Im deutschen Bundestag liegt derzeitig ein Kabinettsentwurf zum IT-Sicherheitsgesetz 2.0 (IT-Sicherheitsgesetz 2.0 Gesetzestext) zur Diskussion vor. So fand am 01.03.2021 eine erste Anhörung im Ausschuss für Inneres und Heimat statt und mit einer Verabschiedung des Gesetzes ist noch innerhalb dieser Legislaturperiode zu rechnen: Ein guter Zeitpunkt, um den Gesetzesentwurf einmal genauer zu betrachten.
Die Zielsetzung
Das IT-SiG 2.0 schließt an das IT-Sicherheitsgesetz vom Juli 2015 an und soll die Informations- und Cybersicherheit Deutschlands zukünftig verbessern. Kernkomponenten sind vor allem die Stärkung des Bundesamtes für Sicherheit und Informationstechnik (BSI) und die Ausweitung der unternehmerischen Vorsorgepflichten.
Bin ich betroffen?
Unter den Geltungsbereich des Gesetzes fallen weiterhin Betreiber der kritischen Infrastruktur (KRITIS-Unternehmen, § 2 Absatz 13 IT-SiG). Hierunter erfasst sind beispielsweise Betreiber der Wasser, Energie und (neu!) der Siedlungsabfallentsorgung.
Neu ist auch, dass nun auch Unternehmen des besonderen öffentlichen Interesses unter dem Geltungsbereich des IT-SiG erfasst sind (§ 2 Absatz 14 IT-SiG). Unternehmen des besonderen öffentlichen Interesses sind Unternehmen, welche zwar nicht Betreiber der kritischen Infrastruktur sind, allerdings die Voraussetzungen des § 2 Absatz 14 IT-SiG erfüllen. Hiernach müssen sie entweder:
- Güter gemäß § 60 Absatz 1 Nr. 1-5 der Außenwirtschaftsordnung herstellen oder entwickeln
- nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und somit von erheblicher volkswirtschaftlicher Bedeutung sein
- Betreiber eines Betriebsbereiches der oberen Klasse im Sinne der Störfallverordnung oder gemäß § 1 Absatz 2 der Störfallverordnung diesen gleichgestellt sein.
Außerdem werden sich auch Hersteller von IT-Produkten für KRITIS-Unternehmen, sollte der Gesetzesentwurf in dieser Form bestehen bleiben, zukünftig mit dem IT-SiG 2.0 auseinandersetzen müssen.
(Ver)Änderungen mit dem IT-Sicherheitsgesetz 2.0
-
Stärkung des BSI (Bundesamt für Sicherheit und Informationstechnik)
Das BSI erhält mit dem IT-SiG 2.0 neue Aufgaben und Befugnisse.
Ein neuer Aufgabenbereich ist der Verbraucherschutz. So soll das BSI freiwillige IT-Sicherheitskennzeichen (§ 9c) für IT-Produkte bewilligen können. Das freiwillige IT-Sicherheitskennzeichen soll aus einer Herstellererklärung und aus Sicherheitsinformationen des BSI, bezüglich des jeweiligen IT-Produkts, bestehen.
Weiterhin soll das BSI eine anonyme Meldestelle für die Sicherheit der Informationstechnik (§ 4b IT-SiG) werden, mit dem Ziel Informationen zu Angriffen auf die IT-Sicherheit auszuwerten, um so IT-Sicherheitslücken zu erkennen.
-
Pflichten für Unternehmen des öffentlichen Interesses § 8f IT-SiG
Die bereits erwähnten Unternehmen des öffentlichen Interesses sollen zukünftig verpflichtet sein gemäß § 8f BSIG sich beim BSI zu registrieren und mindestens alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit gegenüber des BSI vorzulegen. Diese muss beinhalten:
- welche Zertifizierungen im Bereich der IT-Sicherheit in den letzten zwei Jahren durchgeführt wurden
- welche Sicherheitsaudits oder Prüfungen zur IT-Sicherheit vorgenommen wurden
- Informationen darüber, wie sichergestellt werden kann, dass besonders schutzwürdige IT-Systeme, Komponenten oder Prozesse angemessen geschützt werden.
-
Untersagung des Einsatzes kritischer Komponenten gemäß § 9b IT-SiG
Für Betreiber der kritischen Infrastruktur soll zukünftig eine Pflicht bestehen den Einsatz kritischer Komponenten, für die eine Zertifizierungspflicht besteht, beim Bundesministerium für Inneres und Heimat anzuzeigen.
Kritische Komponenten sind gemäß des neu beigefügten § 2 Absatz 13 IT-SiG IT-Produkte, welche in der kritischen Infrastruktur eingesetzt werden und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Das Bundesministerium für Inneres und Heimat soll den Einsatz solcher kritischen Komponenten untersagen können, insbesondere dann, wenn sich die Hersteller des jeweiligen IT-Produkts als nicht vertrauenswürdig erwiesen haben.
Künftig müssten dann Hersteller von IT-Produkten (z.B. Softwareprodukten) für Unternehmen der kritischen Infrastruktur eine Garantieerklärung abgeben, in der sie darlegen sollen, ob und wie sie versuchen das jeweilige IT-Produkt vor Terrorismus, Spionage oder Sabotage zu bewahren.
-
Einführung von Angriffserkennungssystemen und Änderung des EnWG
Zukünftig müssen Betreiber der kritischen Infrastruktur in ihren IT-Systemen gemäß § 8a IT-SiG Systeme zur Angriffserkennung einsetzen. Hierfür sieht das IT-Sicherheitsgesetz 2.0 auch eine Änderung des Gesetzes über die Elektrizität- und Gasversorgung (EnWG) vor. In Artikel 3 EnWG soll der Absatz 1d hinzugefügt werden.
-
Überarbeitung der Bußgeldvorschriften
Die Bußgeldvorschriften sollen an die europäische NIS-Richtlinie (RL (EU) 2016/1148) angepasst werden, weswegen nun grundsätzlich ein Bußgeldrahmen von bis zu 2.000.000 Euro und unter bestimmten Voraussetzungen sogar bis zu 20.000.000 Euro eröffnet sein würde. Für Verstöße von KRITIS-Unternehmen des bereits erwähnten § 8a IT-SiG könnten beispielsweise bis zu 1.000.000 Euro Bußgeld verhängt werden.
Was wird kritisiert?
Der Versuch der Stärkung der Cyber- und Informationssicherheit wurde von der Opposition im Bundestag und der Zivilgesellschaft im Innenausschuss zunächst begrüßt. Inhaltlich wurde das Gesetz allerdings von allen Sachverständigen in der Anhörung und in Stellungnahmen von den jeweiligen Verbänden kritisiert.
So bemängelte Prof. Dr. Klaus F. Gärditz die derzeitige Fassung des § 9b IT-SiG als nicht verfassungskonform. Die Norm sei insgesamt zu unbestimmt und auch nicht praktikabel.
Manuel Atug, Gründer und Sprecher der unabhängigen AG KRITIS, kritisiert, dass das BSI gemeldete IT-Sicherheitslücken zurückbehalten kann und nicht zur Veröffentlichung der Erkenntnisse verpflichtet ist.
Interessierte können hierunter eine Vielzahl von kritischen Stellungnahmen verschiedenster Verbände zum IT-Sicherheitsgesetz 2.0 abrufen.
Fazit
Es ist davon auszugehen, dass der Gesetzesentwurf noch verändert werden wird. In der jetzigen Form würden KRITIS-Unternehmen, Unternehmen von besonderem öffentlichen Interesse und Hersteller von IT-Produkten für KRITIS-Unternehmen Anpassungen an das IT-Sicherheitsgesetz 2.0 vornehmen müssen. Ob das Gesetz zukünftig einen guten Schutz der Cyber- und Informationssicherheit gewähren kann, ist sehr umstritten.