Neues BSI-Portal startet: Vorstände haften persönlich für IT-Sicherheit
Persönliche Haftung, drastische Bußgelder und eine technische Basis in der Amazon-Cloud: Der Start der neuen Sicherheits-Plattform sorgt für Aufsehen. Rund 30.000 Unternehmen müssen nun die neuen Vorgaben erfüllen.
Betreiber kritischer Infrastrukturen (KRITIS) sowie besonders wichtige und wichtige Einrichtungen müssen dort künftig Sicherheitsvorfälle melden, Kontaktstellen hinterlegen und Risikoanalysen dokumentieren.
Das neue Portal ist für Unternehmen und für Whistleblower wichtig
Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) basiert das Meldeportal technisch auf der Infrastruktur von Amazon Web Services (AWS). Die Behörde verweist auf Sicherheitsmechanismen nach aktuellem Stand der Technik sowie auf die notwendige Skalierbarkeit und Hochverfügbarkeit der Plattform. Diese soll auch bei hohen Meldezahlen und in Krisensituationen stabil betrieben werden können.
Die Nutzung eines US-Cloudanbieters stößt jedoch auf Kritik, insbesondere mit Blick auf mögliche Zugriffsrechte nach dem US Cloud Act.
Das Portal unterstützt ein mehrstufiges Meldeverfahren. Bei erheblichen Sicherheitsvorfällen ist innerhalb von 24 Stunden eine Erstmeldung an das BSI abzugeben. Spätestens nach 72 Stunden muss eine detaillierte Folgemeldung mit einer Bewertung des Vorfalls erfolgen. Weiterhin können über die Plattform auch Schwachstellen gemeldet werden. Diese Möglichkeit steht nach Angaben der Behörde auch anonym und ohne vorherige Registrierung zur Verfügung.
Mit der technischen Umsetzung gehen weitreichende rechtliche Verpflichtungen einher. Nach Angaben des BSI rückt die persönliche Verantwortung von Geschäftsführungen und Vorständen stärker in den Fokus. Können sie im Schadensfall nicht nachweisen, dass angemessene IT-Sicherheitsmaßnahmen eingeführt und überwacht wurden, greift die sogenannte Organhaftung.
Habt ihr euch schon durch die ELSTER-Anmeldung gekämpft oder wartet ihr noch ab? Schreibt uns eure Meinung zur Nutzung der AWS-Cloud für Behördendaten in die Kommentare!
Siehe auch:
Startschuss für NIS-2-Meldewesen und Registrierung
Die zentrale Plattform zur Umsetzung der europäischen NIS-2-Richtlinie ist in Betrieb gegangen. Diese Abkürzung steht für Network and Information Systems Directive 2, hinter der sich die EU-Richtlinie 2022/2555 verbirgt, die die Cybersicherheit in Netz- und Informationssystemen europaweit stärken soll. Seit Kurzem ist das Portal unter portal.bsi.bund.de erreichbar und bildet für rund 29.500 betroffene Unternehmen sowie für Bundesbehörden die zentrale Anlaufstelle für neue Melde- und Registrierungspflichten.Betreiber kritischer Infrastrukturen (KRITIS) sowie besonders wichtige und wichtige Einrichtungen müssen dort künftig Sicherheitsvorfälle melden, Kontaktstellen hinterlegen und Risikoanalysen dokumentieren.
Das neue Portal ist für Unternehmen und für Whistleblower wichtig
Amazon-Cloud als technische Basis
Der Zugang erfolgt über ein zweistufiges Verfahren. Voraussetzung für die Nutzung des Meldeportals ist eine Anmeldung über das sogenannte "Mein Unternehmenskonto" (MUK). Der Identifizierungsdienst basiert auf der ELSTER-Infrastruktur der Finanzverwaltung. Unternehmen benötigen dafür ein gültiges ELSTER-Organisationszertifikat. Erst nach erfolgreicher Authentifizierung ist der Zugriff auf die eigentlichen Funktionen des NIS-2-Portals möglich.Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) basiert das Meldeportal technisch auf der Infrastruktur von Amazon Web Services (AWS). Die Behörde verweist auf Sicherheitsmechanismen nach aktuellem Stand der Technik sowie auf die notwendige Skalierbarkeit und Hochverfügbarkeit der Plattform. Diese soll auch bei hohen Meldezahlen und in Krisensituationen stabil betrieben werden können.
Die Nutzung eines US-Cloudanbieters stößt jedoch auf Kritik, insbesondere mit Blick auf mögliche Zugriffsrechte nach dem US Cloud Act.
