-
» Herausragend «
Das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0), das 2021 in Kraft trat, hat die deutsche Cybersecurity-Regulierung grundlegend verschärft. Insbesondere für Betreiber Kritischer Infrastrukturen (KRITIS) und Unternehmen mit sensiblen IT-Komponenten bringt es weitreichende Pflichten. Die zentrale Neuerung betrifft die verpflichtende Einführung von Systemen zur Angriffserkennung sowie die Regulierung kritischer IT-Komponenten. Unternehmen stehen damit vor der doppelten Herausforderung: Einerseits müssen sie komplexe technische Lösungen implementieren, andererseits gilt es, Datenschutz- und Compliance-Anforderungen einzuhalten. Der Beitrag analysiert praxisnah die Chancen und Risiken und zeigt Wege einer rechtskonformen Umsetzung.
Kernstück des IT-SiG 2.0 ist die Pflicht zur Einrichtung sogenannter Systeme zur Angriffserkennung (§ 8a Abs. 1a BSIG). Diese Systeme dienen dazu, verdächtige Aktivitäten im IT-Betrieb frühzeitig zu identifizieren. In der Praxis bedeutet das eine Kombination aus Technologie (z. B. Intrusion Detection/Prevention Systeme, SIEM-Lösungen) und organisatorischen Maßnahmen wie Incident-Response-Prozessen.
Die Unternehmen müssen geeignete Sensoren implementieren, Alarmierungsprozesse definieren und Security Operations Center einrichten, die kontinuierlich Bedrohungen überwachen. Entscheidend ist, dass diese Systeme nicht nur formale Anforderungen erfüllen, sondern tatsächlich zu einer erhöhten Sicherheitslage beitragen. Das Gesetz unterstreicht, dass es nicht mit dem bloßen Erwerb einer Software getan ist; vielmehr verlangt es die Integration in betriebliche Abläufe.
Die regulatorischen Anforderungen enden nicht mit der Implementierung. Unternehmen müssen ihre Angriffserkennung regelmäßig dokumentieren und gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen. Bereits seit Mai 2023 verlangt das BSI entsprechende Nachweise, die im Rahmen von Prüfungen durch akkreditierte Stellen kontrolliert werden.
Fehlen diese Nachweise oder erweist sich das eingesetzte System als unzureichend, drohen erhebliche Sanktionen. Gemäß § 14 BSIG können Bußgelder bis zu zwei Millionen Euro verhängt werden. Damit steigt der Druck auf Unternehmen, nicht nur formale, sondern tatsächlich wirksame Lösungen einzusetzen.
Die Einführung von Angriffserkennungssystemen bringt datenschutzrechtliche Spannungen mit sich. Systeme, die Netzwerke umfassend überwachen, berühren zwangsläufig personenbezogene Daten – etwa bei der Protokollierung von Mitarbeiteraktivitäten. Hier fordert das Gesetz eine sorgfältige Abwägung zwischen Sicherheitsinteressen und Persönlichkeitsrechten.
Unternehmen sind verpflichtet, Datenschutzbeauftragte einzubinden, technische Vorkehrungen wie IP-Maskierung vorzusehen und Mitarbeiterrechte zu wahren. Zusätzlich verlangt die Datenschutz-Grundverordnung (DSGVO) eine frühzeitige Meldung von Sicherheitsvorfällen. Damit wird deutlich: IT-Sicherheit darf nicht isoliert gedacht werden, sondern muss im Einklang mit dem Datenschutz stehen.
Eine weitere wesentliche Neuerung des IT-SiG 2.0 betrifft kritische Komponenten (§ 9b BSIG). Erstmals werden bestimmte IT-Produkte in kritischen Systemen einem besonderen Zulassungs- und Prüfregime unterworfen. Das BSI erhält die Befugnis, Hersteller und Produkte auf Sicherheitsrisiken hin zu überprüfen und im Extremfall den Einsatz zu untersagen.
Für Unternehmen bedeutet dies, dass Risikomanagement und Beschaffung eine neue geopolitische Dimension erhalten. Abhängigkeiten von einzelnen Herstellern oder Lieferketten können zu erheblichen Unsicherheiten führen. Unternehmen sind daher gut beraten, Diversifizierungsstrategien zu verfolgen, vertragliche Vorkehrungen für den Fall von Herstellerverboten zu treffen und Notfallpläne für den Austausch kritischer Komponenten zu entwickeln. Besonders deutlich zeigt sich diese Problematik in Branchen mit eingeschränkter Lieferantenauswahl, etwa der Telekommunikation.
Die Umsetzung der neuen Vorgaben stellt Unternehmen zweifellos vor große Herausforderungen. Gleichwohl eröffnen sie auch Chancen: Wer die Anforderungen frühzeitig erfüllt, kann nicht nur regulatorische Risiken vermeiden, sondern auch das eigene Sicherheitsniveau steigern und Vertrauen bei Kunden, Geschäftspartnern und Investoren gewinnen.
Die ersten beiden Jahre nach Inkrafttreten haben gezeigt, dass viele Unternehmen die regulatorischen Impulse genutzt haben, um ihre Sicherheitsarchitektur grundlegend zu verbessern. Dennoch besteht erheblicher Nachholbedarf, insbesondere bei kleineren KRITIS-Betreibern, die neu in den Geltungsbereich aufgenommen wurden.
Zum Abschluss formuliert der Beitrag konkrete Schritte für die rechtskonforme Umsetzung:
1. Projektgruppe bilden: Unternehmen sollten interdisziplinäre Projektgruppen einrichten, die IT-Sicherheit, Recht und Compliance verbinden.
2. Bestandsaufnahme durchführen: Eine sorgfältige Analyse vorhandener Systeme und Risiken ist die Basis für zielgerichtete Maßnahmen.
3. Standards nutzen: Die Orientierung an anerkannten Normen wie ISO 27001 erleichtert sowohl Implementierung als auch Nachweisführung.
4. Ressourcen sichern: Angesichts der Komplexität sind ausreichende personelle und finanzielle Mittel unverzichtbar.
Diese Empfehlungen verdeutlichen, dass das IT-SiG 2.0 nicht nur eine juristische Verpflichtung darstellt, sondern zugleich eine Chance, die eigene Resilienz nachhaltig zu erhöhen.