Wet op IT-beveiliging 2.0: Vereisten voor exploitanten van kritieke infrastructuur
Inleiding
De Duitse Wet op IT-beveiliging 2.0 (IT-Sicherheitsgesetz 2.0), die in mei 2021 in werking trad, vertegenwoordigt een van de meest significante uitbreidingen van de regelgeving op het gebied van cybersecurity in Europa. Gebaseerd op de oorspronkelijke Wet op IT-beveiliging van 2015, breidde de versie 2.0 het bereik van entiteiten die onderworpen zijn aan cybersecurityverplichtingen aanzienlijk uit, versterkte de bevoegdheden van het Bundesamt für Sicherheit in der Informationstechnik (BSI) en introduceerde nieuwe vereisten voor systemen voor aanvaldetectie (Systeme zur Angriffserkennung). Voor exploitanten van kritieke infrastructuur (KRITIS) in de financiële sector, waaronder banken, verzekeringsmaatschappijen, effectenbeurzen en betaaldienstverleners, creëerde de wet verplichtingen die rechtstreeks van invloed zijn op hoe IT-beveiliging wordt beheerd, gemonitord en gerapporteerd.
In 2026 bestaat de Wet op IT-beveiliging 2.0 naast -- en wordt gedeeltelijk vervangen door -- de Duitse implementatie van de EU NIS2-richtlijn (Richtlijn (EU) 2022/2555). De NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), die NIS2 in de Duitse wetgeving omzet, breidt het bereik van de getroffen entiteiten verder uit en past de verplichtingen die oorspronkelijk door de Wet op IT-beveiliging 2.0 zijn vastgesteld aan. Voor financiële instellingen is het essentieel om zowel de huidige vereisten van de Wet op IT-beveiliging 2.0 als de aankomende NIS2-aanpassingen te begrijpen om naleving te waarborgen. Dit artikel biedt dat dubbele perspectief.
Wat is de Wet op IT-beveiliging 2.0?
De Wet op IT-beveiliging 2.0 (Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) is geen op zichzelf staande wet, maar een omnibuswet die verschillende bestaande wetten wijzigt, met name de BSI-wet (BSI-Gesetz, BSIG). De BSIG, zoals gewijzigd door de Wet op IT-beveiliging 2.0, bevat de operationele vereisten voor KRITIS-exploitanten en andere getroffen entiteiten.
De wet wijst het BSI aan als de centrale autoriteit voor IT-beveiliging in Duitsland en verleent het uitgebreide bevoegdheden, waaronder de bevoegdheid om bindende technische richtlijnen uit te geven, actieve kwetsbaarheidsscans van internetgerichte systemen uit te voeren en herstelmaatregelen voor beveiligingsgebreken te bevelen. Voor KRITIS-exploitanten fungeert het BSI als het primaire aanspreekpunt voor incidentmeldingen en nalevingsverificatie.
KRITIS-exploitanten worden gedefinieerd door de BSI-Kritisverordnung (BSI-KritisV), die drempelwaarden voor elke KRITIS-sector specificeert. In de financiële sector worden exploitanten als KRITIS geclassificeerd als ze bepaalde drempelwaarden voor transactievolumes, beheerde activa of het aantal verzekerde personen overschrijden. De relevante sectoren omvatten bankieren, financiële marktinfrastructuur en verzekeringen.
De Wet op IT-beveiliging 2.0 introduceerde ook een nieuwe categorie van "bedrijven met een bijzonder openbaar belang" (Unternehmen im besonderen öffentlichen Interesse, UBI), die defensiecontractanten, bedrijven van economisch belang en exploitanten van gevaarlijke installaties omvat. Hoewel de meeste financiële instellingen onder de KRITIS-categorie vallen in plaats van UBI, kunnen sommige financiële groepen met defensiegerelateerde dochterondernemingen door beide worden beïnvloed.
Belangrijkste vereisten
Minimale beveiligingsnormen (Sectie 8a BSIG)
KRITIS-exploitanten moeten passende organisatorische en technische voorzorgsmaatregelen nemen om de beschikbaarheid, integriteit, authenticiteit en vertrouwelijkheid van hun IT-systemen te beschermen. Deze maatregelen moeten het "staat van de techniek" (Stand der Technik) weerspiegelen en proportioneel zijn ten opzichte van het risico. Sectie 8a(1) BSIG vereist dat deze maatregelen door de exploitant worden geïmplementeerd en dat naleving elke twee jaar aan het BSI moet worden aangetoond door middel van audits, inspecties of certificeringen.
Voor financiële instellingen wordt de standaard "staat van de techniek" in de praktijk gedefinieerd aan de hand van gevestigde kaders. Het BSI zelf publiceert technische richtlijnen (Technische Richtlinien) en IT-Grundschutz-normen die gedetailleerde specificaties bieden. Branchespecifieke beveiligingsnormen (branchenspezifische Sicherheitsstandards, B3S) die zijn ontwikkeld door sectorverenigingen en goedgekeurd door het BSI kunnen ook worden gebruikt om naleving aan te tonen. De B3S van de financiële sector, ontwikkeld door de Deutsche Kreditwirtschaft, sluit nauw aan bij MaRisk, BAIT en ISO 27001, en biedt een brug tussen KRITIS-verplichtingen en bestaande nalevingskaders in de financiële sector.
Systemen voor aanvaldetectie (Sectie 8a(1a) BSIG)
Een van de belangrijkste toevoegingen die door de Wet op IT-beveiliging 2.0 is gedaan, is de vereiste voor KRITIS-exploitanten om systemen voor aanvaldetectie (Systeme zur Angriffserkennung) te implementeren. Deze vereiste, gecodificeerd in Sectie 8a(1a) BSIG, trad in werking op 1 mei 2023.
Het BSI publiceerde gedetailleerde richtlijnen over wat compliant aanvaldetectiesystemen zijn in zijn "Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung" (februari 2023). De richtlijnen specificeren dat aanvaldetectiesystemen drie functionele gebieden moeten dekken:
Logging en detectie (Protokollierung und Detektion): Continue verzameling en analyse van beveiligingsrelevante loggegevens van IT-systemen, netwerken en applicaties. Dit omvat het gebruik van Security Information and Event Management (SIEM) systemen of gelijkwaardige technologieën.
Evaluatie en correlatie (Auswertung und Korrelation): Geautomatiseerde analyse van verzamelde gegevens om patronen te identificeren die wijzen op cyberaanvallen. Het BSI verwacht het gebruik van dreigingsinformatie, gedragsanalyse en anomaliedetectiecapaciteiten.
Reactie en herstel (Reaktion und Behebung): Gedefinieerde processen voor het reageren op gedetecteerde aanvallen, inclusief procedures voor incidentrespons, communicatieprotocollen en herstelmaatregelen.
Het BSI evalueert de volwassenheid van aanvaldetectiesystemen op een schaal van 0 tot 5, waarbij niveau 3 ("gevestigd") wordt beschouwd als het minimale acceptabele niveau. KRITIS-exploitanten moeten hun aanvaldetectiematuriteit aantonen tijdens de tweejaarlijkse nalevingsaudits onder Sectie 8a(3) BSIG. Door BaFin gecontroleerde instellingen moeten aan deze vereiste voldoen naast hun DORA-incidentdetectieverplichtingen.
BSI-meldingsverplichtingen (Sectie 8b BSIG)
KRITIS-exploitanten moeten significante IT-beveiligingsincidenten zonder onredelijke vertraging aan het BSI melden. Sectie 8b(4) BSIG definieert de meldingsprikkels en tijdlijnen:
- Initiële melding: Binnen 24 uur na kennisname van een significante verstoring. Dit is een voorlopige rapportage die de aard van het incident en een initiële impactbeoordeling moet bevatten.
- Tussentijdse rapportage: Binnen 72 uur, met een meer gedetailleerde beoordeling inclusief de waarschijnlijke oorzaak, getroffen systemen en genomen maatregelen.
- Eindrapport: Binnen een maand, met een uitgebreide post-incidentanalyse inclusief de hoofdoorzaak, volledige impactbeoordeling en geleerde lessen.
