Herausforderungen bei der Umsetzung des IT-SiG 2.0, Fachartikel in Protector, 01-02/2023

Der Countdown läuft: Angesichts rasant steigender Cyberangriffe und der fortschreitenden Digitalisierung zielt das novellierte IT-Sicherheitsgesetz (IT-SiG) 2.0 darauf, die IT/OT-Sicherheit der kritischen Infrastrukturen (Kritis) zu erhöhen. Für Kritis-Betreiber, deren Kreis der Gesetzgeber durch Unternehmen von besonderem öffentlichem Interesse, niedrigeren Schwellenwerten und mehr Anlagentypen deutlich erweiterte, hat das weitreichende Konsequenzen. Zu den neuen Pflichten gehören ab dem immer näher rückenden Stichtag - dem 1. Mai 2023 - ein System zur Angriffserkennung, die Berücksichtigung der Liste kritischer Komponenten und die aktive Registrierung beim Bundesamt für Sicherheit (BSI). Die Kompetenzen der Behörde wurden ebenfalls ausgedehnt, damit sie aktiver agiert als bisher. Dazu gehört, dass das BSI von sich aus Unternehmen als Kritis einstufen kann. Erste Fälle gibt es bereits. Zudem bekommt die Behörde die Hoheit darüber, was der "Stand der Technik" für sicherheitstechnische Anforderungen bei IT-Produkten ist und wird gemäß dem Cyber Security Act der EU zur nationalen Stelle für Cybersicherheitszertifizierungen.