2 E definiert die wichtigen Einrichtungen. Das sind Vertrauensdiensteanbieter, Anbieter und Betreiber öffentlicher IT-Netze mit weniger als 50 Mitarbeitern und weniger als 10 Millionen Euro Jahresumsatz, Anbieter von Waren und Dienstleistungen für Einrichtungen in einem der 18 Sektoren der besonders wichtigen Einrichtungen mit mindestens 50 Mitarbeitern und Jahresumsatz oder Jahresbilanz über 10 Millionen Euro. § 30 reguliert Risikomanagementmaßnahmen wichtiger und besonders wichtiger Einrichtungen. Sie sind zu geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen verpflichtet, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der ITSysteme, Komponenten und Prozesse zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Die Verpflichtung umfasst: • Konzepte zur Risikoanalyse und IT-Sicherheit • Bewältigung von Sicherheitsvorfällen • BCM, Notfall- und Krisenmanagement • die Sicherheit der Lieferkette • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen und Prozessen einschließlich der Offenlegung von Schwachstellen • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen • grundlegende Schulungen und Sensibilisierung • Konzepte und Prozesse für den Einsatz kryptografischer Verfahren • Konzepte für die Sicherheit des Personals, Zugriffskontrolle und Verwaltung von IKT-Systemen • Lösungen zur Multifaktor-Authentifizierung oder kontinuierlichen Authentifizierung (Nachvollziehung der Datenpunkte der Benutzeridentität in Echtzeit), gesicherte Sprach-, Video- und Textkommunikation Besonders wichtige Einrichtungen und Betreiber von KRITIS und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Abs.1 vorschlagen. Das BSI stellt fest, ob sie geeignet sind. Nach § 31 E gelten für KRITIS-Betreiber besondere Anforderungen an Risikomanagementmaßnahmen. Sie müssen Systeme zur Angriffserkennung einsetzen, die geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und WERBUNG IM DSD ?? ABER MIT SICHERHEIT! 4 Ausgaben pro Jahr / 10.000 Printexemplare pro Ausgabe 5.000 Besucher pro Monat / jederzeit abrufbar www.dersicherheitsdienst.de Anzeige
RkJQdWJsaXNoZXIy Mjc4MQ==