Referentenentwurf zum IT-Sicherheitsgesetz 2.0 veröffentlicht – Neue Vorschriften für kritische Infrastrukturen

Der Referentenentwurf für ein IT-Sicherheitsgesetz 2.0 enthält neue Re­gelungen für Be­treiber kritischer Infra­strukturen. Der Sektor Ent­sorgung und Her­steller von IT-Produkten werden zukünftig ebenfalls berück­sichtigt. Die maximale Buß­geld­höhe wird deutlich erhöht.

Mit dem ersten IT-Sicher­heits­gesetz aus dem Jahr 2015 hat die Bunde­sre­gierung die Vor­gaben an die IT-Sicher­heit von kri­tischen Infra­struk­turen ge­regelt. Jetzt liegt ein Ent­wurf für ein IT-Sicher­heits­gesetz 2.0 vor.

Welche Unternehmen sind betroffen?

Betreiber kritischer Infra­struk­turen sind seit dem ersten IT-Sicher­heits­gesetz ver­pflichtet, IT-Sicher­heit nach dem Stand der Technik um­zu­setzen. Auch müssen sie Sicher­heits­vorfälle an das Bundes­amt für Sicher­heit in der Infor­mations­technik (BSI) melden und sich regel­mäßig auf die Ein­haltung der Vor­schriften prü­fen lassen. Als kri­tische Infra­struk­turen gel­ten Unter­nehmen aus den Sek­to­ren Ener­gie, Infor­mations­technik und Tele­kommu­nikation, Trans­port und Ver­kehr, Ge­sund­heit, Wasser, Er­nährung oder Finanz- und Ver­sicherungs­wesen, die mehr als 500.000 Menschen ver­sorgen. Die Re­gelungen des IT-Sicher­heits­gesetzes (2015) werden durch eine Ver­ordnung (BSI-Kritisverordnung) kon­kre­tisiert, in der die be­troffenen Unter­neh­men bzw. An­lagen genauer de­finiert werden.

Neuerungen aus dem IT-Sicherheitsgesetz 2.0

Eine Evaluierung der Re­gelungen des IT-Sicher­heits­ge­setzes war vier Jahre nach In­kraft­treten vor­gesehen. Dem­ent­sprechend war eine Über­ar­beitung des IT-Sicher­heits­ge­setzes zu er­warten. Im jetzt von netzpolitik.org veröffentlichten Referentenentwurf für ein IT-Sicherheitsgesetz 2.0 sind die ersten Vorschläge bekannt geworden.

Der Ent­wurf des IT-Sicher­heits­ge­setzes 2.0 sieht vor, dass die Re­ge­lungen zu kri­ti­schen Infra­struk­turen zu­künftig auch den Sektor En­tsor­gung sowie die Be­reiche Rüstung, Kultur und Medien und im Prime Standard auf­ge­nommene börsen­notierte Unter­nehmen be­treffen. Eine ge­nauere De­fi­nition der be­troffenen Unter­neh­men wird erst nach­träglich durch eine Ver­ordnung er­folgen. Es wird all­gemein er­wartet, dass durch diese Ver­ordnung die bis­herigen Melde­grenzen (500.000 ver­sorgte Menschen) zur Ein­stuf­ung als kri­tische Infra­struk­tur her­ab­gesenkt werden, so dass weitere Unter­nehmen von den Re­gelungen er­fasst werden.

Neu erfasst werden auch Her­steller von IT-Pro­dukten und „Kern­kompo­nenten“ für kri­tische Infra­struk­turen (bspw. Hersteller von Steuer­ungs­kom­ponenten für die Trink­wasser­her­stellung). Her­steller sollen ver­pflichtet werden, Sicher­heits­lücken ihrer Pro­dukte dem BSI zu melden, wenn die Funk­tion von kritischen Infra­struk­turen be­ein­trächtigt werden könnte. Da dem Her­steller i.d.R. keine In­for­mationen vor­liegen dürften, ob seine Pro­dukte wo­möglich in einer kri­tischen Infra­struktur ein­ge­setzt werden, re­sul­tiert da­raus eine sehr weit­reich­ende Ver­pflicht­ung an die Her­steller. Be­treiber kri­tischer Infra­struk­turen sol­len Kern­kom­po­nenten nur noch von Her­stellern be­ziehen dür­fen, die eine „Ver­trau­lich­keits­erklärung“ ab­ge­ge­ben ha­ben und für ihre Liefer­kette nach­weisen können.

Analog zu den Re­ge­lungen der Daten­schutz­grund­verordnung sollen auch für die Nicht-Einhaltung der Vor­schriften für kri­tische Infra­struk­turen die Buß­gel­der deut­lich er­höht werden. Vor­ge­schla­gen sind Buß­gel­der bis zu 20 Mio. EUR oder 4 % des welt­weiten Jahres­um­satzes. Bis­her waren Buß­gelder von max. 100.000 EUR vor­gesehen.

Da­rüber hin­aus ent­hält der Ent­wurf für das IT-Sicher­heits­gesetz 2.0 eine Viel­zahl wei­terer Ver­änderungen. Das BSI soll deut­lich mehr Be­fugnisse (und Personal) als bisher be­kom­men. Zu­künftig soll das BSI aktiv nach Sicher­heits­lücken suchen dür­fen und so­gar die Be­hebung von Sicher­heits­lücken durch Pro­vider auf Ge­räten beim Kun­den an­ordnen dürfen. Weiter soll das BSI IT-Produkte zertifizieren und die IT des Bundes stärker über­wachen.

Nicht zuletzt sollen Vor­schriften im Straf­gesetz­buch ge­ändert werden: Die Straf­rah­men für die IT-Straf­taten werden er­höht und neue Straf­tat­bestände ein­geführt (u.a. sog. Darknetparagraph).

Fazit

Die geplanten Veränderungen durch das IT-Sicherheitsgesetz 2.0 im Hinblick auf die Regelungen für kritische Infrastrukturen waren zu erwarten und sind konsequente Erweiterungen der bisherigen Gesetzgebung. Der erhöhte Bußgeldrahmen wird den Umsetzungsdruck bei den betroffenen Unternehmen deutlich erhöhen. Durch die geplanten zusätzlichen Befugnisse erhält das BSI eine deutlich aktivere Rolle in der Abwehr von Sicherheitsangriffen. In welcher Form die Planungen am Ende des Gesetzgebungsprozesses Bestand haben werden, bleibt abzuwarten. Es gibt Stimmen, die die Vereinbarkeit einzelner Regelungen mit dem Grundgesetz bereits jetzt in Frage stellen. Zukünftig wahrscheinlich betroffene Unternehmen des Sektors Entsorgung und der Bereiche Kultur und Medien sollten jetzt beginnen, ihre IT-Sicherheitsmaßnahmen zu überprüfen und ggf. Anpassungen einzuleiten. Die Erfahrung mit durch FIDES bereits durchgeführten Kritis-Prüfungen zeigt, dass nahezu alle betroffenen Unternehmen erheblichen Anpassungsbedarf haben und die Zeit, bis eine Umsetzung erfolgt sein muss, in aller Regel nicht ausreicht.

Gerne stehe ich für weitere Fragen persönlich zur Verfügung: