Was ändert sich durch das IT-Sicherheitsgesetz 2.0?

Über den gesamtgesellschaftlichen Schutz und eine resiliente Wirtschaft hinaus, soll die Novellierung des, im Jahre 2015 erstmals in Kraft getretenen Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme auch zur Stärkung des Staates beitragen. Nachdem das zweite IT-Sicherheitsgesetz[1] im April zunächst vom Bundesrat – und anschließend im Mai vom Bundestag gebilligt wurde, trat es am 28. Mai 2021 in Kraft.

 

Was ist neu?

Die wesentlichen Neuerungen und Anpassungen des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0), werden im Folgenden genauer betrachtet.

Die Siedlungsabfallentsorgung als neuer KRITIS-Sektor

Ergänzend zu den neun Sektoren kritischer Infrastrukturen (KRITIS) ist gemäß des IT-SiG 2.0, nun auch die Siedlungsabfallentsorgung, d.h. Unternehmen der Entsorgungswirtschaft, zu den KRITIS zu zählen.

Zusätzliche Anforderungen an die KRITIS-Betreiber

Meldepflicht und Angriffserkennung[2]

Über die Meldepflicht erheblicher Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hinaus, wird KRITIS-Betreibern, mit dem IT-SiG 2.0 nun eine Informationspflicht auferlegt. Auf Wunsch des BSI sind sie zur Herausgabe aller zur Störungsbewältigung notwendigen Informationen (inkl. personenbezogener Daten) verpflichtet.

Zu den bereits geforderten technischen - und organisatorischen Sicherheitsvorkehrungen kommt nun der Einsatz von Angriffserkennungssystemen hinzu. Diese müssen Bedrohungen, kontinuierlich und auf der Grundlage von Mustern, während des laufenden Betriebs erkennen und vermeiden.

Kritische Komponenten

Durch das IT-SiG 2.0 haben KRITIS-Betreiber, dem Bundesministerium des Inneren (BMI), den Einbau und Einsatz kritischer Komponenten anzuzeigen. Dies sind IT-Produkte oder Funktionen, die in der kritischen Infrastruktur eingesetzt werden und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Welche Produkte und Funktionen zu den kritischen Komponenten gehören, wird je Sektor per Gesetz festgelegt.

Der Einsatz in KRITIS-Anlagen erfordert eine Garantieerklärung zum Nachweis der Vertrauenswürdigkeit des jeweiligen Herstellers der kritischen Komponente. Dieser muss den sichergestellten Ausschluss jener technischen Eigenschaften nachweisen, die geeignet sind, missbräuchlich auf die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Infrastruktur einwirken[3] zu können. Auf der Grundlage ihrer Prüfung, kann das BMI entsprechende Einsatzanforderungen formulieren oder den Einsatz untersagen.

Unternehmen im besonderen öffentlichen Interesse

Mit den Unternehmen im besonderen öffentlichen Interesse (UNBÖFI) hat auch eine neue Kategorie Einzug in das IT-Sicherheitsgesetz 2.0 gefunden. Sie gliedert sich in drei Gruppen:

  1. Unternehmen der Rüstungsindustrie.
  2. Unternehmen von erheblicher volkswirtschaftlicher Bedeutung sowie deren Zulieferer, sofern diese von wesentlicher Bedeutung für sie sind.[4]
  3. Unternehmen, die der Störfall-Verordnung (StöV) unterliegen sowie Betreiber von Betriebsbereichen, die mit Gefahrstoffen der oberen Klasse im Sinne der StöV arbeiten.

UNBÖFI sind zur Registrierung beim BSI – und mindestens alle zwei Jahre zur Vorlage einer Selbsterklärung der IT-Sicherheit verpflichtet. Sie muss Auskunft geben über:

  • durchgeführte Zertifizierungen im Bereich der IT-Sicherheit in den letzten zwei Jahren,
  • vorgenommene Sicherheitsaudits oder Prüfungen zur IT-Sicherheit,
  • die Realisierung und langfristige Sicherung eines angemessenen Schutzes besonders schutzwürdiger IT-Systeme, Komponenten oder Prozesse.

Für UNBÖFI besteht die Pflicht zur sofortigen Störungsmeldung, wenn es zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Wertschöpfung gekommen ist oder noch kommen könnte.

Neue Kompetenzen und Befugnisse für das BSI

Das IT-SiG 2.0 verleiht dem BSI zahlreiche Kompetenzen und Befugnisse. Die wichtigsten sind hierbei:

  • Das BSI definiert künftig den „Stand der Technik“ für sicherheitstechnischer Anforderungen an IT-Produkte.
  • Das BSI wird zur nationalen Stelle für Cybersicherheitszertifizierungen gemäß des Cyber Security Acts der EU.
  • Das BSI wird zur zentralen Meldestelle für die IT-Sicherheit auf nationaler Ebene.
  • Zur Detektion von Sicherheitsrisiken, darf das BSI Unternehmen und Infrastrukturen „angreifen“, um daraufhin Anforderungen zur Umsetzung von optimierenden Maßnahmen (z.B. erforderliche technische und organisatorische Maßnahmen) zu formulieren.
  • Zur Information und Warnung hinsichtlich sicherheitsrelevanter IT-Eigenschaften von IT-Produkten ist das BSI nun zur Untersuchung der auf dem Markt bereitgestellten IT-Produkte und IT-Systeme befugt.
  • Das BSI erhält 799 neue Stellen, wodurch die Mitarbeiteranzahl von 1.200 auf 1.999 ansteigt.

