IT-Sicherheitsgesetz 2.0

Mit dem Bundestagsbeschluss zum IT-Sicherheitsgesetz 2.0 vom 23.4.2021 und dem Bundesratsbeschluss vom 7.5.2021 ist das parlamentarische Gesetzgebungsverfahren beendet. Nun müssen zentrale Detailvorgaben noch über Verordnungen geregelt werden.

Aktueller Stand des Gesetzgebungsverfahrens

Das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ wurde vom Bundestag am 23.4.2021 verabschiedet. Der Bundesrat hat es in seiner Sitzung am 7.5.2021 durch den Verzicht auf ein Vermittlungsverfahren zwischen Bundestag und Bundesrat gebilligt. Nach Unterzeichnung des Bundespräsidenten und nachfolgende Veröffentlichung im Bundesgesetzblatt können nun bereits wichtige Teile des Gesetzes kurzfristig in Kraft treten.

Das „Durchwinken“ des Bundesrats  kam überraschend, da der Bundesratsausschuss für Innere Angelegenheiten in seiner Empfehlung vom 28.4.2021 (Bundesrat Drucksache 324/1/21) noch das Einberufen des Vermittlungsausschusses und Änderungen am Gesetz empfohlen hatte.  Dabei wurde eine bessere Unterrichtung der Landesbehörden durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) über sie betreffende Sicherheitslücken und Störungsmeldungen von Betreibern kritischer Infrastrukturen (Kritis) gefordert. Zudem sollten die Landesbehörden vom BSI darüber unterrichtet werden, gegenüber welchen Betroffenen in den jeweiligen Ländern zur Gefahrenabwehr Bestandsdaten bei Anbietern von Telekommunikationsdienstleistern seitens des BSI auf Basis der neuen Ermächtigungen in §7 des BSI-Gesetzes (BSIG) erhoben werden. Des weiteren sollte eine Zustimmungspflicht der Länder bei Erlass der Rechtverordnung nach dem § 10 Abs. 5 BSIG  einführt werden, so dass die Länder mit bestimmen können, welche Unternehmen als die größten Unternehmen in Deutschland im Sinne des neuen § 2 Abs. 14 Satz 1 Nr. 2 gelten.

Der Bundesrat ist der Beschlussempfehlung seines Ausschusses zwar nicht gefolgt, er hat allerdings in seinem Beschluss (Bundesrat Drucksache 324/21) die Sorge zum Ausdruck gebracht, dass nun im verabschiedeten Gesetz eine Unterrichtungspflicht des Bundes gegenüber den Ländern fehlt und somit Gefahrenabwehrmaßnahmen durch die Länder möglicherweise nicht rechtzeitig in die Wege geleitet werden können. Ebenso wurde im Beschlusstext, die Bitte aufgenommen, dass föderale Aspekte bei der Rechtsverordnung zur Festlegung der Unternehmen im öffentlichen Interesse beachtet werden.

Hintergrund

Das IT-Sicherheitsgesetz 2.0 enthält durch Änderungen des BSI-Gesetzes zahlreiche neue Anforderungen an Unternehmen sowie das BSI zur Stärkung der IT-Sicherheit in Deutschland. Mit dem neuen § 2 Abs. 14 BSIG werden Unternehmen im besonderen öffentlichen Interesse definiert, welche grundlegende Anforderungen an das IT-Sicherheitsmanagement erfüllen müssen. Zu diesen Unternehmen sollen u.a. Rüstungshersteller, Chemieunternehmen und „die gemäß ihrer inländischen Wertschöpfung größten Unternehmen“ gehören. Die Berechnung der inländischen Wertschöpfung und die Definition der größten Unternehmen in Deutschland soll nachgelagert zum Gesetz per Rechtsverordnung festgelegt werden.

Der Regierungsentwurf zum IT-Sicherheitsgesetz vom 25.1.2021 wurde am 22.2.2021 einer öffentlichen Anhörung im Bundestag unterzogen. Der Bundesratsausschuss für Innere Angelegenheiten hat in seiner Beschlussempfehlung vom 28.4.2021 darauf hingewiesen, dass die Bundesregierung dem Bundesrat im Laufe des Gesetzgebungsverfahren lediglich eine eintägige Frist zur Stellungnahme eingeräumt hatte und dass die von Bundesrat geäußerten Anliegen im bisherigen Verlauf des Gesetzgebungsverfahrens keine Berücksichtigung fanden. Dieses vom Bundesinnenministerium verantwortete Vorgehen wurde auch von anderen Beteiligten im Gesetzgebungsprozess heftig kritisiert.

Der Bundestag hat am 23.4.2021 die Beschlussempfehlung des Innenausschusses vom 21.4.2021 angenommen ( BT-Drucksache 19/28844) und damit das IT-Sicherheitsgesetz 2.0 mit zahlreichen Änderungen am Regierungsentwurf verabschiedet. So wurde dabei u.a. die Definition der Unternehmen im besonderen öffentlichen Interesse dahingehend angepasst, dass darunter auch Zulieferer der größten Unternehmen in Deutschland gehören, sofern diese Zulieferung „wegen ihrer Allleinstellungsmerkmale von wesentlicher Bedeutung sind“. Auch hierzu soll die Rechtsverordnung nach § 10 Abs. 5 BSIG nähere Bestimmungen zur Definition festlegen. Die Opposition im Bundestag kritisiert weiterhin das Gesetz, welches mit der Koalitionsmehrheit gegen die Stimmen der Opposition vom Bundestag beschlossen wurde.

Konsultationsfassung zur Anpassung der Kritisverordnung veröffentlicht

Das zuständige Bundesinnenministerium hat am 26.4.2021 einen Referentenentwurf zur Anpassung der BSI-Kritisverordnung zur Konsultation veröffentlicht. Mit dem Verordnungsentwurf wird die Definition der Betreiber kritischer Infrastrukturen angepasst und in Teilen erweitert. Nach den bisherigen Definitionsvergaben der BSI-Kritisverordnung müssen aktuell rund 1.600 Kritis-Betreiber besondere Anforderungen an die IT-Sicherheit nach § 8a und § 8b BSIG erfüllen. Mit den vorgeschlagenen Definitionserweiterungen kämen nach Einschätzung des Bundesinnenministeriums rund 270 weitere Kritis-Betreiber dazu.

Mehr als die Hälfte der neuen Kritis-Betreiber sind dem Bereich der Stromerzeugung zuzuordnen. Im Kritis-Sektor Energie werden insgesamt 167 neue Kritis-Betreiber erwartet. Das Bundesinnenministerium schätzt, dass zudem 50 neue Kritis-Betreiber im Kritis-Sektor Transport und Verkehr dazukommen, v.a. bei der Hafenbetreibung im Bereich See- und Binnenschifffahrt sowie bei intelligenten Verkehrssystemen im Straßenverkehr. 22 neue Kritis-Betreiber werden im Sektor Finanz- und Versicherungswesen, 10 weitere im Sektor Informationstechnik und Telekommunikation erwartet. Da die Unternehmen selbst prüfen müssen, ob sie unter die in der BSI-Kritisverordnung festgelegten Schwellenwerte fallen, ist eine Beschäftigung mit dem Konsultationsentwurf für alle Unternehmen sinnvoll, die Teil der Kritis-Sektoren sind.


Weitere News zum Thema: 

IT-Sicherheitsgesetz 2.0 – Schnelles Inkrafttreten dringend notwendig

Bundesregierung plant Ausweitung der Meldepflicht bei Hackerangriffen

Schlagworte zum Thema:  IT-Sicherheit, Compliance