Das IT-Sicherheitsgesetz (IT-SiG) 2.0
Cyberresilienz für KRITIS Organisationen
Zunehmende Digitalisierung und Vernetzung sowie immer ausgefeiltere Angriffsmethoden der Hacker machen die IT-Systeme verletzbarer denn je. Betreiber von kritischen Infrastrukturen (KRITIS) werden so zu interessanten Zielen mit hohem Schadenspotenzial für die Gesellschaft. Denn wenn diese ausfallen, kann das zu weitreichenden und mitunter auch dramatischen Konsequenzen für die Bevölkerung führen. Ziel des 2015 in Kraft getretenen IT-Sicherheitsgesetzes (IT-SiG) ist die Verbesserung der Schutzmaßnahmen gegen Cyberangriffe. IT-Sicherheit nach dem „Stand der Technik“ wird genauso Pflicht wie die Meldung von erheblichen Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Seit 1. Mai 2023 greifen die verschärften Anforderungen an IT-Sicherheit und Cyber-Resilienz des IT-SiG 2.0 – mit weitreichenden Auswirkungen auf immer mehr KRITIS Organisationen. Nicht nur die operative Umsetzung der Anforderungen des IT-SiG ist eine echte Herausforderung mit so kurzer Vorlaufzeit. Auch die potenziellen Bußgelder sind im IT-SiG empfindlich hoch angesetzt: bis zu 4% des Umsatzes bzw. 20 Mio. Euro.
Sie möchten mehr wissen?
KRITIS Checkliste
Prüfen Sie schnell und einfach anhand der dacoso KRITIS Checkliste, ob alle Muss-Anforderungen des IT-SiG 2.0 bei Ihnen schon erfüllt sind.
IT-SiG 2.0
Das IT-SiG 2.0 definiert die gesetzlichen Anforderungen, die seit 1. Mai 2023 für KRITIS Organisationen Pflicht sind. Nehmen Sie das IT-SiG in Angriff, bevor Sie mit Ihrer kritischen Infrastruktur ins Visier von Hackern geraten und angegriffen werden. Vertrauen Sie auf unsere Cybersecurity-Expertise und lassen Sie sich beraten, wie die gesetzlichen Vorgaben zur Angriffserkennung (§ 8a Absatz 1a BSIG) sowie Meldepflicht (§ 8b Absatz 4 BSIG) gemäß Bundesamt für Sicherheit in der Informationstechnik (BSI) sich umsetzen lassen Wir helfen Ihnen, Ihre IT- und OT-Landschaft so zu gestalten, so dass Sie mindestens den notwendigen Reifegrad 3 erreichen und sämtliche Grundanforderungen an Protokollierung, Detektion und Reaktion erfüllen. Das bedeutet volle Gesetzeskonformität (Compliance) in minimaler Implementierungszeit durch zielgerichtete technische und organisatorische Maßnahmen (TOM)!
Die Lösung liegt im Security Operations Center (SOC)
Machen Sie das Beste aus dem Handlungsdruck durch IT-SiG 2.0: Erlangen Sie Transparenz und Kontrolle über Ihre IT-Security mit allen kritischen Bereichen, Komponenten und Daten - ohne dafür selbst ein Kontrollzentrum in der eigenen Organisation betreiben zu müssen.
Mit unserem Security Operations Center (SOC) bieten wir Ihnen ein passendes Kritis Security Management! Im SOC laufen alle Fäden wie in einem "Mission Control Center" zusammen. Wir bieten den perfekten Mix aus Prozessen, Systemen und ausgewiesenen Experten als maßgeschneiderte IT Security Lösung, die Ihnen auf den Leib geschnitten ist: Protokollierung, Detektion und Reaktion aus einer Hand. Und das SOC as a Service (SOCaaS) bietet höchste Sicherheitsstandards "Made in Germany" - sogar zertifiziert.
Der zentrale Erfolgsbaustein unserer IT Sicherheitslösung ist das Security Information & Event Management (SIEM). Dieses arbeitet wie ein Magnet - die Software zieht aus allen Quellen und Richtungen sicherheitsrelevante Daten an, die innerhalb einer IT- und OT-Umgebung erzeugt werden. Alle Informationen fließen an einen zentralen Ort - dem SOC - zusammen, wo sie von unseren Experten analysiert werden. So können Sicherheitslücken frühzeitig entdeckt und Angriffe schnell abgewehrt werden. Exakt so wie es das BSI mit seinem IT-SiG 2.0 den Betreibern von kritischen Infrastrukturen vorschreibt.
Sie haben noch nicht die rechtlich notwendige BSI-Kontaktstelle für eine 24/7 Kommunikation eingerichtet? Dann verlassen Sie sich auf uns und buchen Sie den Service entweder eigenständig oder zusätzlich zu anderen Dienstleistungen!
Diese Lösung kann modulartig um ergänzende Systeme wie Network Detection & Response (EDR), Endpoint Detection & Response (EDR) sowie Vulnerability Assessment (VAS) und Threat Intelligence (TIS) erweitert werden. Das ist Zukunftsfähigkeit, die mit Ihrem Sicherheitsbedarf nahtlos wächst!
