IT-Sicherheitsgesetz 2.0 im Bundestag – was ist neu?

23.02.2021

Größerer Anwendungsbereich des BSIG, Regulierung „kritischer“ Komponenten und das IT-Sicherheitskennzeichen. Die wesentlichen Neuerungen des IT-SiG 2.0 im Überblick.

Im Januar 2021 hat die Bundesregierung ihren Entwurf für das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) zur Beratung in den Bundestag eingebracht. Nach heftiger Kritik am Referentenentwurf aus Mai 2020 aus der Wirtschaft und der politischen Diskussion um den Aufbau der 5G-Infrastruktur im Bundesgebiet wurde der Gesetzesentwurf erneut angepasst. Aktuell ist davon auszugehen, dass der Bundestag das IT-Sicherheitsgesetz 2.0 in der eingebrachten Fassung zeitnah beschließen wird. Die Stellungnahme des Bundesrats liegt seit dem 12.02.2021 vor.

Neben rund 1.500 neuen Planstellen in verschiedenen Ministerien der Bundesverwaltung sieht das Gesetz in erster Linie Änderungen des BSIG vor. Insbesondere werden mit der Kategorie der Unternehmen im besonderen öffentlichen Interesse weitere Adressaten des BSIG etabliert. Außerdem reguliert das BSIG künftig auch den Einsatz kritischer Komponenten und räumt dem BSI die Möglichkeit ein, den Einsatz kritischer Kernkomponenten nicht vertrauenswürdiger Hersteller zu untersagen. Ebenfalls neu ist das freiwillige IT-Sicherheitskennzeichen.

Das „need-to-know“ zu diesen drei Stichworten fassen wir im Folgenden knapp zusammen:

Unternehmen im besonderen öffentlichen Interesse

Neben den bereits derzeit regulierten „Kritischen Infrastrukturen“ und „digitalen Diensten“ werden zukünftig auch „Unternehmen im besonderen öffentlichen Interesse“ unmittelbar durch das BSIG verpflichtet. Unternehmen im besonderen öffentlichen Interesse sind:

  1. Unternehmen, die Güter im Sinne von § 60 Abs. 1 Nr. 1, 3 AWV herstellen oder entwickeln;
  2. Unternehmen, die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung sind. Die maßgeblichen Kennzahlen wird das BSI durch Rechtsverordnung gesondert festlegen; und
  3. Unternehmen, die Betreiber eines Betriebsrechts der oberen Klasse der Störfall-Verordnung oder diesen gleichgestellt sind.

Unternehmen im Sinne der Nr. 1 und 2 müssen sich beim BSI registrieren, eine für das BSI erreichbare Stelle benennen und alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit gegenüber dem BSI abgeben. Für Unternehmen im Sinne der Nr. 3 ist dies jeweils optional.

Zudem müssen Unternehmen im besonderen öffentlichen Interesse wesentliche Störungen ihrer Systeme, Komponenten und Prozesse mit Auswirkung auf ihre Wertschöpfung an das BSI melden.

Kritische Komponenten

Neu ist außerdem die vor allem im Kontext der 5G-Infrastruktur öffentlich diskutierte Regulierung kritischer Komponenten durch das geänderte BSIG.

Der Begriff „kritische Komponenten“ beschreibt – stark verkürzt – Software und Hardware, die für Kernfunktionen einer kritischen Infrastruktur (KRITIS) eingesetzt wird und welche entweder durch Gesetz als kritische Komponente bestimmt wurde oder eine aufgrund eines Gesetzes als kritisch bestimmte Funktion realisiert.

Die Regulierung kritischer Komponenten betrifft damit primär KRITIS-Betreiber. Kritische Komponenten dürfen künftig nur noch eingesetzt werden, wenn der Hersteller der Komponente eine Garantieerklärung gegenüber dem KRITIS-Betreiber abgegeben hat. Daraus muss auch hervorgehen, ob und wie der Hersteller hinreichend sicherstellt, dass die kritische Komponenten über keine technischen Eigenschaften verfügt, um missbräuchlich auf Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der KRITIS einzuwirken. Die Anforderungen an die Garantieerklärung legt das BMI gesondert fest.

Zudem hat das BSI künftig die Befugnis, den Einsatz kritischer Komponenten und in Einzelfällen sogar den Betrieb der kritischen Infrastruktur an sich zu untersagen, wenn der Hersteller der Komponenten sich als nicht vertrauenswürdig erwiesen hat. Mittelbar hat die Regulierung kritischer Komponenten damit auch substantielle Auswirkungen auf Hersteller kritischer Komponenten.

IT-Sicherheitskennzeichen

Zur Verbesserung der Information von Verbrauchern zur IT-Produktsicherheit führt das IT-Sicherheitsgesetz 2.0 für vom BSI separat festzulegende Produktkategorien ein einheitliches IT-Sicherheitskennzeichen ein.

Hersteller oder Anbieter von Produkten dieser Kategorien können beim BSI die Freigabe zur Verwendung des IT-Sicherheitskennzeichens beantragen. Erteilt das BSI die beantragte Freigabe, kann der Hersteller das Kennzeichen für das Produkt verwenden, indem er das Etikett des IT-Sicherheitskennzeichens auf dem Produkt anbringt oder elektronisch veröffentlicht.

Das Kennzeichen besteht aus einer Zusicherung des Herstellers, wonach das Produkt bestimmte IT-Sicherheitsanforderungen erfüllt (Herstellererklärung) und einer Information des BSI über sicherheitsrelevante IT-Eigenschaften des Produkts (Sicherheitsinformation). Das Etikett des IT-Sicherheitskennzeichens verweist auf eine Internetseite, auf der Herstellererklärung und Sicherheitsinformation für das Produkt abrufbar sind.

Das IT-Sicherheitskennzeichen ist freiwillig. Weder ist das IT-Sicherheitskennzeichen Voraussetzung für den Vertrieb von Produkten im Bundesgebiet, noch sieht das IT-Sicherheitsgesetz 2.0 ausdrücklich eine rechtliche Wirkung des IT-Sicherheitskennzeichens gegenüber Verbrauchern zu. Mittelbar kann das Kennzeichen dennoch verbindlich sein, etwa als Bestandteil der vertraglich geschuldeten Beschaffenheit des Produkts.