Die Umsetzung des ITSicherheitsgesetzes aus Sicht des BSI

Transkript

1 Die Umsetzung des ITSicherheitsgesetzes aus Sicht des BSI Nora Apel Referatsleiterin Kritische Infrastrukturen Grundsatz Bundesamt für Sicherheit in der Informationstechnik

2 1. IT-Sicherheitsgesetz - Überblick Motivation Eckpunkte IT-SiG und Umsetzung NIS-RL

3 Motivation und alles hängt von IT ab! Nora Apel Seite 3

4 Das Artikelgesetz IT-SiG Schutz kerntechnischer Anlagen Telekommunikationsgesetz Schutz der Bürger Telemediengesetz Atomgesetz EnergieWirtschaftsgesetz BSI-Gesetz Erweiterung Zuständigkeiten Stärkung des BSI BKAGesetz Bundesbesoldungsgesetz Nora Apel Seite 4

5 Das Artikelgesetz IT-SiG Atomgesetz Schutz Kritischer TeleInfrastrukturen kommunikationsgesetz EnergieWirtschaftsgesetz BSI-Gesetz BKAGesetz Telemediengesetz Bundesbesoldungsgesetz Nora Apel Seite 5

6 IT-SiG und Umsetzung NIS-RL 2015 Gesetz tritt in Kraft Korb* Kernteam BSI-KritisV 2016 Abstimmung BSIKritisV Inkrafttr. BSIKritisV 2017 Beginn der Meldepflicht Ablauf Registr.Frist 2. Korb** Kernteam BSIKritisV Kernteam BSIKritisV Gesetz Änderungen NIS-RL*** Inkrafttr. NIS-RL Nachweise SdT Abstimmung BSIKritisV Inkrafttr BSIKritisV Beginn der Meldepflicht Ablauf Registr.Frist Nachweis SdT Frist Umsetz -ung NIS-RL in nat. Recht *1. Korb: Sektoren Energie, IT+TK, Ernährung, Wasser **2. Korb: Sektoren Finanz&Versicherungswesen, Transport&Verkehr, Gesundheit ***Anpassung der KRITIS-Regelungen sowie Hinzunahme Digitale Dienste (Online-Märkte, Online-Suchmaschinen, Cloud-Computing-Dienste) Nora Apel Seite 6

7 2. KRITIS im Sinne IT-SiG Kritische Infrastrukturen BSI-Kritisverordnung MIKI

8 10 (1) BSIG Ermächtigung zum Erlass von Rechtsverordnungen Absatz 1 ermächtigt das Bundesministerium des Innern, in Konkretisierung der systemischen Definition Kritischer Infrastrukturen durch Rechtsverordnung nach 2BMI Absatzbestimmt 10 des BSI-Gesetzes nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und der betroffenen Wirtschaftsverbände im Einvernehmen mit den genannten Bundesministerien die Kriterien zur Bestimmung derjenigen Einrichtungen, Anlagen oder Teile davon festzulegen, die als Kritische Infrastruktur im Sinne des BSI-Gesetzes einzuordnen sind. Anhörung Wissenschaft Betreiber [Verbände] In der Rechtsverordnung bzw. in den Anhängen zu der Rechtsverordnung sollen in abstrakter Form die als Kritische Infrastrukturen einzuordnenden Einrichtungen, Anlagen oder Teile davon benannt werden. Methodisch ist vorgesehen, eine Konkretisierung nach den Einvernehmen mit [Ressorts] Kategorien Qualität und Quantität vorzunehmen. Bei der Festlegung der betroffenen Kritischen Infrastrukturen wird die Frage zu beantworten sein, ob erstens mittels der jeweiligen Einrichtungen, Anlagen oder Teile davon eine für die Gesellschaft kritische Dienstleistung erbracht wird (Qualität) und zweitens Bedeutung ein Ausfall oder eine Beeinträchtigung wesentliche Folgen für wichtige Schutzgüter und die Funktionsfähigkeit des Wegen Gemeinwesens hätte (Quantität): Unter der Kategorie Qualität wird näher erfasst, welche Dienstleistungen innerhalb der genannten Sektoren Alssind, kritisch anzusehende in dem Sinne kritisch dass sie von hoher Bedeutung Dienstleistungen für das Funktionieren des Gemeinwesens sind und durch ihren Ausfall oder ihre Beeinträchtigung nachhaltig wirkende Versorgungsengpässe oder erhebliche Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Kategorie Qualität sollte sich hierbei insbesondere auf die Sicherheit von Leib, Leben, Gesundheit und Eigentum der Teile der Bevölkerung beziehen, Versorgungsgrad die von einem Ausfall unmittelbar oder mittelbar beeinträchtigt wären. Sie dient der Prüfung, ob ein bestimmter Teil einer Branche überhaupt kritisch ist. Eine Spezifizierung des Qualitätskriteriums soll anhand einer abstrakten Darstellung von solchen kritischen Dienstleistungen erfolgen, die für die Gewährleistung der genannten Werte notwendig sind. Einrichtungen, Anlagen oder Solche kritischen Dienstleistungen könnten jedenfalls sein:teile davon 1. SEKTOR ENERGIE Stromversorgung (Branche: Elektrizität) Kritische Infrastruktur im Sinne dieses Gesetzes Versorgung mit Erdgas (Branche: Gas) Versorgung mit Mineralöl (Branche: Mineralöl) Nora Apel Seite 8

