Das IT-Sicherheitsgesetz 2.0 ist auf dem Weg

26.05.2021 Der Bundesrat hat das überarbeitete IT-Sicherheitsgesetz 2.0 (ITSiG 2.0) am 07.05.2021 gebilligt. Damit dürfte das Gesetz noch vor der Bundestagswahl im September in Kraft treten. Zugleich wurde ein Entwurf der BSI-Kritisverordnung (KritisV) vorgelegt. Fast zwei Jahre arbeitete das Bundesministerium des Innern (BMI) an der Erweiterung des IT-Sicherheitsgesetzes. Mit diesem soll die IT-Sicherheit in Deutschland verbessert und strikter kontrolliert werden. Zu diesem Zweck erweitert das Gesetz die Aufsichtsfunktion des Bundesamts für Sicherheit in der Informationstechnik (BSI) über digitale Systeme. Das BSI ist künftig zusätzlich für Verbraucherschutz-Fragen zuständig. Die Novelle sieht außerdem die Einführung eines einheitlichen IT-Sicherheitskennzeichens für Produkte vor. Das IT-SiG 2.0 wurde im Rahmen des Gesetzgebungsprozesses äußerst kontrovers diskutiert. Während der Beratungen im Bundestag wurden noch erhebliche Änderungen vorgenommen. So wird der »Stand der Technik« für IT-Systeme zukünftig weiterhin im Markt bestimmt. Außerdem muss das BSI ihm in Unternehmen bekannte Sicherheitslücken diesen Unternehmen mitteilen. Der Aufbau von Systemen zur Angriffserkennung wird verpflichtend und der Einsatz von kritischen Komponenten (insbesondere im Sektor Telekommunikation) streng reglementiert. Ferner wird der Bußgeldrahmen deutlich angehoben. Bei Verstößen drohen zukünftig Bußgelder von bis zu 20 Millionen Euro. In einer Entschließung zum Gesetz hat der Bundesrat deutliche Kritik daran geübt, dass der Bund seiner Forderung nach einer stärkeren Kooperation im gesamten Bundesgebiet nicht nachgekommen ist. So fehle etwa eine Unterrichtungspflicht über schwere Cybersicherheitsvorfälle. Der Bundesrat forderte daher die Bundesregierung auf, eine normative Grundlage zu schaffen, um die nach Landesrecht zuständigen Stellen unverzüglich mit relevanten Informationen zu versorgen. Nur so könnten diese rasch Gefahrenabwehrmaßnahmen ergreifen. Auch die BSI-Kritisverordnung befindet sich derzeit in Überarbeitung: am 26.04. 2021 hatte das BMI einen Änderungsentwurf veröffentlicht, eine Sachverständigenanhörung fand am 26.05.2021 statt. Die BSI-KritisV legt unter anderem genaue zahlenmäßige Schwellenwerte fest, ab wann eine bestimmte Anlagenkategorie zu den Kritischen Infrastrukturen im Sinne des IT-Sicherheitsgesetzes gehört, sodass die Pflicht zu entsprechenden technisch-organisatorischen Vorkehrungen und Meldepflichten gilt. Die Evaluierung der KritisV ist überfällig: Sie hätte bereits 2019 erfolgen müssen. Hackerangriffe auf die IT-Infrastruktur von Versorgungsunternehmen nehmen immer weiter zu. Der jüngste Hackerangriff auf die größte US-Benzin-Pipeline ist ein drastisches Beispiel für die immer weiter steigende Bedrohungslage im Bereich der IT-Sicherheit. Die Änderungen der KritisV werden bei vielen Unternehmen Handlungsbedarf erzeugen. Dies sind nicht nur Unternehmen, die schon jetzt unter die KritisV fallen, sondern insbesondere auch kleine und mittlere Unternehmen (KMU). Durch die geplanten Änderungen von Schwellenwerten und Bemessungskriterien, die festlegen, ab wann eine Anlage als Kritische Infrastruktur eingestuft wird und den besonderen Überwachungs- und Meldepflichten des IT-Sicherheitsgesetzes unterliegt, wird der Kreis erheblich erweitert. Bei Strom erzeugungsanlagen sinkt beispielsweise laut aktuellem Entwurf der Schwellenwert von aktuell 420 MW installierter Nennleistung auf 36 MW (installierte Maximalkapazität). Mehrere Anlagen, die durch einen betriebstechnischen Zusammenhang verbunden sind, gelten als gemeinsame Anlage, wenn sie zur Erbringung derselben kritischen Dienstleistung notwendig sind. Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind, werden ebenfalls als Anlagen im Sinne der Verordnung identifiziert. Ferner wird die Siedlungsabfallentsorgung zukünftig als Kritis-Sektor definiert. - MS -