42 DSD 4 | 2025 WIRTSCHAFT UND POLITIK automatisch erfassen und auswerten. Nach § 39 E haben sie die in § 31 beschriebenen Risikomanagementmaßnahmen zu einem vom BSI im Benehmen mit dem BBK festgelegten Zeitpunkt, frühestens drei Jahre, nachdem sie als KRITIS-Betreiber gelten, durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen und die Ergebnisse einschließlich Angaben über aufgedeckte Sicherheitsmängel zu übermitteln. (Bei schon vor dem Inkrafttreten des gesetzlich bestehenden KRITIS-Betreibers kann das BSI den Zeitpunkt auf frühestens drei Jahre nach der letzten Nachweiserbringung festsetzen.) Das BSI kann die Vorlage eines Mängelbeseitigungsplans und die Beseitigung der Sicherheitsmängel verlangen. § 32 legt ein dreistufiges Meldesystem fest. Die Meldungen erfolgen an das BSI: • innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall • innerhalb von 72 Stunden mit erster Bewertung des Sicherheitsvorfalls • einen Monat nach dieser Meldung eine Abschlussmeldung oder Fortschreibungsmeldung mit – ausführlicher Beschreibung – Art der Bedrohung bzw. der Ursachen – Angaben zu den Abhilfemaßnahmen – grenzüberschreitenden Auswirkungen (insbesondere als Kettenreaktion in vernetzten Systemen) – Angaben zur Art der betroffenen Anlage und zu Auswirkungen auf die Dienstleistung Das BSI legt Einzelheiten der Ausgestaltung des Meldeverfahrens nach Anhörung der Betreiber und der Wirtschaftsverbände im Einvernehmen mit dem BBK fest. Nach § 41 E kann das BSI den Einsatz kritischer Komponenten (in kritischen Anlagen eingesetzte IKT-Produkte, bei denen Störungen der Verfügbarkeit, Integrität und Vertraulichkeit zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der Anlagen oder zu Gefährdungen für die öffentliche Sicherheit führen können) unter bestimmten Voraussetzungen untersagen. Die Kritikalität beruht insbesondere auf der staatlichen Kontrolle des Herstellers, wie etwa in China. Normen und Richtlinien Um die teilweise nicht konkretisierten gesetzlichen Vorgaben in der Praxis anwenden zu können, müssen technische Normen, Richtlinien und Leitfäden herangezogen werden. Eine Reihe von Normen auf internationaler und nationaler Ebene setzt Standards sowohl für physische als auch für digitale Schutzvorkehrungen, Reaktionsmaßnahmen bei Sicherheitsvorfällen, Wiederherstellungs- und Schaden begrenzende Maßnahmen. Sie sollten daher auch vom SDL in der Kundenberatung herangezogen werden, insbesondere um den „Stand der Technik“ zu berücksichtigen. Insbesondere im Bereich der physischen Sicherheit gibt es eine Vielzahl von DIN-Normen und VdSRichtlinien. Im IT-Bereich ist die Norm ISO 27001 der international anerkannte Standard zur IT-Sicherheit im Unternehmen. Die DIN EN IEC 62443-2-1 legt Anforderungen für ein ISMS fest, das Betreiber von industriellen Automatisierungs- und Steuerungssystemen benötigen. Das BSI hat bisher viele branchenspezifische Grundschutzprofile entwickelt und in einem Kompendium zusammengefasst. Und mehr als 75 technische Richtlinien des BSI konkretisieren IT-Sicherheitsmaßnahmen. Auch der VdS hat mit VdS 10000 und 10005 Richtlinien für die IT-Sicherheit im Unternehmen erarbeitet. Die Transferstelle „Cybersicherheit im Mittelstand“ hat ein Tool entwickelt, das Unternehmen hilft, Sicherheitsvorfälle einzuschätzen, und gibt den Nutzern eine Übersicht der öffentlichen Anrufstellen, um Unterstützung anzufordern. Zuständige Sicherheitsbehörden und Fachdienststellen der Polizei, Verbände, Allianzen und kompetente SDL bieten vor allem den Unternehmen im mittelständischen und KMUBereich ihre Unterstützung an. Fazit Auch wenn die Umsetzung der gesetzlichen Anforderungen an KRITIS-Betreiber und Betreiber von besonders wichtigen oder wichtigen Einrichtungen teilweise noch nicht in Kraft getreten ist oder die Anforderungen der Konkretisierung durch Rechtsverordnungen bedürfen, sollten die Betreiber die bis dahin bestehende Vorlaufzeit nutzen, um ihre physische und digitale Resilienz auszubauen, um rechtzeitig gegen Angriffe gewappnet zu sein. Schon nach dem durch das IT-Sicherheitsgesetz 2.0 im Jahr 2021 geänderten BSIG sind viele Unternehmen, insbesondere Anbieter von TK-Diensten (gemäß § 7c), Telemediendiensten (nach § 7d), Betreiber von KRITIS (nach § 8a), Anbieter digitaler Dienste (gemäß § 8c) und Unternehmen im besonderen öffentlichen Interesse (nach § 8f) zur Konzeptionierung und Durchführung weitreichender IT-Sicherheitsmaßnahmen verpflichtet. Bild: # 1199243271 / istockphoto.com
RkJQdWJsaXNoZXIy Mjc4MQ==