9 Wer ist KRITIS im Sinne des IT-SiG? 2. Korb tritt im Jun i 2017 i n Kraf t it e s in b r 6 o K ai ft a M Kr 1. Korb: Sektoren IT & TK, Energie, Ernährung, Wasser 2. Korb: Sektoren Finanzen, Transport+Verkehr, Gesundheit Nora Apel Seite 9

10 Methode zur Identifizierung Kritischer Infrastrukturen (MIKI) Kriterium: Qualität Strom Kriterium: Quantität KRITIS im Sinne des IT-SiG m³ Wasser kwh Transport Schwellenwert: k Wh m³ m³ PKW Produktion Aber: Alle Unternehmen können in die kwh Aber: Alle KRITIS-Betreiber können in den m³ Sonstige Betreiber Nora Apel Seite 10

11 3. 8a: Schutz nach Stand der Technik und B3S 8a im Detail Gesetzliche Anforderungen Branchenspezifische Sicherheitsstandards

12 Geltungsbereich des 8a * * * Sicherheitskataloge BNetzA in den Branchen Strom, Gas und TK Nora Apel Seite 12

13 8a (1) BSIG Sicherheit in der Informationstechnik Kritischer Infrastrukturen 8a spätestens nach zwei Jahren (1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls einer Beeinträchtigung der betroffenen Kritischen angemessene organisatorische undoder technische Vorkehrungen Infrastruktur steht. (2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt Stand der Technik 1. im Benehmen mit dem Bundesamt für Bevölkerungsschutz soll und Katastrophenhilfe, eingehalten werden 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde. (3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann zur Vermeidung von Störungen [der IT] bei Sicherheitsmängeln verlangen: 1. die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel. Nora Apel Seite 13

14 Themenfelder ISMS ISMS Business Business Continuity Continuity Management Management Robuste Robuste resiliente resiliente Architektur Architektur Asset Asset Management Management Bauliche Bauliche // physische physische Sicherheit Sicherheit BranchenBranchenspezifische spezifische Technik Technik Personelle Personelle und und organisatorische organisatorische Sicherheit Sicherheit Technische Technische IT-Sicherheit IT-Sicherheit VorfallsVorfallserkennung erkennung und und -bearbeitung -bearbeitung Überprüfungen Überprüfungen im im laufenden laufenden Betrieb Betrieb Externe Externe InformationsInformationsversorgung versorgung und und Unterstützung Unterstützung Lieferanten, Lieferanten, Dienstleister, Dienstleister, Dritte Dritte Nora Apel Seite 14

15 8a (2) BSIG Branchenspezifische Sicherheitsstandards (B3S) 8a (1) Betreiber Kritischerkönnen Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 angemessene Betreiber organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, branchenspezifische Sicherheitsstandards wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen vorschlagen Infrastruktur steht. (2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt Zur Gewährleistung der Anforderungen nach 8a (1) 1. im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde. (3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann bei Sicherheitsmängeln verlangen: BSI stellt Eignung fest 1. die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel. Nora Apel Seite 15