Een "significante verstoring" omvat elk IT-beveiligingsincident dat kan leiden tot een falen of significante beperking van de kritieke infrastructuur die wordt geëxploiteerd. De drempel is opzettelijk laag ingesteld om ervoor te zorgen dat het BSI vroegtijdig zicht heeft op potentiële bedreigingen.
Bovendien moeten KRITIS-exploitanten zich registreren bij het BSI en een contactpunt voor IT-beveiligingszaken onderhouden dat te allen tijde bereikbaar is (Sectie 8b(3) BSIG). Ze moeten het BSI ook informatie over hun IT-infrastructuur verstrekken wanneer daarom wordt gevraagd voor de doeleinden van dreigingsanalyse en waarschuwing.
Tweejaarlijkse nalevingsverificatie (Sectie 8a(3) BSIG)
Elke twee jaar moeten KRITIS-exploitanten aan het BSI aantonen dat ze voldoen aan de vereisten van Sectie 8a. Dit gebeurt door middel van audits uitgevoerd door BSI-goedgekeurde auditors, door inspecties, of door erkende certificeringen (zoals ISO 27001 op basis van IT-Grundschutz). De auditresultaten, inclusief eventuele geïdentificeerde tekortkomingen, moeten aan het BSI worden voorgelegd.
Als het BSI tekortkomingen identificeert, kan het de exploitant bevelen deze binnen een bepaalde termijn te verhelpen (Sectie 8a(4) BSIG). Het niet verhelpen kan leiden tot administratieve boetes van maximaal EUR 2 miljoen onder Sectie 14 BSIG.
Kritieke componenten en verklaringen van betrouwbaarheid (Sectie 9b BSIG)
De Wet op IT-beveiliging 2.0 introduceerde een nieuw regime voor kritieke componenten in KRITIS-infrastructuur. Onder Sectie 9b BSIG moeten KRITIS-exploitanten de Federale Ministerie van Binnenlandse Zaken (BMI) op de hoogte stellen voordat ze kritieke componenten van fabrikanten die mogelijk beveiligingszorgen met zich meebrengen, inzetten. De BMI kan het gebruik van specifieke componenten verbieden als de fabrikant als onbetrouwbaar wordt beschouwd. Deze bepaling was voornamelijk ontworpen om zorgen over 5G-netwerkapparatuur aan te pakken, maar is van toepassing op alle KRITIS-sectoren.
Relatie tot NIS2 en andere kaders
De relatie tussen de Wet op IT-beveiliging 2.0 en NIS2 is er een van evolutie in plaats van vervanging. De NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) transponeert NIS2 in de Duitse wetgeving door de BSIG en gerelateerde wetgeving verder te wijzigen. De belangrijkste wijzigingen van NIS2 omvatten:
Uitgebreid bereik: NIS2 breidt de entiteiten die onderworpen zijn aan cybersecurityverplichtingen aanzienlijk uit, verder dan traditionele KRITIS-exploitanten. De nieuwe categorieën van "essentiële entiteiten" (wesentliche Einrichtungen) en "belangrijke entiteiten" (wichtige Einrichtungen) omvatten een veel groter aantal organisaties, waaronder middelgrote ondernemingen in de gedekte sectoren.
Geharmoniseerde incidentrapportage: NIS2 Artikel 23 stelt EU-brede tijdlijnen voor incidentrapportage vast die nauw aansluiten bij de BSI-meldingsverplichtingen die al zijn vastgesteld door de Wet op IT-beveiliging 2.0, maar met enkele aanpassingen aan de specifieke meldvensters.
Aansprakelijkheid van het management: NIS2 Artikel 20 introduceert persoonlijke aansprakelijkheid voor bestuursorganen die er niet in slagen om naleving van cybersecurityvereisten te waarborgen -- een significante escalatie ten opzichte van de aanpak van de Wet op IT-beveiliging 2.0.
Hogere boetes: NIS2 verhoogt de maximale boetes tot EUR 10 miljoen of 2% van de wereldwijde jaarlijkse omzet voor essentiële entiteiten, aanzienlijk boven de maximale EUR 2 miljoen onder de Wet op IT-beveiliging 2.0.
