IT-Sicherheitsgesetz 2.0: Anforderungen für KRITIS-Betreiber
Einleitung
Die Bedrohungslage im Cyberraum hat sich in den vergangenen Jahren massiv verschärft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Lage in seinem jährlichen Lagebericht als "angespannt bis kritisch" ein. Ransomware-Angriffe auf kritische Infrastrukturen, Supply-Chain-Attacken und staatlich motivierte Cyberspionage haben den Gesetzgeber veranlasst, den regulatorischen Rahmen für IT-Sicherheit fortlaufend zu verschärfen.
Das IT-Sicherheitsgesetz 2.0 (Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme), das am 28. Mai 2021 in Kraft getreten ist, bildet dabei einen zentralen Baustein. Es erweitert die Pflichten für Betreiber Kritischer Infrastrukturen (KRITIS) erheblich, führt neue Kategorien betroffener Unternehmen ein und stärkt die Befugnisse des BSI. Mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG), das die europäische NIS2-Richtlinie (Richtlinie (EU) 2022/2555) in deutsches Recht überführt, werden diese Anforderungen nochmals erweitert.
Für Finanzdienstleister, die als KRITIS-Betreiber gelten oder unter die erweiterten Pflichten des IT-Sicherheitsgesetzes 2.0 fallen, ergeben sich umfangreiche Compliance-Anforderungen. Dieser Beitrag erläutert die relevanten Pflichten und zeigt, wie Matproof bei deren systematischer Erfüllung unterstützt.
Was ist das IT-Sicherheitsgesetz 2.0?
Das IT-Sicherheitsgesetz 2.0 ist ein Artikelgesetz, das mehrere bestehende Gesetze ändert -- primär das BSI-Gesetz (BSIG), aber auch das Telekommunikationsgesetz, das Energiewirtschaftsgesetz und weitere Fachgesetze. Es baut auf dem ersten IT-Sicherheitsgesetz von 2015 auf und erweitert dessen Regelungen erheblich.
Die wesentlichen Neuerungen des IT-Sicherheitsgesetzes 2.0 umfassen:
Erweiterung des KRITIS-Begriffs: Neben den bisherigen Sektoren (Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr) wurde der Sektor Siedlungsabfallentsorgung hinzugefügt. Zudem wurde die Kategorie der "Unternehmen im besonderen öffentlichen Interesse" (UBI) eingeführt (§ 2 Abs. 14 BSIG).
Systeme zur Angriffserkennung: KRITIS-Betreiber sind seit dem 1. Mai 2023 verpflichtet, Systeme zur Angriffserkennung (SzA) einzusetzen (§ 8a Abs. 1a BSIG). Diese müssen den Stand der Technik widerspiegeln und kontinuierlich betrieben werden.
Erweiterte BSI-Befugnisse: Das BSI hat umfangreiche neue Befugnisse erhalten, darunter die aktive Schwachstellenerkennung (§ 7b BSIG), die Anordnung konkreter Sicherheitsmaßnahmen (§ 8a Abs. 3 BSIG) und die Möglichkeit, den Einsatz kritischer Komponenten zu untersagen (§ 9b BSIG).
Erhöhte Bußgelder: Die Bußgeldrahmen wurden deutlich angehoben. Für Verstöße gegen die KRITIS-Pflichten drohen Bußgelder bis zu 2 Millionen EUR (§ 14 Abs. 2 BSIG). Für juristische Personen kann dieser Betrag gemäß § 30 Abs. 2 OWiG verzehnfacht werden.
Im Finanzsektor fallen insbesondere Banken, Versicherungen und Betreiber von Finanzmarktinfrastrukturen unter die KRITIS-Regelungen, sofern sie die Schwellenwerte der BSI-KRITIS-Verordnung erreichen. Für den Sektor Finanz- und Versicherungswesen liegen diese Schwellenwerte etwa bei 500.000 versorgten Personen für Bargeldversorgung oder 15 Millionen Transaktionen pro Jahr für Zahlungsverkehr.
Die wichtigsten Anforderungen
Pflicht zur Umsetzung angemessener IT-Sicherheitsmaßnahmen
§ 8a Abs. 1 BSIG verpflichtet KRITIS-Betreiber, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme zu treffen. Diese Vorkehrungen müssen dem Stand der Technik entsprechen.
Für den Finanzsektor hat die BaFin die Anforderungen des § 8a BSIG durch die BAIT und die MaRisk konkretisiert. Mit DORA kommen ab 2025 zusätzliche, EU-weit einheitliche Anforderungen an die IKT-Sicherheit hinzu. KRITIS-Betreiber im Finanzsektor müssen daher sowohl die Anforderungen des BSIG als auch die sektorspezifischen Anforderungen der BaFin und der DORA erfüllen.
Die Angemessenheit der Maßnahmen wird anhand des Risikos bewertet. Faktoren wie die Art der verarbeiteten Daten, die Kritikalität der Dienstleistung und die aktuelle Bedrohungslage fließen in die Bewertung ein. Das BSI hat in seiner Orientierungshilfe zu § 8a BSIG Empfehlungen veröffentlicht, die als Maßstab herangezogen werden können.
Systeme zur Angriffserkennung (§ 8a Abs. 1a BSIG)
Seit dem 1. Mai 2023 müssen KRITIS-Betreiber Systeme zur Angriffserkennung (SzA) einsetzen. Das BSI hat die Anforderungen in seiner "Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung" konkretisiert und ein Reifegradmodell mit sechs Stufen definiert (Stufe 0: kein SzA, bis Stufe 5: vollständig integriertes SzA).
Die Anforderungen gliedern sich in drei Bereiche:
Protokollierung: Sicherheitsrelevante Ereignisse müssen umfassend protokolliert werden. Dies umfasst Netzwerkverkehr, Systemereignisse, Zugriffe auf kritische Systeme und Konfigurationsänderungen. Die Protokolldaten müssen mindestens vier Wochen vorgehalten werden.
Detektion: Die protokollierten Daten müssen systematisch auf Anomalien und Angriffsmuster analysiert werden. Dies erfordert den Einsatz geeigneter technischer Werkzeuge (SIEM, IDS/IPS, NDR) und definierter Erkennungsregeln, die an die aktuelle Bedrohungslage angepasst werden.
Reaktion: Für erkannte Sicherheitsvorfälle müssen definierte Reaktionsprozesse existieren. Diese umfassen die Bewertung des Vorfalls, die Einleitung von Gegenmaßnahmen, die Meldung an das BSI (sofern die Meldepflicht greift) und die forensische Aufarbeitung.
Das BSI prüft die SzA-Umsetzung im Rahmen der regulären Nachweisverfahren nach § 8a Abs. 3 BSIG. Der Nachweis über den Einsatz von SzA muss alle zwei Jahre erbracht werden und den aktuellen Reifegrad dokumentieren.
BSI-Meldepflichten (§ 8b BSIG)
KRITIS-Betreiber müssen erhebliche IT-Sicherheitsvorfälle unverzüglich an das BSI melden (§ 8b Abs. 4 BSIG). Ein Vorfall gilt als erheblich, wenn er zu einem Ausfall oder einer erheblichen Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur führen kann oder bereits geführt hat.
Die Meldung erfolgt über das BSI-Meldeportal und muss folgende Informationen enthalten: eine Beschreibung des Vorfalls, die betroffenen Systeme und Dienstleistungen, die vermutete Ursache, die eingeleiteten Gegenmaßnahmen und die voraussichtliche Dauer der Beeinträchtigung.
Mit dem NIS2-Umsetzungsgesetz werden die Meldepflichten verschärft. Es wird ein gestuftes Meldeverfahren eingeführt: eine Frühwarnung innerhalb von 24 Stunden, eine Erstmeldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats. Diese Fristen orientieren sich an Art. 23 der NIS2-Richtlinie.
Registrierungspflicht und KRITIS-Kontaktstelle
KRITIS-Betreiber müssen sich beim BSI registrieren und eine Kontaktstelle benennen (§ 8b Abs. 3 BSIG). Die Kontaktstelle muss jederzeit erreichbar sein und in der Lage, Informationen des BSI entgegenzunehmen und intern weiterzuleiten. Die Registrierung umfasst die Benennung der betriebenen Kritischen Infrastrukturen und der zugehörigen Anlagen.
Nachweispflicht alle zwei Jahre
KRITIS-Betreiber müssen dem BSI alle zwei Jahre nachweisen, dass sie die Anforderungen des § 8a BSIG erfüllen (§ 8a Abs. 3 BSIG). Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erbracht werden. Die Ergebnisse sind dem BSI zusammen mit den aufgedeckten Sicherheitsmängeln und den eingeleiteten Abhilfemaßnahmen zu übermitteln.
