De IT-beveiligingswet 2.0
In eigener Sache IT-Security, KRITIS, Sicherheitsgesetz
De IT Security Act in Duitsland verplicht exploitanten van kritieke infrastructuren te voldoen aan de KRITIS-verordening om de cyberveiligheid binnen KRITIS-systemen te waarborgen. Deze maatregel beoogt de dienstverlening aan de economie en de samenleving binnen de KRITIS-sectoren te waarborgen door middel van verbeterde cyberbeveiligingsprotocollen.
In 2021 brachten de Wet IT-beveiliging 2.0 en de KRITIS-verordening 1.5 een aanzienlijke uitbreiding van de regelgeving. De EU NIS2 en RCE zullen de regelgeving in Europa verder ontwikkelen, terwijl de Duitse KRITIS-koepelwet en de IT Security Act 3.0 alsmede nieuwe wettelijke verordeningen vanaf 2023 voor verdere actualisering zullen zorgen.
Vanaf 2023 en 2024 zal het toepassingsgebied van de KRITIS-verordening aanzienlijk worden uitgebreid. Deze uitbreiding zal tweeledig zijn: de breedte van het toepassingsgebied zal toenemen aangezien veel meer bedrijven onder het toepassingsgebied vallen (NIS2). Bovendien zal de diepte toenemen met de invoering van specifieke maatregelen (NIS2) en meer weerbaarheid (RCE, parapluwet) naast de bestaande focus op cyberveiligheid.
Wie wordt bedoeld?
De KRITIS-verordening definieert acht KRITIS-sectoren van de Duitse economie waarin KRITIS-operatoren essentiële diensten van openbaar nut leveren:
Categorie |
Sectoren |
Primaire zorg |
Energie, water, voeding, gezondheid |
Voorraad |
Vervoer & Verkeer, verwijdering (2.0) |
Diensten |
IT en TC |
Uitbreiding 2023-2024
De EU NIS 2 verordening breidt belangrijke sectoren in de EU uit en zal relevant zijn voor de Duitse nationale KRITIS verordening tegen oktober 2024:
Categorie |
Sectoren |
Bijlage 1 |
Energie, vervoer, banken, financiële markten, gezondheid, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstenbeheer, openbaar bestuur, ruimte |
Bijlage 2 |
Post en koerier, afvalbeheer, chemicaliën, levensmiddelen, industrie, digitale diensten, onderzoek |
Een mogelijke KRITIS-beschermingswet in 2023 zal meer bedrijven omvatten dan KRITIS-exploitanten op basis van EU RCE's (CER's):
Categorie |
Sectoren |
Dak |
Energie, vervoer, banken, financiële markten, gezondheid, drinkwater, sanitaire voorzieningen, voedsel, digitale infrastructuur, openbaar bestuur, ruimte |
Nieuwe verplichtingen voor CRITIS-operatoren
Aanvaldetectie
KRITIS-operatoren zijn nu verplicht systemen voor aanvalsdetectie te integreren in hun technische en organisatorische beveiligingsmaatregelen. In §8a (1a) is bepaald dat deze systemen in staat moeten zijn bedreigingen te detecteren en te voorkomen door patroonherkenning wanneer zij in werking zijn. Vanaf 1 mei 2023 wordt deze eis verplicht en moet tijdens CRITIS-audits worden aangetoond dat aan deze eis is voldaan.
Volgens de definitie in §2 (9b) worden technische hulpmiddelen en ondersteunende processen genoemd. De OH SZA Guideline, gepubliceerd in 2022, schetst de vereisten voor operators vanuit het perspectief van de BSI vanaf 2023.
Rapportageverplichtingen
Interferentie
KRITIS-operators en UBI zijn op grond van §8b, lid 4a, nieuw verplicht essentiële informatie, waaronder persoonsgegevens, aan het BSI te verstrekken die nodig is om belangrijke incidenten te verhelpen.
Bovendien is er nu een verplichting om het gebruik van essentiële onderdelen bekend te maken op grond van §9b.
Indirecte registratie.
Op grond van de gewijzigde §8b (3) moeten exploitanten zich onmiddellijk na identificatie als KRITIS-exploitant bij de BSI laten registreren en een contactpunt opgeven. Het onlangs ingevoerde IT-SiG 2.0 geeft het BSI ook de bevoegdheid om exploitanten onafhankelijk als kritieke infrastructuur te registreren. Met de toevoeging van §8b (3a) kan de BSI onder bepaalde omstandigheden toegang eisen tot documenten van de exploitant indien niet aan de registratieverplichtingen wordt voldaan.
Kritische onderdelen
Volgens het nieuwe §9b moeten KRITIS-operatoren het ministerie van Binnenlandse Zaken in kennis stellen van het gebruik van zogenaamde kritische componenten, bepaalde IT-producten §2(13). Kritische componenten en functies moeten worden geregeld in de wet, die momenteel alleen in de telecommunicatiesector van toepassing is tot TKG 2021.
Garantieverklaring
Kritische componenten kunnen alleen worden gebruikt in KRITIS-systemen met een (nieuwe) fabrieksgarantie. De verklaring moet voldoen aan de door het ministerie van Binnenlandse Zaken gestelde minimumeisen en moet door de KRITIS-operator aan het ministerie van Binnenlandse Zaken worden overgelegd bij de melding van gebruik in het KRITIS-systeem. Gebruik kan worden verboden
Gebruik kan worden verboden
Het ministerie van Binnenlandse Zaken kan het gebruik van kritische ingrediënten verbieden in de volgende gevallen:
- Schending van de openbare orde en veiligheid - indien a) de fabrikant onder toezicht staat van een regering, autoriteit of strijdkrachten van een derde land, b) de fabrikant activiteiten heeft verricht die de openbare orde en veiligheid in Duitsland, de EU, de EVA of de NAVO aantasten, of c) het gebruik niet in overeenstemming is met de doelstellingen van het veiligheidsbeleid van Duitsland, de EU of de NAVO.
- Geen vertrouwen vanwege garantieclaims van de fabrikant, veiligheids- en kwetsbaarheidstests en namaak van verwante producten. Lijst
Inventaris
Om het gebruik van kritieke componenten in KRITIS-systemen aan het BSI te kunnen melden overeenkomstig § 9b, moeten exploitanten in deze sectoren een inventaris maken van IT-producten in KRITIS-systemen - met actuele informatie over types, enz. Tot dusver geldt dit alleen voor de sector KRITIS Telecom.
Verdere wijzigingen voor overtredingen
Strengere sancties
Ordinaire delicten en boetes worden in de Wet informatiebeveiliging 2.0 merkbaar verhoogd.
Ordinaire delicten
- §14 (1-4) stelt meer opzettelijke of nalatige inbreuken op CRITIS-specificaties vast dan administratieve inbreuken, waaronder:
Infractions |
BSIG-E |
Missing evidence |
§8a(3) |
Missing incident reports, lack of cooperation |
§5b(6) §7c(1) §8a(3) §8b(6) §8b(4) §8c(3) §8f(7) |
Ontbrekende maatregelen |
§8a(1) §8c(1) §8f(1) |
Ontbrekende registratie en contactpunt |
§8b(3) §8f(5) |
Ontbrekende informatie |
§7a(2) §8c(4) §8a(4) §8b(3a) |
Errors in certificeringen |
§9a lid 2 §9c lid 4 Art. 55 en 56 (EU) 2019/881 |
boetes
- §14 (5) bepaalt aanzienlijk hogere boetes voor deze administratieve overtredingen. Er zijn nu boetes tot 2 miljoen euro, onder verwijzing naar §30 (2) OWiG tot 20 miljoen euro als rechtspersoon (orgaan).
Verder gedetailleerde informatie is te vinden in de volgende bronnen:
- Tweede wet ter verhoging van de beveiliging van informatietechnologiesystemen, Wet IT-beveiliging 2.0, Bondsblad, 2021 nr. 25, 27 mei 2021
- Bundesratbesluit - Tweede wet ter verbetering van de beveiliging van informatietechnologiesystemen, Bundesrat, Drucksache 324/21 (Beschluss), 07.05.21
- BSI-kritiekverordening, van 22 april 2016 (Bundesgesetzblatt I blz. 958), laatstelijk gewijzigd bij artikel 1 van de verordening van 6 september 2021 (Bundesgesetzblatt I blz. 4163)
- Bijlage 1: Ontwerp van een tweede ordonnantie tot wijziging van de Kritiekverordening BSI met voorblad en toelichting, Intrapol.org, 26.4.2021
- Aanhangsel 2: Niet-officiële leesversie van de wijzigingsverordening, Intrapol.org, 26.4.2021
- Wet ter verhoging van de IT-beveiliging aangenomen met coalitiemeerderheid, Bondsdag 23.04.2021
- Aanbeveling voor een besluit en verslag over het wetsontwerp van de bondsregering voor een tweede wet ter verbetering van de beveiliging van informatietechnologiesystemen, Duitse Bondsdag, drukwerk 19/28844, 21.4.2021
- Commissie geeft groen licht voor IT-beveiligingswet 2.0, Bondsdagcommissie Binnenlandse Zaken en Binnenlandse Zaken - 21.04.2021 (hib 527/2021)
- Ontwerp van een tweede wet ter verbetering van de beveiliging van informatietechnologiesystemen van 25.01.2021 (IT-beveiligingswet 2.0), Wetsontwerp van de Bondsregering, Gedrukt stuk 19/26106
- Ontwerp van een tweede wet ter verbetering van de beveiliging van informatietechnologiesystemen (IT-beveiligingswet 2.0), persbericht Ministerie van Binnenlandse Zaken 16.12.2020
- Kabinet keurt ontwerp IT-beveiligingswet 2.0 goed, persbericht Ministerie van Binnenlandse Zaken 16.12.2020
- IT-beveiligingswet 2.0 - alle beschikbare versies, AG KRITIS, 21 april 2021