Voor financiële instellingen heeft DORA prioriteit boven NIS2 voor vereisten voor digitale operationele veerkracht (NIS2 Artikel 4 biedt een lex specialis carve-out voor entiteiten die onder sector-specifieke wetgeving vallen). De vereisten van de Wet op IT-beveiliging 2.0 / NIS2UmsuCG blijven echter relevant voor aspecten die niet door DORA worden gedekt, met name het regime voor kritieke componenten onder Sectie 9b BSIG en BSI-specifieke meldingsverplichtingen.
ISO 27001, vooral wanneer geïmplementeerd op basis van BSI IT-Grundschutz, biedt een erkend pad om naleving van de "staat van de techniek" vereiste onder Sectie 8a BSIG aan te tonen. Veel KRITIS-exploitanten gebruiken ISO 27001-certificering als basis voor hun tweejaarlijkse nalevingsverificatie.
ENISA (de Europese Unie Agentschap voor Cybersecurity) publiceert rapporten over dreigingslandschappen en richtlijnen voor beste praktijken die de "staat van de techniek" standaard informeren die in de Wet op IT-beveiliging 2.0 wordt genoemd. KRITIS-exploitanten moeten ENISA-publicaties volgen als een bron voor evoluerende beveiligingsverwachtingen.
Nalevingsautomatisering met Matproof
De vereisten van de Wet op IT-beveiliging 2.0 creëren een continue nalevingscyclus: implementeer beveiligingsmaatregelen, implementeer aanvaldetectiesystemen, rapporteer incidenten en toon naleving om de twee jaar aan. Elke fase genereert documentatievereisten die in de loop van de tijd toenemen. Twee jaar aan bewijs moet beschikbaar zijn voor elke tweejaarlijkse audit, aanvaldetectiesystemen moeten continue logs produceren, en incidentrapporten moeten binnen strikte tijdlijnen worden ingediend.
Matproof automatiseert de bewijsverzameling die deze nalevingscyclus ondersteunt. Het platform verbindt met beveiligingsinfrastructuur -- SIEM-systemen, firewalls, identiteitsbeheersystemen en cloudomgevingen -- en verzamelt continu bewijs dat is gekoppeld aan de vereisten van de BSIG. Wanneer de tweejaarlijkse audit nadert, hebben compliance-teams een gestructureerde bewijsrepository die de gehele auditperiode dekt in plaats van een last-minute documentatiechaos.
Voor de aanvaldetectievereiste onder Sectie 8a(1a) houdt Matproof bij of de drie functionele gebieden (logging, correlatie en reactie) naar verwachting functioneren en genereert bewijs van hun volwassenheidsniveau. Dit ondersteunt direct de volwassenheidsbeoordeling van het BSI tijdens de nalevingsverificatie.
De cross-framework mapping van het platform verbindt BSIG-vereisten met overlappende DORA- en ISO 27001-controles. Bewijs dat is verzameld voor de tweejaarlijkse audit van de Wet op IT-beveiliging 2.0 voldoet tegelijkertijd aan de bewijsvereisten voor ICT-risicobeheer van DORA en de auditdocumentatie van ISO 27001. Alle gegevens blijven binnen Duitse datacenters, wat voldoet aan de eigen verwachtingen van het BSI voor gegevenssoevereiniteit in kritieke infrastructuuroperaties.
Implementatieroadmap
Fase 1 (Week 1-2): KRITIS-classificatie. Bepaal of uw instelling voldoet aan de KRITIS-drempelwaarden die zijn gedefinieerd in de BSI-KritisV voor de financiële sector. Als u als KRITIS wordt geclassificeerd, registreer u dan bij het BSI en stel het vereiste 24/7 contactpunt in. Als u nieuw binnen de reikwijdte valt vanwege NIS2UmsuCG, begrijp dan de aangepaste verplichtingen.
Fase 2 (Week 3-6): Beveiligingsbasisbeoordeling. Beoordeel uw huidige beveiligingshouding aan de hand van de vereisten van Sectie 8a BSIG, gebruikmakend van de B3S van de financiële sector of BSI IT-Grundschutz als uw referentiekader. Identificeer hiaten, met name in de aanvaldetectiesystemen die vereist zijn door Sectie 8a(1a).
