IT-SiG 2.0 - Preguntas y respuestas sobre la versión revisada

Contenido

• IT-SiG 2.0 - en vigor desde finales de mayo de 2021
• Cambios concretos de un vistazo
• Un nuevo sector KRITIS
• Operadores KRITIS: ¿Cómo se pueden aportar pruebas?
• Nuevas obligaciones en los sectores KRITIS
• Nueva categoría: "Empresas de especial interés público"
• Los valores umbral se mantienen sin cambios
• La BSI con nuevas competencias y poderes
• La etiqueta de seguridad informática
• Multas más estrictas
• Efectos sobre los operadores KRITIS
• IT-SIG 2.0 - nuestra conclusión

IT-SIG 2.0 - en vigor desde mayo de 2021

El riesgo de ciberataques a las estructuras públicas lleva años aumentando, y las consecuencias potenciales son preocupantes. El suministro eléctrico se interrumpe o el agua deja de fluir, lo que provoca un apagón que podría afectarnos a todos. Instalaciones y organizaciones como hospitales, proveedores de energía, empresas financieras o de transporte corren especial peligro. Se las denomina "infraestructuras críticas (operadores KRITIS)" y se considera que merecen protección a largo plazo.

La Ley de Seguridad Informática 1.0 se ha seguido desarrollando desde marzo de 2019 y se ha presentado como proyecto de ley. Los acontecimientos se precipitaron en diciembre de 2020, cuando se incorporaron nuevos cambios, a veces de gran alcance, en el proyecto de ley y fueron aprobados por el Gabinete Federal en pocos días. El Bundesrat dio su aprobación a principios de mayo de 2021. La Ley de Seguridad Informática 2.0 (IT-SiG 2.0) entró en vigor a finales de mayo de 2021 con su publicación en el Boletín Oficial Federal (BGBl) nº 25.

La versión mejorada 2.0 adopta un enfoque holístico. Contiene medidas para proteger a la sociedad, para fortalecer al Estado protegiendo la tecnología de la información pública y para una economía resistente.

IT-SIG 2.0 - cambios específicos de un vistazo

¿Cuáles son los cambios? Los siguientes componentes básicos de la Ley de Seguridad Informática 2.0 han sufrido ajustes relevantes:

1. Se ha añadido un nuevo sector KRITIS "eliminación de residuos" y nuevas obligaciones.
2. Se ha aclarado la categoría "infraestructuras de especial interés público".
3. Se han ampliado las competencias y poderes de la BSI (Oficina Federal de Seguridad de la Información).
4. Se ha introducido una nueva etiqueta voluntaria de seguridad informática.
5. Se han ajustado las multas por incumplimiento de la ley.
6. Se han introducido aclaraciones en el ámbito de los componentes críticos.

A continuación analizamos los aspectos del nuevo proyecto de ley, así como información complementaria sobre IT-SIG 2.0.

IT-SIG 2.0: un nuevo sector KRITIS

El sector de la eliminación de residuos urbanos es una novedad. Esto significa que la eliminación de residuos domésticos, así como de residuos comerciales similares a los domésticos, se considera ahora una infraestructura crítica (KRITIS). En consecuencia, se imponen a las empresas y compañías especializadas en la gestión de residuos los mismos requisitos que se aplican a los anteriores sectores KRITIS.

Los operadores de KRITIS están legalmente obligados a aplicar las precauciones adecuadas para evitar interrupciones en los sistemas, componentes y procesos de tecnología de la información de acuerdo con el "estado de la técnica" más reciente. Esto abarca desde medidas estándar del sector hasta la implantación sostenible de un sistema de gestión de la seguridad de la información, por ejemplo conforme a la norma internacional ISO 27001.

Esto debe garantizar que los sistemas y procesos de TI son impermeables a las interrupciones de la disponibilidad, confidencialidad, autenticidad e integridad. El statu quo debe demostrarse a la BSI de forma adecuada cada dos años. No es tarea fácil para muchas organizaciones.

