IT Security Act 2.0

03.06.2020

Ein Jahr nachdem das Bundesministerium für Inneres, Bau und Stadtentwicklung (BMI) seinen ersten Entwurf des „IT-Sicherheitsgesetzes 2.0“ zur Diskussion mit anderen Ministerien in Deutschland veröffentlicht hat, ist der überarbeitete Gesetzesentwurf des BMI kürzlich im Internet durchgesickert.

Der überarbeitete Entwurf sieht mehrere Änderungen vor und ist in einzelnen Punkten detaillierter. Die wesentlichen Ziele des IT-Sicherheitsgesetzes 2.0 bleiben jedoch unverändert: die Ausweitung der zwingenden IT-Sicherheitsverpflichtungen in Deutschland und die Ausstattung des BSI mit zusätzlichen Befugnissen in diesem Bereich. Einige der wichtigsten Aspekte des überarbeiteten Entwurfs fassen wir im Folgenden knapp zusammen.

Vorab etwas Kontext: Nach dem derzeit noch geltenden BSI-Gesetz (BSIG) müssen Betreiber kritischer Infrastrukturen (KRITIS) einen Mindeststandard der IT-Sicherheit einhalten und nachweisen, IT-Sicherheitsvorfälle melden und bei Bedarf mit dem BSI zusammenarbeiten. In etwas geringerem Ausmaß erlegt das BSIG auch Anbietern digitaler Dienste bestimmten IT-Sicherheitsverpflichtungen auf.

Gemäß dem überarbeiteten Entwurf des BMI zum IT-Sicherheitsgesetz 2.0 sollen der Umfang der IT-Sicherheitsverpflichtungen und die Zuständigkeiten des BSI in mehrfacher Hinsicht erweitert werden:

Kritische Infrastrukturen (KRITIS)

   

  • Die IT-Sicherheitsverpflichtungen für KRITIS- Betreiber werden verschärft. So sieht der Entwurf vor, dass KRITIS Systeme zur Erkennung von Angriffen auf ihre IT einsetzen und dem BSI eine Liste aller Hard- und Softwareprodukte zur Verfügung stellen müssen, die für das Funktionieren der betroffenen KRITIS relevant sind.
  • KRITIS-Betreiber sollen zudem zusätzliche Rechte zur Verarbeitung personenbezogener Daten erhalten, um ihre IT-Sicherheit zu verbessern, z.B. durch Überprüfung der Vertrauenswürdigkeit ihrer Mitarbeiter.

Infrastrukturen im besonderen öffentlichen Interesse

   

  • Als zusätzliche Normadressaten des BSIG sieht der überarbeitete Entwurf Betreiber von "Infrastrukturen im besonderen öffentlichen Interesse" vor. Dazu gehören regulierte Unternehmen des Verteidigungssektors, regulierte Unternehmen im Bereich der Gefahrenstoffe und andere Unternehmen, die von besonderem öffentlichen Interesse sind. Das BSI wird die Kriterien für diese Unternehmen gesondert veröffentlichen.
  • Gemäß dem überarbeiteten Gesetzesentwurf sollen die Betreiber von Infrastrukturen im besonderen öffentlichen Interesse verpflichtet werden, dem BSI bestimmte IT-Sicherheitsvorfälle zu melden. Gewisse Betreiber müssen dem BSI zudem ein IT-Sicherheitskonzept vorlegen. 

Kritische Komponenten

   

  • Durch den neuen Entwurf des IT-Sicherheitsgesetzes 2.0 werden Vorgaben für "kritische Komponenten" in das BSIG eingeführt. Dadurch wird das Konzept der IT-Sicherheitsregulierung um eine weitere Ebene ergänzt. Der Begriff beschreibt Software- und Hardwareprodukte, die von KRITIS verwendet werden und deren mangelnde Verfügbarkeit, Authentizität oder Vertraulichkeit zu einem Ausfall oder zu Störungen des ordnungsgemäßen Funktionierens des KRITIS führen könnte.
  • Kritische Komponenten, die einer Zertifizierungspflicht unterliegen, dürfen von KRITIS zudem nur verwendet werden, wenn der betreffende Software-/Hardwarehersteller eine "Vertrauenswürdigkeitserklärung" abgegeben hat, welche sich auf seine gesamte Lieferkette erstrecken muss. Die Einzelheiten einer solchen Erklärung wird das BSI separat festlegen.

Zusätzliche Befugnisse des BSI

   

  • Das BSI ist berechtigt, die Verwendung kritischer Komponenten von Herstellern zu untersagen, die als nicht vertrauenswürdig gelten, z.B. wenn der Hersteller seine Vertrauenswürdigkeitserklärung verletzt oder in seinem Produkt eine „Hintertür“ vorgesehen hat.
  • Der überarbeitete Entwurf betont auch die Befugnis des BSI, "öffentlich zugängliche informationstechnische Systeme" auf Schadsoftware und Sicherheitslücken zu untersuchen und von den Herstellern alle Informationen einzufordern, die es zu diesem Zweck für notwendig erachtet. Das BSI wird dazu auch berechtigt, alle von den Herstellern erhaltenen Informationen an andere Behörden weiterzuleiten.

Geldbußen entsprechend der DS-GVO

   

  • Die Bußgelder für Verstöße gegen die IT-Sicherheitsverpflichtungen werden erheblich erhöht. Der überarbeitete Gesetzentwurf sieht Bußgelder von bis zu 20.000.000,00 EUR oder 4% des Jahresumsatzes des Unternehmens vor. Andere Verstöße sollen weiterhin mit einer Höchststrafe von EUR 10.000.000,00 oder 2% des Jahresumsatzes des Unternehmens geahndet werden.

Wann und in welcher Form der überarbeitete Entwurf des BMI einem formellen Gesetzgebungsverfahren unterzogen wird, ist offen. Der Zeitpunkt und die nächsten Schritte werden weitgehend von den Kommentaren und Stellungnahmen der Unternehmen und Industrieverbänden abhängen, die im Laufe des Sommers gesammelt werden. Jedenfalls wird der überarbeitete Entwurf voraussichtlich frühestens im Herbst/Winter 2020 im Deutschen Bundestag diskutiert werden.

Event 09.11.2021 | Online

Recht im Web - Webinar mit Julian Westpfahl.

Event 27.10.2021 | Online

Verwertung und Lizenzen im Steuerrecht am Beispiel einer Filmproduktion - Online Seminar mit Heiko Wunderlich und Nicole Wolf-Thomann.

Event 27.10.2021 | Virtual Classroom

Grundlagen der Exportkontrolle - Webinar mit Sven Pohl.

alle anzeigen
Newsletter abonnierenErfahren Sie schon heute, worüber die Rechtswelt morgen redet: Mit unserem Newsletter bleiben Sie immer auf dem Laufenden über aktuelle Entwicklungen in der Rechtsprechung.