Mehr Tatbestände und verschärfte Sanktionen

Mit der Novellierung erhöht der Gesetzgeber die Anzahl der Tatbestände für Ordnungswidrigkeiten[5].

Gleichzeitig wurden die Höchstbeträge der Bußgelder in vier Stufen gestaffelt:

  1. Bis 100 Tsd. € sind bei Verstößen gegen rein formale Durchführungsvoraussetzungen der, dem Bundesamt übertragenen, Aufgaben zu zahlen.
  2. Bis 500 Tsd. € betrifft Verstöße, von denen eine erhebliche, aber nur mittelbare, Beeinträchtigung der IT-Sicherheit ausgeht.
  3. Bis 1 Mio. € sind bei der Missachtung von Pflichten im KRITIS-Bereich zu zahlen, die zu schwerwiegenden Beeinträchtigungen der IT-Sicherheit führen und die Aufgaben des Bundesamtes maßgeblich erschweren oder unmöglich machen.
  4. Bis 2 Mio. € sind bei Verstößen mit unmittelbarer Beeinträchtigung der IT-Sicherheit in Deutschland zu zahlen.

Bezugnehmend auf Fall 3) und Fall 4) ist darauf hinzuweisen, dass sich der Maximalbetrag auf 10 Mio. € bzw. 20 Mio. € verzehnfacht, sofern sich die Geldbuße gem. § 30 Abs. 1 OWiG gegen juristische Personen und Personenvereinigungen richtet (§30 Abs. 2 Satz 3 OWiG).

Das neue IT-Sicherheitskennzeichen

Im Sinne des Verbraucherschutzes über die IT-Sicherheit von Produkten festgelegter Kategorien, führt das BSI ein einheitliches und freiwilliges IT-Sicherheitskennzeichen ein, welches aus zwei Komponenten besteht.[6]:

  1. Der Zusicherung des Herstellers oder Dienstanbieters, dass das Produkt für eine festgelegte Dauer bestimmte IT-Sicherheitsanforderungen erfüllt (Herstellererklärung).
  2. Der Information des BSI über sicherheitsrelevante IT-Eigenschaften des Produktes (Sicherheitsinformation).

Diese, die Herstellererklärung betreffenden, IT-Sicherheitsanforderungen leiten sich aus geeigneten Quellen, d. h. Normen, Standards, branchenspezifischen IT-Sicherheitsvorgaben oder technischen Richtlinien des BSI, ab.

Fazit

Ein größerer Geltungsbereich, weitere Pflichten und empfindliche Sanktionen sind nur einige Aspekte des IT-SiG 2.0, die dessen Bedeutung für unsere inländische Wirtschaft zeigen. Gleichbedeutend mit diesen Aspekten ist auch, dass sowohl bisherige KRITIS-Betreiber als auch Unternehmen, die jetzt erst durch die Novellierung des IT-Sicherheitsgesetzes betroffen sind, vor zusätzlichen Herausforderungen stehen. Bei der Bewältigung dieser Herausforderungen unterstützen wir Sie gerne als verlässlicher und kompetenter Partner, damit Sie sich wieder auf Ihr Kerngeschäft konzentrieren können.

info@tts-security.com


[1] Das IT-Sicherheitsgesetz ist kein eigenständiges Gesetz, sondern ein Artikelgesetz, d.h. eine Sammlung von Änderungen und Erweiterungen schon bestehender Gesetze wie u.a. dem BSI-Gesetz (BSIG), dem Energiewirtschaftsgesetz (EnWG) und dem Telemediengesetz (TMG).

[2] Der Nachweis der Einhaltung aller Pflichten, ist durch die Sicherheitsumsetzung nach dem Stand der Technik (z. B. branchenspezifische Standards und Normen, wie B3S oder der ISO 27001) möglich.

[3] Das missbräuchliche Einwirken bezieht sich hierbei insbesondere auf den Zweck der Sabotage, Spionage oder des Terrorismus.

[4] Sowohl die Kennzahlen für die volkswirtschaftliche Bedeutung, aber auch die Alleinstellungsmerkmale der Zulieferer, werden noch durch die neue KRITIS-Rechtsverordnung definiert. Zu ihnen könnten die 100 größten Unternehmen Deutschlands nach inländischer Wertschöpfung (Großkonzerne und Industrie), zählen.

[5] vorsätzliche oder fahrlässige Verstöße gegen die KRITIS-Vorgaben

[6] Das IT-Sicherheitskennzeichen trifft keine Aussage über die, den Datenschutz betreffenden Eigenschaften eines Produktes.