IT-Sicherheitsgesetz 2.0

Nationale Regelung

Adressat: KRITIS-Betreiber, Unternehmen im besonderen öffentlichen Interesse

Relevante Normen: u.a. Art. 1 Nr. 1 lit. f), Art. 1 Nr. 12 lit. b), Art. 1 Nr. 17, Art. 1 Nr. 19

Regelungsgehalt:

Allgemeines

Das IT-SiG 2.0 ist als Artikelgesetz die geplante Weiterentwicklung und Anpassung des existierenden BSIG. Zielsetzung des Gesetzgebers ist die Gewährleistung der Cyber- und Informationssicherheit. Als Reaktion auf das anhaltend hohe Gefahrenpotential der qualitativ immer ausgefeilteren und für alle Betroffenen gefährlichen Cyber-Angriffe und der zunehmenden Verbreitung von IoT-Geräten soll die IT-Sicherheit für die Gesellschaft, die Wirtschaft und den Staat ausgeweitet werden. Zum Schutz der Bürger sieht das IT-SiG 2.0 die Einführung eines einheitlichen IT-Sicherheitskennzeichens vor, welches IT-Sicherheit für Bürger bereits beim Kauf sichtbar macht und wodurch der Verbraucherschutz in den Blickwinkel des BSI gerät. Internetdiensteanbietern wiederum wird die Pflicht auferlegt, im Falle von Cybercrimevorfällen Inhalte zu löschen, zu melden und Bestandsauskünfte zu erteilen. Die bisher für Betreiber Kritischer Infrastrukturen bestehenden Meldepflichten und die Verpflichtung zur Einhaltung von Mindeststandards werden auf weite Teile der Wirtschaft ausgedehnt.

Art. 1 Nr. 1 lit. f):

§ 2 BSIG wird dahingehend geändert, dass explizit Kernkomponenten für Kritische Infrastrukturen definiert werden. In § 2 Abs. 13 BSIG werden „kritische Komponenten“ als „IT-Produkte, die in Kritischen Infrastrukturen eingesetzt werden, die von hoher Bedeutung für das Funktionieren das Gemeinwesens sind, weil Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser IT-Produkte zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit Kritischer Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können […]“ beschrieben. Hiervon sind auch IT-Systeme in den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation, Ernährung, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr sowie Entsorgung erfasst. Der Anwendungsbereich der KRITIS-spezifischen Regelungen wurde insgesamt u.a. durch eine Anpassung der Schwellenwerte erweitert. Sofern für einen der in Abs. 10 Nr. 1 genannten Sektoren keine kritischen Komponenten bestimmt, so gibt es in diesem Sektor keine kritischen Komponenten im Sinne des BSIG.

Absatz 14 definiert Unternehmen im besonderen öffentlichen Interesse (UNBÖFI), die zwar keine Kritischen Infrastrukturen darstellen, aber als eine Art „KRITIS light“ dennoch von erhöhter Bedeutung sind. Damit wird der Kreis der von den Regelungen des BSIG betroffenen Unternehmen deutlich erweitert.

Art. 1 Nr. 12 lit. b):

§ 8a Abs. 1a BSIG-E erweitert die Pflichten für Betreiber Kritischer Infrastrukturen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Systeme dahingehend, dass ab dem 01.05.2023 explizit auch Systeme zur Angriffserkennung eingesetzt werden müssen, die u.a. anhand von Unregelmäßigkeiten im Netzwerk mögliche Angriffe ermitteln können.

Art. 1 Nr. 17:

§ 8f BSIG-E konkretisiert die Anforderungen an Unternehmen im besonderen öffentlichen Interesse (UNBÖFI). Für solche Unternehmen gibt es – in abgeschwächter Form – vergleichbare Anforderungen wie für Kritische Infrastrukturen, etwa eine Meldepflicht für IT-Sicherheitsvorfälle (Abs. 7) oder die Pflicht, dem BSI eine umfangreiche Selbsterklärung vorzulegen (Abs. 1).

Art. 1 Nr. 19:

§ 9a BSIG-E regelt die neuen Aufgaben des BSI als Nationale Behörde für Cybersicherheitszertifizierung.

In § 9b BSIG-E werden unter anderem die Anforderungen hinsichtlich der Vertrauenswürdigkeit von Herstellern kritischer Komponenten konkretisiert. Zum einen müssen KRITIS-Betreiber den Einsatz kritischer Komponenten dem Bundesinnenministerium anzeigen (Abs. 1). Weiterhin dürfen Kernkomponenten nur dann eingesetzt werden, wenn der Hersteller gegenüber dem Betreiber der Kritischen Infrastruktur eine Garantieerklärung abgegeben hat, die dessen gesamte Lieferkette umfasst (Abs. 2). Dabei muss aus der Erklärung hervorgehen, dass und wie der Hersteller sicherstellen kann, dass die Komponente nicht für missbräuchliche Zwecke, insbesondere für Sabotage, Spionage oder Terrorismus eingesetzt werden kann. Zudem wird festgelegt, dass das Bundesinnenministerium den Einsatz kritischer Komponenten untersagen kann, wenn ein Hersteller sich als nicht vertrauenswürdig erwiesen hat (Abs. 3 sowie Abs. 6 und 7). Unter welchen Umständen ein Hersteller als nicht vertrauenswürdig anzusehen ist, konkretisiert § 9b Abs. 5 BSIG-E näher.

Eine auch für Verbraucher bedeutsame Änderung stellt die Einführung eines freiwilligen IT-Sicherheitskennzeichens, geregelt in §9c BSIG-E, dar. Dieses besteht gem. § 9c Abs. 2 BSIG aus zwei Kernkomponenten:

  • eine Erklärung des Herstellers der jeweiligen Produkte, in welcher dieser das Vorliegen bestimmter IT-Sicherheitseigenschaften des Produkts für zutreffend erklärt (Herstellererklärung)
  • eine Information des BSI über sicherheitsrelevante IT-Eigenschaften (Sicherheitsinformation)

Das IT-Sicherheitskennzeichen trifft explizit keine Aussage über Datenschutzeigenschaften eines Produkts (Abs. 1).

Ähnliche Einträge