El incumplimiento de las normas de seguridad informática legalmente exigidas puede acarrear sanciones en el peor de los casos. Además, existe la obligación de registrarse en la Oficina Federal de Seguridad de la Información (BSI) con la designación de un punto de contacto al que se puede acudir en cualquier momento. La BSI también puede llevar a cabo el registro por sí misma si la empresa KRITIS no cumple la obligación de registrarse.

Operadores KRITIS: ¿cómo se pueden presentar las pruebas?

En principio, son posibles diversas bases de prueba, siempre que sean adecuadas para demostrar el cumplimiento de la Sección 8a (1) de la Ley BSI (BSIG): Auditorías, inspecciones o certificaciones de seguridad. Las normas deseguridadespecíficas del sector(B3S) son una posible forma de verificación. Han sido desarrolladas por los operadores de KRITIS y sus asociaciones y ofrecen una orientación adecuada sobre el cumplimiento de las medidas de protección legalmente prescritas.

Certificación conforme a la norma reconocida internacionalmente para un sistema de gestión de la seguridad de la información ISO 27001 también es una opción. Para ello, el ámbito de aplicación de la norma ISO 27001 debe abarcar íntegramente la infraestructura crítica o el servicio crítico (kDL). El proceso de seguridad de la información relacionado con el servicio crítico también se contempla a través de la "lente KRITIS". Esto incluye requisitos especiales para evitar cuellos de botella en el suministro a la población.

Sin embargo, es importante que un "organismo auditor" como DQS tenga las competencias necesarias en los siguientes ámbitos

• competencia de procedimiento de inspección especial para §8a BSIG
• Competencia en auditoría
• Competencia en seguridad informática y seguridad de la información
• Experiencia en el sector

DQS es un organismo de ensayos reconocido por BSI con competencia en procedimientos de ensayo especiales y un organismo de certificación acreditado, incluso para ISO 27001.

IT-SIG 2.0 - nuevas obligaciones en los sectores KRITIS

Cabe destacar la nueva obligación de utilizar sistemas de detección de ataques . Además, en caso de interrupción significativa, el operador KRITIS está obligado a proporcionar toda la información necesaria para hacer frente a la interrupción. Esto también puede incluir datos personales sujetos a protección de datos.

La Ley de la Industria Energética (EnWG) también exige el uso de sistemas de detección de ataques en los apartados 1d a 1f §11 EnWG sobre la base de la nueva IT-SiG 2.0. No hay cambios en los catálogos de seguridad informática.

Aunque estas nuevas obligaciones son perfectamente comprensibles, siguen requiriendo una consideración crítica. Los sistemas de detección de ataques siguen generando muchas falsas alarmas. Para poder actuar en caso de alarma real, los mensajes del sistema deben analizarse e interpretarse rápidamente. Para ello, al igual que para el mantenimiento diario de estos sistemas, se necesitarán recursos considerables.

Si consideramos en este contexto los sistemas SCADA*, que se utilizan principalmente en las plantas de producción, a menudo se hace referencia a su inaplicabilidad técnica.

* SCADA: Supervisory Control and Data Acquisition, es decir, supervisión, control y adquisición de datos.

El riesgo de un "punto único de información" debe tenerse en cuenta cuando se requiere la información necesaria sobre fallos. Todos los fallos y, por tanto, también los puntos débiles explotados se recopilan en una ubicación central. Si tengo interés en dicha información, sólo tengo un objetivo. Se trata de un riesgo que no debe subestimarse.

Nueva categoría: "Empresas de interés público

Esta nueva categoría incluye ahora las siguientes empresas

• Sectores de la industria de defensa,
• con especial importancia económica y
• Empresas sujetas al Reglamento sobre Incidentes Peligrosos (StöV).

Debe hacerse hincapié en la obligación de presentar una autodeclaración sobre seguridad informática cada dos años para las empresas de la industria de defensa y las de especial importancia económica. La razón de la inclusión de la industria de defensa es, desde el punto de vista del legislador, que un fallo en las actividades de fabricación y desarrollo de estas empresas podría poner en peligro intereses esenciales de seguridad de la República Federal de Alemania. Las empresas también están obligadas a informar inmediatamente de los incidentes si se ha producido o puede producirse un fallo o un menoscabo significativo de la creación de valor.

