seit unserem letzten Webinar „Angriffserkennung und -bewältigung mit "Managed Detection und Response (MDR)" in dem wir auch über den lt. IT-Sicherheitsgesetz 2.0 ab 01.05.2023 verpflichtenden Einsatz von Systemen zur Angriffserkennung (SzA) ausführlich gesprochen haben, ist einige Zeit vergangen und es gibt wichtige Neuigkeiten zu diesem Thema.

So sieht neben dem BSIG (in § 8a Abs. 1a) auch die aktuelle Fassung des Energiewirtschaftsgesetzes EnWG (in § 11 Abs. 1d) die Nachweispflicht für SzA gegenüber dem BSI auch für die Betreiber von Energieanlagen und Energieversorgungsnetzen vor, lassen aber, wie Sie sich sicherlich erinnern können, „etwas“ Unklarheit bzw. Interpretationsspielraum zu, wie man als Betroffener dieser Pflicht nachkommen soll.

Aus diesem Grund hat das BSI jetzt nachgebessert und den ersten Entwurf einer Orientierungshilfe (BSI-OH-SzA) veröffentlicht, die 93 Anforderungen umfasst, deren Erfüllung nächstes Jahr in Form einer separaten Reifegrad-Prüfung durch jeden KRITIS-Betreiber erstmalig nachzuweisen ist. Die Orientierungshilfe liefert zudem Hinweise für Betreiber und prüfende Stellen, wie die gesetzliche Verpflichtung individuell umgesetzt und geprüft werden kann, als auch Nachweisformulare (siehe Anhang).  Das Dokument eignet sich zudem als Grundlage für die Fortentwicklung der Branchenspezifischen Sicherheitsstandards (B3S) im Zuge der Integration der SzA.

Kommentare und Anpassungswünsche können bis zum 8. Juli 2022 an das BSI unter gp.oh-sza(at)bsi.bund.de gesendet werden!

Quelle: BSI