IT-SiG 2.0 und KRITIS – zwei Begriffe, die die IT-Sicherheits-Branche bereits seit dem vergangenen Jahr besonders beschäftigt und die auch in 2022 in aller Munde sind. Axel Amelung darf sich zurecht als Experte auf diesem Gebiet bezeichnen. Der studierte Informatiker und Inhaber zweier Patente im Bereich der Intelligenten Netze betreut als Senior Account Manager bei der TÜV TRUST IT die Informationssicherheit vieler Kunden und beschäftigt sich seit Jahren intensiv mit dem IT-Sicherheitsgesetz und dessen praktischer Umsetzung. Im Interview spricht er über die damit eng verbundene neue Rechtsverordnung BSI-KritisV und erläutert, was in 2022 für potenzielle KRITIS-Betreiber wichtig sein wird.
Herr Amelung, wie kamen Sie zur TÜV TRUST IT?
Nach meinem Informatikstudium war ich zunächst in der Forschung tätig und habe anschließend einige berufliche Stationen durchlaufen. Unter anderem war ich im Produktmanagement der Telekom tätig und später Geschäftsführer eines kleinen Softwareunternehmens, bevor ich vor acht Jahren schließlich bei der TÜV TRUST IT gelandet bin. Ganz besonders freut mich die großartige Entwicklung, die das Unternehmen seitdem durchgemacht hat, insbesondere im Bereich ISMS-Aufbau. Und das IT-Sicherheitsgesetz (IT-SiG) war von Anfang an eines der Themen, mit denen ich mich hier besonders beschäftigt und in dessen Zusammenhang ich Kunden betreut habe und bis heute betreue.
Wie hängt das angesprochene IT-SiG mit der aktuellen „Zweiten Verordnung zur Änderung der BSI-Kritisverordnung“ (BSI-KritisV) zusammen?
Kurz und knapp gesagt konkretisiert die Rechtsverordnung BSI-KritisV die Ausführungen des IT-SiG 2.0, welches in 2021 in Kraft getreten ist, im Hinblick darauf, welche Unternehmen als Betreiber kritischer Infrastrukturen das IT-SiG umsetzen müssen. Erste Entwürfe des IT-SiG gab es schon 2014, ein Jahr später folgte die erste Umsetzung. Und nun haben wir das IT-SiG 2.0 und die aktualisierte BSI-KritisV, die seit 1. Januar in Kraft ist. Diese sollen in erster Linie einen Beitrag zur Versorgungssicherheit in Deutschland leisten und die Sicherheit Kritischer Infrastrukturen erhöhen. Denn eins ist klar: Die Bedrohungslage nimmt auch in diesem Bereich stetig zu. Um das zu erreichen, reguliert die BSI-KritisV den Bereich der Kritischen Infrastrukturen, definiert KRITIS-Anlagen in verschiedenen Sektoren und setzt Schwellenwerte fest. Wichtig für Betreiber solcher Anlagen ist nun die obligatorische jährliche Überprüfung, ob ihre Anlagen KRITIS-relevant sind.
Was bedeutet das im Detail?
Die neue KRITIS-Regulierung hat für KRITIS-Betreiber drei Schwerpunkte. Der erste und vielleicht umfassendste sind die neuen Anforderungen. Unter anderem wurde der Einsatz von Systemen zur Angriffserkennung zur Pflicht, was zum 1.5.2023, also zwei Jahre nach Inkrafttreten der neuen Fassung, umgesetzt sein muss. Und dies muss auch gegenüber dem BSI unaufgefordert nachgewiesen werden. Ein weiterer Schwerpunkt sind Kritische Komponenten, deren Einsatz stark reguliert wurde. So müssen Hersteller kritischer Komponenten unter anderem eine Garantieerklärung über ihre Vertrauenswürdigkeit abgeben. Damit verpflichten sie sich zum Beispiel zur proaktiven Meldung von Schwachstellen an Kunden und BSI und deren Beseitigung. Und der dritte Schwerpunkt sind Business Continuity Management Systeme, kurz BCMS. Diese finden zwar nicht explizite Erwähnung im IT-SiG 2.0, aber es wurden Orientierungshilfen formuliert, die die Anforderungen an ein BCMS betreffen. Und im Rahmen der obligatorischen zweijährigen Prüfung wird auch eine Bewertung des Reifegrades des ISMS sowie des BCMS vorgenommen.
Betreiber solcher Anlagen müssen demnach gut informiert sein und ggf. einen recht hohen Aufwand betreiben, um die neuen Anforderungen zu erfüllen.
Das stimmt definitiv, zumal einiges auch noch nicht ganz klar definiert wurde. Das BSI will beispielsweise in Kürze weitere Informationen zu den Anforderungen an die Systeme zur Angriffserkennung veröffentlichen. Ein erfahrener Partner in diesem Bereich ist hierbei sehr wertvoll und kann vor teuren Fehlentscheidungen schützen. Da ist man zum Beispiel bei der Certified Security Operations Center GmbH in guten Händen, die als Joint Venture der TÜV TRUST IT und der dhpg gegründet wurde. Die Kollegen dort bieten eine kompetente Beratung sowie ein erprobtes und gut funktionierendes Security Operations Center (SOC) an, das allen Anforderungen des IT-SiG 2.0 genügt, wodurch sie auch langfristig als Partner agieren können.
Inwiefern kann die TÜV TRUST IT ihre Kunden hier unterstützen?
Wir haben durch das IT-SiG einige neue Kunden gewonnen, weil wir viel mehr Service bieten als den reinen ISMS-Aufbau. 90 Prozent unserer Kunden sind aktiv, das heißt hier endet die Beziehung nicht nach dem Aufbau des ISMS, sondern es folgen Maßnahmen wie jährliche Audits, Zertifizierungen oder Scope-Erweiterungen. Unser breites Angebot kann an jeden Kunden individuell angepasst werden, was uns zu einem langfristigen und geschätzten Partner unserer Kunden macht. Insbesondere beim Thema KRITIS und IT-SiG sind wir auch gerne beratend tätig. Viele Unternehmen fragen zum Beispiel nach einer Einschätzung zu den neuen Anforderungen und zum IT-SiG allgemein. Auf Basis unserer etablierten Kontakte zum BSI können wir diese Rückfragen meist schnell und umfassend klären, wovon unsere Kunden direkt profitieren. Ein großes Thema für potenzielle KRITIS-Betreiber sind auch die deutlich gesenkten Schwellenwerte für Energieerzeugungsanlagen in der neuen BSI-KritisV. Neu ist außerdem der KRITIS-Sektor Siedlungsabfallwirtschaft, für den noch keine Schwellenwerte bekanntgegeben wurden, was aber vermutlich noch im ersten Quartal diesen Jahres passieren wird. Die TÜV TRUST IT ist diesbezüglich immer ansprechbar – sowohl für individuelle Fragen als auch um an die neuesten Informationen zu gelangen.
Vielen Dank für das Interview, Herr Amelung!