Ab dem 1. Mai 2023 müssen alle Betreiber kritischer Infrastrukturen (KRITIS) Prüfnachweisverfahren durchführen, bei denen die Prüfung der Systeme zur Angriffserkennung (SzA) mit enthalten ist. KRITIS-Betreiber, die nach dem Stichtag KRITIS-Prüfungen ohne gleichzeitige SzA-Prüfung durchführen, riskieren Bußgelder von bis zu einer Million Euro.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Update zu den FAQs zum Einsatz von Systemen zur Angriffserkennung veröffentlicht. Darin wird klargestellt, dass die Nachweise für § 8a Absatz 1 und 1a gemäß BSIG gemeinsam beim BSI einzureichen sind. Wenn die eingereichten Dokumente nach dem 1. Mai 2023 keine Prüfung der Systeme zur Angriffserkennung beinhalten, stellt dies keinen vollständigen Nachweis im Sinne von § 8a Absatz 3 BSIG dar:
"Können Nachweise zur Umsetzung von § 8a Absatz 1 BSIG und § 8a Absatz 1a BSIG gemeinsam erbracht werden?"
"Der § 8a Absatz 1a modifiziert die Anforderungen des § 8a Absatz 1 BSIG. Dementsprechend sind die Nachweise für § 8a Absatz 1 und Absatz 1a auch grundsätzlich gemeinsam beim BSI einzureichen. Dokumente, die nach dem 1. Mai 2023 als Nachweis beim BSI eingereicht werden und nicht auch den angemessenen Einsatz von Systemen zur Angriffserkennung im Sinne des Absatzes 1a nachweisen, stellen nach neuer Gesetzeslage keinen vollständigen Nachweis im Sinne des § 8a Absatz 3 BSIG dar."
Die Konsequenzen für Betreiber, die diese Anforderungen nicht erfüllen, sind erheblich. Gemäß § 14 des BSIG kann eine Ordnungswidrigkeit mit einer Geldbuße von bis zu einer Million Euro geahndet werden:
„§ 14 Bußgeldvorschriften (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig […]
3. entgegen § 8a Absatz 3 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 einen Nachweis nicht oder nicht rechtzeitig erbringt, […]
(5) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 2 Nummer 1 Buchstabe a mit einer Geldbuße bis zu zwei Millionen Euro sowie in den Fällen der Absätze 1, 2 Nummer 2 und 3 mit einer Geldbuße bis zu einer Million Euro geahndet werden.“
Die Implementierung eines geeigneten Prüfnachweisverfahrens, das die SzA-Prüfung einschließt, ist für KRITIS-Betreiber daher unerlässlich, um sich vor Bußgeldern und anderen Sanktionen zu schützen. Die Einhaltung der neuen Vorschriften wird sicherlich auch dazu beitragen, die Sicherheit der kritischen Infrastruktur in Deutschland zu erhöhen und Bedrohungen durch Cyberangriffe abzuwehren. Es liegt nun an den KRITIS-Betreibern, bereits beauftragte Prüfnachweisverfahren um SzA zu ergänzen, die neuen Anforderungen zu erfüllen und somit den Schutz ihrer Infrastruktur und der davon abhängigen Bevölkerung zu gewährleisten.