Das IT-Sicherheitsgesetz 2.0 tritt in Kraft

Nach dem „ersten“ IT-Sicherheitsgesetz aus 2017 legt der deutsche Gesetzgeber jetzt nach und verschärft die gesetzlichen Pflichten zur Sicherheit informationstechnischer Systeme.

Am 27.05.2021 wurde das Zweite Gesetz zur Erhöhung der Sicherheit informations-technischer Systeme (IT-Sicherheitsgesetz 2.0)  im Bundesgesetzblatt verkündet (BGBl. I S. 1122). Der ganz überwiegende Teil des IT-Sicherheitsgesetzes tritt damit am 28.05.2021 in Kraft. Einige der Regelungen werden erst etwas später zum 01.12.2021 wirksam.

Neben rund 1.500 neuen Planstellen in verschiedenen Ministerien der Bundesverwaltung sieht das Gesetz in erster Linie Änderungen des BSI-Gesetzes (BSIG) vor. Das BSI erhält zusätzliche Aufgaben und Kompetenzen, auch auf dem Gebiet des Verbraucherschutzes. Inhaltlich sieht das zukünftige BSIG im Wesentlichen drei Neuerungen vor:

• Durch die Einführung von Unternehmen im besonderen öffentlichen Interesse wird der Anwendungsbereich des BSIG erweitert.
• Der Einsatz von kritischer Komponenten in KRITIS wird reguliert. Das BSI hat zukünftig die Möglichkeit, den Einsatz solcher Komponenten zu unterbinden, wenn ihr Hersteller nicht vertrauenswürdig ist.
• Ebenfalls neu ist das freiwillige IT-Sicherheitskennzeichen für IT-Produkte, das der Verbrauchertransparenz auf dem Bereich der IT-Sicherheit dienen soll.

Das „need-to-know“ zu diesen drei Stichworten fassen wir im Folgenden knapp zusammen:

Unternehmen im besonderen öffentlichen Interesse

Neben den bereits derzeit durch das BSIG regulierten „Kritischen Infrastrukturen“ und „digitalen Diensten“ werden zukünftig auch „Unternehmen im besonderen öffentlichen Interesse“ unmittelbar durch das BSIG verpflichtet. Unternehmen im besonderen öffentlichen Interesse sind nach § 2 Abs. 14 BSIG-neu:

1. Unternehmen, die Güter im Sinne von § 60 Abs. 1 Nr. 1 und 3 AWV herstellen oder entwickeln;
2. Unternehmen, die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung sind. Dazu zählen auch Zulieferer solcher Unternehmen, die wegen ihrer Alleinstellungsmerkmale von besonderer Bedeutung sind. Die maßgeblichen Kennzahlen wird das BSI durch Rechtsverordnung gesondert festlegen; und
3. Unternehmen, die Betreiber eines Betriebsbereichs der oberen Klasse der Störfall-Verordnung oder diesen gleichgestellt sind.

Unternehmen im besonderen öffentlichen Interesse im Sinne der Nr. 1 und 2 müssen sich beim BSI registrieren und eine für das BSI erreichbare Stelle benennen. Zudem sind diese Unternehmen zukünftig verpflichtet, alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit gegenüber dem BSI abgeben. Für Unternehmen im Sinne der Nr. 3 ist dies jeweils optional.

Zudem müssen Unternehmen im besonderen öffentlichen Interesse bestimmte Störungen ihrer Systeme, Komponenten und Prozesse an das BSI melden.

Kritische Komponenten

Neu ist außerdem die vor allem im Kontext der 5G-Infrastruktur öffentlich diskutierte Regulierung kritischer Komponenten durch das geänderte BSIG.

Der Begriff „kritische Komponenten“ beschreibt – stark verkürzt – Software und Hardware, die für Kernfunktionen einer kritischen Infrastruktur (KRITIS) eingesetzt wird und welche entweder durch Gesetz als kritische Komponente bestimmt wurde oder eine aufgrund eines Gesetzes als kritisch bestimmte Funktion realisiert.

Die Regulierung kritischer Komponenten betrifft damit primär KRITIS-Betreiber. Kritische Komponenten dürfen künftig nur noch eingesetzt werden, wenn der Hersteller der Komponente eine Garantieerklärung gegenüber dem KRITIS-Betreiber abgegeben hat. Daraus muss auch hervorgehen, ob und wie der Hersteller hinreichend sicherstellt, dass die kritische Komponenten über keine technischen Eigenschaften verfügt, um missbräuchlich auf Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der KRITIS einzuwirken. Die Anforderungen an die Garantieerklärung legt das BMI gesondert fest.

Zudem hat das BSI künftig die Befugnis, den Einsatz kritischer Komponenten und in Einzelfällen sogar den Betrieb der kritischen Infrastruktur an sich zu untersagen, wenn der Hersteller der Komponenten sich als nicht vertrauenswürdig erwiesen hat. Mittelbar hat die Regulierung kritischer Komponenten damit auch substantielle Auswirkungen auf Hersteller kritischer Komponenten.

IT-Sicherheitskennzeichen

Zur Verbesserung der Information von Verbrauchern zur IT-Produktsicherheit führt das IT-Sicherheitsgesetz 2.0 für vom BSI separat festzulegende Produktkategorien ein einheitliches IT-Sicherheitskennzeichen ein.

Hersteller oder Anbieter von Produkten dieser Kategorien können beim BSI die Freigabe zur Verwendung des IT-Sicherheitskennzeichens beantragen. Erteilt das BSI die beantragte Freigabe, kann der Hersteller das Kennzeichen für das Produkt verwenden, indem er das Etikett des IT-Sicherheitskennzeichens auf dem Produkt anbringt oder elektronisch veröffentlicht.

Das Kennzeichen besteht aus einer Zusicherung des Herstellers, wonach das Produkt bestimmte IT-Sicherheitsanforderungen erfüllt (Herstellererklärung) und einer Information des BSI über sicherheitsrelevante IT-Eigenschaften des Produkts (Sicherheitsinformation). Das Etikett des IT-Sicherheitskennzeichens verweist auf eine Internetseite, auf der Herstellererklärung und Sicherheitsinformation für das Produkt abrufbar sind.

Das IT-Sicherheitskennzeichen ist freiwillig. Weder ist das IT-Sicherheitskennzeichen Voraussetzung für den Vertrieb von Produkten im Bundesgebiet, noch sieht das IT-Sicherheitsgesetz 2.0 ausdrücklich eine rechtliche Wirkung des IT-Sicherheitskennzeichens gegenüber Verbrauchern zu.