Jetzt kostenlos testen
intro Frist abgelaufen: Haben Sie bereits Ihren SzA-Prüfnachweis?

Frist abgelaufen: Haben Sie bereits Ihren SzA-Prüfnachweis?

Mit dem IT-Sicherheitsgesetzt 2.0 vom 27.05.2021 ist das BSI-Gesetz, sowie das EnWG dahingehend geändert worden, dass sogenannte Systeme zur Angriffserkennung etabliert werden müssen.

Was sind Systeme zur Angriffserkennung (SzA)?

Um die Sicherheit der Informationstechnik und den Weiterbetrieb von Unternehmen die zur kritischen Infrastruktur gehören voran zu treiben, werden auf europäischer und nationaler Seite die Regelungen und Bestimmungen weiter verschärft.

Am 27.05.2021 hat der Bund das IT-Sicherheitsgesetz 2.0 verabschiedet, womit Änderungen an dem BSI-Gesetz in Kraft getreten sind, sowie für TKG, das EnWG, das AWG und SGB 10. Die größten Neuerungen bringen hierbei das BSI-Gesetz, sowie das EnWG, da bei den Änderungen die Systeme zur Angriffserkennung zur Verpflichtung gemacht wurden.

Unter § 2 Abs. 9b des BSI-Gesetztes ist definiert, dass Systeme zur Angriffserkennung technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme sind. Ferner wird ergänzt, dass die Angriffserkennung durch den Abgleich vom Normalverhalten erfolgt, in dem Muster zu filtern sind, die auf Angriffe hindeuten. Dies zeigt, dass die Systeme zur Angriffserkennung nach dem IT-Sicherheitsgesetz 2.0 mehr fordern, als die gängigen Methoden, die derzeitig etabliert sind, liefern. Im § 11 Abs. 1d des EnWG steht ferner, dass die Systeme zur Angriffserkennung kontinuierlich und automatisch geeignete Parameter und Merkmale im Betrieb erfassen und auswerten können müssen.

Wer muss Systeme zur Angriffserkennung einführen?

Prinzipiell sollte jedes Unternehmen, welches eine technische Infrastruktur besitzt sich vor Angriffen schützen. Mit den Regelungen für die Systeme zur Angriffserkennung ist dies für einige Branchen und Unternehmen gesetzlich geregelt.

Durch die Erweiterung des BSI-Gesetztes in § 8a Abs. 1a sind alle Unternehmen, die über den KRITIS-Schwellwerten dazu verpflichtet Systeme zur Angriffserkennung einzuführen. Hier gilt zu beachten, dass in der aktuellen Fassung des BSI-Gesetztes bzw. der Schwellwerte für kritische Infrastruktur die Änderungen der NIS 2.0 nicht enthalten sind! Bis zum 17. Oktober 2024 haben die Länder der europäischen Union noch Zeit die NIS 2.0 in nationales Recht umzuwandeln.

Da hier die Grenzen weit heruntergeschraubt werden, ab wann ein Unternehmen ein sogenannter Betreiber wesentlicher Dienste ist, sollten sich auch Unternehmen die noch nicht zur KRITIS gehören mit der Thematik auseinandersetzten. Auch die Erweiterung der Branchen, die zu Betreibern wesentlicher Dienste gehören, ist noch nicht im aktuellen BSI-Gesetz enthalten. Zusätzlich zu den KRITIS-Unternehmen schreibt das EnWG in § 11 Abs. 1d, dass auch Energieversorgungsnetzbetreiber ebenfalls Systeme zur Angriffserkennung einführen müssen.

Welche Fristen gelten für die Systeme zur Angriffserkennung?

Das BSI-Gesetz und das EnWG beschreiben detailliert, ab welchen Tag das System zur Angriffserkennung etabliert und durch eine externe Prüfung abgenommen werden sein muss. So heißt es im § 8a Abs. 1a BSI-Gesetz, dass ab dem 01. Mai 2023 bei der nächsten KRITIS-Prüfung - und in dem § 11 Abs. 1d EnWG, dass spätestens am 01. Mai 2023 einen Nachweis eingereicht werden muss, dass Systeme zur Angriffserkennung eingeführt wurden.

In § 8a Abs 3 BSI Gesetz sowie § 11 Abs. 1e EnWG ist zusätzlich beschrieben, dass der Nachweis alle zwei Jahre erneut erbracht werden muss. Zusätzlich hierzu ist zu beachten, dass der 17. Oktober 2024 ein weiteres besonderes Datum aufzeigt, da hier die einjährige Übergangsfrist für die Gesetzesänderungen durch die NIS 2.0 beginnen. Der 18. Oktober 2024 wird somit für alle neuen Unternehmen die als KRITIS Unternehmen eingestuft werden, ein sehr wahrscheinliches Datum für die Einführung von Systemen zur Angriffserkennung sein. Dies wird sich allerdings erst im weiteren Verlauf des Jahres zeigen.

Wie kann die CONTECHNET helfen?

Die CONTECHNET Deutschland GmbH besitzt die Kompetenz Prüfungen der Systeme zur Angriffserkennung gemäß § 8a BSIG sowie § 11 EnWG durchzuführen und gilt somit als prüfende Stelle. Das Prüfverfahren durchläuft zusammengefasst vier Schritte:

  1. Beratungsgespräch
  2. Prüfungsdurchführung
  3. Prüfung der geplanten Korrekturmaßnahmen (Mängelliste)
  4. Übermittlung der Nachweisdokumente

Weitere Informationen zu den Prüfverfahren erhalten Sie, wenn Sie hier oder unten auf den blauen Button klicken.

Forcierung der Cybersicherheit durch die NIS 2.0

Autoren: Luca Jasinski, Falk Röbekamp
Quellen: BSI-Gesetz, EnWG, IT-Sicherheitsgesetz 2.0, NIS 2.0

Informationssicherheit als globale Herausforderung

Jetzt Richtlinien abdecken und umfassendes Sicherheitskonzept implementieren
SzA: Wir klären auf!
FAQ zum Thema

SzA für Betreiber kritischer Infrastrukturen sowie für Betreiber von Energieversorgungsnetzen und -anlagen – unabhängig von ihrer Unternehmensgröße. Alle Antworten auf Ihre Fragen. 

Jetzt informieren!
NIS 2.0 Richtlinie
Forcierung der Cybersicherheit

Erhalten Sie in unserem Blogbeitrag wertvolle Einblicke in die Gegstände der NIS 2.0 Richtlinie und Umsetzungsempfehlungen zur Implementierungung von Systemen zur Angriffserkennung.

NIS 2.0
Informationssicherheit (ISMS) nach DIN ISO/IEC
Mit INDITOR® ISO

Vorgaben der NIS-2-Richtlinie jetzt erfüllen und gesetzliche Vorgaben gewährleisten: Nachhaltige und eigenständige Einführung eines ISMS gemäß DIN EN ISO/IEC 27001

INDITOR® ISO

Step

Rufen Sie uns an 05101-99224 0

Geschäftszeiten:
Montag-Freitag 08:00 - 17:00 Uhr

Schreiben Sie uns eine E-Mail mit Fragen oder Feedback.

Jetzt Kontakt aufnehmen