IT-Sicherheitsgesetz 2.0 tritt in Kraft: mehr Cyberresilienz und Verbraucherschutz
Nach einer Diskussion, die bis in den März 2019 zurückreicht, wurde am 24. April 2021 das IT-Sicherheitsgesetz 2.0 im Bundestag verabschiedet, am 7.5.2021 stimmte der Bundesrats zu. Das Artikelgesetz bringt insbesondere Änderungen am Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und am Telekommunikationsgesetz. Mit Veröffentlichung im Bundesgesetzblatt werden Teile des Gesetzes in Kürze in Kraft treten.
BSI: Stärkere Befugnisse und Rolle als nationale Cybersicherheitsbehörde
Als Reaktion auf vermehrte Hackerangriffe auf Bundesbehörde in den vergangenen Jahren wird dem BSI die Befugnis eingeräumt, die Sicherheit der Kommunikationstechnik des Bundes zu kontrollieren. Für die Kontrollen erhält es auch Zugang zu Grundstücken und Betriebsräumen der Kommunikationstechnik des Bundes (§ 4a BSIG n.F.). Außerdem wird das BSI zur zentralen Meldestelle für Informationen von Dritten über IT-Sicherheitsrisiken (§ 4b BSIG n.F.).
Zusätzlich wird die Position des BSI dadurch gestärkt, dass das BSI gleichzeitig als nationale Behörde für die Cybersicherheitszertifizierung fungieren soll. Die Einrichtung der Behörde wird von der europäischen VO (EU) 2019/881 gefordert.
KRITIS-Betreiber und Unternehmen von besonderem öffentlichen Interesse werden stärker in die Pflicht genommen
Die Betreiber kritischer Infrastrukturen werden künftig dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen, um Bedrohungen kontinuierlich zu erfassen und auszuwerten (§ 8 a BSIG n.F.). Neu ist, dass auch für „Unternehmen im besonderen öffentlichen Interesse“ (§ 2 Nr. 17 BSIG n.F.) strengere Maßstäbe gelten. Diese haben nunmehr eine Selbsterklärung zur IT-Sicherheit vorzulegen, sich beim Bundesamt zu registrieren und eine erreichbare Stelle zu benennen (§ 8f Abs. 1 und 5 BSIG n.F.).
Information der Öffentlichkeit und Anordnungsbefugnisse, Portscans
Um seiner Schutzpflicht gegenüber Bürgerinnen und Bürgern nachzukommen, darf das BSI IT-Produkte und IT-Systeme, die auf dem Markt bereitgestellt werden, untersuchen und hierfür auch von Herstellern Auskünfte zu technischen Details verlangen (§ 7a Abs. 1 und 2 BSIG n.F.). Kommt ein Hersteller der Aufforderung durch das BSI nicht nach, darf das BSI künftig die Öffentlichkeit hierüber informieren (§ 7a Abs. 5 BSIG n.F.).
Nach dem neuen § 7b BSIG soll das BSI auch Portscans durchführen und Sinkholes sowie Honeypots einsetzen, um Sicherheitsrisiken aufzudecken und Unternehmen hierüber zu informieren. Dabei handelt es sich um Maßnahmen an den Schnittstellen bestimmter öffentlich erreichbarer IT-Systeme von öffentlichen Telekommunikationsnetzen.
Mehr Verbraucherschutz durch Beratung und Warnung
Eine wichtige Neuregelung im IT-Sicherheitsgesetz 2.0 betrifft die Befugnis, im öffentlichen Interesse künftig Verbraucher in Fragen der Sicherheit in der Informationstechnik zu warnen und zu beraten (§ 3 Abs. 1 S. 2 Nr. 14 a BSIG n.F.). Die Warnungen und Verbraucherinformationen sollen insbesondere mögliche Auswirkungen fehlender oder unzureichender Sicherheitsvorkehrungen betreffen.