IT-SiG: Unsere Lösungen für Ihre Security und Compliance
Sie haben die Wahl! Entweder schnelle Umsetzung der gesetzlichen Mindestanforderungen des IT-SiG 2.0 oder der Vollausbau Ihrer Security für ganzheitlichen Schutz "Ende-zu Ende".
Die "Compliance" Lösung
Wir stellen sicher, dass Sie ab Tag 1 alle Muss-Anforderungen des IT-SiG 2.0 (Reifegrad 3 der BSI-Orientierungshilfe) abdecken und bereit für das BSI-Audit sind! Wir sind Ihr erfahrener Navigator und Berater durch den Dschungel der Gesetze, Orientierungshilfen und Leitfäden.
Was Sie von uns erwarten können:
- Managed Service mit deutsch- und englischsprachigem Support 24/7, aus unserem zertifizierten Security Operations Center (SOC) in Deutschland
- Datenschutz-konform
- Monitoring durch SIEM System mit voreingestellten Use Cases, die alle relevanten Fälle abdecken und die wichtigsten Logquellen einbinden
- Ticketing System für die schnelle und zielgerichtete Kommunikation bei Incidents
- BSI Kontaktstelle für meldepflichtige IT-Störungen (24/7 Service) - entweder eigenständig oder mit anderen Services kombiniert
- Compliance Reporting zur Dokumentation der rechtskonformen Umsetzung plus Service-Performance
Die "Premium" Lösung
Ihr KRITIS Unternehmen erfüllt heute schon die Anforderungen des Reifegrads 3 („Muss“)? Dann haben wir etwas für Sie! Erfüllen Sie die „Kann“ und „Soll“ Anforderungen und schließen Sie Angriffstellen mit unserem Premium-Produkt.
Alle Komponenten der Variante „Compliance“ plus die folgenden Leistungen:
- Erweiterung des SIEM Systems um SOAR-Fähigkeiten (Security Orchestration, Automation & Response) für eine automatisierte und schnelle Reaktion auf Incidents auf Basis von Playbooks
- NDR (Network Detection & Response) zur Analyse der Aktivitäten im Netzwerk und Einleitung von Gegenmaßnahmen
- EDR (Endpoint Detection & Response) zur Analyse der Aktivitäten auf Servern & PCs und Einleitung von Gegenmaßnahmen
- VAS (Vulnerability Assessment Service) zur Erkennung von Schwachstellen in der IT- und OT-Landschaft
- TIS (Threat Intelligence Service) um Bedrohungen für Ihre Organisation wie z.B. öffentlich gemachte Passwörter zu erkennen, bevor diese für Angriffe genutzt werden
Cyber Security Anforderungen gemäß IT-SiG für KRITIS Branchen (B3S)
Die Bevölkerung verlässt sich tagtäglich auf die Versorgung durch KRITIS Organisationen in den unterschiedlichsten Branchen. Im Rahmen von "Branchenspezifischen Sicherheitsstandards" (B3S) können KRITIS Betreiber oder deren Verbände konkretisieren, wie die generellen Anforderungen zum "Stand der Technik" in den jeweiligen Branchen erfüllbar sind. Dies bedeutet mehr Rechtssicherheit beim einem Audit durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Grundsätzlich werden neun verschiedene Branchen unterschieden, deren Anforderungen wir genau kennen:
- Energie
- Gesundheit
- IT und Telekommunikation
- Transport und Verkehr
- Medien und Kultur
- Wasser
- Finanz- und Versicherungswesen
- Ernährung
- Staat und Verwaltung
Der Druck auf KRITIS Organisationen ist immens: Die komplette IT und OT müssen innerhalb kürzester Zeit auf den Prüfstand, um die hohen Sicherheitsanforderungen des Gesetzgebers zu erfüllen. Das geht nur mit einem erfahrenen Berater, der passgenaue Lösungen auch umsetzen kann.
David Haas, dacoso-Experte für KRITIS
Unsere Erfahrung - Ihre Vorteile
Profitieren Sie von kompromissloser Sicherheit auf Basis höchster Standards.
- Beratung, Implementierung und Betrieb aus einer Hand
- Compliance – genau zugeschnitten auf die Anforderungen des IT-SiG 2.0
- IT Security „Made in Germany“
- flexible Einbindung Ihrer IT Infrastruktur-Komponenten und Applikationen
- erfahrene Experten, die sich mit KRITIS-Anforderungen auskennen
- umfassendes Reporting
- Angriffserkennung fast in Echtzeit und umfassende Logfile-Analyse
- zertifiziertes Security Operations Center (SOC)
- verlässlicher Betrieb als Managed Service (Detection & Response)
- 24/7 Erreichbarkeit
- BSI Kontaktstelle zur Meldung von Cyberangriffen
- ausbaufähiges, modulares Sicherheitsportfolio – wir bringen Sie zum nächsten Reifegrad-Level