El registro en la BSI, que antes era obligatorio para todos los sectores KRITIS, se ha convertido en un registro voluntario para las empresas sujetas al Reglamento de Accidentes Graves (StöV) con el fin de "beneficiarse también del intercambio de confianza". Las empresas sujetas al StöV están obligadas a notificar inmediatamente los incidentes que hayan provocado o puedan provocar un siniestro de acuerdo con el StöV.

Como siempre, algunos términos o formulaciones nuevos aún no se han concretado. Los expertos de KRITIS siguen debatiendo definiciones y significados, incluidos los jurídicos.

IT-SIG 2.0 - los valores umbral permanecen inalterados

Los ajustes o reducciones de los valores umbral existentes se han debatido durante mucho tiempo. También ha habido repetidas referencias a reducirlos en la normativa KRITIS.

Sin embargo, actualmente no hay indicios reconocibles de un ajuste. Por lo tanto, el tema sigue siendo apasionante. Sin embargo, una reducción sería al menos un paso comprensible para seguir reforzando la resistencia de las empresas alemanas en interés de la sociedad.

La BSI con nuevas competencias y poderes

La BSI (Oficina Federal de Seguridad de la Información) ha visto ampliadas significativamente sus competencias y poderes en el marco de la Ley de Seguridad Informática 2.0. Antes, la BSI informaba al público de los ataques a los sistemas informáticos (troyanos, virus, malware) y se defendía de ellos. Ahora el papel de la Oficina Federal será mucho más activo.

1. En el futuro, la BSI definirá el "estado del arte" de los requisitos de seguridad de los productos informáticos. Esto es sin duda de agradecer. En los últimos años, la cuestión del "estado de la técnica" se ha debatido de forma bastante controvertida, ya que la respuesta no siempre está clara. Por lo tanto, este paso puede conducir a una aclaración, lo cual es muy deseable.
   
2. En virtud de la Ley de Ciberseguridad de la UE, la BSI se convertirá en el organismo nacional para las certificaciones de ciberseguridad. Sus competencias se han vuelto a ampliar considerablemente. Entre ellas se incluye la capacidad de inspeccionar las instalaciones de los certificadores o de los organismos de evaluación de la conformidad.
   La BSI también puede solicitar la información y el apoyo necesarios a estos organismos y también a los titulares de una declaración de conformidad o de una certificación de ciberseguridad. Para cumplir este mecanismo de control, también se ha otorgado a la BSI el derecho a revocar los certificados europeos de ciberseguridad.
   
3. Además de la definición recién formulada de un centro general de información sobre seguridad informática a nivel nacional, la BSI también podrá detectar riesgos de seguridad. El apartado hacker, que se ha dado a conocer con el seudónimo, permite a la BSI "atacar" empresas e infraestructuras para emitir posteriormente requisitos de aplicación (por ejemplo, las medidas técnicas y organizativas necesarias).
   Los objetivos son comprensibles: el malware, las vulnerabilidades de seguridad o los riesgos potenciales para la seguridad deben detectarse y eliminarse de forma proactiva.
   
4. Debería ser de especial interés para los usuarios o clientes finales que la BSI esté autorizada a proporcionar información y advertencias sobre las propiedades informáticas de los productos informáticos relevantes para la seguridad. Para ello, está autorizada a realizar investigaciones sobre los productos y sistemas informáticos disponibles en el mercado. Con ello se fomentará sin duda la protección de los consumidores, ya que en los últimos años muchos productos informáticos (entre ellos diversos componentes del hogar inteligente) han demostrado ser útiles, pero también completamente inseguros y vulnerables.

IT-SIG 2.0: la etiqueta de seguridad informática

Con la etiqueta de seguridad informática, los fabricantes tienen ahora la oportunidad voluntaria de informar de las características de seguridad de su producto a la BSI en una declaración del fabricante. La idoneidad de las características de seguridad específicas del sector del producto la determina la propia BSI.

