IT-Sicherheitsgesetz, KRITIS-Verordnung und Normen in Deutschland

IT-Sicherheitsgesetz, KRITIS-Verordnung und Normen in Deutschland

Beitrag aktualisiert am 03.07.2024

Zur Themenwelt Informationssicherheit

Was ist das IT-Sicherheitsgesetz?

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) ist am 25. Juli 2015 in Kraft getreten. Das IT-Sicherheitsgesetz ist Ergebnis der Digitalen Agenda, einer Leitlinie der Bundesregierung aus dem Jahr 2014, die unter anderem eine Verbesserung der Sicherheit und des Schutzes von IT-Systemen und Diensten in Deutschland vorsah.

Grundlage des IT-Sicherheitsgesetzes (IT-SiG) war das seit 2009 existierende Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes. Das Gesetz begegnet der neuen Gefährdungslage durch eine wachsende Digitalisierung von Gesellschaft, Wirtschaft und Staat.

Ziel des IT-Sicherheitsgesetzes

Ziel des IT-Sicherheitsgesetzes ist es, die Informationssicherheit von Unternehmen, Verwaltungen und Institutionen sowie die digitalen Infrastrukturen besser zu sichern und zu schützen, ebenso wie die Bürger im Internet.

Das Gesetz wurde durch den ersten Teil der Rechtsverordnung des Bundesamts für Sicherheit in der Informationstechnik (BSI), der sogenannten KRITIS-Verordnung, am 3. Mai 2016, ergänzt. Darin wurde festgelegt, dass die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation als Kritische Infrastrukturen (KRITIS) einzustufen sind. Ergänzend kamen die Bereiche Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen am 30. Juni 2017 hinzu. Im Mai 2021 ist die Aktualisierung des IT-Sicherheitsgesetzes als das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 bzw. IT-SiG 2.0) in Kraft getreten.

Für wen gilt das IT-Sicherheitsgesetz?

Das IT-Sicherheitsgesetz richtet sich an Unternehmen sowie an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Es regelt die Anforderungen an Kritische Infrastrukturen (KRITIS) neu: Unternehmen, die als kritisch gelten, müssen ihre IT-Systeme nach dem aktuellen Stand der Technik absichern und ihre Informationssicherheit mindestens alle zwei Jahre überprüfen lassen. Für weitere Unternehmen mit sensiblen Daten sieht auch die DSGVO seit dem 25.05.2018 diese Standards vor. Statt einer zweijährigen Überprüfung wird in der DSGVO eine Art Managementsystem gefordert. So will der Staat die Bereiche besser schützen, deren Funktionsfähigkeit für unsere moderne Gesellschaft unverzichtbar sind.

Das IT-Sicherheitsgesetz verpflichtete zunächst nur Kernkraftwerke und Telekommunikationsbetreiber dazu, Störungsfälle ihrer Informationssicherheit dem BSI zu melden. Telekommunikationsunternehmen unterlagen bis dahin nur einer Meldepflicht gegenüber der Bundesnetzagentur. Mit der Rechtsverordnung 2016 sowie der Ergänzung 2017 wurde die Meldepflicht bei erheblichen IT-Störungen auch auf die anderen KRITIS-Betreiber ausgedehnt.

Die Verantwortung des Bundesamts für Sicherheit in der Informationstechnik (BSI)

Das BSI selbst wird durch das IT-Sicherheitsgesetz mit zusätzlichen Befugnissen ausgestattet, um besser auf die neuen Bedrohungen der Informationssicherheit und die gestiegenen Anforderungen an die Unternehmen reagieren zu können. Seine Rolle als nationale IT- und Cyber-Sicherheitsbehörde wird durch das Gesetz also ausgebaut und gefestigt. Gleichzeitig wächst die Verantwortung, die das BSI für die IT-Sicherheit in Deutschland trägt.

Konkret verpflichtet das IT-Sicherheitsgesetz das BSI dazu, Informationen zur Abwehr der Gefahren für die IT-Sicherheit von KRITIS-Betreibern zu sammeln und Relevantes an die betroffenen Unternehmen und zuständigen Aufsichtsbehörden weiterzuleiten. Zudem ist das BSI verantwortlich dafür, Mindeststandards für die IT der Bundesverwaltung zu erarbeiten. Außerdem muss das BSI die Öffentlichkeit jährlich in einem Bericht über die aktuellen Gefahren der IT-Sicherheit informieren.

Von dem IT-Sicherheitsgesetz betroffen sind außerdem Betreiber von Webangeboten. So müssen zum Beispiel Online-Shops höhere Anforderungen erfüllen, um die Daten ihrer Kunden und ihre IT-Systeme besser zu schützen. Betreiber nicht-kommerzieller Webseiten fallen nicht unter das Gesetz.

Das IT-Sicherheitsgesetz verpflichtet zudem Telekommunikationsunternehmen dazu, ihre Kunden zu warnen, sollten sie feststellen, dass deren Anschluss missbraucht wird. Zusätzlich sollen sie sie darin unterstützen, das Problem zu beheben.

Lesen Sie hier mehr zum BSI IT-Grundschutz und der Umsetzung der Standards in Unternehmen auf Basis des neuen Kompendiums.

Der Nachfolger des IT-Sicherheitsgesetzes 2.0

Am 17. Oktober 2024 wird das IT-Sicherheitsgesetz 2.0 vom NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) abgelöst. Dabei handelt es sich um die deutsche Umsetzung der EU-Richtlinie NIS2. Die genauen Inhalte des Artikelgesetzes stehen noch nicht fest, doch angesichts der europäischen Vorlage und erster Referentenentwürfe müssen sich Unternehmen auf folgende Änderungen einstellen:  

  • Der Geltungsbereich wird stark erweitert. Vom NIS2UmsuCG werden auch viele mittlere und kleinere Unternehmen aus Bereichen wie der Lebensmittelbranche und der Industrie betroffen sein. Insgesamt gehen Expertinnen und Experten von mindestens 30.000 betroffenen Unternehmen aus. 

  • Die Anforderungen werden verschärft. Allerdings unterscheidet die NIS2 in dieser Hinsicht zusätzlich zu kritischen Anlagen zwischen „wesentlichen“ und „wichtigen“ Unternehmen. Außerdem ist die Unternehmensgröße ausschlaggebend dafür, welche Cybersicherheitsmaßnahmen im Einzelfall notwendig sind. 

  • Bei Verstößen drohen empfindliche Strafen. 

Erfahren Sie jetzt mehr darüber, welche Auswirkungen die NIS2 auf deutsche Unternehmen hat, und lesen Sie unseren Beitrag „Die NIS2-Richtlinie - was sie für Unternehmen bedeutet“.

Info-Webinar zu NIS-2, KRITIS, CER, CRA und Co.

In unserem Webinar geben wir Ihnen innerhalb einer Stunde einen umfassenden Überblick über die aktuelle und neue EU-Gesetzgebung zur Cybersicherheit, einschließlich NIS-2, KRITIS, CER und CRA.  Außerdem bereiten wir Sie darauf vor, Ihr Unternehmen im Rahmen dieser Gesetze zu schützen. 

Jetzt für 0,- Euro teilnehmen

Standards der Informationssicherheit: ISMS aufbauen und DSGVO umsetzen

Neben Gesetzen und Rechtsverordnungen sorgen in der Praxis spezielle Normen, Grundsätze und Sicherheitsstandards dafür, dass die Unternehmen den Anforderungen an die Informationssicherheit gerecht werden.

Die BSI-Standards etwa sind ein zentraler Bestandteil der IT-Grundschutz-Methodik in Deutschland. Darin festgehalten sind Methoden, Prozesse und geeignete Maßnahmen, um die Informationssicherheit im Unternehmen umzusetzen. Der BSI-Standard 200-1 beispielsweise definiert die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS), zeigt also, welche organisatorischen und technischen Maßnahmen Unternehmen ergreifen müssen, um ihre IT-Sicherheit zu schützen und zu verbessern.

Ein ISMS legt auch fest, wie mit personenbezogenen Daten innerhalb des Geschäftsprozesses umzugehen ist. Der Schutz solcher Daten ist zentraler Bestandteil der Informationssicherheit eines Unternehmens. Mit der neuen EU-Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft getreten ist, werden die Datenschutzniveaus in den Mitgliedstaaten vereinheitlicht. Jedes Unternehmen, kleine und mittelständische ebenso wie große Konzerne, müssen die DSGVO umsetzen.

Ein ISMS, das auf Basis des BSI-Standards 200-1 aufgebaut wurde, ist dabei kompatibel zur internationalen Norm ISO 27001. Unternehmen können also nach einem erfolgreichen Audit ein entsprechendes Zertifikat erhalten.

In unserem Themenbereich Datenschutz erfahren Sie mehr zum Datenschutz in Deutschland und der DSGVO.

Kleines Lexikon der IT-Sicherheit – Wichtige Gesetze, Normen und Begriffe im Überblick

BSI IT-Grundschutz

Der BSI IT-Grundschutz ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Methode, um ein ganzheitliches Informationssicherheitsmanagementsystem (ISMS) in Institutionen beliebiger Art und Größe zu planen, zu implementieren, zu überwachen und kontinuierlich zu verbessern. 

Insbesondere die folgenden BSI-Standards des IT-Grundschutzes beziehen sich auf ein ISMS: 200-1, 200-2 und 200-3 sowie das IT-Grundschutz-Kompendium. Der BSI-Standard 200-4 beschäftigt sich mit dem Thema Business Continuity.

Anders als die ISO 27001 enthält der IT-Grundschutz nicht nur allgemeine Anforderungen, sondern zusätzlich konkrete Vorgaben sowie Handlungsempfehlungen und -anweisungen. Er wird überwiegend in Deutschland eingesetzt. 

Bei der Umsetzung haben Unternehmen die Wahl zwischen drei Vorgehensweisen:  

  1. Die Basisabsicherung setzt grundlegende Schutzmaßnahmen wie Firewalls und Zutrittskontrollen um. Sie zielt vor allem auf kleine bis mittelständische Unternehmen ab, die sich zum ersten Mal mit strategischer Informationssicherheit beschäftigen. 
  2. Die Kernabsicherung fokussiert sich auf den Schutz besonders wertvoller Daten, beispielsweise Produktions-, Kunden- oder Finanzinformationen. Sie ist besonders für Unternehmen relevant, die noch kein umfassendes Informationssicherheitsmanagementsystem (ISMS) implementiert haben und Verbesserungsbedarf in der Informationssicherheit sehen. 
  3. Nach der Umsetzung von Basis- und Kernabsicherung folgt die Standardabsicherung, die ein fortgeschrittenes Sicherheitsniveau anstrebt. Sie beinhaltet den Schutz der gesamten Sicherheitsinfrastruktur eines Unternehmens. 

Mit der Standardabsicherung und der Kernabsicherung nach IT-Grundschutz ist eine Zertifizierung auf Basis der ISO 27001 möglich.  

CER-Richtlinie

Die CER-Richtlinie (Critical Entities Resilience Directive) beziehungsweise EU RCE-Direktive (EU-Richtlinie 2022/2557) verfolgt das Ziel, die physische Resilienz Kritischer Infrastrukturen zu erhöhen. Zu diesem Zweck müssen Mitgliedsstaaten kritische Einrichtungen identifizieren und zu den in der CER-Richtlinie festgelegten Mindestmaßnahmen verpflichten. Für Verstöße sind Sanktionen vorgesehen, die von den Mitgliedsstaaten festzulegen sind. 

Mitgliedsstaaten haben bis Oktober 2024 Zeit, um die CER-Richtlinie in nationales Recht umzusetzen. In Deutschland dient dazu das KRITIS-Dachgesetz.  

CRA-Verordnung

Im September 2022 legte die Europäische Kommission den Entwurf für einen Cyber Resilience Act (CRA) in Form einer EU-Verordnung vor, die im März 2024 vom Europäischen Parlament angenommen wurde. Die Verordnung regelt Anforderungen, die Produkte mit digitalen Elementen erfüllen müssen. Davon betroffen sind insbesondere Hardware, Firmware und Software. Unter anderem schreibt die CRA-Verordnung eine fortlaufende Risikobewertung, Maßnahmen für sichere Entwicklungsprozesse, Zusicherungen an die Sicherheit in Verkehr gebrachter Produkte und eine technische Dokumentation vor. Für bestimmte Kategorien von Geräten ist darüber hinaus eine externe Auditierung vorgesehen. Da es sich, anders als bei NIS, um eine Verordnung handelt, gilt sie unmittelbar und vorrangig nach Inkrafttreten in allen Mitgliedsstaaten. Allerdings gibt es eine Übergangszeit von 36 Monaten.  

DORA-Verordnung

DORA ist die Abkürzung für Digital Operational Resilience Act (EU-Verordnung 2022/2554). Dahinter steht eine Verordnung der Europäischen Union. Sie soll die digitale Resilienz von EU-Finanzinstitutionen erhöhen und nationale Vorschriften vereinheitlichen. Neben Banken und Versicherungen sind viele weitere Unternehmen, Behörden und Organisationen von DORA betroffen, zum Beispiel Ratingagenturen, IKT-Dienstleister, die für Finanzunternehmen tätig sind, oder Versicherungsvermittler. Die adressierten Unternehmen haben bis zum 17. Januar 2025 Zeit, die Vorgaben der Verordnung zu erfüllen. Eine Umsetzung in nationales Recht ist nicht erforderlich, da es sich bei der DORA um eine europäische Verordnung handelt. 

Die in der DORA-Verordnung enthaltenen Maßnahmen lassen sich in 5 Themengebiete unterteilen:  

  • Informationssicherheitsmanagement und IKT-Risikomanagement 

  • Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle 

  • Tests der digitalen operationalen Resilienz 

  • Management des IKT-Drittparteienrisikos 

  • Austausch von Informationen und Erkenntnissen 

ISO/IEC 27001

Die ISO/IEC 27001 ist eine internationale Norm für Informationssicherheitsmanagementsysteme (ISMS). Sie definiert spezifische Anforderungen, nach denen Organisationen ein ISMS planen, implementieren, überwachen und kontinuierlich verbessern können. 

Die Norm richtet sich an Institutionen beliebiger Art und Größe, also zum Beispiel an kleine und mittelständische Unternehmen, aber auch Konzerne, öffentliche Institutionen und gemeinnützige Organisationen. Erstmalig wurde sie 2005 eingeführt. Aktualisierungen erfolgten 2013 und 2022.  

IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz trat erstmals am 25. Juli 2015 in Kraft. Es dient vor allem dazu, die IT-Sicherheit und Resilienz Kritischer Infrastrukturen (KRITIS) zu erhöhen. Betreiber:innen müssen ihre digitale Infrastruktur und IT-Systeme gemäß dem aktuellen Stand der Technik sichern und erhebliche Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Auch Betreiber:innen von Webangeboten sind von dem Gesetz betroffen. Im Mai 2021 trat das IT-Sicherheitsgesetz 2.0 bzw. IT-SiG 2.0 in Kraft. Ab Oktober 2024 wird das IT-Sicherheitsgesetz vom NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) abgelöst. 

KRITIS-Dachgesetz

Das KRITIS-Dachgesetz beziehungsweise KRITIS-DachG soll die CER-Richtlinie der EU in Deutschland umsetzen. Es definiert Mindeststandards für den physischen Schutz Kritischer Infrastrukturen, um deren Widerstandskraft zu erhöhen und IT-Sicherheitsmaßnahmen zu ergänzen. Das KRITIS-Dachgesetz verfolgt einen „All-Gefahren-Ansatz“. Das heißt, es berücksichtigt alle denkbaren Risiken, die durch Menschen oder die Natur verursacht werden, angefangen bei Sabotageakten bis hin zu Unwettern. Aktuell befindet sich das Gesetz im Entwurfsstadium. 

KRITIS-Verordnung

Die KRITIS-Verordnung beziehungsweise KRITIS-Rechtsverordnung (BSI-KritisV) definiert Vorgaben und Grenzwerte für Kritische Infrastrukturen (KRITIS). Seit der ersten Verordnung 2016 gab es vier Änderungsverordnungen, die Schwellenwerte änderten sowie Anlagen strichen, hinzufügten und zusammenfassten. Die letzte davon trat am 1. Januar 2024 in Kraft.  

Kritische Infrastrukturen (KRITIS)

Die Bundesregierung definiert KRITIS folgendermaßen:  

„Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ 

Kritische Infrastrukturen werden derzeit in 10 Sektoren unterteilt: 

  1. Energie: Einrichtungen zur Versorgung mit Elektrizität, Gas, Öl und Wärme 
  2. Informationstechnik und Telekommunikation: IT-Infrastruktur und Kommunikationsdienste 
  3. Wasser: Trinkwasserversorgung und Abwasserentsorgung 
  4. Ernährung: Einrichtungen zur Sicherstellung der Lebensmittelversorgung 
  5. Gesundheit: Krankenhäuser, Labore und andere medizinische Einrichtungen 
  6. Finanz- und Versicherungswesen: Banken, Börsen und Versicherungen, die für das Finanzsystem wichtig sind 
  7. Transport und Verkehr: Personen- und Güterverkehr über Straßen, Schienen, Luft oder Wasserwege 
  8. Staat und Verwaltung: Einrichtungen der öffentlichen Verwaltung, Parlamente und Justiz 
  9. Siedlungsabfallentsorgung: alle Bereiche von der Sammlung über die Verwertung bis zur Beseitigung des Abfalls 
  10. Medien und Kultur: zum Beispiel Rundfunk, Presse und Museen 

NIS (NIS2), NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)

Die NIS2-Richtlinie ist eine Cyber-Security-Richtlinie der EU, die am 26. Januar 2023 in Kraft trat. Wie ihre Vorgängerin, die NIS- oder NIS1-Richtlinie, dient sie dazu, wichtige Einrichtungen vor Cyberangriffen zu schützen und ein einheitliches Schutzniveau in Europa zu schaffen. Ob ein Unternehmen von ihr betroffen ist, hängt davon ab, ob es in einem von 18 definierten Sektoren tätig ist. Außerdem spielt die Unternehmensgröße eine wichtige Rolle. Im Mittelpunkt der Richtlinie stehen Schutzmaßnahmen, die betroffene Einrichtungen ergreifen müssen.  

Das NIS2UmsuCG ist das deutsche Gesetz zur Umsetzung der NIS2-Richtlinie in nationales Recht. Es ist aktuell im Entwurfsstadium und muss bis 17. Oktober 2024 verabschiedet werden.