Im August 2021 wurde die KRITIS-Verordnung 2.0 beschlossen und tritt ab 2022 in Kraft.
In dieser neuen Version wurden die Schwellenwerte angepasst (i. d. R. reduziert) – also ab wann ein Unternehmen unter die KRITIS-Verordnung fällt. Des Weiteren wurden die Anlagen konkretisiert, also welche Anlagentypen zur Erbringung der kritischen Leistung geschützt werden müssen. So gelten nun z. B. auch alle IT-Anlagen und benötigten Softwareprodukte zum Schutzumfang.
Somit trifft die neue KRITIS-Verordnung etwa 250 zusätzliche Unternehmen, wobei die meisten im Bereich der Energieversorgung zu finden sind. Allerdings müssen sich nun auch Software-Lieferanten und Anlagenhersteller mit dem Schutz ihrer Produkte auseinandersetzen.
Das Ziel der neuen Verordnung (auch in Verbindung mit dem IT-Sicherheitsgesetz 2.0) ist die Erhöhung der Abwehr von Cyberangriffen auf kritische Infrastrukturen, die der Aufrechterhaltung des öffentlichen Lebens dienen.
Um die Anforderungen umzusetzen sind genau wie bei der DSGVO, technische und organisatorische Maßnahmen zu treffen. Auch hier wird ein Risiko-basierter Ansatz verfolgt, der die Risiken eines Ausfalls der kritischen Infrastruktur gegenüber den umzusetzenden Maßnahmen abwägt.
Die übergeordneten Schutzziele wie Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit in den IT-Systemen sind zu einzuhalten und entsprechend dem Stand der Technik umzusetzen.
Herausfordernd wird sicherlich die alle 2 Jahre wiederkehrende “Selbsterklärung zur IT-Sicherheit”, die gegenüber dem BSI durch die Verantwortlichen umzusetzen ist.
Im Oktober 2020 wurde das Patientendatenschutzgesetz (PDSG) erlassen, das noch über die Schwellenwerte der KRITIS-Verordnung hinaus, alle Krankenhäuser ab dem 1.1.2022 zur Umsetzung von Maßnahmen zur IT-Sicherheit verpflichtet.
Die vom Datenschutzkontor angebotenen Mitarbeitersensibilisierungsmaßnahmen sind sicherlich nur ein kleiner Baustein bei der Umsetzung einer Informations-Sicherheitsstrategie, aber ein sehr hilfreicher.
Kontaktieren Sie uns und wir stellen Ihnen unsere Lösung vor.