Otro requisito previo para la declaración del fabricante debe ser una directriz técnica de BSI. Tras una solicitud de autorización de uso, sólo la prueba negativa, que también pueden realizar terceros, puede impedir el uso de la etiqueta de seguridad informática. Por supuesto, la BSI comprueba periódicamente si se cumplen los requisitos de la etiqueta de seguridad informática y, si es necesario, toma las medidas oportunas en caso de incumplimiento.

La etiqueta de seguridad informática puede ayudar a los consumidores a la hora de elegir un sistema informático o un servicio en línea, ya que les permite reconocer de un vistazo qué sistema o servicio tiene un nivel de seguridad específico. De este modo aumenta la transparencia para el consumidor y se fomenta la seguridad informática en el ámbito de los productos y servicios de consumo.

IT-SIG 2.0: multas más estrictas

En cuanto a las multas (infracciones administrativas), la Ley de Seguridad Informática 2.0 ha fijado importes máximos en etapas definidas, por ejemplo de 100 mil a 2 millones de euros. En determinadas circunstancias, el importe máximo puede multiplicarse por diez hasta alcanzar los 20 millones de euros. La armonización con otros requisitos normativos a escala de la UE se cita como la razón de los ajustes, a veces elevados, de las multas.

IT-SIG 2.0 - Especificación de los componentes críticos

A efectos de la IT-SIG, los componentes críticos son productos informáticos que se utilizan en infraestructuras críticas y cuyo funcionamiento seguro es de gran importancia. La razón: el mal funcionamiento de estos componentes puede suponer una amenaza para la seguridad pública, por ejemplo.

En el sentido de la Ley de Seguridad Informática, estos productos informáticos son productos de hardware y software individuales o interconectados. También puede ser una sola función del producto informático la que se categorice como crítica. Además, esta categorización debe ser específica del sector. Para cumplir el requisito de una definición legal de los productos de TI, los componentes críticos se definen sobre una base sectorial.

En cuanto un producto informático ha sido categorizado como crítico en un sector, el operador KRITIS debe notificar su uso al Ministerio Federal del Interior (BMI) antes de su instalación o utilización. Aquí es donde entra en juego el BMI como muy tarde. A continuación, puede imponer requisitos al operador KRITIS en relación con el despliegue o no despliegue.

Las garantías o la fiabilidad del fabricante, que se examinan aquí, son especialmente importantes. Esto incluye, entre otras cosas, el análisis de toda la cadena de suministro de estos productos informáticos. A partir de ahora, las empresas, así como todos los fabricantes de productos informáticos, están sujetos a la obligación de notificar los incidentes de seguridad a la BSI.

Estos pasajes de la nueva Ley de Seguridad Informática 2.0 se han hecho especialmente conocidos debido al debate sobre la expansión de la red 5G y el uso asociado de Huawei como fabricante. Aquí se cuestionó fundamentalmente la fiabilidad, ya que los componentes utilizados podrían tener propiedades técnicas que podrían utilizarse indebidamente para el espionaje, por ejemplo.

IT-SIG 2.0: efectos sobre los operadores KRITIS

Si pertenece a la nueva categoría de empresas de especial interés público, se le aplicarán los plazos de la legislación a partir de la adopción definitiva de la IT-SiG 2.0. A partir de ese momento, deberá demostrar a la BSI la aplicación del estado de la técnica de forma adecuada cada dos años. Esto se hace, por ejemplo, aportando pruebas de una auditoría KRITIS que se haya llevado a cabo, también junto con la certificación de acuerdo con la norma ISO 27001.

Para los operadores KRITIS existentes, los plazos no cambiarán por el momento.

En el transcurso del último año, BSI ha empezado a informar a los operadores sobre los plazos para las próximas presentaciones y, por tanto, también sobre las auditorías KRITIS requeridas cuando se presenten los resultados de auditoría KRITIS requeridos. Éstos se aplican entonces individualmente a cada operador KRITIS.

La implantación de sistemas de detección de ataques debe ser realizada por las empresas afectadas en el plazo de un año a partir de la entrada en vigor de la nueva Ley de Seguridad Informática. Debido a la complejidad de tales sistemas, como ya se ha descrito, se trata sin duda de una empresa difícil.

IT-SIG 2.0 - nuestra conclusión

El enfoque precipitado en diciembre de 2020 para conseguir que la ley pase por el Gabinete Federal lo antes posible es sólo uno de los principales puntos de crítica de las diversas industrias y asociaciones en el entorno de la seguridad de TI. Muchos requisitos no se consideran viables en estos debates.

Especialmente cuando se trata de la provisión inasequible de recursos, como por ejemplo para la detección de ataques. Especialmente en relación con el aumento de las multas, es ciertamente lícito hacer un examen crítico de esta cuestión. Sobre todo en los sectores afectados por la pandemia de coronavirus, por ejemplo la dramática situación económica de gran parte del sector sanitario, la obligación de realizar más inversiones es motivo de preocupación.

Con una superautoridad que recopila y analiza toda la información, hay que tener en cuenta el riesgo de un posible uso indebido. El umbral para ello se ha rebajado con amplios poderes. Los aspectos que en última instancia dan lugar a un punto único de información también deben ser objeto de un escrutinio crítico, ya que él mismo puede convertirse en uno de los objetivos más expuestos.

Por otro lado, está la idea fundamental de recopilar información, lo que a su vez beneficia a todos los operadores de KRITIS y, por tanto, también tiene en cuenta el interés de la sociedad por la seguridad.

Cuanta más información pueda analizarse, mayor será el contenido informativo, que puede proporcionar la ventaja decisiva en la digitalización para la definición de medidas preventivas de protección. Es de esperar que la BSI pueda cumplir esta gran responsabilidad en el futuro. En cualquier caso, es de desear para Alemania como emplazamiento industrial y, por ende, para nuestra comunidad.

Sobre los autores

Andreas Altena

Director General de ^Sollence® GmbH, consultor, formador y auditor DQS. Competencias principales: desarrollo organizativo y sistemas integrados de gestión, calidad, seguridad de la información, riesgos y gestión de servicios (TI).

Dr. Holger Grieb

Dr. Holger Grieb - Consultor principal de gestión y TI en Ksi Consult Ltd & Co KG. Auditor DQS, consultor y formador en las áreas principales de sistemas integrados de gestión, calidad, seguridad de la información y gestión de servicios (TI).

En buenas manos con DQS

La Ley alemana para aumentar la seguridad en la tecnología de la información (IT-SIG) de 2015 exige a los operadores de infraestructuras críticas (KRITIS) que presenten pruebas a la BSI (Oficina Federal de Seguridad de la Información) cada dos años de las precauciones adecuadas para evitar interrupciones en los sistemas de TI, los componentes de TI y los procesos de TI.

Por "críticos" se entienden los sistemas, componentes o procesos informáticos que son necesarios para la funcionalidad de las infraestructuras críticas explotadas. Las medidas de protección que deben adoptar las empresas deben corresponder al "estado de la técnica".

La base de la prueba son normas reconocidas, por ejemplo ISO 27001o bien normas deseguridadespecíficas del sector(B3S) elaboradas por los operadores de KRITIS y sus asociaciones. DQS es un organismo de pruebas reconocido y un organismo de certificación acreditado para numerosas normas de seguridad informática, incluida la ISO 27001.

DQS GmbH se fundó en 1985 como la primera organización de certificación de Alemania. Ya en 1986, cuando el tema de la gestión de la calidad estaba todavía en pañales, DQS emitió el primer certificado a escala nacional conforme a la norma ISO 9001 (gestión de la calidad), en aquel momento todavía sobre la base de la versión preliminar.

Desde entonces, somos uno de los principales especialistas en auditorías y certificadores del mundo. Los socios fundadores DGQ (Deutsche Gesellschaft für Qualität e.V.) y DIN (Deutsches Institut für Normung e.V.) son socios importantes para la formación y el perfeccionamiento, así como para la labor de normalización. Participamos activamente en comités y organismos en nombre de nuestros clientes y aportamos nuestros conocimientos especializados a nuestras auditorías.