Am 25.01.2021 hat das BMI erneut einen aktualisierten Referentenentwurf des zweiten IT-Sicherheitsgesetzes (IT-SiG 2.0) veröffentlicht. Das Gesetz sieht eine offensivere Rolle des BSI bei der Beseitigung von digitalen Schwachstellen vor. Neu ist, dass auch die Entsorgungswirtschaft zu den Branchen der kritischen Infrastruktur zählt.

Blau Entsorgungsbranche zukünftig kritische Infrastruktur

Ein wichtiger Aspekt des neuen (und des aktuellen IT-Sicherheitsgesetzes) ist die Definition von kritischen Infrastrukturen. Kritische Infrastrukturen sind „Einrichtungen, Anlagen oder Teile davon, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind“. Die Corona-Pandemie zeigt, dass die Lebensmittel- und medizinische Versorgung dazu gehören aber auch Finanzinstitute und Energieversorgung werden zum Beispiel als kritische Infrastrukturen eingestuft. Mit dem neuen Entwurf wurde entschieden, dass auch die Siedlungsabfallentsorgungswirtschaft eine kritische Infrastruktur ist weil „[e]in Ausfall oder eine Beeinträchtigung dieser Dienstleistung (…) sowohl zu einem kurzfristigen Anstieg der Seuchengefahr als auch zu einer Verschmutzung der Umwelt mit gefährlichen Stoffen [führt].“

Blau Anforderungen an kritische Infrastrukturen

Die Entsorgungsbranche ist seit langem Vorreiter bei der Digitalisierung Ihrer Prozesse, wichtig ist es, diese auch im Notfall aufrecht zu halten. Bei den bereits definierten kritischen Infrastrukturen wird dazu eine Risikobetrachtung der Informationssicherheit gemacht. Hier werden die digitale Hardware und Software aber auch die Ausstattung wie die Verkabelung und die Schlüsselverteilung zu den Schränken betrachtet. Die Risiken müssen im Rahmen der systematischen Betrachtung minimiert werden. Zudem muss die Technik ein Mindestmaß an Aktualität haben: den Stand der Technik. Jede Branche hat seinen eigenen Stand der Technik wenn es um die IT-Infrastruktur geht.

Im Falle eines Hackerangriffs, fordert das BSI Informationen zum Ausmaß ein. Deshalb sind Unternehmen aus der kritischen Infrastruktur verpflichtet Hackerangriffe dem BSI zu melden. Das BSI informiert seinerseits bei Bedarf zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung. Zur Kommunikation mit dem BSI müssen besagte Unternehmen deshalb eine Kontaktperson benennen, die als Ansprechpartner zur Verfügung steht.

Blau Zertifizierung

Die systematische Betrachtung und die anschließende Minimierung der Risiken sowie die Modernisierung der IT-Infrastruktur auf den Stand der Technik werden bei den Branchen der kritischen Infrastrukturen zertifiziert. Entweder wird die existierende ISO 27001 (Informationssicherheitsmanagement) mit kleinen Anpassungen verwendet oder es wird ein branchenspezifischer Sicherheitsstandard (kurz: B3S) entwickelt. Viele B3S die aktuell im Einsatz sind, lehnen sich stark an den BSI IT-Grundschutz Standard an. Nachdem das BSI den B3S freigegeben hat, kann den B3S von Unternehmen aus der Branche angewendet werden.

Blau Inkrafttreten des IT-SiG 2.0

Das Gesetz wird voraussichtlich erst später in diesem Jahr verabschiedet. Die für die Entsorgungsbranche spezifischen Regelungen müssen nach Verabschiedung des IT-SiG 2.0 noch in einer Verordnung spezifiziert werden. Es ist davon auszugehen, dass die Entsorgungsbranche, ähnlich wie die aktuelle kritische Infrastrukturen, ca. 2 Jahren für die Umsetzung der geforderten Maßnahmen haben wird.

Nichtdestotrotz ist es ratsam sich jetzt schon Gedanken über die eigene IT-Infrastruktur zu machen. Wird das Thema IT systematisch behandelt? Könnte man es teilweise in existierende Managementsysteme aufnehmen? Wie lange würde eine Aktualisierung des eigenen Netzwerkes dauern? Ist das notwendige Wissen vorhanden oder muss es eingekauft werden? Erfahrungen der con-net haben gezeigt, dass die Erstzertifizierungen von kritischen Infrastrukturen oft mit vielen und auch kritischen Abweichungen verbunden waren, etwas das mit der richtigen und rechtzeitigen Vorbereitung vermieden werden kann.

Bei Fragen können Sie das Seminar zum gleichen Thema besuchen:

Kritische Infrastrukturen in der Abfallwirtschaft

Selbstverständlich steht die con-net Ihnen auch gerne zur Verfügung:
info(at)con-net.org
+49 221 67 77 24-50