Ustawa o bezpieczeństwie IT 2.0
In eigener Sache IT-Security, KRITIS, Sicherheitsgesetz
Ustawa o bezpieczeństwie informatycznym w Niemczech zobowiązuje operatorów infrastruktury krytycznej do przestrzegania rozporządzenia KRITIS w celu zapewnienia cyberbezpieczeństwa w ramach systemów KRITIS. Środek ten ma na celu zapewnienie świadczenia usług dla gospodarki i społeczeństwa w ramach sektorów KRITIS poprzez wzmocnione protokoły cyberbezpieczeństwa.
W 2021 roku ustawa o bezpieczeństwie teleinformatycznym 2.0 oraz rozporządzenie KRITIS 1.5 przyniosły znaczne rozszerzenie regulacji. Unijne NIS2 i RCE będą dalej rozwijać regulacje w Europie, podczas gdy niemiecka ustawa parasolowa KRITIS i ustawa o bezpieczeństwie IT 3.0, a także nowe rozporządzenia prawne zapewnią dalsze aktualizacje od 2023 r.
Od 2023 i 2024 roku zakres rozporządzenia KRITIS zostanie znacznie rozszerzony. Rozszerzenie to będzie dwojakie; Szerokość jego zasięgu wzrośnie, ponieważ znacznie więcej firm wchodzi w jego zakres (NIS2). Ponadto zwiększy się głębokość wraz z wprowadzeniem szczególnych środków (NIS2), jak również większej odporności (RCE, prawo parasolowe) oprócz istniejącego skupienia się na cyberbezpieczeństwie.
Kto jest dotknięty?
Rozporządzenie KRITIS określa osiem sektorów gospodarki niemieckiej, w których operatorzy KRITIS świadczą niezbędne usługi użyteczności publicznej:
Kategoria |
Sektory |
Podstawowa opieka zdrowotna |
Energia, woda, odżywianie, zdrowie |
Podaż |
Transport & Traffic, utylizacja (2.0) |
Usługi |
IT i TC |
Rozszerzenie 2023-2024
Unijne rozporządzenie NIS 2 rozszerza kluczowe sektory w UE i będzie miało znaczenie dla niemieckiego krajowego rozporządzenia KRITIS do października 2024 r:
Kategoria |
Sektory |
Załącznik 1 |
Energia, transport, bankowość, rynki finansowe, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna, przestrzeń kosmiczna |
Załącznik nr 2 |
Post i kurier, gospodarka odpadami, chemia, żywność, przemysł, usługi cyfrowe, badania naukowe |
Możliwa ustawa o ochronie KRITIS w 2023 r. obejmie więcej firm poza operatorami KRITIS w oparciu o unijne RCE (CER):
Kategoria |
Sektory |
Dach |
Energia, Transport, Bankowość, Rynki finansowe, Zdrowie, Woda pitna, Sanitacja, Żywność, Infrastruktura cyfrowa, Administracja publiczna, Przestrzeń kosmiczna |
Nowe obowiązki dla operatorów CRITIS
Wykrywanie ataków
Operatorzy CRITIS są obecnie zobowiązani do włączenia systemów wykrywania ataków do swoich technicznych i organizacyjnych środków bezpieczeństwa. W §8a ust. 1a określono, że systemy te muszą być w stanie wykrywać i zapobiegać zagrożeniom poprzez rozpoznawanie wzorców podczas ich działania. Od 1 maja 2023 r. wymóg ten stanie się obowiązkowy, a dowód jego spełnienia musi być przedstawiony podczas audytów CRITIS.
Zgodnie z definicją zawartą w §2 (9b) wymienione są narzędzia techniczne i procesy wspierające. Wytyczne OH SZA, opublikowane w 2022 roku, przedstawiają wymagania dla operatorów z perspektywy BSI od 2023 roku.
Obowiązki sprawozdawcze
Interwencja
Operatorzy KRITIS i UBI są na nowo zobowiązani na podstawie §8b ust. 4a do przekazywania BSI istotnych informacji, w tym danych osobowych, niezbędnych do usunięcia istotnych incydentów.
Dodatkowo, na podstawie §9b wprowadzono obowiązek ujawnienia wykorzystania istotnych składników.
Pośrednia rejestracja.
Na mocy zmienionego §8b (3) podmioty muszą niezwłocznie zarejestrować się jako operator KRITIS w BSI po identyfikacji i podać punkt kontaktowy. Wprowadzony niedawno IT-SiG 2.0 upoważnia również BSI do samodzielnego rejestrowania operatorów jako Infrastruktury Krytycznej. Dzięki dodaniu §8b (3a), BSI może w pewnych okolicznościach żądać dostępu do dokumentów operatora, jeśli obowiązki rejestracyjne nie są spełnione.
Komponenty krytyczne
Zgodnie z nowym §9b operatorzy KRITIS muszą powiadomić MSW o wykorzystaniu tzw. komponentów krytycznych, niektórych produktów informatycznych §2 ust. 13. Komponenty krytyczne i funkcje muszą być uregulowane w ustawie, która obecnie obowiązuje tylko w sektorze telekomunikacyjnym do TKG 2021.
