IT-Sicherheitsgesetz 2.0: Referentenentwurf des BMI

17.04.2019

Die Befugnisse des BSI sollen erweitert und Meldepflichten bei IT-Sicherheitsvorfällen ausgedehnt werden. Bei Verletzungen von IT-Sicherheitspflichten sieht der Entwurf Bußgelder nach Vorbild der DSGVO vor.

Bildrechte: sdecoret - fotolia.com

Das Bundesministerium des Innern, für Bau und Heimat (BMI) hat Ende März einen Referentenentwurf für das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0)“ in die Ressortabstimmung eingebracht. Anknüpfend an das im Juni 2015 in Kraft getretene IT-Sicherheitsgesetz und dessen Ergänzung durch die EU NIS-Richtlinie soll der Schutz informationstechnischer Systeme in der öffentlichen Verwaltung und in der Privatwirtschaft damit weiter verbessert werden.

Der Referentenentwurf sieht zu diesem Zweck insbesondere Anpassungen von BSIG, TMG und TKG, sowie die Schaffung neuer Straftatbestände mit Bezug zur IT-Sicherheit vor. Einige wesentliche Aspekte des aktuellen Entwurfs sind im Folgenden zusammengefasst.

Ausweitung der Vorgaben an IT-Sicherheit und der Meldepflichten bei Sicherheitsvorfällen

Die Pflichten zur Einhaltung eines Mindeststandards an IT-Sicherheit und zur Meldung von IT-Sicherheitsvorfällen soll erheblich ausgeweitet werden. Der Referentenentwurf definiert dazu weitere KRITIS-Sektoren und soll künftig auch Zulieferer von KRITIS-Betreibern unmittelbar gesetzlich verpflichten. Zugleich sollen die Anforderungen an die Maßnahmen zum Schutz der Informationstechnik verschärft werden, etwa durch eine Pflicht zum Einsatz von Systemen zur Angriffserkennung.

Neue Meldepflicht für Hersteller von IT-Produkten

Zudem sollen auch Hersteller von IT-Produkten verpflichtet werden, erhebliche Störungen ihrer IT-Produkte an das BSI zu melden, wenn diese zu Beeinträchtigungen von KRITIS-Anlagen oder von Anlagen führen können, die für „Infrastrukturen im besonderen öffentlichen Interesse“ genutzt werden. Neue Meldepflichten sieht der Entwurf darüber hinaus für Hersteller so genannter „KRITIS-Kernkomponenten“ vor. Was „KRITIS-Kernkomponenten“ sind, soll durch eine Rechtsverordnung spezifiziert werden.

Weitere Kompetenzen des BSI

Die Kompetenzen und Aufgaben des BSI sollen weiter ausgebaut werden. So enthält der Referentenentwurf weitere Befugnisse des BSI, etwa zur Prüfung „öffentlich erreichbarer informationstechnischer Systeme“ auf Schadprogramme und Sicherheitslücken, und sieht die Einführung eines IT-Sicherheitskennzeichens vor, dessen Nutzung des BSI Herstellern von IT-Produkten gestatten kann. Das IT-Sicherheitskennzeichnen soll Verbrauchern relevante Informationen zur Sicherheit eines IT-Produkts verschaffen.

Bußgelder nach Vorbild der DSGVO

Schließlich soll der Bußgeldrahmen für Verstöße von IT-Sicherheitspflichten substantiell angehoben werden. Insbesondere wenn Unternehmen vollziehbaren Anordnungen des BSI zur IT-Sicherheit nicht nachkommen, sieht der Referentenentwurf einen Bußgeldrahmen von bis zu EUR 20.000.000,00 oder 4 % des jährlichen Unternehmensumsatzes vor. Andere Verstöße sollen im Höchstmaß immerhin noch mit EUR 10.000.000,00 oder 2 % des Unternehmensumsatzes geahndet werden können.

Praxistipp:

Der Referentenentwurf des BMI befindet sich in einem frühen Stadium. Ob und in welcher Form der Entwurf einem formalen Gesetzgebungsverfahren zugeleitet wird, wird maßgeblich auch von Kommentierungen und Stellungnahmen durch Unternehmen und Branchenverbände abhängen. Unklar ist aktuell außerdem, wie sich der Entwurf in die durch den Cyber Security Act im März beschlossene Regelungskompetenz der ENISA einfügen wird.