In der großen Koalition hat man sich auf einige Änderungen am Regierungsentwurf für das IT-Sicherheitsgesetz geeinigt. Demnach sollen Betreiber kritischer Infrastrukturen mit einem Bußgeld sanktioniert werden, wenn sie Störungen ihrer IT-Systeme nicht durch angemessene technische und organisatorische Maßnahmen vorgebeugt haben.
Die Zahl ernsthafter Hacker-Attacken auf Unternehmen und staatliche Stellen nimmt weiter zu, wie erst vor wenigen Tagen der erfolgreiche Angriff auf IT-Systeme des Bundestags eindrucksvoll belegte. Um vor allem Betreiber kritischer Infrastrukturen zu mehr Sicherheitsbewusstsein zu erziehen, will die große Koalition im neuen IT-Sicherheitsgesetz daher bei bestimmten Verstößen Bußgelder bis zu einer Höhe von 100.000 EUR festschreiben.
Bußgelder auch bei verspäteten Meldungen vorgesehen
Nach einem Bericht von Heise Online drohen die maximalen Bußgelder den Betreibern kritischer Infrastrukturen dann, wenn Störungen nicht durch angemessene organisatorische und technische Maßnahmen verhindert wurden. Mit geringeren Bußgeldern soll dagegen die verspätete Meldung von Sicherheitspannen sanktioniert werden, wenn die Infrastruktur ausfällt oder in ihrer Funktion beeinträchtigt ist.
Für öffentliche Einrichtungen gelten neue Regelungen
Öffentliche Stellen müssen mit der Einführung des IT-Sicherheitsgesetzes ebenfalls zusätzliche Regeln beachten. So sollen künftig etwa die internen IT-Stellen der Bundesbehörden Protokolldaten an das Bundesamt für Sicherheit in der Informationstechnik (BSI) übermitteln, um hierüber etwa besonders ausgeklügelte Attacken durch neueste Schadprogramme erkennen zu können, wie sie etwa von ausländischen Geheimdiensten zur Spionage eingesetzt werden.
Weitere Änderungen
- Gegenüber dem ursprünglichen Regierungsentwurf soll eine zusätzliche Klausel eingefügt werden, die eine Überprüfung des Gesetzes nach vier Jahren durch einen wissenschaftlichen Sachverständigten vorsieht.
- Betreiber kritischer Infrastrukturen werden explizit dazu angehalten, den aktuellen Stand der Technik einzuhalten.
- Nicht geändert wurde dagegen die umstrittene Vorgabe, dass Internetanbieter freiwillig Vorratsdaten speichern können, um hierüber mögliche Störungen abwehren zu können.
Das Gesetz soll nach der Behandlung im Innenausschuss bereits am Freitag, dem 12. Juni im Parlament beschlossen werden. Die Abstimmung über die umstrittene Wiedereinführung der allgemeinen Vorratsdatenspeicherung wird dagegen nicht mehr vor der Sommerpause erfolgen, sondern erst im Herbst durchgeführt werden.