Oświadczenie gwarancyjne
Komponenty krytyczne mogą być stosowane w systemach KRITIS wyłącznie z gwarancją (nową) producenta. Oświadczenie musi spełniać minimalne wymagania określone przez Ministerstwo Spraw Wewnętrznych i musi być złożone przez operatora systemu KRITIS do Ministerstwa Spraw Wewnętrznych przy zgłaszaniu użycia w systemie KRITIS. Użytkowanie może być zabronione
Używanie może być zabronione
Ministerstwo Spraw Wewnętrznych może zakazać użycia składników krytycznych w następujących przypadkach:
- Naruszenie porządku i bezpieczeństwa publicznego - jeżeli a) producent znajduje się pod kontrolą rządu, organu władzy lub sił zbrojnych państwa trzeciego, b) producent prowadził działania mające wpływ na porządek i bezpieczeństwo publiczne w Niemczech, UE, EFTA lub NATO, lub c) zastosowanie nie spełnia celów polityki bezpieczeństwa Niemiec, UE lub NATO.
- Brak zaufania wynikający z roszczeń gwarancyjnych producenta, testów bezpieczeństwa i podatności oraz podrabiania produktów powiązanych. Lista
Inwentaryzacja
Aby móc zgłosić do BSI wykorzystanie komponentów krytycznych w systemach KRITIS zgodnie z § 9b, podmioty z tych sektorów muszą przeprowadzić inwentaryzację produktów informatycznych w systemach KRITIS - z aktualnymi informacjami o typach itp. Jak na razie dotyczy to tylko sektora KRITIS Telecom.
Dalsze zmiany za naruszenia
Silniejsze sankcje
W ustawie o bezpieczeństwie informacji 2.0.
Ustawa o przestępstwach i wykroczeniach oraz o grzywnach została zauważalnie zwiększona.
Przestępstwa niekaralne
- §14 (1-4) określa więcej umyślnych lub niedbałych naruszeń specyfikacji CRITIS niż naruszeń administracyjnych, w tym:
Naruszenia |
BSIG-E |
Brak dowodów |
§8a(3) |
Brak raportów o zdarzeniach, brak współpracy |
§5b(6) §7c(1) §8a(3) §8b(6) §8b(4) §8c(3) §8f(7) |
Brakujące środki |
§8a(1) §8c(1) §8f(1) |
Brak rejestracji i punktu kontaktowego |
§8b(3) §8f(5) |
Brak informacji |
§7a(2) §8c(4) §8a(4) §8b(3a) |
Błędy w zaświadczeniach |
§9a ust. 2 §9c ust. 4 art. 55 i 56 (UE) 2019/881 |
Grzywny
- §14 ust. 5 określa znacznie wyższe kary pieniężne za te wykroczenia administracyjne. Obecnie istnieją kary pieniężne do 2 mln EUR, w odniesieniu do §30 (2) OWiG do 20 mln EUR jako osoby prawnej (organu).
Dalsze szczegółowe informacje można znaleźć w następujących źródłach:
- Druga ustawa o zwiększeniu bezpieczeństwa systemów informatycznych, Ustawa o bezpieczeństwie IT 2.0, Federalny Dziennik Ustaw, 2021 nr 25, 27 maja 2021
- Decyzja Bundesratu - Druga ustawa o zwiększeniu bezpieczeństwa systemów informatycznych, Bundesrat, Drucksache 324/21 (Beschluss), 07.05.21
- Zarządzenie o krytycznościBSI, z dnia 22 kwietnia 2016 roku (Federalny Dziennik Ustaw I str. 958), ostatnio zmienione przez art. 1 rozporządzenia z dnia 6 września 2021 roku (Federalny Dziennik Ustaw I str. 4163)
- Załącznik 1: Projekt drugiego rozporządzenia zmieniającego rozporządzenie o krytyczności BSI wraz z arkuszem wstępnym i uzasadnieniem, Intrapol.org, 26.4.2021
- Załącznik 2: Nieoficjalna wersja lektorska rozporządzenia zmieniającego, Intrapol.org, 26.4.2021
- Ustawa o zwiększeniu bezpieczeństwa informatycznego przyjęta większością koalicyjną, Bundestag 23.04.2021
- Zalecenie decyzji i sprawozdanie dotyczące projektu ustawy Rządu Federalnego Projekt drugiej ustawy o zwiększeniu bezpieczeństwa systemów informatycznych, Bundestag, druk 19/28844, 21.04.2021
- Komisja daje zielone światło ustawie o bezpieczeństwie IT 2.0, Bundestag Sprawy Wewnętrzne i Lokalne/Komisja - 21.04.2021 (hib 527/2021)
- Projekt drugiej ustawy o zwiększeniu bezpieczeństwa systemów informatycznych z 25.01.2021 (IT Security Act 2.0), Projekt ustawy rządu federalnego, druk 19/26106
- Projekt drugiej ustawy o zwiększeniu bezpieczeństwa systemów informatycznych (IT Security Act 2.0), komunikat prasowy Ministerstwo Spraw Wewnętrznych 16.12.2020
- Gabinet zatwierdza projekt ustawy o bezpieczeństwie informatycznym 2.0, komunikat prasowy MSW 16.12.2020
- Ustawa o bezpieczeństwie informatycznym 2.0 - wszystkie dostępne wersje, AG KRITIS, 21 kwietnia 2021