Für den Finanzsektor kann die Nachweispflicht mit bestehenden Prüfungen -- etwa der Prüfung nach § 29 KWG oder einem ISO-27001-Audit -- kombiniert werden, sofern die spezifischen KRITIS-Anforderungen abgedeckt sind.
Zusammenspiel mit NIS2 und DORA
Das Verhältnis zwischen IT-Sicherheitsgesetz 2.0, NIS2-Umsetzungsgesetz und DORA ist für Finanzdienstleister von besonderer Bedeutung. Die drei Regelwerke adressieren teilweise überlappende Sachverhalte, unterscheiden sich jedoch in Anwendungsbereich und Detailtiefe.
Die NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen erheblich. Durch die Absenkung der Schwellenwerte und die Einführung neuer Sektoren werden deutlich mehr Unternehmen in den Anwendungsbereich der IT-Sicherheitsregulierung einbezogen. Das NIS2-Umsetzungsgesetz integriert diese Anforderungen in das deutsche Recht und passt das BSIG entsprechend an.
Für den Finanzsektor gilt DORA als lex specialis gegenüber der NIS2-Richtlinie. Art. 4 der NIS2-Richtlinie stellt klar, dass sektorspezifische EU-Rechtsakte Vorrang haben, wenn sie mindestens gleichwertige Anforderungen enthalten. DORA enthält detailliertere Anforderungen an die IKT-Sicherheit im Finanzsektor als NIS2, sodass Finanzunternehmen primär DORA und nur ergänzend die NIS2-Anforderungen beachten müssen.
Das BSI bleibt jedoch die zuständige Aufsichtsbehörde für KRITIS-Anforderungen auch im Finanzsektor. Die Meldepflichten nach BSIG bestehen parallel zu den DORA-Meldepflichten nach Art. 19. Die ENISA hat Empfehlungen zur Koordination der Meldepflichten veröffentlicht, um Doppelmeldungen zu vermeiden.
Compliance-Automatisierung mit Matproof
Die Anforderungen des IT-Sicherheitsgesetzes 2.0 erfordern eine systematische und nachweisbare Umsetzung. Matproof unterstützt KRITIS-Betreiber dabei an mehreren Stellen.
SzA-Nachweisdokumentation: Matproof dokumentiert den Reifegrad der implementierten Systeme zur Angriffserkennung gemäß der BSI-Orientierungshilfe. Die automatisierte Nachweissammlung erfasst Protokollierungskonfigurationen, Detektionsregeln, Reaktionsprozesse und Testergebnisse. Dies erleichtert den zweijährlichen Nachweis gegenüber dem BSI erheblich.
Meldepflicht-Unterstützung: Matproof stellt strukturierte Templates für die BSI-Meldung bereit und unterstützt bei der Dokumentation von Sicherheitsvorfällen. Die Nachverfolgung der Meldepflichten -- einschließlich der mit NIS2 eingeführten gestuften Meldefristen -- wird automatisiert überwacht.
Cross-Framework-Integration: Für Finanzdienstleister, die sowohl KRITIS-Anforderungen als auch DORA und MaRisk erfüllen müssen, bildet Matproof die Überschneidungen automatisch ab. Ein Nachweis für die Zugriffssteuerung kann gleichzeitig für § 8a BSIG, DORA Art. 9 und MaRisk AT 7.2 verwendet werden. Dies vermeidet doppelten Dokumentationsaufwand.
Prüfungsvorbereitung: Matproof generiert Nachweispakete, die auf den zweijährlichen KRITIS-Nachweis nach § 8a Abs. 3 BSIG zugeschnitten sind. Die Pakete orientieren sich an den BSI-Prüfungsstandards und können direkt an den beauftragten Prüfer übergeben werden.
EU-Datenresidenz: Sämtliche Sicherheitsnachweise und Vorfallsdokumentationen werden in deutschen Rechenzentren verarbeitet und gespeichert. Dies gewährleistet nicht nur die DSGVO-Konformität, sondern entspricht auch den Anforderungen des BSI an die Vertraulichkeit von KRITIS-bezogenen Informationen.
