La legge sulla sicurezza informatica 2.0
In eigener Sache IT-Security, KRITIS, Sicherheitsgesetz
La legge sulla sicurezza informatica in Germania obbliga gli operatori di infrastrutture critiche a rispettare l'ordinanza KRITIS per garantire la sicurezza informatica dei sistemi KRITIS. Questa misura mira a garantire la fornitura di servizi all'economia e alla società all'interno dei settori KRITIS attraverso protocolli di sicurezza informatica rafforzati.
Nel 2021, la legge sulla sicurezza informatica 2.0 e il regolamento KRITIS 1.5 hanno portato a un significativo ampliamento della regolamentazione. La NIS2 e la RCE dell'UE svilupperanno ulteriormente la regolamentazione in Europa, mentre la legge quadro tedesca KRITIS e la legge sulla sicurezza informatica 3.0, così come le nuove ordinanze legali, forniranno ulteriori aggiornamenti a partire dal 2023.
A partire dal 2023 e dal 2024, il campo di applicazione del regolamento KRITIS sarà notevolmente ampliato. L'ampliamento sarà duplice: l'ampiezza della copertura aumenterà, poiché molte più aziende rientreranno nel suo campo di applicazione (NIS2). Inoltre, la profondità aumenterà con l'introduzione di misure specifiche (NIS2) e di una maggiore resilienza (RCE, legge quadro) in aggiunta all'attuale focus sulla sicurezza informatica.
Chi è interessato?
Il Regolamento KRITIS definisce otto settori KRITIS dell'economia tedesca in cui gli operatori KRITIS forniscono servizi di pubblica utilità essenziali:
Categoria |
Settori |
Cure primarie |
Energia, acqua, nutrizione, salute |
Approvvigionamento |
Trasporti & Traffico, smaltimento (2.0) |
Servizi |
IT e TC |
Espansione 2023-2024
Il regolamento NIS 2 dell'UE espande i settori chiave nell'UE e sarà rilevante per il regolamento nazionale tedesco KRITIS entro ottobre 2024:
Categoria |
Settori |
Allegato 1 |
Energia, trasporti, banche, mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT, pubblica amministrazione, spazio |
Allegato 2 |
Poste e corrieri, gestione dei rifiuti, prodotti chimici, alimentari, industria, servizi digitali, ricerca |
Una possibile legge di protezione KRITIS nel 2023 includerà più aziende oltre agli operatori KRITIS basati su RCE dell'UE (CER):
Categoria |
Settori |
Tetto |
Energia, Trasporti, Banche, Mercati finanziari, Salute, Acqua potabile, Servizi igienico-sanitari, Alimentazione, Infrastrutture digitali, Pubblica amministrazione, Spazio |
Nuovi obblighi per gli operatori CRITIS
Rilevamento degli attacchi
Gli operatori CRITIS sono ora obbligati a integrare i sistemi di rilevamento degli attacchi nelle loro misure di sicurezza tecniche e organizzative. §Il paragrafo 8a (1a) stabilisce che questi sistemi devono essere in grado di rilevare e prevenire le minacce attraverso il riconoscimento di modelli quando sono in funzione. Dal 1° maggio 2023, questo requisito diventerà obbligatorio e la prova di conformità dovrà essere fornita durante gli audit CRITIS.
Secondo la definizione di cui al §2 (9b), vengono citati gli strumenti tecnici e i processi di supporto. La linea guida OH SZA, pubblicata nel 2022, delinea i requisiti per gli operatori dal punto di vista del BSI a partire dal 2023.
Obblighi di segnalazione
Interferenze
Gli operatori KRITIS e UBI sono tenuti, ai sensi del §8b (4a), a fornire al BSI le informazioni essenziali, compresi i dati personali, necessarie per porre rimedio a incidenti significativi.
Inoltre, il §9b prevede l'obbligo di divulgare l'uso di componenti essenziali.
Registrazione indiretta.
In base al §8b (3) modificato, gli operatori devono registrarsi tempestivamente come operatori KRITIS presso il BSI dopo l'identificazione e fornire un punto di contatto. La IT-SiG 2.0, introdotta di recente, autorizza inoltre il BSI a registrare autonomamente gli operatori come Infrastrutture Critiche. Con l'aggiunta del §8b (3a), il BSI può richiedere l'accesso ai documenti dell'operatore in determinate circostanze se gli obblighi di registrazione non vengono rispettati.
Componenti critici
Secondo il nuovo §9b, gli operatori KRITIS devono notificare al Ministero dell'Interno l'uso dei cosiddetti componenti critici, alcuni prodotti informatici §2(13). I componenti e le funzioni critiche devono essere regolamentati nella legge, che attualmente si applica solo nel settore delle telecomunicazioni fino alla TKG 2021.
