Cybersecurity: Wird 2023 das Jahr der IT-Sicherheit?

Foto: Pixabay User nagbfa06 | Ausschnitt bearbeitet
Foto: Pixabay User nagbfa06 | Ausschnitt bearbeitet
Veröffentlicht am 13.01.2023

Im neuen Jahr stehen im Bereich der IT-Sicherheit und Resilienz besonders beim Schutz Kritischer Infrastrukturen einige Neuerungen an: vom KRITIS-Dachgesetz bis zur EU-Richtlinie NIS2 und weiteren Vorhaben. Wir fassen zusammen, was es damit auf sich hat.

Das Thema der Resilienz wird auch 2023 im Fokus der allgemeinen sowie der IT-Sicherheitspolitik stehen. So konstatiert der Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom vergangenen Oktober eine zugespitzte IT-Sicherheitslage: Die Sicherheit der Deutschen sei im Cyberraum so stark gefährdet wie nie zuvor, vor allem aufgrund des russischen Angriffskrieges auf die Ukraine. Aber auch die zur Erpressung von Unternehmen und Kommunen genutzten Attacken mit Ransomware seien eine große Bedrohung.

Mehr Koordination mit dem KRITIS-Dachgesetz

Dabei geht es aber nicht nur um Gefährdungen im digitalen Raum durch Schwachstellen in Software-Produkten. Vielmehr hängen Cybersicherheit und physische Sicherheit – speziell die von Kritischen Infrastrukturen (KRITIS) – häufig enger voneinander ab als gemeinhin angenommen. Auch die Motivlage könnte sich mit zunehmenden geopolitischen Spannungen ändern: Waren die Attacken bislang vor allem wirtschaftlich orientiert, sagen die Cybersicherheitsexperten für 2023 einen Anstieg von politisch motivierten Angriffen voraus. Und nicht wenige Experten kommen zu dem Schluss, dass es Nachholbedarf vor allem in Bezug auf die Regelung von Zuständigkeiten und Koordination zwischen Bund, Ländern und Kommunen gibt.

Abhilfe soll hier unter anderem das KRITIS-Dachgesetz schaffen, dessen Eckpunkte die Bundesregierung Anfang Dezember verabschiedet hat und das noch im Bundestag beraten werden muss. Geplant ist bisher, mit dem Gesetz Kritische Infrastrukturen klar und systematisch zu identifizieren, verpflichtende Risikobewertungen und sektorenübergreifende Mindeststandards für Betreiber einzuführen sowie ein zentrales Störungs-Monitoring zu etablieren. Dafür soll das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) als Dachbehörde fungieren und alle KRITIS-Schutzmaßnahmen künftig besser koordinieren.

Nancy Faeser, Bundesministerin des Innern und für Heimat | BMI | Quelle: Peter Jülich

„Wir müssen die Krisenresilienz in allen Bereichen stärken. Deshalb schaffen wir mit dem KRITIS-Dachgesetz erstmals eine bundesgesetzliche Regelung zum physischen Schutz Kritischer Infrastrukturen. (…) Auch die Betreiber Kritischer Infrastrukturen, die für den unmittelbaren Schutz ihrer Anlagen Verantwortung tragen, müssen ihre Schutzmaßnahmen verstärken. Systeme müssen besser gegen Ausfälle geschützt sein.“ (Bundesinnenministerin Nancy Faeser)

Bewegung auf der EU-Ebene

Das Vorhaben eines solchen Gesetzes hatte die Bundesregierung bereits in ihrem Koalitionsvertrag festgehalten. Zugleich handelt sich aber auch um die Umsetzung der EU-Richtlinie über „Critical Entities Resilience“ (CER), die ebenfalls Anfang Dezember auf europäischer Ebene beschlossen wurde. So sieht diese Richtlinie vor, dass alle Mitgliedstaaten über eine nationale Strategie zur Stärkung der Resilienz kritischer Einrichtungen verfügen müssen, mindestens alle vier Jahre eine Risikobewertung durchführen und eine Liste der kritischen Einrichtungen erstellen, die grundlegende Dienste erbringen.

