KRITIS-Gesetz 2024
Mit dem neuen KRITIS-Dachgesetz, mit dem mehrere „Untergesetze“ geändert werden sollen, will die Bundesregierung die Resilienz der kritischen Einrichtungen stärken, indem die erfassten Unternehmen und Einrichtungen zu einer Erhöhung des Schutzniveaus durch Mindestvorgaben im Bereich der physischen Sicherheit verpflichtet werden. Diese Pflichten werden die Vorgaben aus dem Bereich der Cybersicherheit spiegelbildlich ergänzen. Kernaufgabe wird die Einrichtung eines betrieblichen Risiko- und Krisenmanagements sein. Das Gesetz nimmt außerdem eine Ergänzung der KRITIS vor. Vorgesehen sind mindestens 11 Sektoren (z.B. Energie, Wasser, Bankwesen, digitale Infrastrukturen).
Auch hier wird es ein Meldesystem geben. Für die effiziente Durchsetzung gilt analog der Sanktionskatalog der NIS 2-Richtlinie und der DSGVO. Umsetzung bzw. Inkrafttreten sind für das Jahr 2024 vorgesehen.
EU-Cyber Resilience Act 2024
Der am 13.09.2022 von der EU-Kommission vorgestellte „Cyber Resilience Act (CRA) schließlich regelt den Produktlebenszyklus, darunter die Gewährleistung, dass die Hersteller die Sicherheit von Produkten mit digitalen Elementen (wie z.B. Betriebssystem- oder Steuerungssoftware) von der Entwurfs- und Entwicklungsphase an und während des gesamten Lebenszyklus verbessern („cybersecurity by design“).
Die Nichteinhaltung der im Gesetz niedergelegten Cybersicherheitsanforderungen können mit Geldbußen von maximal 15 Mio. EUR oder, wenn es sich bei einem Zuwiderhandeln um ein Unternehmen handelt, in Höhe von bis zu 3,5 % seines gesamten weltweiten Jahresumsatzes im vorausgegangenen Geschäftsjahr geahndet werden, je nachdem, welcher Betrag der höhere ist. Auch geringfügigere Verstöße – unterhalb der Schwelle der Verletzung grundlegender Cybersicherheitsanforderungen – können abgestuft und beginnend mit 5 Mio. EUR bzw. 1 % des im vorausgegangenen Geschäftsjahr erzielten weltweiten Jahresumsatzes geahndet werden. Eine Mehrfachbebußung für dieselbe Zuwiderhandlung wird nicht ausgeschlossen.
Der CRA soll mit einer Übergangsfrist von 24 Monaten wirksam werden. Das neue Gesetz betrachtet den gesamten Produktlebenszyklus entlang der Wertschöpfungskette digitaler Produkte. Die strengen Pflichten zur Cybersicherheit wenden sich an alle Parteien, die an der digitalen Lieferkette beteiligt sind, also Hersteller, Importeure und Vertrieb. Damit stellt der CRA die umfassendsten Compliance-Pflichten in der IT-Sicherheit auf, die es jemals gab.
Mindestanforderungen an die IT-Sicherheit
Es lassen sich aus der DSGVO (in Verbindung mit nationalen Datenschutz- und Nebengesetzen), den (über mehrere Gesetze verstreuten) Bestimmungen zur kaufmännischen und organisatorischen Sorgfalt im Umgang mit bestandsgefährdenden Risiken, der IT-Sicherheitsgesetzgebung, der hierzu ergangenen Rechtsprechung und aus Standards wie dem BSI Grundschutzkompendium insgesamt wichtige TOMs wie Verschlüsselung, konfigurationsfehlerfreie Internet- und spezielle Sicherheitssoftware (Firewall, Malware-Scanner, „Intrusion Detection“ und „Data Loss Prevention“), Backup- und „Information Security Management“-Systeme“, fortlaufend zu aktualisierende Datenschutz-/ Datensicherheitskonzepte (inkl. Maßnahmen zur Angriffsprävention und „Desaster Recovery/ Business Continuity“-Management) als Stand der Technik und Best Practice herausfiltern.
Angesichts des sprunghaften Anstiegs der Cyberkriminalität und den mit ihr verbundenen Milliardenverlusten der Wirtschaft kommt hierbei in organisatorischer Hinsicht geeigneten Notfallplänen, in denen Reaktionen auf Angriffe und Desaster-Szenarien festzulegen und in regelmäßigen Abständen Notfälle testweise zu simulieren sind, besondere Bedeutung zu.
Die getroffenen TOMs sind zu dokumentieren und nach dem Maßstab des Standes zu bewerten, damit gegebenenfalls ein sachkundiger Dritter die umgesetzten Maßnahmen substanziell überprüfen und ein Gericht zu einem Urteil hinsichtlich der Verantwortlichkeiten im verkehrssicherungspflichtigen oder nebenvertraglichen Bereich gelangen kann.