16 Erarbeitung von B3S im UP KRITIS Ind ivid Reg uelle eln Norm III Norm IV rm No I xx xxx xxx xxx xxx xxxxx xxx xx xxxx xx x x x xxx xxxxx xxx xxx xxxxx xxx Norm II xxxx x xxxx xxxxxx x xxxx xxxxxx x xxxx xxxxxx x xxxx xxxxxx xxxx xxx Mindestanforderungen Branchenarbeitskreise Branchenspezifischer Sicherheitsstandard BAK Nora Apel Seite 16

17 Orientierungshilfe zu branchenspezifischen Sicherheitsstandards Inhalt: Geltungsbereich und Schutzziele Branchenspezifische Gefährdungslage Risikobehandlung Abzudeckende Themen (Maßnahmen) Nachweisbarkeit der Umsetzung Orientierungshilfe zu Inhalten und Anforderungen an einen B3S gemäß 8a (2) BSIG: Nora Apel Seite 17

18 Eignungsfeststellung für B3S Mindestanforderungen Maßstab Branchenspezifischer Sicherheitsstandard Branchenspezifischer Sicherheitsstandard Antrag Eignungsfeststellung BAK Abstimmung Zuständige Aufsichtsbehörden & Nora Apel Seite 18

19 8a (3) BSIG Sicherheit in der Informationstechnik Kritischer Infrastrukturen 8a (1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Betreiber Erfüllung Anforderungen nach und technische Vorkehrungen sind angemessen, Infrastrukturen maßgeblich sind. Dabeiweisen soll der Stand der Technikder eingehalten werden. Organisatorische wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. (2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt alle 1. im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde. 2 Jahre (3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann bei Sicherheitsmängeln verlangen: durch Sicherheitsaudits, Prüfungen oder Zertifizierungen 1. die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel. Nora Apel Seite 19

20 4. 8b: Melde- und Informationspflichten 8b im Detail Informations- und Meldeflüsse Meldeformalitäten Umsetzung im UP KRITIS

21 Geltungsbereich des 8b Strom, Gas: * TK: * * 8b (1, 2, 6, 7) gelten 8b (4): vergleichbare Regelungen gelten über TKG und EnWG Nora Apel Seite 21

22 8b (2) BSIG Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen 8b (1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik. Informationen sammeln (2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe und auswerten 1. die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentlichen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Sicherheitslücken, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die Sicherheit in der Potentielle Auswirkungen auf die Verfügbarkeit Kritischer Infrastrukturen Informationstechnik und zu der dabei beobachteten Vorgehensweise, 2. deren potentielle Auswirkungen auf die Verfügbarkeit der Kritischen Infrastrukturen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungs- und Katastrophenschutz zu analysieren, analysieren 3. das Lagebild bezüglich der Sicherheit in der Informationstechnik der Kritischen Infrastrukturen kontinuierlich zu aktualisieren und 4. unverzüglich Lagebild aktualisieren a) die Betreiber Kritischer Infrastrukturen über sie betreffende Informationen nach den Nummern 1 bis 3, b) die zuständigen Aufsichtsbehörden und die sonst zuständigen Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Betreiber Infrastrukturen Informationen nach den Nummern 1Kritischer bis 3 sowie c) die zuständigen Aufsichtsbehörden der Länder oder die zu diesem Zweck dem Bundesamt von den Ländern als zentrale Kontaktstellen benannten zuständige Aufsichtsbehörden Behörden über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3 zu unterrichten. (7) Soweit im Rahmen dieser Vorschrift personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ist eine über die vorstehenden Absätze unverzüglich hinausgehende Verarbeitung und Nutzung zu unterrichten anderen Zwecken unzulässig. 5 Absatz 7 Satz 3 bis 8 ist entsprechend anzuwenden. Im Übrigen sind die Regelungen des Bundesdatenschutzgesetzes anzuwenden. Nora Apel Seite 22

23 Quellen für Informationssammlung Se ik or ns e h lic n t n lle e f öf Que 4 BSIG 8b BSIG ity m un Co m Mailinglisten CE RT - ive us n kl l l e ex e Qu Dienstleistungsverträge Nora Apel Seite 23

24 8b BSIG Informationsflüsse Betreiber Experteneinschätzung BSI Infos sammeln Meldung weiterleiten (AtG und EnWG) Aufsichtsbehörden & BBK Infos analysieren + bewerten Produkte erstellen Produkte versenden Bewertung unterstützen Sonst zuständige Behörden des Bundes Nora Apel Seite 24

25 8b ( ) BSIG Zentrale Meldestelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen 8b (3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 binnen 6 Monaten Kontaktstelle benennen eine Kontaktstelle für die Kommunikationsstrukturen nach 3 Absatz 1 Satz 2 Nummer 15 zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle. jederzeit erreichbar (4) Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen 1.führen können oder 2. geführt haben, Erhebliche Störungen der [IT] über die Kontaktstelle unverzüglich an das Bundesamt zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung die zu Ausfall / Beeinträchtigung der Funktionsfähigkeit oder Anlage sowie zur Branche des Betreibers enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat. (5) Zusätzlich zu ihrer Kontaktstelle nach Absatz 3 könnenkritischer Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, eine gemeinsame Infrastrukturen übergeordnete Ansprechstelle benennen. Wurde eine solche benannt, erfolgt der Informationsaustausch zwischen den Kontaktstellen und dem Bundesamt inführen der Regel können über die gemeinsame Ansprechstelle. (6) Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen. Satz 1 gilt für Störungen bei Betreibern und Genehmigungsinhabern im Sinne von oder geführt haben unverzüglich an BSI 8c Absatz 3 entsprechend. (7) Soweit im Rahmen dieser Vorschrift personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung und Nutzung zu anderen Zwecken unzulässig. 5 Absatz 7 Satz 3 bis 8 ist entsprechend anzuwenden. Im Übrigen sind die melden Regelungen des Bundesdatenschutzgesetzes anzuwenden. Nora Apel Seite 25

26 8b BSIG Meldeflüsse Betreiber Störung erkennen Störung melden BSI Meldung quittieren & weiterleiten Infos sammeln Meldung weiterleiten (AtG und EnWG) Aufsichtsbehörden & BBK Meldung (TKG) Sonst zuständige Behörden des Bundes Nora Apel Seite 26

27 8b BSIG Informations- und Meldeflüsse Betreiber Störung erkennen Experteneinschätzung Störung melden BSI Meldung quittieren & weiterleiten Meldung weiterleiten (AtG und EnWG) Aufsichtsbehörden & BBK Meldung (TKG) Infos sammeln Infos analysieren + bewerten Produkte erstellen Produkte versenden Bewertung unterstützen Sonst zuständige Behörden des Bundes Nora Apel Seite 27

28 Wann muss gemeldet werden? Meldekriterien und -schwellen Erhebliche IT-Störung Kein Ausfall oder Beeinträchtigung möglich Ausfall oder Beeinträchtigung möglich Gewöhnliche ITStörung Keine Meldung erforderlich Keine Meldung erforderlich Ausfall oder Beeinträchtigung eingetreten Außergewöhnliche IT-Störung Meldung erforderlich (namentlich oder pseudonym) Meldung erforderlich (namentlich) Nora Apel Seite 28

29 Gewöhnliche vs. Außergewöhnliche IT-Störungen Keine Meldung erforderlich! Meldung erforderlich! Nora Apel Seite 29

30 Melde- und Informationsportal: Registrierung, Meldung, Informationen Nora Apel Seite 30

31 Umsetzung IT-SiG konkret: 2. Schritt Antwort des BSI Informationen zu Produkten und Dienstleistungen des BSI dem ergänzenden Angebot des UP KRITIS speziellen Angeboten für KRITIS-Betreiber allgemeinen Angeboten der Allianz für Cyber-Sicherheit Unterlagen rund um die Meldepflicht Meldeformular Ausfüllhilfe für Meldeformulare FAQ für Meldeformulare Nora Apel Seite 31

32 Fazit IT-Sicherheitsgesetz in Kraft Begegnet veränderter Bedrohungslage Neue Pflichten für BSI und Betreiber Ziel: Win-win-Situation Umsetzung kooperativ im UP KRITIS Nora Apel Seite 32