Als Reaktion auf Russlands Angriffskrieg gegen die Ukraine und vermehrte Cyberattacken auf EU-Staaten wurde der Gesetzgebungsprozess innerhalb der EU beschleunigt. Ähnlich wirkte sich diese sicherheitspolitische Zäsur auf eine weitere EU-Richtlinie aus, die parallel verhandelt, im November beschlossen wurde und nun am 16. Januar in Kraft tritt: die novellierte „Network and Information Security“-Richtlinie, kurz NIS2.

Die Überarbeitung der Richtlinie „für ein hohes gemeinsames Cybersicherheitsniveau“, stellt eine Reform der bestehenden Vorschriften zur Netz- und Informationssicherheit von 2016 dar. Anders als die CER-Richtlinie, die auf den physischen Schutz von Kritischen Infrastrukturen abzielt, adressiert NIS2 vor allem Sicherheitsfragen bei Hard- und Software sowie Schutzstandards für Rechnersysteme.

Foto: CC0 1.0 | Pixabay User TheDigitalWay und geralt | Montage

Viele Veränderungen durch NIS2

Damit sind auch neue Auflagen für Unternehmen und Behörden verbunden, die in Sektoren von essenzieller Bedeutung tätig sind. Zudem wird ihr Kreis künftig wesentlich größer, da nun mehr Sektoren mit eingeschlossen werden; auch solche, die nicht zu den KRITIS zählen. So müssen Unternehmen in 18 Sektoren mit mehr als 50 Mitarbeitern und 10 Mio. EUR Umsatz neue Mindestanforderungen erfüllen, dafür Sicherheitskonzepte entwickeln und den nationalen Behörden vorlegen. Zudem muss die Cybersicherheit dann auch in den Lieferketten beachtet werden.

Dies schließt zum Beispiel auch die öffentliche Verwaltung auf zentraler und regionaler Ebene, die Abwasser- und Abfallwirtschaft, die Anbieter elektronischer Kommunikationsservices oder Hersteller kritischer Produkte ein. Nach einer Schätzung aus dem Bundesinnenministerium dürften in Deutschland somit künftig rund 20.000 statt wie bisher 2000 Betriebe und öffentliche Einrichtungen durch die Richtlinie reguliert werden. EU-weit werden es ca. 160.000 sein. Für sie greifen dann auch neue Meldepflichten bei Online-Attacken und daraus resultierenden Datenpannen. Bei Verstößen gegen die Vorgaben sieht die Richtlinie außerdem schärfere Sanktionen vor.

Die Mitgliedstaaten haben nun bis zum 17. Oktober 2024 Zeit, um die Richtlinie in nationales Recht zu überführen. In Deutschland ist in dem Zusammenhang auch mit Anpassungen am BSI-Gesetz und der KRITIS-Verordnung zu rechnen. Zudem wird die Umsetzung von NIS2 hierzulande in Form eines Artikelgesetzes erfolgen.

Was noch ansteht

Darüber hinaus gibt es noch einige weitere Vorhaben im Bereich der Cybersicherheitspolitik, die 2023 anstehen. Zum Beispiel führt die EU-Kommission derzeit ein öffentliches Konsultationsverfahren zum geplanten Cyber Resilience Act (CRA) durch, der die Verbraucher:innen vor Produkten mit unzureichenden IT-Sicherheitsfunktionen schützen soll. Und in Deutschland setzt die Bundesnetzagentur den Branchendialog zur Resilienz der Telekommunikationsnetze fort, wozu im September 2022 ein Strategiepapier veröffentlicht wurde.

Mit der Umsetzung all dieser geplanten oder bereits beschlossenen Vorhaben könnte 2023 tatsächlich zum Jahr der IT-Sicherheit werden.

Schlagworte

Empfehlung der Redaktion