Haftung der Chefetage als Druckmittel
Inhaltlich weitet die NIS-2-Richtlinie den Kreis der verpflichteten Organisationen deutlich aus. Neben klassischen KRITIS-Sektoren wie Energie, Wasser und Ernährung sind nun auch Bereiche wie Abfallwirtschaft, Raumfahrt, Post- und Kurierdienste sowie Teile der öffentlichen Verwaltung erfasst. Das Regelwerk unterscheidet zwischen "besonders wichtigen Einrichtungen" und "wichtigen Einrichtungen", wobei für erstere strengere Aufsichts- und Kontrollvorgaben gelten.Das Portal unterstützt ein mehrstufiges Meldeverfahren. Bei erheblichen Sicherheitsvorfällen ist innerhalb von 24 Stunden eine Erstmeldung an das BSI abzugeben. Spätestens nach 72 Stunden muss eine detaillierte Folgemeldung mit einer Bewertung des Vorfalls erfolgen. Weiterhin können über die Plattform auch Schwachstellen gemeldet werden. Diese Möglichkeit steht nach Angaben der Behörde auch anonym und ohne vorherige Registrierung zur Verfügung.
Mit der technischen Umsetzung gehen weitreichende rechtliche Verpflichtungen einher. Nach Angaben des BSI rückt die persönliche Verantwortung von Geschäftsführungen und Vorständen stärker in den Fokus. Können sie im Schadensfall nicht nachweisen, dass angemessene IT-Sicherheitsmaßnahmen eingeführt und überwacht wurden, greift die sogenannte Organhaftung.
NIS-2 ist ein Gamechanger für die Sicherheit und Stabilität unseres Landes. Die neue Gesetzgebung sorgt dafür, dass wichtige und besonders wichtige Einrichtungen sowie die gesamte Bundesverwaltung ihre Cyberresilienz effektiv und effizient stärken.Zudem sieht der Rechtsrahmen empfindliche Sanktionen vor. Je nach Verstoß und Unternehmensgröße drohen Bußgelder von bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes. Damit werden Verstöße gegen IT-Sicherheitsauflagen ähnlich streng sanktioniert wie Verstöße im Kartellrecht oder nach der Datenschutz-Grundverordnung.
Habt ihr euch schon durch die ELSTER-Anmeldung gekämpft oder wartet ihr noch ab? Schreibt uns eure Meinung zur Nutzung der AWS-Cloud für Behördendaten in die Kommentare!
Wer muss sich im Portal registrieren?
Die Registrierungspflicht betrifft rund 29.500 Unternehmen in Deutschland sowie Institutionen der Bundesverwaltung. Dazu zählen nicht nur klassische KRITIS-Betreiber, sondern durch das NIS-2-Umsetzungsgesetz auch viele weitere "wichtige" und "besonders wichtige" Einrichtungen.
IT-Verantwortliche sollten dringend prüfen, ob ihr Unternehmen unter die Regulierung fällt. Dies betrifft Sektoren wie Energie, Transport, Bankwesen, aber auch die verarbeitende Industrie. Das BSI bietet hierzu Anleitungen zur Betroffenheitsprüfung an.
IT-Verantwortliche sollten dringend prüfen, ob ihr Unternehmen unter die Regulierung fällt. Dies betrifft Sektoren wie Energie, Transport, Bankwesen, aber auch die verarbeitende Industrie. Das BSI bietet hierzu Anleitungen zur Betroffenheitsprüfung an.
Wie läuft die Registrierung ab?
Der Prozess ist zweistufig gestaltet. Zunächst ist zwingend ein Konto beim digitalen Dienst "Mein Unternehmenskonto" (MUK) erforderlich. Erst im Anschluss erfolgt die eigentliche Registrierung im neuen BSI-Portal, das als "One-Stop-Shop" konzipiert wurde.
Das Portal ist unter der Adresse portal.bsi.bund.de erreichbar. Dort werden künftig nicht nur die Stammdaten hinterlegt, sondern auch Sicherheitsvorfälle gemeldet.
Das Portal ist unter der Adresse portal.bsi.bund.de erreichbar. Dort werden künftig nicht nur die Stammdaten hinterlegt, sondern auch Sicherheitsvorfälle gemeldet.
Haften Geschäftsführer persönlich?
Dies ist ein kritischer Punkt für IT-Pros im Gespräch mit der Geschäftsleitung. Laut BSI-Präsidentin Claudia Plattner liegt hier der "große Hebel": Wenn Vorstände die Cyberresilienz vernachlässigen, können sich persönliche Haftungsfragen stellen.
