KRITIS-Gesetzgebung: Gesetzliche Pflicht zur Erbringung von Nachweisen gemäß §11 EnWG bis zum 01.05.2023

PrintMailRate-it

veröffentlicht am 08. Februar 2023

 

Kritische Infrastrukturen sind aufgrund der globalen Entwicklungen und mindestens seit Beginn des Ukraine-Krieges in aller Munde. Bestimmte KRITIS-Betreiber müssen schon seit dem Sommer 2015, mit Erscheinen des IT-Sicherheitsgesetzes (IT-SiG 1.0), einschlägige Anforderungen erfüllen. Seit dieser Zeit regelt die dem IT-Sicherheitsgesetz nachgeordnete KRITIS-Verordnung über sogenannte Schwellwerte, welche KRITIS-Betreiber die gesetzlichen Anforderungen erfüllen müssen. Waren es anfangs nur die „großen“ Betreiber, für die entsprechende Pflichten entstanden, betreffen die gesetzlichen Regelungen mit Inkrafttreten des IT-SiG 2.0 im Mai 2021 schon sehr viel mehr Betreiber Kritischer Infrastrukturen.


Nach der Verabschiedung des IT-SiG 2.0 hat das BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) Mitte 2022 noch eine wichtige Erweiterung bekommen. Mit § 8a Absatz 1a verpflichtet es alle KRITIS-Betreiber zum Einsatz sogenannter Systeme zur Angriffserkennung (SzA). Dieser Einsatz muss bis spätestens zum 1. Mai 2023 nachgewiesen werden.

 

Systeme zur Angriffserkennung – Was ist das?


Laut BSIG müssen SzA „… geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten“ können. Die Systeme sollten auch „… dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden, sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen“.


Derartige Anforderungen lassen sich durch moderne und z.T. hochspezialisierte IT-Systeme und IT-Security Spezialisten erfüllen. Begriffe, die in diesem Kontext genannt werden müssen, lauten u.a. SOC (Security Operations Center), SIEM (Security Information & Event Management), XDR (Extended Detection and Response).

 

Das richtige Maß an Sicherheit ist entscheidend


In welcher konkreten Ausprägung und in welchem Umfang derartige IT-Systeme tatsächlich einzusetzen sind, hängt von verschiedenen Faktoren ab. Grundsätzlich empfiehlt sich ein risikoorientiertes Vorgehen. Dabei ist entscheidend, auf welche potenziellen Bedrohungen und Schwachstellen die SzA reagieren bzw. welche IT-Systeme von Kritischen Infrastrukturen überhaupt überwacht werden sollen.


Sehr hilfreich kann dabei die vom BSI herausgegebene „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ sein. Sie legt dar, welche Anforderungen Betreiber Kritischer Infrastrukturen für SzA erfüllen sollen und gibt Empfehlungen für ihre Umsetzung und Prüfung.

 

Unser Rödl & Partner Team „Digital Solutions“ unterstützt Sie gern bei Ihren Aktivitäten in diesem Bereich, sei es eine Vorab-Prüfung, ob die Anforderungen der KRITIS-Gesetzgebung erfüllt werden, die Erstellung von Nachweisen als Grundlage für eine solche Prüfung oder auch die Umsetzung von erforderlichen Maßnahmen, um die gesetzlichen KRITIS-Anforderungen termingerecht umzusetzen. Sprechen Sie uns gern an!

Folgen Sie uns!

LinkedIn Banner

Kontakt

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Contact Person Picture

Florian Bär

Wirtschaftsprüfer, Steuerberater

Partner

+49 911 9193 3624

Anfrage senden

Kennen Sie schon SMARENDO?

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu