IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen

Transkript

1 IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen 5. Fachtagung Infrastruktursicherheit des KKI e. V. IT-SICHERHEIT UND KRITISCHE I NFRASTRUKTUREN 10. Juli 2015, Berlin

2 Koalitionsvertrag 27. Nov Digitale Sicherheit und Datenschutz IT-Infrastruktur und digitaler Datenschutz (S. 147 f): Wir schaffen ein IT-Sicherheitsgesetz mit verbindlichen Mindestanforderungen an die IT-Sicherheit für die kritischen Infrastrukturen und der Verpflichtung zur Meldung erheblicher IT- Sicherheitsvorfälle. Wir bauen die Kapazitäten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und auch des Cyber-Abwehrzentrums aus. Die Bundesbehörden werden verpflichtet, zehn Prozent ihrer IT-Budgets für die Sicherheit ihrer Systeme zu verwenden. Um zu gewährleisten, dass die Nutzerinnen und Nutzer über die Sicherheitsrisiken ausreichend informiert sind, sollen Internetprovider ihren Kunden melden, wenn sie Hinweise auf Schadprogramme oder ähnliches haben.

3 UP KRITIS Öffentlich-private Kooperation (*2005) Ziel: Versorgung mit Dienstleistungen Kritischer Infrastrukturen (KI) in DEU aufrechterhalten ca. 200 Betreiber / Verbände aus den 8 relevanten KI-Sektoren Strategisch-konzeptionelle Zusammenarbeit in Arbeitskreisen Operativer Informationsaustausch mit Anbindung an BSI-Lagezentrum

4 IT-Sicherheitsgesetz

5

6 IT-Sicherheitsgesetz Nach Kabinettsbeschluss (17.12.) Übersendung an Bundesrat Bundesrat: Stellungnahme am 6.2. Drucksache 643/ 14 (Beschluss) Gegenäußerung Bundesregierung Drucksache 18/ Lesung im Bundestag Expertenanhörung im Innenausschuss Erörterung im Innenausschuss (und mitberatenden Ausschüssen) / 3. Lesung Bundestag Aktuell Bundesrat (10.7.)

7 IT-Sicherheitsgesetz 1 Verbesserung der I T-Sicherheit bei Unt ernehmen 2 Schutz der Bürgerinnen und Bürger in einem sicheren Netz 3 St ärkung des BSI 4 Erweiterung der Ermittlungszuständigkeiten des BKA

8 IT-Sicherheitsgesetz Verbesserung der I T- Sicherheit bei Unt ernehmen Mindeststandards und Meldepflichten für Kritische Infrastrukturen Energie Transport / Verkehr IKT Finanzen Gesundheit Wasser Medien und Kultur Ernährung Staat und Verwaltung

9 Regelungsbestandteile für Betreiber von KI Schlagwort BSI G neu Beschreibung BSI -Unterstützung 3 Abs. 3 BSI kann auf Ersuchen beraten und unterstützen Org. / technische Vorkehrungen 8a Standards / Stand der Technik inkl. Audits (2 Jahre) BSI als zentrale Meldestelle 8b 1-3 Kontinuierliches Lagebild mit Pflicht zur unverzüglichen Weitergabe an Betreiber (Alarmierungskontakt in 6 Monaten) Meldepflicht 8b 4 Bei Störpotential für KI

10 Sektorspezifische Regelungen IT-SiG 8a (Sicherheitsanforderungen) und 8b, Abs. 3-5 (Meldepflichten) finden keine Anwendung bei Betreibern von Telekommunikationsnetzen oder Telemediendiensten, Bet reibern von Energieversorgungsnet zen oder Energieanlagen (nach EnWG), Betreibern von KKW (Genehmigungsinhaber nach Atomgesetz), sowie sonstigen Betreibern, die bereits vergleichbare oder weiterführende Anforderungen erfüllen müssen. gleiches Schutz-Niveau wurde durch Anpassungen in sektorspezifischer Gesetzgebung hergestellt. BSI-Erkenntnisse werden dennoch weitergegeben ( 8b, Abs. 1,2). Weitere Ausnahme: Kleinstunternehmen (gemäß EU-Definition)

11 Sicherheitskatalog und Meldepflichten für Netz- und Anlagenbetreiber Vermeidung von Doppelregulierung - daher Regelung in 11 EnWG (neu): Abs. 1b Betreiber von Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß 10 Absat z 1 des BSI -gesetzes [ ] als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, haben binnen zwei Jahren nach Inkrafttreten der Rechtsverordnung gemäß 10 Absatz 1 des BSI-Gesetzes einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme zu gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind. Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen. Abs. 1c Betreiber von Energieversorgungsnetzen und Energieanlagen, die durch die durch Inkrafttreten der Rechtsverordnung gemäß 10 Absatz 1 des BSI -geset zes [ ] als Krit ische Infrastruktur bestimmt wurden, haben dem Bundesamt für Sicherheit in der Informationstechnik unverzüglich erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu melden, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit des Energieversorgungsnetzes oder der betreffenden Energieanlage führen können oder bereits geführt haben.

12 Branchenanforderungen Betreiber sind verpflichtet, binnen zwei Jahren nach Inkrafttreten der Rechtsverordnung angemessene Maßnahmen zum Schutz zu treffen. Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheit sst andards vorschlagen. Das Bundesamt erkennt die branchenspezifischen Sicherheitsstandards auf Antrag an, wenn diese geeignet sind, die Anforderungen zu gewährleisten. Norm III Norm II Norm IV Branchenspezifischer Sicherheitsstandard Mindestanforderungen BAK Branchenarbeitskreis BAK

13 BSI -KRITIS-Verordnung BSI-KritisV

14 BSI -G (neu) - Entwurf Dem 2 wird folgender Absatz 10 angefügt: (10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die 1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungs-wesen angehören und 2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach 10 Absatz 1 näher bestimmt. 10 wird wie folgt geändert: a) Dem Absatz 1 wird folgender Absatz 1 vorangestellt: (1) Das Bundesministerium des Innern bestimmt durch Rechtsverordnung [ ] nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und der betroffenen Wirtschaftsverbände im Einvernehmen mit [ ] unter Festlegung der in den jeweiligen Sektoren im Hinblick auf 2 Absatz 10 Satz 1 Nummer 2 wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versorgungsgrads, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten.

15 BSI -KRITIS-Verordnung Schwerpunkt auf Versorgung der Gesellschaft mit wichtigen Dienstleistungen (Top-Down) - Ausgestaltung in zwei Schritten: 1. Qualität: Dienstleistungen in den KRITIS-Sektoren, die für die Versorgungskette relevant sind und abstrakte Anlagen 2. Quantität: Schwellenwerte innerhalb dieser Dienstleistungen Jedes Unternehmen wird bestimmen können, ob es eine Kritische Infrastruktur im Sinne des IT-Sicherheitsgesetzes betreibt. Abstimmung mit Ressorts, Wirtschaft (UP KRITIS), Ländern (IMK)

16 Zeitplanung Ende 2018 VO 1. Korb VO 2. Korb Energie IKT Ernährung Wasser (Studien 2. Korb) Transport & Verkehr Finanzen Gesundheit Verordnungsgebung Umsetzung 1. Korb Weitere Umsetzung IT-SiG in allen Sektoren umgesetzt Umsetzung

17 Sektorstudien Veröffentlichung der Sektorstudien Im Jahr 2014 führte die Firma KPMG AG Wirtschaftsprüfungsgesellschaft im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) vier Studien durch, die sich mit der IT-Sicherheit im Bereich Kritischer Infrastrukturen (KRITIS) befassen. Überblick über die KRITIS-Sektoren, die zugehörigen Branchen und die in den Sektoren und Branchen erbrachten kritischen Versorgungsdienstleistungen Stand der IKT-Sicherheit und -Zuverlässigkeit und die aktuellen Probleme und Trends der IKT-Sicherheit Erkenntnisse und Einblicke in die Abhängigkeiten der kritischen Versorgungsdienstleistungen von IT-Systemen Mögliche Auswirkungen von Beeinträchtigungen der eingesetzten IT-Systeme auf die Qualität der kritischen Versorgungsdienstleistungen

18 Fazit

19 Fazit Betreiber Kritischer Infrastrukturen tragen auf Grund der Bedeutung ihrer Dienstleistungen für die Gesellschaft eine besondere Verantwortung hinsichtlich Sicherheit. IT-Durchdringung inzwischen in allen KRITIS-Sektoren gegeben; Abhängigkeit davon weiter steigend. IT-Sicherheitsgesetz setzt den notwendigen regulatorischen Rahmen, damit die Cybersicherheits-Nachzügler an die gut aufgestellten KRITIS-Bereiche herangeführt werden. Kooperativer Ansatz wird damit verankert: Entwicklung der so wichtigen Standards wurde in Hände der Betreiber gelegt. Deutschland schafft so eine Baseline an IT-Sicherheit in allen Bereichen der Kritischen Infrastrukturen und untermauert eine führende Rolle bei IT- Sicherheit in Europa und weltweit.

20 Vielen Dank für Ihre Aufmerksamkeit! Kontakt Dr. Michael Pilgermann Referat IT II 2 Kritische IT-Infrastrukturen; sichere Informationstechnik Bundesministerium des Innern Alt-Moabit Berlin michael.pilgermann@bmi.bund.de