Einführung eines freiwilligen IT-Sicherheitskennzeichens
Außerdem soll ein freiwilliges IT-Sicherheitskennzeichen eingeführt werden (§ 9c BSIG n.F.). Zweck des Kennzeichens ist es, für bestimmte Produktkategorien einheitlich und verständlich Informationen über die IT-Sicherheit darzustellen. Das IT-Sicherheitskennzeichen besteht aus einer Herstellererklärung und einer Sicherheitsinformation des BSI. Die Sicherheitsanforderungen, die einzuhalten sein werden, sollen in einer Technischen Richtlinie des BSI veröffentlicht werden (§ 9c Abs. 6 BSIG n.F.). Ob das freiwillige Kennzeichen auf dem Markt genutzt wird, bleibt abzuwarten.
5G-Mobilfunknetz als „kritische Komponente“
Einzug in das BSI-Gesetz erhält eine neue Regelung über „kritische Komponenten“. Hierbei handelt es sich laut Definition (§ 2 Abs. 13 BSIG n.F.) um IT-Produkte, die in kritischen Infrastrukturen eingesetzt werden, eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben und die entweder durch Gesetz als kritische Komponente bestimmt werden oder eine bestimmte kritische Funktion realisieren. Die Regelung wird insbesondere für den Ausbau der 5G-Mobilfunktechnik interessant und war heftig umstritten. Laut dem neuen § 9b Abs. 2 BSIG dürfen kritische Infrastrukturen nur eingesetzt werden, wenn der Hersteller eine Garantieerklärung in Form einer Erklärung über seine Vertrauenswürdigkeit abgegeben hat.
Aus der Garantieerklärung soll sich ergeben, ob und wie der Hersteller sicherstellt, dass über die kritische Komponente keine Zwecke der Sabotage, Spionage oder Terrorismus verfolgt werden können. Außerdem können vom Bundesministerium des Innern, für Bau und Heimat auch Untersagungen ausgesprochen werden, wenn die Vertrauenswürdigkeit nicht gewährleistet ist.
Was lange währt, wird endlich gut?
Das Bundesministerium (BMI) verspricht sich von der gesetzlichen Neufassung mehr Verbraucherschutz und eine bessere IT-Sicherheit in Unternehmen. Die Entwürfe, das organisatorische Vorgehen und das verabschiedete Gesetz wurden von Experten aus dem Bereich der IT-Sicherheit heftig kritisiert. Die Diskussionen um ein IT-Sicherheitsgesetz 3.0 werden nicht lange auf sich warten lassen.
-
Italienische Bußgeldwelle trifft deutsche Autofahrer
2.943
-
Wie kann die Verjährung verhindert werden?
2.041
-
Klagerücknahme oder Erledigungserklärung?
1.654
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
1.5782
-
Diese Compliance-Regelungen gelten für Geschenke und Einladungen
1.381
-
Brief- und Fernmelde-/ Kommunikationsgeheimnis: Was ist erlaubt, was strafbar?
1.380
-
Gerichtliche Ladungen richtig lesen und verstehen
1.340
-
Patronatserklärungen: Wirkung, Varianten und praktische Bedeutung
1.333
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
1.169
-
Wann muss eine öffentliche Ausschreibung erfolgen?
1.110
-
Cyber Resillience Report zeigt Anstieg der Ransomware-Attacken und höhere Zahlungsbereitschaft
14.11.2024
-
Risikoreicher Gehweg: Fußgänger stürzt auf Gehweg über Kante – haftet die Stadt?
18.10.2024
-
Bundeslagebild Cybercrime zeigt deutlichen Anstieg der Cyberkriminalität
30.08.2024
-
Strafanträge sind jetzt digital möglich
16.08.2024
-
Neues Selbstbestimmungsgesetz soll kurzfristig in Kraft treten
22.04.2024
-
EM in Deutschland: „Public Viewing“ bis in die Nacht
11.04.2024
-
Brief- und Fernmelde-/ Kommunikationsgeheimnis: Was ist erlaubt, was strafbar?
19.03.2024
-
Wann muss eine öffentliche Ausschreibung erfolgen?
05.03.2024
-
Wichtige Grundsätze des BGH zum Zeugnisverweigerungsrecht
07.02.2024
-
Reform des BND-Gesetzes spätestens zum 1. Januar 2024
25.09.2023