IT-Sicherheitsgesetz 2.0 ist in Kraft: Inhalte

09.06.2021 | Online-Redaktion, FORUM VERLAG HERKERT GMBH

articleimage
© VideoFlow – stock.adobe.com
Das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) ist am 28.05.2021 in Kraft getreten. Es enthält neue Anforderungen an Unternehmen (Kritis) und räumt dem Bundesamt für Sicherheit in der Informationstechnik (BSI) deutlich mehr Befugnisse ein, mit dem Ziel, die IT-Sicherheit in Deutschland zu stärken. Die Mehrzahl der Anforderungen des IT-Sicherheitsgesetzes 2.0 basiert dabei auf dem geänderten BSI-Gesetz (BSIG).

IT-Sicherheitsgesetz 2.0 gibt BSI mehr Befugnisse und stärkt Verbraucherschutz

Das Zweite IT-Sicherheitsgesetz („Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“) ist nach zahlreichen Referentenentwürfen und teils erheblichen Anpassungen am 28.05.2021 in Kraft getreten. Es geht im Wesentlichen darum, die Sicherheitsvorkehrungen die IT-Sicherheit betreffend weiterzuentwickeln. Dabei räumt das IT-SiG 2.0 vor allem dem BSI deutlich mehr Befugnisse ein und nimmt Kritis-Betreiber mehr in die Pflicht.

Die wichtigsten Neuerungen des IT-Sicherheitsgesetzes 2.0 für Unternehmen, BSI und Verbraucher sind u. a. Folgende:

Mit Anpassung des BSI-Gesetzes bekommt BSI mehr Befugnisse

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird mit 799 neuen Stellen verstärkt und bekommt mit dem IT-Sicherheitsgesetz 2.0 neue Befugnisse:

  • Das BSI ist künftig befugt, die Bundesverwaltung zu prüfen und zu kontrollieren.
  • Bei Digitalisierungsvorhaben des Bundes wird das BSI frühzeitig beteiligt.
  • Protokollierungsdaten zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes werden in das BSI-Gesetz (BSIG) aufgenommen. Das BSI darf diese Daten verarbeiten und nun 12 Monate speichern.
  • Das BSI kann Portscans einsetzen, um Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikations-Netzen zu detektieren.
  • Das BSI kann Honeypots einsetzen, um Schadprogramme und Angriffsmethoden zu analysieren.
  • Der Verbraucherschutz wird mit dem IT-Sicherheitsgesetz 2.0 Aufgabe des BSI.
  • Es wird ein IT-Sicherheitskennzeichen eingeführt. Bürgerinnen und Bürger können anhand dieses Sicherheitskennzeichens die IT-Sicherheitsfunktionen von Produkten nachvollziehen.
  • Um Betroffene zu schützen, wird das BSI befugt, bei Anbietern von Telekommunikationsdiensten Bestandsdatenauskünfte zu verlangen.
  • Hersteller von IT-Produkten werden mit dem neuen Sicherheitsgesetz zur IT-Sicherheit verpflichtet, Auskunft an das BSI zu geben.

Unternehmen müssen mehr Vorsorgepflichten erfüllen

  • Betreiber kritischer Infrastrukturen verpflichtet das IT-Sicherheitsgesetz 2.0, Systeme zur Angriffserkennung einzusetzen. Außerdem wird mit der Anpassung der BSI-Kritisverordnung die Definition „Kritis-Betreiber“ erweitert, sodass künftig u. a. auch weitere Energieversorger Kritis-Betreiber sind.
  • Die für Kritis-Betreiber bereits geltenden Meldepflichten gelten nach neuem IT-Sicherheitsgesetz auch für Unternehmen, die von besonderem öffentlichen Interesse sind. Dazu zählen u. a.
    • Unternehmen der Rüstungsindustrie
    • Unternehmen mit besonderer volkswirtschaftlicher Bedeutung
    • Unternehmen, die der Störfallverordnung unterfallen

Stärkere staatliche Schutzfunktionen

  • Das IT-Sicherheitsgesetz 2.0 regelt die Untersagung des Einsatzes kritischer Komponenten, für die eine Zertifizierungspflicht besteht. Das Telekommunikationsgesetz wurde hierfür parallel reformiert.
  • Die Bußgeldvorschriften wurden neu gefasst. Nach IT-Sicherheitsgesetz 2.0 sind nun Strafen bis 2 Mio. Euro möglich.
  • Die Außenwirtschaftsverordnung wird geändert, um der Einführung der kritischen Komponenten im BSI-Gesetz Rechnung zu tragen.

Kritis 2.0: Definition „Kritis-Betreiber“ wird angepasst

Mit der Anpassung der BSI-Kritisverordnung wird die Definition der Betreiber kritischer Infrastrukturen angepasst. Das führt dazu, dass künftig mehr Unternehmen unter diese Definition fallen und somit gemäß BSIG verstärkte Anforderungen an die IT-Sicherheit erfüllen müssen.

Fallen aktuell 1.600 Unternehmen unter die Definition „Kritis-Betreiber“ werden es künftig 270 mehr. Diese kommen v. a. aus folgenden Bereichen:

  • Energie
  • Transport und Verkehr
  • Finanz- und Versicherungswesen
  • Informationstechnik und Telekommunikation

Unternehmen, die nach dem neuen IT-Sicherheitsgesetz als Kritis-Betreiber definiert werden, müssen sich mit dem Gesetz genau vertraut machen, um ihre Pflichten zu kennen und Bußgeld zu vermeiden, etwa mithilfe von Fortbildungen.

Kritik an Verabschiedung des IT-Sicherheitsgesetzes 2.0

Bevor das IT-Sicherheitsgesetz vom Bundesrat am 07.05.2021 verabschiedet wurde, gab es zahlreiche Referentenentwürfe, die immer wieder angepasst werden mussten. Alleine im Zeitraum 19.11.2020 bis 16.12.2020 waren es fünf Entwürfe, die immer wieder geändert werden mussten.

Fachkreise und Verbände kritisieren, dass ihre Beteiligung an der Ausarbeitung der Referentenentwürfe stark beeinträchtigt war. So waren z. B. die Änderungen in den jeweils neuen Fassungen nicht kenntlich gemacht worden, während gleichzeitig die Fristen für die Stellungnahmen mit teils nur einem Tag Zeit viel zu kurz waren.

Daneben gibt es Kritik an inhaltlichen Punkten, wie z. B.:

  • Das IT-Sicherheitsgesetz 2.0 wurde erarbeitet und verabschiedet, ohne dass die Wirksamkeit der Maßnahmen aus dem IT-Sicherheitsgesetz 1.0 evaluiert worden sei.
  • Die Stellungnahmen der Fachkreise, Verbände und Experten seien unzureichend gehört bzw. in das neue IT-Sicherheitsgesetz eingearbeitet worden. Gerade für die Sicherheit der Kritis könne das gravierende Folgen haben.
  • Die Länder vermissen im IT-Sicherheitsgesetz 2.0 eine Verpflichtung des BSI zur Unterrichtung über schwere Cybersicherheitsvorfälle.
  • Das Gesetzgebungsverfahren zum IT-SiG 2.0 verlief parallel zur Erarbeitung einer neuen Cybersicherheitsstrategie für die EU. Da das nationale Gesetz ohne entsprechende Abstimmungen in Kraft getreten ist, könnte schon bald eine Überarbeitung notwendig werden.