Ley de Seguridad Informática 2.0
In eigener Sache IT-Security, KRITIS, Sicherheitsgesetz
La Ley de Seguridad Informática en Alemania obliga a los operadores de infraestructuras críticas a cumplir con la Ordenanza KRITIS para garantizar la ciberseguridad dentro de los sistemas KRITIS. Esta medida tiene como objetivo garantizar la prestación de servicios a la economía y la sociedad dentro de los sectores KRITIS a través de protocolos de ciberseguridad mejorados.
En 2021, la Ley de Seguridad Informática 2.0 y el Reglamento KRITIS 1.5 supusieron una importante ampliación de la normativa. El NIS2 y el RCE de la UE desarrollarán aún más la regulación en Europa, mientras que la ley paraguas alemana KRITIS y la Ley de Seguridad TI 3.0, así como nuevas ordenanzas legales, proporcionarán nuevas actualizaciones a partir de 2023.
A partir de 2023 y 2024, el ámbito de aplicación del Reglamento KRITIS se ampliará significativamente. Esta ampliación será doble; La amplitud de su cobertura aumentará ya que muchas más empresas entran en su ámbito de aplicación (NIS2). Además, la profundidad aumentará con la introducción de medidas específicas (NIS2), así como más resiliencia (RCE, ley paraguas), además del enfoque existente en la seguridad cibernética.
Quién está afectado por el Reglamento KRITIS?
¿A quién afecta?
El Reglamento KRITIS define ocho sectores KRITIS de la economía alemana en los que los operadores KRITIS prestan servicios esenciales de utilidad pública:
Categoría |
Sectores |
Atención primaria |
Energía, agua, nutrición, salud |
Abastecimiento |
Transporte y tráfico, eliminación (2.0) |
Servicios |
IT y TC |
Expansión 2023-2024
El reglamento NIS 2 de la UE amplía sectores clave en la UE y será relevante para el reglamento nacional alemán KRITIS en octubre de 2024:
Categoría |
Sectores |
Anexo 1 |
Energía, transporte, banca, mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública, espacio |
Anexo 2 |
Correos y mensajería, gestión de residuos, productos químicos, alimentación, industria, servicios digitales, investigación |
Una posible ley de protección de KRITIS en 2023 incluirá a más empresas más allá de los operadores de KRITIS basados en RCEs (CERs) de la UE:
Categoría |
Sectores |
KRITIS-Dach |
Energía, transporte, banca, mercados financieros, salud, agua potable, saneamiento, alimentación, infraestructura digital, administración pública, espacio |
Nuevas obligaciones para los operadores de CRITIS
Detección de ataques
Los operadores CRITIS están ahora obligados a integrar sistemas de detección de ataques en sus medidas de seguridad técnicas y organizativas. §El artículo 8 bis (1 bis) estipula que estos sistemas deben ser capaces de detectar y prevenir amenazas mediante el reconocimiento de patrones cuando estén en funcionamiento. A partir del 1 de mayo de 2023, este requisito será obligatorio y deberá aportarse prueba de su cumplimiento durante las auditorías CRITIS.
Según la definición del §2 (9b), se mencionan las herramientas técnicas y los procesos de apoyo. La Directriz OH SZA, publicada en 2022, describe los requisitos para los operadores desde la perspectiva de la BSI a partir de 2023.
Obligaciones de notificación
Interferencias
Los operadores de KRITIS y UBI están obligados por primera vez, en virtud del artículo 8b (4a), a facilitar a la BSI la información esencial, incluidos los datos personales, necesaria para subsanar incidentes significativos.
Además, ahora existe la obligación de revelar el uso de componentes esenciales en virtud del §9b.
Registro indirecto.
Con arreglo al apartado 3 del artículo 8 ter modificado, los operadores deberán registrarse sin demora como operadores KRITIS en la BSI tras su identificación y facilitar un punto de contacto. La IT-SiG 2.0 recientemente introducida también faculta a las BSI para registrar de forma independiente a los operadores como Infraestructuras Críticas. Con la adición de §8b (3a), el BSI puede exigir el acceso a los documentos del operador en determinadas circunstancias si no se cumplen las obligaciones de registro.
Componentes críticos
Según el nuevo §9b, los operadores KRITIS deben notificar al Ministerio del Interior el uso de los denominados componentes críticos, determinados productos informáticos §2(13). Los componentes y funciones críticos deben regularse en la ley, que actualmente solo se aplica en el sector de las telecomunicaciones hasta TKG 2021.
