Gesetzentwurf: IT-Sicherheitsgesetz 2.0

Das Bundeskabinett hat am 16.12.2020 den Entwurf zum IT-Sicherheitsgesetz 2.0 beschlossen. Allerdings müssen noch wichtige Regelungsdetails geklärt werden.

Kerninhalte des Gesetzesentwurfs der Bundesregierung

Das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ beinhaltet Änderungen am BSI-Gesetz und weiteren Gesetzen, die voraussichtlich 2021 in Kraft treten werden. Mit dem sogenannten „IT-Sicherheitsgesetz 2.0“ sollen Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erweitert und neue Pflichten für Unternehmen eingeführt werden. Vorgaben für Betreiber Kritischer Infrastrukturen (Kritis) werden ausgeweitet, die Anzahl der unter diese Kategorie fallenden Unternehmen erhöht sowie Anforderungen an „Unternehmen im besonderen öffentlichen Interesse“ festgelegt. Das BSI erhält Befugnisse zur Detektion von Sicherheitslücken (über sogenannte Portscans und Honypots), erweiterten eigenen Untersuchungen von Produkten und Systemen sowie zu Auskunftsrechten über Bestandsdaten bei Telekommunikationsdienstleistern. Neue Kompetenzen erhält das BSI für ein IT-Sicherheitskennzeichen zur Information von Verbrauchern über die IT-Sicherheit von Produkten. Die Ausgestaltung dieses für Unternehmen freiwilligen Kennzeichens soll dabei durch eine nachgelagerte Rechtsverordnung festlegt werden. Insgesamt sollen mit dem IT-Sicherheitsgesetz 2.0 rund 1600 neue Stellen in der öffentlichen Verwaltung, davon knapp 800 beim BSI geschaffen werden.

Neue Anforderungen für Kritis-Betreiber und weitere Unternehmen

Mit dem neuen § 8a Abs. 1a bis 1c BSIG-E werden Kritis-Betreiber verpflichtet, „Systeme zur Angriffserkennung“ einzurichten. Zudem werden die Kritis-Sektoren ergänzt um den Sektor „Siedlungsabfallentsorgung“. In der Gesetzesbegründung wird hier von (wohl grob) geschätzt 100 zusätzlichen KRITIS-Betreibern ausgegangen.

Mit dem neuen § 2 Abs. 14 BSIG-E werden Unternehmen im besonderen öffentlichen Interesse definiert, welche grundlegende Anforderungen an das IT-Sicherheitsmanagement erfüllen müssen. Zu diesen Unternehmen sollen u.a. Rüstungshersteller, Chemieunternehmen und „die gemäß ihrer inländischen Wertschöpfung größten Unternehmen“ gehören. Die Berechnung der inländischen Wertschöpfung und die Definition der größten Unternehmen in Deutschland soll nachgelagert zum Gesetz per Rechtsverordnung festgelegt werden.

Streitpunkte: Speicherung von Protokolldaten und kritische Komponenten

Innenpolitisch umstritten ist die vorgesehene Ausweitung der Speicherung von Protokolldaten von 3 auf 12 Monate. Laut Gesetzesbegründung sollen pseudonymisierte Protokolldaten wegen der zunehmenden Dauer von Cyber-Vorfällen und insbesondere den sogenannten „advanced persistent threats“ zu Analysezwecken länger gespeichert werden. Hierzu hat der Bundesbeauftragte für den Datenschutz in seiner Stellungnahme vom 18.12.2020 Bedenken geäußert, dass es sich hierbei um eine potenziell unverhältnismäßige „Vorratsdatenspeicherung“ handeln könnte.

Außenpolitisch risikoreich sind die Vorgaben zum Umgang mit kritischen Komponenten: § 9b  BSIG-E sieht vor, dass Kritis-Betreiber die Verwendung kritischer Komponenten vorab anzeigen. Dann muss das Bundesinnenministerium (BMI) entscheiden, ob deren Einsatz untersagt wird. Für alle kritischen Komponenten muss eine Garantieerklärung des Herstellers zu seiner Vertrauenswürdigkeit vorliegen. Die Inhalte der abzugebenden Garantieerklärungen muss das BMI per Allgemeinverfügung bekannt geben. Damit wird selbst nach der parlamentarischen Einigung auf die Vorgaben im IT-Sicherheitsgesetz 2.0 noch keine finale Entscheidung über die Zulässigkeit der Nutzung von Komponenten von z.B. chinesischen Anbietern wie Huawei bei kritischen Infrastrukturen getroffen. Erst wenn die geforderten Inhalte der Garantieerklärungen bekannt werden, lassen sich Schlussfolgerungen treffen, wie z.B. staatliche Einflussmöglichkeiten auf ausländische Hersteller kritischer Komponenten gewertet werden.


Weitere News zum Thema: 

IT-Sicherheitsgesetz 2.0 – Schnelles Inkrafttreten dringend notwendig

Bundesregierung plant Ausweitung der Meldepflicht bei Hackerangriffen

Schlagworte zum Thema:  IT-Sicherheit, Compliance