IT-Sicherheitsgesetz 2.0 für Cyberresilienz u. Verbraucherschutz

Ziel des Gesetzes ist eine Verbesserung der IT-Sicherheit der Bundesverwaltung durch die Stärkung der Rolle des Bundesamt für Sicherheit in der Informationstechnik (BSI). Außerdem ist die Ausweitung von Pflichten für die Betreiber „Kritischer Infrastrukturen“ (KRITIS) sowie von „Unternehmen von besonderem öffentlichen Interesse“ vorgesehen. Auch Verbraucher sollen von den Neuregelungen profitieren.

Nach einer Diskussion, die bis in den März 2019 zurückreicht, wurde am 24. April 2021 das IT-Sicherheitsgesetz 2.0 im Bundestag verabschiedet, am 7.5.2021 stimmte der Bundesrats zu. Das Artikelgesetz bringt insbesondere Änderungen am Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und am Telekommunikationsgesetz. Mit Veröffentlichung im Bundesgesetzblatt werden Teile des Gesetzes in Kürze in Kraft treten. 

BSI: Stärkere Befugnisse und Rolle als nationale Cybersicherheitsbehörde

Als Reaktion auf vermehrte Hackerangriffe auf Bundesbehörde in den vergangenen Jahren wird dem BSI die Befugnis eingeräumt, die Sicherheit der Kommunikationstechnik des Bundes zu kontrollieren. Für die Kontrollen erhält es auch Zugang zu Grundstücken und Betriebsräumen der Kommunikationstechnik des Bundes (§ 4a BSIG n.F.). Außerdem wird das BSI zur zentralen Meldestelle für Informationen von Dritten über IT-Sicherheitsrisiken (§ 4b BSIG n.F.).

Zusätzlich wird die Position des BSI dadurch gestärkt, dass das BSI gleichzeitig als nationale Behörde für die Cybersicherheitszertifizierung fungieren soll. Die Einrichtung der Behörde wird von der europäischen VO (EU) 2019/881 gefordert.

KRITIS-Betreiber und Unternehmen von besonderem öffentlichen Interesse werden stärker in die Pflicht genommen

Die Betreiber kritischer Infrastrukturen werden künftig dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen, um Bedrohungen kontinuierlich zu erfassen und auszuwerten (§ 8 a BSIG n.F.). Neu ist, dass auch für „Unternehmen im besonderen öffentlichen Interesse“ (§ 2 Nr. 17 BSIG n.F.) strengere Maßstäbe gelten. Diese haben nunmehr eine Selbsterklärung zur IT-Sicherheit vorzulegen, sich beim Bundesamt zu registrieren und eine erreichbare Stelle zu benennen (§ 8f Abs. 1 und 5 BSIG n.F.).

Information der Öffentlichkeit und Anordnungsbefugnisse, Portscans

Um seiner Schutzpflicht gegenüber Bürgerinnen und Bürgern nachzukommen, darf das BSI IT-Produkte und IT-Systeme, die auf dem Markt bereitgestellt werden, untersuchen und hierfür auch von Herstellern Auskünfte zu technischen Details verlangen (§ 7a Abs. 1 und 2 BSIG n.F.). Kommt ein Hersteller der Aufforderung durch das BSI nicht nach, darf das BSI künftig die Öffentlichkeit hierüber informieren (§ 7a Abs. 5 BSIG n.F.).

Nach dem neuen § 7b BSIG soll das BSI auch Portscans durchführen und Sinkholes sowie Honeypots einsetzen, um Sicherheitsrisiken aufzudecken und Unternehmen hierüber zu informieren. Dabei handelt es sich um Maßnahmen an den Schnittstellen bestimmter öffentlich erreichbarer IT-Systeme von öffentlichen Telekommunikationsnetzen.

Mehr Verbraucherschutz durch Beratung und Warnung

Eine wichtige Neuregelung im IT-Sicherheitsgesetz 2.0 betrifft die Befugnis, im öffentlichen Interesse künftig Verbraucher in Fragen der Sicherheit in der Informationstechnik zu warnen und zu beraten (§ 3 Abs. 1 S. 2 Nr. 14 a BSIG n.F.). Die Warnungen und Verbraucherinformationen sollen insbesondere mögliche Auswirkungen fehlender oder unzureichender Sicherheitsvorkehrungen betreffen.

Einführung eines freiwilligen IT-Sicherheitskennzeichens

Außerdem soll ein freiwilliges IT-Sicherheitskennzeichen eingeführt werden (§ 9c BSIG n.F.). Zweck des Kennzeichens ist es, für bestimmte Produktkategorien einheitlich und verständlich Informationen über die IT-Sicherheit darzustellen. Das IT-Sicherheitskennzeichen besteht aus einer Herstellererklärung und einer Sicherheitsinformation des BSI. Die Sicherheitsanforderungen, die einzuhalten sein werden, sollen in einer Technischen Richtlinie des BSI veröffentlicht werden (§ 9c Abs. 6 BSIG n.F.). Ob das freiwillige Kennzeichen auf dem Markt genutzt wird, bleibt abzuwarten.

5G-Mobilfunknetz als „kritische Komponente“

Einzug in das BSI-Gesetz erhält eine neue Regelung über „kritische Komponenten“. Hierbei handelt es sich laut Definition (§ 2 Abs. 13 BSIG n.F.) um IT-Produkte, die in kritischen Infrastrukturen eingesetzt werden, eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben und die entweder durch Gesetz als kritische Komponente bestimmt werden oder eine bestimmte kritische Funktion realisieren. Die Regelung wird insbesondere für den Ausbau der 5G-Mobilfunktechnik interessant und war heftig umstritten. Laut dem neuen § 9b Abs. 2 BSIG dürfen kritische Infrastrukturen nur eingesetzt werden, wenn der Hersteller eine Garantieerklärung in Form einer Erklärung über seine Vertrauenswürdigkeit abgegeben hat.

Aus der Garantieerklärung soll sich ergeben, ob und wie der Hersteller sicherstellt, dass über die kritische Komponente keine Zwecke der Sabotage, Spionage oder Terrorismus verfolgt werden können. Außerdem können vom Bundesministerium des Innern, für Bau und Heimat auch Untersagungen ausgesprochen werden, wenn die Vertrauenswürdigkeit nicht gewährleistet ist.

Was lange währt, wird endlich gut?

Das Bundesministerium (BMI) verspricht sich von der gesetzlichen Neufassung mehr Verbraucherschutz und eine bessere IT-Sicherheit in Unternehmen. Die Entwürfe, das organisatorische Vorgehen und das verabschiedete Gesetz wurden von Experten aus dem Bereich der IT-Sicherheit heftig kritisiert. Die Diskussionen um ein IT-Sicherheitsgesetz 3.0 werden nicht lange auf sich warten lassen.


Schlagworte zum Thema:  IT-Sicherheit, Verbraucherschutz