Dichiarazione di garanzia
I componenti critici possono essere utilizzati nei sistemi KRITIS solo con una garanzia del produttore (nuova). La dichiarazione deve soddisfare i requisiti minimi stabiliti dal Ministero dell'Interno e deve essere presentata dall'operatore KRITIS al Ministero dell'Interno quando segnala l'utilizzo nel sistema KRITIS. L'uso può essere vietato
L'uso può essere vietato
Il Ministero dell'Interno può proibire l'uso degli ingredienti critici nei seguenti casi:
- Violazione dell'ordine pubblico e della sicurezza - se a) il produttore è sotto il controllo di un governo, di un'autorità o di forze armate di un Paese terzo, b) il produttore ha svolto attività che pregiudicano l'ordine pubblico e la sicurezza in Germania, nell'UE, nell'EFTA o nella NATO, o c) l'uso non soddisfa gli obiettivi della politica di sicurezza della Germania, dell'UE o della NATO.
- Mancanza di fiducia dovuta alle richieste di garanzia del produttore, ai test di sicurezza e vulnerabilità e alla contraffazione dei prodotti correlati. Elenco
Inventario
Per poter segnalare al BSI l'uso di componenti critici nei sistemi KRITIS in conformità al § 9b, gli operatori di questi settori devono effettuare un inventario dei prodotti IT nei sistemi KRITIS - con informazioni aggiornate su tipi, ecc. Finora questo vale solo per il settore KRITIS Telecom.
Altre modifiche per le violazioni
Sanzioni più severe
I reati ordinari e le multe sono notevolmente aumentati nell'Information Security Act 2.0.
Reati ordinari
- Il §14 (1-4) identifica un maggior numero di violazioni intenzionali o negligenti delle specifiche CRITIS rispetto alle violazioni amministrative, tra cui:
Infrazioni |
BSIG-E |
Prove mancanti |
§8a(3) |
Mancati rapporti sugli incidenti, mancanza di cooperazione |
§5b(6) §7c(1) §8a(3) §8b(6) §8b(4) §8c(3) §8f(7) |
Misure mancanti |
§8a(1) §8c(1) §8f(1) |
Mancante registrazione e punto di contatto |
§8b(3) §8f(5) |
Informazioni mancanti |
§7a(2) §8c(4) §8a(4) §8b(3a) |
Errori nelle certificazioni |
§9a(2) §9c(4) Art. 55 e 56 (UE) 2019/881 |
Multe
- Il §14 (5) definisce multe significativamente più elevate per questi illeciti amministrativi. Sono ora previste multe fino a 2 milioni di euro, con riferimento al §30 (2) dell'OWiG fino a 20 milioni di euro come entità giuridica (organo).
Per ulteriori informazioni dettagliate si possono consultare le seguenti fonti:
- Seconda legge per aumentare la sicurezza dei sistemi informatici, Legge sulla sicurezza informatica 2.0, Gazzetta Ufficiale Federale, 2021 n. 25, 27 maggio 2021
- Decisione del Bundesrat - Seconda legge per aumentare la sicurezza dei sistemi informatici, Bundesrat, Drucksache 324/21 (Beschluss), 07.05.21
- Ordinanza sulla criticità dei sistemi informatici, del 22 aprile 2016 (Gazzetta ufficiale federale I pag. 958), modificata da ultimo dall'articolo 1 dell'ordinanza del 6 settembre 2021 (Gazzetta ufficiale federale I pag. 4163)
- Allegato 1: Progetto di una seconda ordinanza che modifica l'Ordinanza sulla criticità della BSI con scheda preliminare e memorandum esplicativo, Intrapol.org, 26.4.2021
- Appendice 2: Versione di lettura non ufficiale dell'ordinanza di modifica, Intrapol.org, 26.4.2021
- Legge per aumentare la sicurezza informatica approvata con maggioranza di coalizione, Bundestag 23.04.2021
- Raccomandazione per una decisione e relazione sul progetto di legge del Governo federale di una seconda legge per aumentare la sicurezza dei sistemi informatici, Bundestag tedesco, stampato 19/28844, 21.4.2021
- La commissione dà il via libera alla legge sulla sicurezza informatica 2.0, Bundestag Interni e Affari interni/Commissione - 21.04.2021 (hib 527/2021)
- Progetto di una seconda legge per aumentare la sicurezza dei sistemi informatici del 25.01.2021 (legge sulla sicurezza informatica 2.0), Progetto di legge del Governo federale, Carta stampata 19/26106
- Progetto di una seconda legge per aumentare la sicurezza dei sistemi informatici (Legge sulla sicurezza informatica 2.0), comunicato stampa Ministero dell'Interno 16.12.2020
- Il Consiglio dei Ministri approva il progetto di legge sulla sicurezza informatica 2.0, comunicato stampa Ministero dell'Interno 16.12.2020
- Legge sulla sicurezza informatica 2.0 - tutte le versioni disponibili, AG KRITIS, 21 aprile 2021