Declaración de garantía
Los componentes críticos solo pueden utilizarse en sistemas KRITIS con una (nueva) garantía del fabricante. La declaración debe cumplir los requisitos mínimos establecidos por el Ministerio del Interior y debe ser presentada por el operador KRITIS al Ministerio del Interior cuando informe de su uso en el sistema KRITIS. El uso puede estar prohibido
El uso puede estar prohibido
El Ministerio del Interior podrá prohibir el uso de ingredientes críticos en los siguientes casos:
- Violación del orden público y la seguridad: si a) el fabricante está bajo el control de un gobierno, autoridad o fuerzas armadas de un tercer país, b) el fabricante ha llevado a cabo actividades que afectan al orden público y la seguridad en Alemania, la UE, la AELC o la OTAN, o c) el uso no cumple los objetivos de la política de seguridad de Alemania, la UE o la OTAN.
- Falta de confianza por reclamaciones de garantía del fabricante, pruebas de seguridad y vulnerabilidad y falsificación de productos relacionados. Lista
Inventario
Para poder notificar a la BSI el uso de componentes críticos en los sistemas KRITIS de acuerdo con el artículo 9b, los operadores de estos sectores deben realizar un inventario de los productos informáticos en los sistemas KRITIS -con información actualizada sobre tipos, etc. Hasta ahora, esto sólo se aplica al sector de las telecomunicaciones KRITIS.
Más cambios para las infracciones
Sanciones más duras
Las infracciones ordinarias y las multas aumentan notablemente en la Ley de Seguridad de la Información 2.0.
Infracciones ordinarias
- El artículo 14 (1-4) identifica más infracciones intencionadas o por negligencia de las especificaciones CRITIS que infracciones administrativas, entre ellas:
- Las infracciones más graves son las siguientes
Infracciones |
BSIG-E |
Pruebas que faltan |
§8a(3) |
Falta de informes de incidentes, falta de cooperación |
§5b(6) §7c(1) §8a(3) §8b(6) §8b(4) §8c(3) §8f(7) |
Medidas que faltan |
§8a(1) §8c(1) §8f(1) |
Falta de registro y punto de contacto |
§8b(3) §8f(5) |
Información que falta |
§7a(2) §8c(4) §8a(4) §8b(3a) |
Errores en las certificaciones |
§9a(2) §9c(4) Art. 55 y 56 (UE) 2019/881 |
Multas
- El §14 (5) define multas significativamente más altas para estas infracciones administrativas. Ahora hay multas de hasta 2 millones de euros, con referencia al §30 (2) OWiG de hasta 20 millones de euros como entidad legal (órgano).
Puede encontrar más información detallada en las siguientes fuentes:
- Segunda Ley para aumentar la seguridad de los sistemas de tecnología de la información, Ley de seguridad informática 2.0, Gaceta de leyes federales, 2021 n.º 25, 27 de mayo de 2021
- Decisión del Bundesrat - Segunda Ley para aumentar la seguridad de los sistemas de tecnología de la información, Bundesrat, Drucksache 324/21 (Beschluss), 07.05.21
- Ordenanza sobre la criticidad de los BSI, de 22 de abril de 2016 (Boletín Oficial Federal I p. 958), modificada en último lugar por el artículo 1 de la Ordenanza de 6 de septiembre de 2021 (Boletín Oficial Federal I p. 4163)
- Anexo 1: Proyecto de una segunda ordenanza por la que se modifica la ordenanza sobre la criticidad de las ICS con hoja preliminar y exposición de motivos, Intrapol.org, 26.4.2021
- Apéndice 2: Versión de lectura no oficial de la ordenanza de modificación, Intrapol.org, 26.4.2021
- Ley para aumentar la seguridad informática aprobada con mayoría de la coalición, Bundestag 23.04.2021
- Recomendación de decisión e informe sobre el proyecto de ley del Gobierno Federal Proyecto de segunda ley para aumentar la seguridad de los sistemas de tecnología de la información, Bundestag alemán, impreso 19/28844, 21.4.2021
- La comisión da luz verde a la Ley de seguridad informática 2.0, Bundestag Interior y Asuntos de Interior/Comisión - 21.04.2021 (hib 527/2021)
- Proyecto de una segunda Ley para aumentar la seguridad de los sistemas de tecnología de la información de 25.01.2021 (Ley de seguridad informática 2.0), Proyecto de Ley del Gobierno Federal, Documento impreso 19/26106
- Borrador de una segunda ley para aumentar la seguridad de los sistemas de tecnología de la información (Ley de seguridad informática 2.0), comunicado de prensa Ministerio del Interior 16.12.2020
- El Consejo de Ministros aprueba el proyecto de Ley de Seguridad Informática 2.0, nota de prensa Ministerio del Interior 16.12.2020
- Ley de seguridad informática 2.0 - todas las versiones disponibles, AG KRITIS, 21 de abril de 2021