zurück zur Übersicht

Bundesrat stimmt IT-Sicherheitsgesetz zu

bundestag-769710_bAm 10.7. stimmte der Bundesrat der Gesetzesvorlage des Bundestages zum IT-Sicherheitsgesetz (ITSiG) zu. Das ITSiG erlangt Gültigkeit, sobald es im Bundesgesetzblatt veröffentlich ist. Für die Betreiber kritischer Infrastrukturen (KRITIS) gibt es von nun an einiges zu beachten. Aber auch Hersteller von Produkten und Systemen die im KRITIS Umfeld zum Einsatz kommen, nimmt der Gesetzgeber in die Pflicht. Neben der Meldepflicht von Security Incidents an das Bundesamt für Sicherheit in der Informationstechnik (BSI) sollen von nun an auch branchenspezifische Standards entwickelt werden. Hierzu sind Branchen wie z.B. der Energiesektor oder der Automobilbau nun selbst aufgerufen innerhalb der nächsten zwei Jahre eigene Mindeststandards zu entwickeln, welche im Anschluss vom BSI genehmigt werden müssen. Im Anschluss müssen KRITIS Unternehmen wiederum alle zwei Jahre einen Nachweis erbringen, ob die Anforderungen eingehalten und umgesetzt wurden. Auch Hersteller sollen nun Unterstützung in betroffenen Unternehmen leisten und beim Beseitigen von entdeckten Vulnerabilities helfen. Offene Angriffsvektoren sollen die Hersteller durch zeitnahes Bereitstellen von Security Patches bspw. in betroffenen ICS (Industrial Control Systems) schließen.

Erfüllen KRITIS Unternehmen die Anforderungen nicht und kommen ihrer Meldepflicht nicht nach, sieht das ITSiG sogar Bußgeldverfahren vor. Das BSI soll zudem als nationales CERT agieren und so bspw. von Unternehmen anonym berichtete Angriffe an Unternehmen der gleichen Branche weitergeben können. Diese können wiederum agieren und überprüfen ob ggf. gleiche Systeme oder Produkte von einem Angriff betroffen sein können. Das ITSiG lässt dennoch einige Fragen offen. Wie soll bspw. das Reporting von Security Incidents an das BSI genau erfolgen? Welche Art der Cyberangriffe und welche Schwere der Angriffe sind meldepflichtig?

Kunden im Bereich Industrial Security der iT-CUBE haben einen wichtigen Partner an Ihrer Seite, der die Anforderungen des ITSiG in technische Maßnahmen umzusetzen weiß. Denn zu einem meldepflichtig eingestuften Cyberangriff und den etwaigen Folgen muss man es mit den geeigneten Security-Maßnahmen erst gar nicht kommen lassen.


 

Weitere Links:

Beschlusstext

Finden Sie hier mehr zum Thema Industrial Security, Absicherung von Industrieanlagen und Infrastruktur!

Schreibe einen Kommentar