IT Security Act 2.0: BSI publiceert FAQ over nieuwe verplichtingen


Met de Wet ICT-beveiliging 2.0 heeft de wetgever niet alleen strengere eisen gesteld aan ICT-beveiliging aan exploitanten van vitale infrastructuren (KRITIS), maar ook regelgeving uitgevaardigd voor bedrijven in het bijzonder publiek belang (UBI of UNBÖFI). Voor dat laatste heeft het Federaal Bureau voor Informatiebeveiliging (BSI) nu informatie verstrekt over hoe de nieuwe wettelijke verplichting te implementeren in een FAQ.

Bedrijven in het bijzonder openbaar belang worden gedefinieerd in sectie 2, paragraaf 14 van het Federaal Bureau voor Informatiebeveiliging (BSIG). Net als vitale infrastructuren zijn ze van buitengewoon belang voor het functioneren van onze samenleving. De wetgever heeft ze onderverdeeld in drie categorieën, die grofweg kunnen worden omschreven als bedrijven in de wapenindustrie (nr. 1), bedrijven met economisch belang (nr. 2) en bedrijven in de sector gevaarlijke stoffen (nr. 3).

Bedrijven van bijzonder openbaar belang hebben te maken met een groot aantal nieuwe verplichtingen die afhankelijk van de categorie op verschillende tijdstippen moeten worden uitgevoerd. Allereerst zijn zij verplicht zich te registreren en een aanspreekpunt aan te wijzen.

Bovendien is er op grond van artikel 8f (7) van de BSIG een verplichting om eventuele storingen aan de BSI te melden. Er is sprake van een storing wanneer een gebruikte technologie niet meer goed of volledig kan functioneren of er (poging tot) effect op is. Dit betekent bijvoorbeeld beveiligingslekken, malware of cyberaanvallen. De verstoring moet een impact hebben op de beschikbaarheid, integriteit, authenticiteit of vertrouwelijkheid van het bedrijf en in ieder geval de potentie hebben om de waardecreatie aanzienlijk aan te tasten. Zeer kleine storingen leiden niet tot een meldingsplicht. De BSI gebruikt de rapporten om het bedrijf te ondersteunen bij het overwinnen van de verstoring en om andere bedrijven te waarschuwen voor gevaren.

Bedrijven in het bijzonder algemeen belang zijn soms ook verplicht om een ​​eigen verklaring in te dienen bij de BSI. Hieruit moet onder meer blijken welke certificeringen op het gebied van IT-beveiliging in de afgelopen twee jaar zijn uitgevoerd en hoe wordt geborgd dat de voor het bedrijf bijzonder beschermingswaardige informatietechnologiesystemen, componenten en processen adequaat zijn. beschermd.

Afhankelijk van de categorie van het bovengenoemde bedrijf is er behoefte aan onmiddellijke actie. Bedrijven in de eerste categorie moeten uiterlijk 1 mei 2023 een eigen verklaring en registratie indienen bij de BSI. Voor bedrijven in de tweede categorie is er in eerste instantie geen dringende noodzaak tot actie. Bedrijven in de laatste categorie zijn al verplicht om verstoringen te melden vanaf 1 november 2021.

De Wet IT-beveiliging 2.0 en de daarmee samenhangende actuele informatie van de BSI laten duidelijk zien dat cybersecurity-eisen voor bedrijven steeds belangrijker worden. Bedrijven worden voortdurend geconfronteerd met nieuwe verplichtingen op zowel nationaal als Europees niveau (bijvoorbeeld door de Cybersecuritywet of de NIS-richtlijn). De FAQ van de BSI zijn een welkome ondersteuning voor bedrijven die worden bedreigd met hoge boetes voor het overtreden van de nieuwe regelgeving bij het voldoen aan de nieuwe eisen.


Meer van iX magazine

Meer van iX magazine


Meer van iX magazine

Meer van iX magazine



(ur)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: