IT-Sicherheitsgesetz 2.0

Verkehrsampel zeigt rotes Licht.

Nationale Regelung

Adressat: Das IT-SiG 2.0 ist als Artikelgesetz die geplante Weiterentwicklung und Anpassung des existierenden BSIG. Zielsetzung des Gesetzgebers ist die Gewährleistung der Cyber- und Informationssicherheit. Als Reaktion auf das anhaltend hohe Gefahrenpotential der qualitativ immer ausgefeilteren und für alle Betroffenen gefährlichen Cyber-Angriffe und der zunehmenden Verbreitung von IoT-Geräten soll die IT-Sicherheit für die Gesellschaft, die Wirtschaft und den Staat ausgeweitet werden. Zum Schutz der Bürger sieht das IT-SiG 2.0 die Einführung eines einheitlichen IT-Sicherheitskennzeichens vor, welches IT-Sicherheit für Bürger bereits beim Kauf sichtbar macht und wodurch der Verbraucherschutz in den Blickwinkel des BSI gerät. Internetdiensteanbietern wiederum wird die Pflicht auferlegt, im Falle von Cybercrimevorfällen Inhalte zu löschen, zu melden und Bestandsauskünfte zu erteilen. Die bisher für Betreiber Kritischer Infrastrukturen bestehenden Meldepflichten und die Verpflichtung zur Einhaltung von Mindeststandards werden auf weite Teile der Wirtschaft ausgedehnt.

Relevante Normen: Art. 1 Nr. 1 lit. f), Art. 1 Nr. 12 lit. b), Art. 1 Nr. 17, Art. 1 Nr. 19

Regelungsgehalt:

Art. 1 Nr. 1 lit. f):

§ 2 BSIG soll dahingehend geändert werden, dass explizit Kernkomponenten für Kritische Infrastrukturen definiert werden. In einem neu einzufügenden Absatz 13 zu § 2 BSIG werden „kritische Komponenten“ als „IT-Produkte, die in Kritischen Infrastrukturen eingesetzt werden, die von hoher Bedeutung für das Funktionieren das Gemeinwesens sind, weil Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser IT-Produkte zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit Kritischer Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können […]“ beschrieben. Hierbei werden IT-Systeme in den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation, Ernährung, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr sowie Entsorgung aufgenommen. Sofern für einen der in Abs. 10 Nr. 1 genannten Sektoren keine kritischen Komponenten bestimmt, so gibt es in diesem Sektor keine kritischen Komponenten im Sinne des BSIG.

Absatz 14 definiert Unternehmen im besonderen öffentlichen Interesse (UNBÖFI), die zwar keine Kritischen Infrastrukturen darstellen, aber als eine Art „KRITIS light“ dennoch von erhöhter Bedeutung sind.

Art. 1 Nr. 12 lit. b):

§ 8a Abs. 1a BSIG-E erweitert die Pflichten für Betreiber Kritischer Infrastrukturen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Systeme dahingehend, dass in Zukunft explizit auch Systeme zur Angriffserkennung vorgehalten werden müssen.

Art. 1 Nr. 17:

§ 8f BSIG-E konkretisiert die Anforderungen an Unternehmen im besonderen öffentlichen Interesse (UNBÖFI). Für solche Unternehmen soll es – in abgeschwächter Form – vergleichbare Anforderungen wie für Kritische Infrastrukturen geben, etwa eine Meldepflicht für IT-Sicherheitsvorfälle (Abs. 7) oder die Pflicht, dem BSI eine umfangreiche Selbsterklärung vorzulegen (Abs. 1).

Art. 1 Nr. 19:

§ 9a BSIG-E regelt die neuen Aufgaben des BSI als Nationale Behörde für Cybersicherheitszertifizierung.

In einem neuen § 9b BSIG-E werden unter anderem die Anforderungen hinsichtlich der Vertrauenswürdigkeit von Herstellern kritischer Komponenten konkretisiert. Zum einen müssen KRITIS-Betreiber den Einsatz kritischer Komponenten dem Bundesinnenministerium anzeigen (Abs. 1). Weiterhin dürfen Kernkomponenten nur dann eingesetzt werden, wenn der Hersteller gegenüber dem Betreiber der Kritischen Infrastruktur eine Garantieerklärung abgegeben hat, die dessen gesamte Lieferkette umfasst (Abs. 2). Dabei muss aus der Erklärung hervorgehen, dass und wie der Hersteller sicherstellen kann, dass die Komponente nicht für missbräuchliche Zwecke, insbesondere für Sabotage, Spionage oder Terrorismus eingesetzt werden kann. Zudem wird festgelegt, dass das Bundesinnenministerium den Einsatz kritischer Komponenten untersagen kann, wenn ein Hersteller sich als nicht vertrauenswürdig erwiesen hat (Abs. 3 sowie Abs. 6 und 7). Unter welchen Umständen ein Hersteller als nicht vertrauenswürdig anzusehen ist, konkretisiert § 9b Abs. 5 BSIG-E näher.

Eine auch für Verbraucher bedeutsame Änderung stellt die Einführung eines freiwilligen IT-Sicherheitskennzeichens, geregelt in §9c BSIG-E, dar. Dieses soll gem. § 9c Abs. 2 BSIG aus zwei Kernkomponenten bestehen:

  • eine Erklärung des Herstellers der jeweiligen Produkte, in welcher dieser das Vorliegen bestimmter IT-Sicherheitseigenschaften des Produkts für zutreffend erklärt (Herstellererklärung)
  • eine Information des BSI über sicherheitsrelevante IT-Eigenschaften (Sicherheitsinformation)

Das IT-Sicherheitskennzeichen trifft explizit keine Aussage über Datenschutzeigenschaften eines Produkts (Abs. 1).

Ähnliche Einträge