Umsetzungsfahrplan
Phase 1 -- KRITIS-Betroffenheitsanalyse (2-3 Wochen): Prüfen Sie, ob Ihr Unternehmen die Schwellenwerte der BSI-KRITIS-Verordnung erreicht. Berücksichtigen Sie dabei auch die erweiterten Schwellenwerte des NIS2-Umsetzungsgesetzes. Identifizieren Sie alle betroffenen Anlagen und Dienstleistungen.
Phase 2 -- Gap-Analyse gegen § 8a BSIG (4-6 Wochen): Bewerten Sie Ihre bestehenden IT-Sicherheitsmaßnahmen gegen die Anforderungen des § 8a BSIG, einschließlich der SzA-Anforderungen. Nutzen Sie die BSI-Orientierungshilfe als Referenz und bestimmen Sie Ihren aktuellen Reifegrad.
Phase 3 -- Maßnahmenumsetzung (8-16 Wochen): Schließen Sie die identifizierten Lücken durch technische und organisatorische Maßnahmen. Priorisieren Sie die SzA-Anforderungen, da diese seit Mai 2023 verpflichtend sind.
Phase 4 -- Nachweissystem einrichten (4-6 Wochen): Implementieren Sie ein systematisches Nachweismanagement mit Matproof. Verbinden Sie Ihre Sicherheitssysteme (SIEM, IAM, Vulnerability Scanner) und richten Sie die automatisierte Nachweissammlung ein.
Phase 5 -- Regelmäßiger Nachweis (alle 2 Jahre): Bereiten Sie den KRITIS-Nachweis nach § 8a Abs. 3 BSIG systematisch vor. Nutzen Sie die von Matproof generierten Nachweispakete für die Prüfung.
Häufig gestellte Fragen
Wie erkenne ich, ob mein Unternehmen als KRITIS-Betreiber gilt?
Die Einstufung als KRITIS-Betreiber richtet sich nach der BSI-KRITIS-Verordnung (BSI-KritisV). Für den Finanzsektor gelten spezifische Schwellenwerte, etwa 500.000 versorgte Personen für Bargeldversorgung oder 15 Millionen Transaktionen pro Jahr für Zahlungsverkehr. Die Schwellenwerte beziehen sich auf die versorgten Personen oder Transaktionsvolumina der einzelnen Anlage, nicht des Gesamtunternehmens. Mit dem NIS2-Umsetzungsgesetz werden die Kriterien erweitert und teilweise auf Unternehmensgrößenklassen umgestellt.
Was passiert, wenn ich den zweijährlichen KRITIS-Nachweis nicht erbringe?
Das BSI kann bei ausbleibender oder unzureichender Nachweisführung Maßnahmen anordnen (§ 8a Abs. 3 BSIG). Dies kann die Anordnung konkreter Sicherheitsmaßnahmen umfassen. Darüber hinaus drohen Bußgelder bis zu 2 Millionen EUR nach § 14 Abs. 2 BSIG. In der Praxis gewährt das BSI bei erstmaliger Fristüberschreitung oft eine Nachfrist, erwartet aber eine nachvollziehbare Begründung und einen konkreten Zeitplan.
Wie verhält sich das IT-Sicherheitsgesetz 2.0 zu DORA für Finanzunternehmen?
Finanzunternehmen, die als KRITIS-Betreiber gelten, müssen sowohl die Anforderungen des BSIG als auch DORA erfüllen. DORA gilt als sektorspezifisches Regelwerk und hat in seinem Anwendungsbereich Vorrang vor den allgemeinen NIS2-Anforderungen. Die KRITIS-spezifischen Pflichten des BSIG (insbesondere Meldepflichten an das BSI und der zweijährliche Nachweis) bleiben jedoch bestehen. Matproof bildet diese parallelen Anforderungen integriert ab und vermeidet doppelten Dokumentationsaufwand.
Welche Zertifizierungen werden als KRITIS-Nachweis anerkannt?
Das BSI akzeptiert verschiedene Nachweisformen: Prüfungen durch vom BSI anerkannte Prüfstellen, ISO-27001-Zertifizierungen (sofern der Geltungsbereich die KRITIS-Anlage umfasst), branchenspezifische Sicherheitsstandards (B3S) und BSI-C5-Berichte für Cloud-Dienste. Für den Finanzsektor kann auch die Prüfung nach § 29 KWG als Grundlage dienen, muss aber um die spezifischen KRITIS-Anforderungen (insbesondere SzA) ergänzt werden.