IT-Sicherheitsgesetz und Neuerungen durch IT-SiG 2.0

In unserem eintägigen Webinar erhalten Sie einen Überblick in die aktuelle und zukünftige KRITIS -Regulierung, die bald neben den Betreibern kritischer Anlagen auch sogenannte ?besonders wichtige? und ?wichtige? Einrichtungen betreffen wird. Die neue EU-Richtlinie NIS-2 wird in Deutschland durch das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) bis Oktober 2024 in die lokale Gesetzgebung überführt. Dadurch und auch durch die ebenfalls neue EU-Richtlinie CER wird die bisher durch das IT-Sicherheitsgesetz 2.0 existierende KRITIS-Regulierung deutlich erweitert. Dies bringt vielfältige Pflichten und Auswirkungen mit sich, auf die die betroffenen Unternehmen vorbereitet sein sollten. Dazu zählt unter anderem die Umsetzung angemessener organisatorischer und technischer Vorkehrungen zur Vermeidung von Störungen ihrer IT-Systeme.

Als Teil der Digitalen Agenda der Bundesregierung verankert das im Sommer 2015 in Kraft getretene IT-SiG Mindestanforderungen an die IT-Sicherheit für Institutionen, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit bedeuten würden. Zu solchen sogenannten Betreibern Kritischer Infrastrukturen (KRITIS) gehören insbesondere Unternehmen aus den folgenden Branchen: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.

Die Anforderungen an diese KRITIS Unternehmen umfassen dabei z. B. die Umsetzung angemessener organisatorischer und technischer Vorkehrungen zur Vermeidung von Störungen ihrer IT-Systeme, die Meldung erheblicher IT-Sicherheitsvorfälle und die Benennung eines IT-Sicherheitsbeauftragten bzw. die Einrichtung einer Kontaktstelle gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die Aktualisierung des IT-Sicherheitsgesetzes ist als das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 bzw. IT-SiG 2.0) im Mai 2021 verabschiedet worden. Betreiber Kritischer Infrastrukturen sind ab 1. Mai 2023 zum Einsatz von Systemen zur Angriffserkennung verpflichtet.

Aktuelle Entwicklungen auf EU-Ebene zeigen im Zuge der EU NIS-2-Richtlinie eine höhere Verbindlichkeit und Schärfe zu Vorgaben für Kritische Infrastrukturen auf. Diese Anforderungen werden in eine nationale Gesetzgebung einfließen durch das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit: NIS2UmsuCG, inoffiziell bisher oft genannt ?IT-Sicherheitsgesetz 3.0, IT-SiG 3.0?.

Das IT-SiG 2.0 verfolgt einen ganzheitlicheren Ansatz und enthält Maßnahmen zum Schutz der Bürger, zur Stärkung des Staates, zum Schutz der öffentlichen Informationstechnik und für eine informationstechnisch robuste Wirtschaft. Insbesondere werden die für die Betreiber Kritischer Infrastrukturen bestehenden Meldepflichten und Verpflichtungen zur Einhaltung der Mindeststandards für Informationssicherheit (auch auf weitere Teile der Wirtschaft wie z. B. Siedlungsabfallentsorgung) ausgeweitet. Daneben müssen nun auch weitere Unternehmen im besonderen öffentlichen Interesse (zum Beispiel Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung) bestimmte IT-Sicherheitsmaßnahmen umsetzen und werden in den vertrauensvollen Informationsaustausch mit dem BSI einbezogen.

Im Fokus des Webinars steht auch die Implementierung bis zur Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 und BSI IT-Grundschutz. Typische Fragestellungen aus der Praxis sowie mögliche Probleme im ISMS-Prozess für Betreiber kritischer Infrastrukturen werden diskutiert.

Inhalt

Hintergründe zum Themenspektrum Kritische Infrastrukturen
- Entwicklung von IT-Sicherheitsereignissen
- Themenspektrum des IT-Sicherheitsgesetzes (IT-SiG und IT-SiG 2.0)
- Europäische Perspektive
- Betroffene Institutionen

Akteure im IT-SiG-Umfeld und deren Aufgaben
- Rechtsgrundlage BSIG
- Anforderungen an die Akteure im IT-SIG-Umfeld
- Fokus Energie-Branche

Übersicht NIS2/ NIS2UmsuCG/ CER-RL
- Betroffene Unternehmen und Institutionen
- Pflichten im Überblick
- Nationale Aufsicht
- Sanktionen

Informationssicherheitsmanagement
- Informationssicherheitsmanagementsystem (ISMS)
- Kontinuierliche Verbesserung und Schaffung von Sicherheitsbewusstsein
- Grundlagen: Anforderungs- und Risikomanagement
- Notfallmanagement

Informationssicherheitsmanagement nach ISO 27001 (nativ)
- Methodischer Ansatz
- Aufbau und Pflege eines ISMS

Informationssicherheitsmanagement nach ISO 27001 auf Basis IT-Grundschutz
- Methodischer Ansatz
- IS-Management nach dem modernisierten IT-Grundschutz

KRITIS - Nachweisverfahren nach §8A (3) BSIG
- Nachweispflicht
- Branchenspezifische Sicherheitsstandards
- Auditierung und Zertifizierung

Zielgruppe

Personen in Unternehmen und Verwaltung, die im Sinne des IT -Sicherheitsgesetzes zu Betreibern Kritischer Infrastrukturen (KRITIS) zählen und für das Gemeinwesen von zentraler Bedeutung sind.