Fase 3 (Week 7-12): Implementatie van aanvaldetectie. Als uw aanvaldetectiesystemen niet voldoen aan het minimale volwassenheidsniveau 3 van het BSI, geef dan prioriteit aan hun verbetering. Dit houdt meestal in dat SIEM-capaciteiten worden geïmplementeerd of geüpgraded, dreigingsinformatie-feeds worden geïntegreerd en formele procedures voor incidentrespons worden vastgesteld. Documenteer de implementatie voor de tweejaarlijkse audit.
Fase 4 (Week 13-16): Auditvoorbereiding. Organiseer bewijs van de afgelopen twee jaar in de structuur die door BSI-goedgekeurde auditors wordt verwacht. Voer een pre-audit review uit om eventuele documentatiehiaten te identificeren. Betrek het auditbedrijf vroegtijdig om af te stemmen op de reikwijdte en verwachtingen.
Doorlopend: Continue naleving. Handhaaf geautomatiseerde bewijsverzameling, voer regelmatig testen van aanvaldetectiesystemen uit en houd procedures voor incidentrespons actueel. Volg BSI-publicaties voor updates van technische richtlijnen en de implementatietijdlijn van NIS2UmsuCG.
FAQ
Hoe bepaal ik of mijn financiële instelling een KRITIS-exploitant is?
De KRITIS-classificatie is gebaseerd op drempelwaarden die zijn gedefinieerd in de BSI-Kritisverordnung (BSI-KritisV). Voor de banksector (Sektor Finanzwesen) hebben de drempelwaarden betrekking op transactievolumes, het aantal beheerde rekeningen of de waarde van beheerde activa. Voor verzekeringen heeft de drempel betrekking op het aantal verzekerde personen. Als uw instelling de toepasselijke drempel overschrijdt, bent u een KRITIS-exploitant en moet u voldoen aan Sectie 8a BSIG. Het BSI biedt richtlijnen voor het toepassen van de drempelwaarden, en BaFin kan classificatievragen verduidelijken voor gecontroleerde instellingen.
Wat gebeurt er als we een IT-beveiligingsincident niet aan het BSI melden?
Het niet melden van een significant IT-beveiligingsincident binnen de vereiste tijdlijnen is een administratieve overtreding onder Sectie 14 BSIG. Boetes kunnen oplopen tot EUR 500.000 per overtreding. Belangrijker nog, niet-gemelde incidenten kunnen escaleren als ze andere exploitanten van kritieke infrastructuur beïnvloeden, en het BSI kan een bijzonder kritische kijk hebben op de algehele nalevingshouding van een exploitant als meldingsverplichtingen niet worden nageleefd. Met NIS2UmsuCG zullen de straffen voor meldingsfouten aanzienlijk toenemen.
Voldoet ISO 27001-certificering aan de vereisten van de Wet op IT-beveiliging 2.0?
ISO 27001-certificering, vooral wanneer gebaseerd op BSI IT-Grundschutz, wordt erkend als een sterke basis voor het aantonen van naleving van Sectie 8a BSIG. Echter, ISO 27001 alleen dekt mogelijk niet alle BSIG-specifieke vereisten, met name de vereiste voor aanvaldetectiesystemen onder Sectie 8a(1a) en de meldingsverplichtingen onder Sectie 8b. KRITIS-exploitanten moeten ISO 27001 als basis gebruiken en aanvullen met BSIG-specifieke maatregelen.
Hoe interageren de Wet op IT-beveiliging 2.0 en DORA voor financiële instellingen?
Voor financiële instellingen die onder toezicht staan van BaFin, heeft DORA prioriteit voor ICT-risicobeheer, incidentrapportage en digitale veerkrachttesten. NIS2 Artikel 4 biedt een lex specialis-principe dat DORA voorrang geeft waar de vereisten ten minste zo strikt zijn als NIS2. Echter, bepaalde vereisten van de Wet op IT-beveiliging 2.0 -- zoals het regime voor kritieke componenten onder Sectie 9b BSIG en BSI-specifieke samenwerkingsverplichtingen -- worden niet gedekt door DORA en blijven onafhankelijk van toepassing. Financiële instellingen moeten voldoen aan zowel DORA als de resterende vereisten van de Wet op IT-beveiliging 2.0 / NIS2UmsuCG.