Verschärfte Anforderungen - Das neue IT-Sicherheitsgesetz 2.0, Fachartikel in Protector 05/2022

Für die betroffenen Unternehmen bedeutet das neue IT-Sicherheitsgesetz 2.0 konkret: Mehr Pflichten, um die Cybersecurity zu stärken. Es gibt Szenarien, die mag man sich lieber nicht vorstellen: Erfolgreiche Hackerangriffe legen die Stromversorgung großflächig lahm, stören massiv die Rettungsdienste oder bewirken gesundheitsschädliche Konzentrationsveränderungen im Trinkwasser. Die Folgen für die Bevölkerung wären gravierend, und die Szenarien scheinen nicht unrealistisch angesichts der immer ausgefeilteren Cyberangriffe. Insofern ist es unumgänglich, dass sich Unternehmen und Organisationen, die den Sektoren der Kritischen Infrastruktur (KRITIS) angehören, besser schützen.
Das Anfang des Jahres in Kraft getretene Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 oder IT-SIG 2.0) zielt darauf ab, die IT-Infrastruktur in Deutschland zur sichersten der Welt zu machen - mit unterschiedlichsten Maßnahmen. Schon bisher unterlagen Kritis-Betreiber aus den Sektoren Energie, Wasser, Ernährung sowie Informations- und Telekommunikationstechnik besonderen Sicherheitsbestimmungen. Das IT-SiG 2.0 erweitert den Kreis der Adressaten um den Sektor Abfallwirtschaft und um Unternehmen von besonderem öffentlichen Interesse. Dazu gehören neben der Rüstungsindustrie Betriebe, die allein aufgrund ihrer Größe volkswirtschaftlich relevant sind sowie deren wichtige Zulieferer. Zusätzlich steigt die Zahl der Kritis-Betreiber, da Schwellenwerte gesenkt wurden. Beispielsweise reichen für die Einstufung als Stromerzeugungsanlage statt der bisherigen 420 Megawatt jetzt schon 36 Megawatt aus.