Es besteht das Risiko, dass Directors-and-Officers-Versicherungen (D&O) nicht greifen, wenn die Verantwortlichen nicht nachweisen können, dass sie sich um die "Basics" der IT-Sicherheit gekümmert haben. Die Verantwortung ist somit Chefsache.
Es besteht das Risiko, dass Directors-and-Officers-Versicherungen (D&O) nicht greifen, wenn die Verantwortlichen nicht nachweisen können, dass sie sich um die "Basics" der IT-Sicherheit gekümmert haben. Die Verantwortung ist somit Chefsache.
Welche Bußgelder drohen bei Verstößen?
Das Gesetz sieht empfindliche Strafen vor. Bei Verstößen gegen die Registrierungs- oder Meldepflichten sind Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes möglich.
Das BSI kündigte an, die Einhaltung der Quoten zu prüfen. Zwar könne man "nicht die ganze Republik retten", so Plattner, aber es werde "irgendwann jeden treffen", der die Vorgaben ignoriere.
Das BSI kündigte an, die Einhaltung der Quoten zu prüfen. Zwar könne man "nicht die ganze Republik retten", so Plattner, aber es werde "irgendwann jeden treffen", der die Vorgaben ignoriere.
Was bietet das Portal außer Meldungen?
Neben der Erfüllung gesetzlicher Pflichten erhalten registrierte Nutzer Zugriff auf exklusive Informationen. Dazu gehören Tageslageberichte, IT-Sicherheitsmitteilungen sowie Hilfestellungen für die gesetzlich geforderten Risikoanalysen.
Zudem ermöglicht das Portal den direkten Beitritt zur "Allianz für Cyber-Sicherheit" (ACS) und erleichtert die Vernetzung in der "Unabhängigen Partnerschaft KRITIS" (UP KRITIS) zum Erfahrungsaustausch.
Zudem ermöglicht das Portal den direkten Beitritt zur "Allianz für Cyber-Sicherheit" (ACS) und erleichtert die Vernetzung in der "Unabhängigen Partnerschaft KRITIS" (UP KRITIS) zum Erfahrungsaustausch.
Wie melde ich Schwachstellen anonym?
Das Portal bietet eine Funktion, um Sicherheitslücken und Schwachstellen zu melden, ohne dass eine vorherige Registrierung notwendig ist. Dies senkt die Hürde für externe Sicherheitsforscher oder Whistleblower.
Diese Meldungen können auch vollständig anonym abgegeben werden. Damit möchte das BSI sicherstellen, dass Informationen über akute Bedrohungen die Behörde auch dann erreichen, wenn der Melder unerkannt bleiben möchte.
Diese Meldungen können auch vollständig anonym abgegeben werden. Damit möchte das BSI sicherstellen, dass Informationen über akute Bedrohungen die Behörde auch dann erreichen, wenn der Melder unerkannt bleiben möchte.
Zusammenfassung
- BSI-Portal für NIS-2-Richtlinie mit 29500 betroffenen Unternehmen gestartet
- Zweistufige Anmeldung über Unternehmenskonto mit ELSTER-Zertifikat nötig
- Technische Basis ist AWS-Cloud, was trotz Sicherheitsmechanismen kritisiert wird
- NIS-2 erfasst mehr Sektoren mit unterschiedlichen Verpflichtungsstufen
- Vorfallmeldung innerhalb von 24 Stunden, detaillierter Bericht nach 72 Stunden
- Geschäftsführung trägt persönliche Verantwortung mit möglicher Organhaftung
- Bei Verstößen drohen Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des Umsatzes
Siehe auch:
Thema:
Amazons Aktienkurs in Euro
Videos zum Thema Amazon
-
Magcubic HY300F: Ballförmiger Beamer ist für den WM-Spaß ungeeignet
-
Wanbo Togo Pro: Gimbal-Beamer für Urlaub und Co. im Test
-
Ctone Matrix Mini M2: Mini-PC mit viel Speicher fürs Geld im Test
-
Forza Horizon 6: Fehlermeldung beim ersten Start - Was nun zu tun ist
-
Klein, günstig aber mit Schwächen: Magcubic Mini-Beamer im Test
Beiträge aus dem Forum
Interessante Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- The Witcher: CD Projekt plant angeblich neues Multiplayer-Spiel
- Forscher bauen aus alten Handys erstaunlich leistungsstarke Server
- Xbox-Exodus: Chef von Microsofts Spielestudios geht
- Galaxy A27: Samsung leakt sein neues Jedermann-Smartphone selbst
- Spiele als Dauerwerbesendung: EA plant Reklame 'direkt im Gameplay'
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen