Am 23.04.2021 wurde das IT-SiG 2.0 (IT-Sicherheitsgesetz 2.0) vom Bundestag mit der Koalitionsmehrheit verabschiedet. Der bereits thematisierte Kabinettsentwurf wurde mit einigen Änderungen beschlossen. Die beiden wesentlichen werden im Folgenden dargestellt.

  1. Veränderungen im Geltungsbereich des IT-SiG 2.0

Unter den Geltungsbereich fallen weiterhin KRITIS-Unternehmen und Unternehmen des besonderen öffentlichen Interesses. Allerdings wurde die Legaldefinition der Unternehmen des besonderen öffentlichen Interesses erweitert. Hierunter erfasst sind nun gemäß § 2 Absatz 14 IT-SiG Unternehmen welche:

  1. Güter gemäß § 60 Absatz 1 Nr. 1-5 der Außenwirtschaftsordnung herstellen oder entwickeln
  2. nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören, somit von erheblicher volkswirtschaftlicher Bedeutung sind und (neu!) Zulieferer für solche Unternehmen sind und zudem ein Alleinstellungsmerkmal aufweisen. Erfasst ist somit nicht jeder Zulieferer der größten Unternehmen, sondern z.B. Unternehmen von dessen Lieferung die Produktion abhängt und im Falle einer Nichtlieferung entfallen würde.
  3. Betreiber eines Betriebsbereiches der oberen Klasse im Sinne der Störfallverordnung oder gemäß § 1 Absatz 2 der Störfallverordnung diesen gleichgestellt sind.

 

  1. Überarbeitung des § 9b IT-SiG 2.0 (Untersagung des Einsatzes kritischer Komponenten)

Mit einer Neufassung des verfassungsrechtlich umstrittenen und außenpolitisch problematischen § 9b IT-SiG (Untersagung des Einsatzes kritischer Komponenten) soll dem Bestimmtheitsgebot genüge getan werden. Inhaltlich legitimiert § 9b IT-SiG weiterhin die Untersagung des Einsatzes von kritischen Komponenten durch das Bundesinnenministerium.

Kritische Komponenten sind gemäß § 2 Absatz 13 IT-SiG IT-Produkte (Hardware + Software), welche in der kritischen Infrastruktur eingesetzt werden, von hoher Bedeutung für das Funktionieren des Gemeinwesens sind und aufgrund eines Gesetzes als kritische Komponenten bestimmt werden oder eine aufgrund eines Gesetzes als kritische bestimmte Funktion realisieren.

Diese IT-Produkte dürfen von KRITIS-Unternehmen zukünftig lediglich verwendet werden, sollte der Hersteller eine Garantieerklärung gegenüber dem KRITIS-Unternehmens abgegeben haben. In dieser muss der Hersteller darlegen, wie die IT-Produkte vor Sabotage und Spionage geschützt sind und insbesondere die Vertraulichkeit, Integrität und Funktionsfähigkeit gewahrt ist.

Das Bundesinnenministerium kann den Einsatz von kritischen Komponenten in Absprache u.a. mit dem Auswärtigen Amt untersagen, wenn:

  1. Der Hersteller ein Unternehmen ist, welches von einem Drittstaat kontrolliert wird und mithin eine Beeinträchtigung für die Sicherheit und der öffentlichen Ordnung Deutschlands oder eines anderen Staates der Europäischen Union oder der Nato bestehen könnte. So könnte insbesondere die Beteiligung des chinesischen Unternehmens Huawei als Zulieferer für die deutschen Netzbetreiber beim 5G-Ausbau verhindert werden.
  2. Der Hersteller aus anderen Gründen als vertrauensunwürdig zu betrachten ist. Anhaltspunkte für eine fehlende Vertrauenswürdigkeit sind zum Beispiel falsche Tatsachenbehauptungen oder Verstöße gegen die abgegebene Garantieerklärung. Auch können Hersteller als vertrauensunwürdig ausgewiesen werden, sollten diese nicht sofort erkannte Sicherheitslücken oder Manipulationen der kritischen Komponenten dem KRITIS-Unternehmen melden und beheben.