Nachdem 2019 bereits ein Referentenentwurf für eine Überarbeitung der Regelungen des IT-Sicherheitsgesetzes bekannt geworden ist, liegt jetzt eine neue Version für ein IT-Sicherheitsgesetz 2.0 vor.

Die neue Version erweitert insbesondere die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erheblich. Beispielhaft seien zusätzliche Aufgaben im Bereich des Verbraucherschutzes, in der Bewertung von IT-Produkten und der Überprüfung der IT des Bundes genannt. Darüber hinaus darf das BSI aktiver als bisher Angriffe auf IT-Systeme detektieren und dazu auch aktiv, bspw. durch den Betrieb von sog. Honeypots, also der Simulierung von angreifbaren IT-Systemen zu Analysezwecken, tätig werden. 

Neben den erweiterten Befugnissen des BSI beinhaltet der Entwurf des IT-Sicherheitsgesetzes 2.0 aber auch für kritische Infrastrukturen eine Reihe neuer Regelungen.

Welche Unternehmen sind betroffen?

Betreiber kritischer Infrastrukturen sind seit dem ersten IT-Sicherheitsgesetz verpflichtet, IT-Sicherheit nach dem Stand der Technik umzusetzen. Auch müssen sie Sicherheitsvorfälle über die einzurichtende Kontaktstelle an das BSI melden und sich regelmäßig auf die Einhaltung der Vorschriften prüfen lassen. Als kritische Infrastrukturen gelten Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung oder Finanz- und Versicherungswesen, die mehr als 500.000 Menschen versorgen. 

Zukünftig soll auch der Sektor Entsorgung von den Regelungen für kritische Infrastrukturen erfasst werden. Im ersten Entwurf war noch die Aufnahme des Sektors Kultur und Medien geplant, das ist in der aktuellen Version jedoch nicht mehr vorgesehen.

Neuregelungen für kritische Infrastrukturen

Unternehmen, die bisher schon zu den Sektoren der kritischen Infrastrukturen gehören, müssen einige Anpassungen beachten. Im Wesentlichen sind dies:

  • Gegenüber dem BSI wird eine Auskunftspflicht für alle Unternehmen eingeführt, die es dem BSI ermöglichen soll, die Einstufung als kritische Infrastruktur zu prüfen.
  • Es wird explizit vorgesehen, dass Betreiber von kritischen Infrastrukturen Sicherheitsüberprüfungen ihrer Mitarbeiter vornehmen können.
  • Der Einsatz von Intrusion Detection Systemen (IDS) wird Quasi-Standard. 
  • Die Betreiber müssen dem BSI eine Liste der für die Erbringung der kritischen Dienstleistung erforderlichen IT-Produkte übermitteln.

Eine weitere Neuheit ist, dass Betreiber kritischer Infrastrukturen für kritische Komponenten nur noch IT-Produkte vertrauenswürdiger Hersteller einsetzen dürfen. Welche IT-Produkte als kritische Komponenten gelten, soll durch das BSI noch in einem Katalog festgelegt werden. Als vertrauenswürdig gilt ein Hersteller dann, wenn er gegenüber dem Betreiber eine Garantieerklärung abgegeben hat, in der er angibt, dass sein IT-Produkt hinreichend sicher ist. Das BSI kann Hersteller als nicht vertrauenswürdig einstufen, so dass die Produkte dieses Herstellers nicht mehr für kritische Komponenten eingesetzt werden dürfen. 

Erweiterung um Unternehmen im besonderen öffentlichen Interesse

Die Regelungen, die für kritische Infrastrukturen gelten, werden auch auf sog. Unternehmen im besonderen öffentlichen Interesse ausgeweitet. Unternehmen im besonderen öffentlichen Interesse sind, sofern nicht bereits Betreiber kritischer Infrastruktur:

  • Rüstungsunternehmen
  • Unternehmen mit einer besonderen volkswirtschaftlichen Bedeutung und besonderer erbrachter Wertschöpfung
  • Bestimmte Hersteller von Gefahrstoffen

Wie schon bei den bisherigen kritischen Infrastrukturen wird die genaue Definition, für welche Unternehmen die Regelungen im Einzelnen gelten, durch eine noch zu erstellende Verordnung festgelegt werden. 

Abweichend zu den Unternehmen der kritischen Infrastruktur müssen nicht alle Vorgaben des IT-Sicherheitsgesetzes umgesetzt werden. Die Kontaktstelle muss nicht 24/7 erreichbar sein und es besteht keine Prüfpflicht für die Umsetzung der IT-Sicherheitsmaßnahmen. Aber alle Unternehmen im besonderen öffentlichen Interesse sind verpflichtet, ein IT-Sicherheitskonzept zu erstellen und dem BSI vorzulegen. Ebenso sind erhebliche Störungen der IT an das BSI zu melden.

Erhöhung der Bußgelder

Analog zu den Regelungen der Datenschutzgrundverordnung werden auch für die Nicht-Einhaltung der Vorschriften für kritische Infrastrukturen die Bußgelder deutlich erhöht. Vorgesehen sind Bußgelder bis zu 20 Mio. Euro oder 2 % des weltweiten Jahresumsatzes. Bisher waren Bußgelder von max. 100.000 Euro vorgesehen. 

Fazit

Die geplanten Veränderungen durch das IT-Sicherheitsgesetz 2.0 im Hinblick auf die Regelungen für kritische Infrastrukturen waren zu erwarten und sind konsequente Erweiterungen der bisherigen Gesetzgebung. Der erhöhte Bußgeldrahmen wird den Umsetzungsdruck bei den betroffenen Unternehmen deutlich erhöhen. Die Ausgestaltung der Regelungen zu Unternehmen im besonderen öffentlichen Interesse und zu kritischen Komponenten sind noch unklar. Zukünftig betroffene Unternehmen des Sektors Entsorgung und potentielle Unternehmen im besonderen öffentlichen Interesse sollten jetzt beginnen, ihre IT-Sicherheitsmaßnahmen zu überprüfen und ggf. Anpassungen einzuleiten. Bereits als kritische Infrastruktur eingestufte Unternehmen sollten sich auf die geplanten Änderungen vorbereiten. Die Erfahrung mit durch FIDES bereits durchgeführten KRITIS-Prüfungen (Prüfung nach § 8a BSIG) und Beratungen von Unternehmen der kritischen Infrastruktur zeigt, dass nahezu alle betroffenen Unternehmen erheblichen Anpassungsbedarf haben und die vom Gesetzgeber vorgegebene Frist, in denen eine Umsetzung erfolgt sein muss, in aller Regel nicht ausreicht.

Gerne stehe ich für weitere Fragen persönlich zur Verfügung: