IT-Sicherheitsgesetz 2.0: Hintergründe, Kernpunkte und weitere Entwicklung

Inhaltsverzeichnis

    Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, bekannt als IT-Sicherheitsgesetz, ist vor allem für Betreiber kritischer Infrastrukturen die maßgebliche Grundlage für die Ausrichtung der notwendigen IT-Sicherheitsmaßnahmen. Die neue Fassung des Gesetzes definiert nicht nur einen erweiterten Geltungsbereich, sondern auch vermehrte Pflichten für betroffene Unternehmen. Das geht mit einer umfangreichen Befugniserweiterung für das Bundesamt für Sicherheit in der Informationstechnik (BSI) einher.

    Im Vorfeld wurden zahlreiche Referentenentwürfe verfasst und veröffentlicht. Allein in der Phase vom 19.11. bis 16.12.2020 waren es fünf Versionen mit teils erheblichen Anpassungen. Die mangelnde Beteiligung von Verbänden, Experten und interessierten Kreisen bei der inhaltlichen Gestaltung wurde von verschiedenen Seiten massiv kritisiert.

    Bevor wir auf die Neuerungen im IT-Sicherheitsgesetz eingehen, verschaffen wir uns in diesem Artikel einen Überblick über die Hintergründe und die Entwicklungen, die zur Verabschiedung des IT-Sicherheitsgesetzes geführt haben. Wir beleuchten die Zielgruppen sowie die Anforderungen, die das Gesetz vorgibt.

    Daran anschließend befassen wir uns mit dem Weg, den das IT-SiG 2.0 im Gesetzgebungsprozess durchlaufen hat. Außerdem zeigen wir die wesentlichen Änderungen im Gesetz auch im Kontext mit der von Verbänden und Fachkreisen geäußerten Kritik auf.

    Die Wurzeln des Gesetzes

    Cyber-Sicherheitsstrategie für Deutschland

    Im Februar 2011 gab das Bundesministerium des Innern (BMI) in der „Cyber-Sicherheitsstrategie für Deutschland“ die Zielsetzung vor: Die Verfügbarkeit der weltweit vernetzten Informationsinfrastrukturen wird als „existentielle Frage des 21. Jahrhunderts“ bezeichnet. Die ganzheitliche Absicherung dieser Strukturen sei eine Gemeinschaftsaufgabe für Staat, Gesellschaft und Wirtschaft auf nationaler wie auch auf internationaler Ebene. IT-Infrastrukturen werden als essenzielle Grundlage für gesellschaftliches und wirtschaftliches Leben dargestellt, die unseren Wohlstand begründet. Die Cyber-Sicherheitsstrategie ist ausgerichtet auf eine Balance zwischen der möglichst optimalen Nutzung und einer ausreichenden Absicherung dieser Infrastrukturen.

    Punkt 1 der strategischen Ziele und Maßnahmen betrifft den Schutz kritischer Infrastrukturen, die für die Versorgung der Gesellschaft eine grundlegende Bedeutung haben. Das Strategiepapier bezeichnet den Startschuss für das Nationale Cyber-Abwehrzentrum NCAZ (Punkt 4 der strategischen Ziele) und des Nationalen Cyber-Sicherheitsrates (Punkt 5).

    Im November 2016 beschloss die Bundesregierung eine neue Cyber-Sicherheitsstrategie für Deutschland. Darin sind vier Handlungsfelder für die fortschreitende Entwicklung in der Digitalisierung definiert. Die Ergebnisse aus der Evaluierung zur Messbarkeit und Wirksamkeit der definierten Maßnahmen ergaben zusammen mit einer Cyber-Sicherheitsarchitektur Mitte des Jahres 2021 eine aktualisierte Cyber-Sicherheitsstrategie.

    Digitale Agenda der Bundesregierung

    Richtungsweisend für die Entwicklung von Cyber-Sicherheitsmaßnahmen und damit für den Weg hin zum IT-Sicherheitsgesetz ist die Digitale Agenda der Bundesregierung aus dem Jahr 2014. Sie listet unter den sieben Handlungsfeldern, die Deutschland bei der zunehmenden Digitalisierung voranbringen sollen, das Feld „Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft“. Darin wird die Notwendigkeit von „Sicherheit und Schutz im Netz für Verbraucherinnen und Verbraucher und Unternehmen“ hervorgehoben. Außerdem findet sich darin die Anforderung, sowohl Daten als auch die „Integrität und Verfügbarkeit der digitalen Infrastrukturen“ zu schützen.

    Die Umsetzung dieses Ziels brachte im Juli 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, das IT-Sicherheitsgesetz hervor.

    Kontext EU: NIS-Richtlinie

    Um das Sicherheitsniveau von IT-Systemen und -Netzen innerhalb des gemeinsamen EU-Binnenraums zu gewährleisten, trat im August 2016 die NIS-Richtlinie der EU in Kraft. Diese Richtlinie stellt ein Gegenstück zum deutschen IT-Sicherheitsgesetz mit zahlreichen inhaltlichen Parallelen dar, weswegen Deutschland dafür bereits gut gerüstet war. Die NIS-Richtlinie begründet den einheitlichen Rechtsrahmen für die Kooperation der Mitgliedsstaaten im Kontext Cybersicherheit und definiert Mindestanforderungen. Außerdem werden Meldepflichten für Kritische Infrastrukturen und bestimmte online-Dienste innerhalb der Europäische Union eingeführt.

    Der Verpflichtung, die EU-Richtlinie in nationales Recht umzusetzen, ist Deutschland mit dem Gesetz zur Umsetzung der NIS-Richtline im Juni 2017 nachgekommen.

    Zielgruppen des IT-SiG und relevanter Inhalt

    Das IT-Sicherheitsgesetz adressiert vier Zielgruppen und definiert deren Pflichten entsprechend der Zielsetzung.

    Betreiber von kritischen Infrastrukturen – eingestuft durch die BSI-Kritisverordnung

    Wer die betroffenen Unternehmen der kritischen Infrastrukturen sind, die in den Geltungsbereich des IT-SiG fallen, muss anhand von messbaren und nachvollziehbaren Kriterien definierbar sein. Dafür wurde im Februar 2016 die Rechtsverordnung zur Bestimmung kritischer Infrastrukturen/BSI-KritisV als Ergänzung zum IT-Sicherheitsgesetz erlassen. Darin sind betroffene Sektoren festgelegt sowie die Schwellenwerte für deren Anlagenkategorien. Erreicht ein Unternehmen die vorgegebenen Schwellenwerte, zum Beispiel für die Versorgung von 500.000 Personen mit Energie oder Wasser, so ist es als betroffenes Unternehmen eingestuft und unterliegt den Bestimmungen des IT-Sicherheitsgesetzes.

    Betreiber in den definierten Sektoren müssen jährlich prüfen, ob ihre Anlagen die aktuell geltenden Schwellenwerte erreichen und solche Infrastrukturen dem BSI melden.

    Die Einstufungen für den Geltungsbereich des IT-Sicherheitsgesetzes sollen alle zwei Jahre einer Evaluierung unterzogen werden.

    Mit Gültigkeit ab Juli 2015 bestimmt die BSI-Kritisverordnung folgende KRITIS-Sektoren:

    • Energie (Elektrizität, Gas, Kraftstoff- und Heizöl, Fernwärme)
    • Wasser (Trinkwasser, Abwasser)
    • Ernährung (Lebensmittelversorgung)
    • Informationstechnik und (andere) Telekommunikation (Sprach- und Datenübertragung, Datenspeicherung und -verarbeitung)
    • Kernkraftwerke sind direkt vom IT-SiG betroffen, ungeachtet von Schwellenwerten
    • Telekommunikationsunternehmen sind direkt vom IT-SiG betroffen, ungeachtet von Schwellenwerten

    Per Änderungsverordnung bis Ende 2016 zusätzlich definierte KRITIS-Sektoren:

    • Transport und Verkehr (Personen- und Güterverkehr u.a. im ÖPNV, Logistik, sowie nach Schwellenwerten)
    • Gesundheit (stationäre medizinische Versorgung, lebenserhaltende Medizinprodukte, verschreibungspflichtige Arzneimittel, Blut- und Plasmakonzentrate, Labordiagnostik)
    • Finanz- und Versicherungswesen (Bargeldversorgung, konventioneller und kartengestützter Zahlungsverkehr, Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften, Versicherungsdienstleistungen.

    Die Zweite Verordnung zur Änderung der BSI-Kritisverordnung vom September 2021, die das neue IT-Sicherheitsgesetz konkret auslegt, listet zusätzliche Geltungsbereiche ab 1. Januar 2022:

    • Siedlungsabfall-Entsorgung (Sammlung, Beseitigung und Verwertung von Abfall)
    • Unternehmen von besonderem öffentlichen Interesse (UBI) – (Rüstung und Verschlusssachen, Gefahrenstoffe, Unternehmen mit erheblicher volkswirtschaftlicher Bedeutung)

    Gesetzliche Anforderungen für die Betreiber Kritischer Infrastrukturen

    Absicherung nach dem Stand der Technik

    Das IT-Sicherheitsgesetz verpflichtete betroffene Unternehmen in einem Zeitrahmen von zwei Jahren ab Inkrafttreten der BSI-Kritisverordnung, die IT-Infrastruktur, die für die Erbringung ihrer Dienste notwendig ist, nach dem „Stand der Technik“ abzusichern. Der Stand der Technik ist im IT-Grundschutz-Kompendium des BSI folgendermaßen beschrieben: „Anforderungen und Maßnahmen, die den Stand der Technik abbilden, entsprechen dem, was zum jeweiligen Zeitpunkt einerseits technisch fortschrittlich und anderseits in der Praxis als geeignet erwiesen haben.“

    Eine regelmäßige Überprüfung der Maßnahmen und ein Nachweis im Abstand von jeweils zwei Jahren ist obligatorisch. 

    Der Gesetzgeber rät zur Erarbeitung branchenspezifischer Sicherheitsstandards (B3S) durch Betreiber oder Verbände, die vorgeben, wie der Stand der Technik erfüllt werden kann und prüft die Eignung der verfassten Standards in einem definierten Verfahren. Eine festgestellte Eignung hat eine Gültigkeit von zwei Jahren und muss danach erneut erfolgen. Nach erfolgreicher Eignungsprüfung eines B3S werden die relevanten Daten auf der Website des BSI veröffentlicht.

    ISMS als Bestandteil des Mindeststandards für den Energiesektor

    Für die IT-Sicherheit im Energiesektor definiert die Bundesnetzagentur im Benehmen mit dem BSI Mindeststandards für den sicheren Netzbetrieb. In den IT-Sicherheitskatalogen für Betreiber von Strom- und Gasnetzen und Energieanlagen ist die Anforderung zum Aufbau eines ISMS (Informationssicherheitsmanagementsystem) nach DIN ISO/IEC 27001  festgelegt.

    Meldepflichten und Kontaktstelle

    Die benannten Sektoren wurden mit Inkrafttreten der BSI-Kritisverordnung zur Meldung erheblicher Sicherheitsvorfälle (auch) an das BSI verpflichtet, eine Anforderung, die das IT-SiG bereits für Kernkraftwerke und Telekommunikationsunternehmen verfügt hatte. Dafür war innerhalb einer Frist von sechs Monaten ab Inkrafttreten der Verordnung dem BSI eine 24/7-Kontaktstelle im Unternehmen bekanntzugeben.

    Orientierung für Lieferanten

    Für Betreiber Kritischer Infrastrukturen, die vom IT-SiG betroffen sind, ist das Sicherheitsniveau von Produkten und Dienstleistungen, die sie zur Erbringung ihrer Leistung oder zur Herstellung ihrer Erzeugnisse verwenden, relevant.

    Die entsprechenden Anforderungen an Lieferanten hat UP KRITIS, eine öffentlich-private Partnerschaft zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen als „Best-Practice-Empfehlungen zur Gewährleistung der Informationssicherheit in kritischen Infrastrukturen und „Empfehlungen zu Entwicklung und Einsatz von in kritischen Infrastrukturen eingesetzten Produkten“ herausgegeben. Lieferanten, deren Produkte dieses Sicherheitsniveau aufweisen, ersparen den Betreibern kritischer Infrastrukturen aufwändige Zusatzmaßnahmen, um das Sicherheitsniveau vor Ort entsprechend zu gewährleisten. Solche Lieferanten haben in diesem Marktsegment einen Wettbewerbsvorteil.

    Betreiber von Webangeboten

    Das IT-Sicherheitsgesetzt erhöht die organisatorischen und technischen Anforderungen für Betreiber von Websites und kommerzielle Onlineshops. Ziel ist der Schutz der Kundendaten und der für den Betrieb der Webseiten erforderlichen IT-Systeme. 

    Telekommunikationsunternehmen

    Betreiber öffentlicher Telekommunikationsdienste und -Netze werden dazu verpflichtet, die Daten ihrer Kunden vor Missbrauch zu schützen.

    Gesetzliche Anforderungen an Telekommunikationsunternehmen

    Warnung vor Gefahren und Hilfe bei Problembehebung

    Die Unternehmen werden verpflichtet, ihre Kunden zu warnen, wenn sie Kenntnis davon erlangen, dass Anschlüsse für Cyberangriffe missbraucht werden. Damit geht die Aufforderung zur Unterstützung bei der Problembehebung einher.

    Absicherung nach dem Stand der Technik

    Die IT-Sicherheitsmaßnahmen der Provider müssen dem Stand der Technik entsprechen, um personenbezogene Daten und die Infrastruktur vor unerlaubten Zugriffen zu schützen.

    Meldepflicht

    Die Meldepflicht für erhebliche IT-Sicherheitsvorfälle wird erweitert, so dass neben der Bundesnetzagentur auch das BSI informiert werden muss.

    BSI Bundesamt für Sicherheit in der Informationstechnik

    Das IT-Sicherheitsgesetz weitet die Befugnisse des BSI aus und ändert dafür das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Im BSI-Gesetz werden Begriffserklärungen für Informationstechnik im Sinne des Gesetzes definiert sowie die Aufgaben und Befugnisse des BSI, das dem Bundesministerium des Innern, für Bau und Heimat nachgeordnet ist, festgelegt. Außerdem regelt das BSI-Gesetz die Löschung personenbezogener Daten.

    Aufgaben des BSI

    Sicherstellen der IT-Sicherheit für Unternehmen und Bundesverwaltung

    Dazu gehört das Untersuchen der Sicherheit von IT-Produkten und das Erarbeiten von Mindeststandards für die Bundesverwaltung. Im Rahmen einer Zertifizierung wird die Sicherheitsfunktionalität von IT-Produkten und IT-Systemen nach technischen Kriterien entsprechend der BSI-Sicherheitsvorgaben und Richtlinien validiert. Eine Zertifizierung wird auf Anfrage eines Herstellers initiiert.

    Sammlung IT-sicherheitsrelevanter Informationen

    Das BSI hat die Aufgabe, Informationen, die die IT-Sicherheit für kritische Infrastrukturen gefährden, zu sammeln und relevante Informationen an die Betreiber beziehungsweise an betroffene Unternehmen sowie an die zuständigen Aufsichtsbehörden weiterzuleiten.

    BSI-Lagebericht

    In einem jährlichen Bericht hat das BSI die Öffentlichkeit über aktuelle Gefahren für die IT-Sicherheit zu informieren („Die Lage der IT-Sicherheit in Deutschland“) und die Sensibilisierung für das Thema zu unterstützen.

    Das IT-SiG als Artikelgesetz

    Das IT-Sicherheitsgesetz ist ein sogenanntes Artikelgesetz oder Mantelgesetz. Das bedeutet, dass es mehrere bestehende Gesetze vereint und hinsichtlich einer bestimmten Thematik gleichzeitig ändert. Es fungiert als Rahmen dieser Gesetze mit der Zielsetzung der nachhaltigen Absicherung der IT-Sicherheit. Der Schwerpunkt liegt auf der Sicherheit von Kritischen Infrastrukturen. Die einzelnen Artikel des Artikelgesetzes referenzieren die Änderungen in den jeweiligen Gesetzen.

    Das IT-Sicherheitsgesetz ist der Rahmen für folgende Gesetze beziehungsweise relevante Teile davon:

    • BSI-Gesetz
    • Energiewirtschaftsgesetz
    • Telemediengesetz
    • Telekommunikationsgesetz
    • Atomgesetz
    • Bundeskriminalamtsgesetz
    • Gesetz zur Strukturreform des Gebührenrechts des Bundes
    • Bundesbesoldungsgesetz

    Der Unterschied zwischen Gesetzen und Verordnungen

    Gesetze fallen in die Zuständigkeit der Legislative. Auf Bundesebene werden sie in den meisten Fällen durch die Bundesregierung als Entwurf eingebracht und dem Bundesrat, also der Ländervertretung, zur Stellungnahme übergeben. Gesetzesinitiativen können auch durch den Bundesrat oder durch die “Mitte des Parlaments”, das heißt von einer Fraktion oder von 5% der Abgeordneten, eingebracht werden.

    Nach der Stellungnahme des Bundesrats wird im Plenum in drei Lesungen über die Gesetzesvorlage beraten und darüber abgestimmt. Wird dabei eine Zweidrittelmehrheit im Bundestag erreicht, wird die Gesetzesvorlage, nachdem sie noch einige formale Stationen durchlaufen hat, zum rechtskräftigen Gesetz.

    Rechtsverordnungen sind „Gesetze im formellen Sinn“ und definieren die Umsetzung eines Gesetzes. Sie werden von der Exekutive (vollziehende Gewalt), also der Verwaltung, erarbeitet, die vom Gesetzgeber ermächtigt wird, Details zu einem Gesetz zu regeln.

    Gesetze legen das Grundsätzliche fest, das „Was“. Verordnungen definieren das „Wie“, die Art und Weise, wie Gesetze konkret umzusetzen sind.

    Wie das IT-Sicherheitsgesetz konkret umzusetzen ist, wird in der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz, auch BSI-Kritisverordnung genannt, beschrieben.

    Vom Referentenentwurf zum Gesetzentwurf

    Bevor die Bundesregierung einen Gesetzentwurf in den Gesetzgebungsprozess einbringen kann, muss der konkrete Inhalt erarbeitet werden. Dies wird von den Referaten in den zuständigen Bundesministerien übernommen, wo die Referentenentwürfe erstellt werden Das IT-SiG 2.0 fällt in den Zuständigkeitsbereich der Abteilung CI (Cyber- und Informationssicherheit) im Bundesministerium des Innern, für Bau und Heimat.

    Die vom Gesetzentwurf betroffenen Bundesministerien müssen in die Ausarbeitung der Inhalte einbezogen werden. Wenn europarechtliche Überprüfungen erforderlich sind, dann ist neben dem Bundesministerium für Wirtschaft und Technologie und dem Ministerium für Justiz auch das Auswärtige Amt involviert.

    Im Verlauf der Abstimmungen zwischen den Ministerien kann es mehrere Referentenentwürfe geben. Das zuständige Referat ist dafür zuständig, dass Referentenentwürfe mit entsprechenden Hinweisen zum Stand der Abstimmungen zwecks rechtzeitiger Beteiligung am Gesetzgebungsverfahren an Zentral- und Gesamtverbände sowie Fachkreise zur Stellungnahme geschickt werdenGeregelt ist dies im § 47 Absatz 3 GGO (Gemeinsame Geschäftsordnung der Bundesministerien), wo auch die Beteiligung von Fachkreisen und Experten bei mündlichen Anhörungen festgeschrieben ist.

    Die Entscheidung darüber, ob die Presse und andere Organisationen oder Personen, die amtlich nicht beteiligt sind, den Gesetzentwurf erhalten oder ob er im Internet veröffentlicht wird, obliegt dem zuständigen Bundesministerium oder dem Bundeskanzleramt, wenn es sich um Gesetzesentwürfe mit „grundsätzlicher politischer Bedeutung“ handelt (§48 GGO).

    Erst nach der Abstimmung mit den betroffenen Bundesministerien und der Einbeziehung der Stellungnahmen der Fachkreise und Verbände auf Bundesebene wird der Gesetzentwurf der Bundesregierung zum Beschluss vorgelegt.

    Erschwerte Bedingungen für Stellungnahmen zu Referentenentwürfen zum IT-SiG 2.0

    Die Beteiligung der Fachkreise und Verbände an den Inhalten der Referentenentwürfe für das neue IT-Sicherheitsgesetz erfolgte unter erschwerten Bedingungen.

    Bei den Veröffentlichungen der verschiedenen Versionen wurden die Änderungen gegenüber der Vorgängerversion nicht kenntlich gemacht, wie dies im §49 (1) GGO eigentlich festgelegt ist. Die Fristen, die für eine Stellungnahme jeweils eingeräumt wurden, waren außerdem sehr knapp bemessen. Beim 3. Referentenentwurf vom 19.11.2020 räumte das BMI den Fachkreisen und Verbänden zunächst zweieinhalb Tage Zeit für das Einreichen einer Stellungnahme ein, die dann auf fünf Tage verlängert wurden. Für den Referentenentwurf vom 09.12.2020, der einem Entwurf vom 01.12.2020 folgte, war die Frist für die Prüfung des über hundert Seiten umfassenden Entwurfs und die Einreichung einer Stellungnahme auf nur mehr einen Tag begrenzt. Dabei war die Beschlussfassung des Kabinetts für den 16. Dezember anvisiert. Eine inhaltliche Berücksichtigung der Stellungnahmen der Fachkreise und Verbände war damit ziemlich unwahrscheinlich. Dies hat, neben inhaltlichen Punkten, große Kritik hervorgerufen.

    Der Weg vom Gesetzentwurf des IT-SiG 2.0 zum rechtskräftigen Gesetz

    Gesetzentwürfe werden von der Bundesregierung an den Bundesrat zur Stellungnahme überstellt. Der Bundesrat hat den Gesetzentwurf der Bundesregierung „Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ am 01.01.2021 erhalten und ihn zusammen mit der Stellungnahme der Ländervertretung innerhalb der vorgegebenen Frist von vier Wochen an den Bundestag weitergeleitet. Die Bundesregierung hat auf die Stellungnahme des Bundesrats eine Gegenäußerung verfasst.

    Im Bundestag folgte die erste Lesung im Plenum und die Bildung fraktionsübergreifender Ausschüsse, wo die inhaltliche Beratung stattfand. Interessenvertreter und Experten wurden bei einer öffentlichen Anhörung am 1. März gehört, die schriftlichen Stellungnahmen sind veröffentlicht.

    In der zweiten Lesung debattierten die Abgeordneten im Bundestag über den Gesetzentwurf und stimmten über die Änderungsanträge ab. Die Schlussabstimmung erfolgte in der dritten Lesung. 

    Nach der Zustimmung des Bundesrats und der Unterzeichnung durch Bundeskanzlerin Angela Merkel sowie der zuständigen Fachminister wurde das Gesetz vom Bundespräsidenten auf Verfassungsmäßigkeit geprüft und auch von ihm unterzeichnet. Das Gesetz trat 14 Tage nach der Ausgabe des Bundesgesetzblattes, in dem es veröffentlicht wurde, in Kraft.

    Gesetzentwurf IT-SiG 2.0 – Inhalte

    „Inhaltlich sieht das Gesetz Regelungen zum Schutz der Bundesverwaltung, zum Schutz der kritischen Infrastrukturen, zum Schutz weiterer Unternehmen im besonderen öffentlichen Interesse sowie zum Verbraucherschutz vor.“, so beschreibt das Referat CI1 des BMI in seinem Anschreiben an die Fachkreise und Verbände den Inhalt des Gesetzentwurfs.

    Die Kernpunkte des Referentenentwurfs vom 09.12.2020 verdeutlichen eine Befugnis-Erweiterung für das BSI, bei dem dafür entsprechend viele neue Stellen geschaffen werden

    Artikel 1 – Änderungen des BSI-Gesetzes jeweils mit der Zielsetzung der Gefahrenabwehr

    • Dem BSI werden Kontroll- und Prüfbefugnisse gegenüber der gesamten Bundesverwaltung übertragen. Es darf Protokolldaten für die Kommunikationstechnik für 12 Monate speichern.
    • Das BSI darf Protokollierungsdaten (die beim Betrieb von Kommunikationstechnik des Bundes anfallen) verarbeiten, das BSI-Gesetz wird entsprechend ergänzt.
    • Verbraucherschutz wird in den BSI-Aufgabenkatalog mit aufgenommen.
    • Das BSI darf von Anbietern von Telekommunikationsdiensten die Herausgabe von Bestandsdaten verlangen.
    • Hersteller von IT-Produkten werden verpflichtet, dem BSI Auskunft zu ihren Produkten zu liefern.
    • Das BSI darf Portscans an Schnittstellen zu öffentlichen Telekommunikationsnetzen durchführen sowie Honeypots einsetzen (Systeme und Maßnahmen zur Analyse von Schadprogrammen und Angriffsmethoden).
    • Das BSI darf bei entsprechender Bedrohungslage Maßnahmen gegenüber Telekommunikations- und Telemedienunternehmen anordnen.
    • Der Mindeststandard des BSI muss auch von IT-Dienstleistern des Bundes eingehalten werden.
    • Das BSI wird frühzeitig bei Digitalisierungsvorhaben des Bundes eingebunden.
    • KRITIS-Betreiber müssen Angriffserkennungssysteme einsetzen.
    • Erweiterung der Meldepflicht auf Unternehmen des öffentlichen Interesses, Rüstungsindustrie, Verschlusssachen-IT, Unternehmen mit hoher Wertschöpfung und besonderer volkswirtschaftlicher Bedeutung, Unternehmen, die der Regulierung durch die Störfallverordnung unterliegen (zum Beispiel aufgrund des Einsatzes gefährlicher Stoffe).
    • Das BSI regelt die Untersagung des Einsatzes kritischer Komponenten, für die eine Zertifizierungspflicht besteht.
    • Die Einführung der Grundlage eines einheitlichen IT-Sicherheitskennzeichens soll IT-Sicherheitsfunktionen von Produkten für Verbraucher sichtbar machen.
    • Neufassung der Bußgeldvorschrift (Strafen bis 2 Mio. EUR).

    Artikel 2 – Änderungen im Telekommunikationsgesetz (TKG)

    schafft eine Rechtsgrundlage für einen Katalog von Sicherheitsanforderungen für den Betrieb von Telekommunikations- und Datenverarbeitungssystemen und die Verarbeitung von personenbezogenen Daten.

    Artikel 3 – Änderungen des Gesetzes über die Elektrizitäts- und Gasversorgung (ENWG)

    Für Energieversorger und Energieanlagen als Betreiber Kritischer Infrastrukturen besteht die Pflicht, Systeme zur Angriffserkennung einzuführen.

    Artikel 4 – Änderung der Außenwirtschaftsverordnung (AWV)

    Einführung von Definitionen für kritische Komponenten im BSI-Gesetz und eine Anzeigepflicht des Betreibers gegenüber dem BMI vor dem Einsatz.

    Artikel 5 – Änderung des Zehnten Buches Sozialgesetzbuch (SGB X)

    Das BSI darf bei entsprechendem Bedarf Sozialdaten verarbeiten.

    Artikel 6

    enthält Bestimmungen zur Evaluierung des Gesetzes.

    Kritik am Gesetzentwurf des IT-SiG 2.0

    Der Gesetzentwurf zum IT-SiG 2.0 rief unter Experten und Fachkreisen viel Kritik hervor, die in der Anhörung im Ausschuss am 01.03.21 geäußert und in den schriftlichen Stellungnahmen umfänglich festgehalten ist. Darunter finden sich unter anderem die nachfolgenden Punkte:

    Eine Evaluierung für das IT-SiG 1.0 fehlt – Erkenntnisse fließen nicht in das IT-SiG 2.0 ein

    Die im Artikel 10 des IT-SiG von 2015 gesetzlich vorgeschriebene Evaluierung der Wirksamkeit der Maßnahmen unter Einbeziehung eines wissenschaftlichen Sachverständigen hat nicht stattgefunden. Experten kritisierten, dass im neuen IT-Sicherheitsgesetz wichtige Erkenntnisse zum aktuellen Stand und zur Wirksamkeit von Maßnahmen fehlen, beispielsweise hinsichtlich der definierten Schwellenwerte und der Erreichung der Schutzziele. Die Durchführung der Evaluierung und die Berücksichtigung der daraus resultierenden Erkenntnisse im IT-SiG 2.0 wurde von der AfD in einem entsprechenden Antrag während der ersten Lesung eingefordert. Der Antrag wurde entsprechend der Beschlussempfehlung des Ausschusses für Inneres und Heimat (4. Ausschuss) abgelehnt.

    Unzureichende Beteiligung der Zivilgesellschaft führt zu einem Mangel an Expertise

    Die „Zivilgesellschaft“, vertreten durch Fachkreise, Verbände und Experten sowie die Vertreter der Wissenschaft, wurde nicht ausreichend in das Gesetzgebungsverfahren eingebunden und beteiligt. Die Kritik bezog sich auf die Tatsache, dass nicht alle Referentenentwürfe dem Fachpublikum zugänglich gemacht wurden und auf die extrem kurzen Fristen für die Einreichung von Stellungnahmen zu komplexen Sachverhalten. Dies führte in der Folge dazu, dass wichtige Inhalte und Sichtweisen von Experten und Beteiligten nicht in den Gesetzentwurf Einzug gehalten haben. Für die Sicherheit Kritischer Infrastrukturen und die Folgen, die Sicherheitslücken für die Gesellschaft haben können, ist dieser Mangel schwerwiegend.

    Die Rolle des BSI

    Das BSI wird nicht mehr als unabhängige Behörde betrachtet, sondern als „Handlanger und wahlweise verlängerter Arm der Sicherheitsbehörden und Nachrichtendienste“, wie Manuel Atug von der AG KRITIS dies in der Anhörung ausdrückte. Diese Kritik gründet auf der Befugnis des BSI, im Rahmen von Strafverfolgung Sicherheitslücken, die erkannt wurden, offenzuhalten und zu verheimlichen. Dies steht der Verpflichtung des BSI entgegen, relevante Informationen über bekannte Schwachstellen öffentlich zu machen und an einer Behebung mitzuwirken.

    Es wird ein Interessenkonflikt aus der Tatsache hergeleitet, dass sowohl das BSI als auch die Sicherheitsbehörden dem BMI unterstellt sind. Einerseits hat das BSI eine Informationspflicht für entdeckte Schwachstellen und muss bekannte Sicherheitslücken veröffentlichen. Andererseits haben Sicherheitsbehörden ein Interesse daran, Informationen zu Sicherheitslücken für eigene Verwendung im Rahmen von Strafverfolgung zurückzuhalten.

     “Huawei-Klausel” behindert Innovationen

    Der Gesetzentwurf beinhaltet, dass technische Komponenten, die vom BSI als kritisch eingestuft sind, durch die Betreiber vor dem Einsatz in Kritischen Infrastrukturen dem BMI gemeldet und technisch zertifiziert werden müssen. Im Rahmen dieser Meldung ist eine Erklärung zur Vertrauenswürdigkeit des Herstellers der kritischen Komponenten vorgehsehen, die sich über die gesamte Lieferkette der Produkte erstreckt. Nachdem Lieferketten komplex sind und viele Beteiligte, wie beispielsweise Reseller, Systemhäuser und andere umfassen, ist dies nur schwer möglich.

    Wenn öffentliche oder sicherheitspolitische Interessen dies begründen, dann kann das BMI Hersteller und damit deren Technologien ganz von wichtigen Themen wie zum Beispiel dem 5G-Ausbau ausschließen. Dies betrifft im Telekommunikationsbereich Firmen wie Huawei, Nokia und andere. Es wurde kritisiert, dass damit die Entscheidung für die Nutzung einer fortschrittlichen Technologie und des Stands der Technik nicht auf einer technischen Prüfung und Zertifizierung sowie internationalen und europäischen Normen basiert. Wenn die Einsatzentscheidung auf nationalen Festlegungen und auf politischer Motivation begründet erfolgt, werden zukunftsorientierte Innovationen empfindlich behindert.

    Der Endspurt

    Änderungsantrag von CDU/CSU und SPD vom 19.04.21

    Nachdem im Ausschuss für Inneres und Heimat des Deutschen Bundestages über den Gesetzentwurf beraten wurde, brachten die Fraktionen der CDU/CSU und SPD am 19.04.21 einen Änderungsantrag mit einer Reihe von redaktionellen Korrekturen und erläuternden Änderungen ein. Dabei ging es aus Sicht der beiden Fraktionen um Klarstellungen, Konkretisierungen und um die Vermeidung von Unklarheiten im Text des Gesetzentwurfs.

    Der Änderungsantrag weist auch inhaltliche Ergänzungen auf. Diese betreffen beispielsweise die Voraussetzungen und die erlaubte Dauer für die Speicherung von Protokolldaten und ihre Verarbeitung (Artikel 1 Nr. 4).

    Umfangreichere Änderungen sind für den §9b aufgeführt, der den Einsatz von kritischen Komponenten in Kritischen Infrastrukturen und die Voraussetzungen für eine Untersagung des Einsatzes durch das BMI regelt. In diesem Zusammenhang werden auch die Vorgaben für die Erklärung der Vertrauenswürdigkeit der Hersteller konkretisiert. Hintergrund der gewünschten Änderung ist das Bestreben, dass Hersteller, die „unmittelbar oder mittelbar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert“ werden, ausgeschlossen werden können. Damit sollen die „strategic measure SM03“ der EU 5G Toolbox („Cybersecurity of 5G Networks – EU Toolbox of risk mitigating measure“), einer Empfehlung der Europäischen Kommission für den Umgang mit Cybersicherheitsrisiken bei 5G, umgesetzt werden. Die EU 5G Toolbox beschreibt die „Bewertung von Risikoprofilen der Hersteller und mögliche Restriktionen als eine der Schlüsselmaßnahmen zur Absicherung der 5G-Netze“.

    Antrag auf Entschließung vom 20.04.21 der Fraktionen der CDU/CSU und der SPD

    Am 20.04.21 folgte der Antrag der Fraktionen der CDU/CSU und SPD auf eine Entschließung des 4. Ausschusses des Deutschen Bundestages – Ausschuss für Inneres Heimat – mit der Überschrift „Deutschlands Cybersicherheit stärken“.

    Ein Entschließungsantrag bezieht sich auf einen vorliegenden Gesetzentwurf und erläutert die Auffassung einer oder mehrerer Fraktionen zu politischen Fragestellungen. Außerdem fordert der Antrag die Bundesregierung zu einem bestimmten Handeln auf. In diesem Fall umfasst die Handlungsaufforderung des Ausschusses für Inneres und Heimat die folgenden fünf Punkte:

    BSI und Hersteller – Umgang mit erkannten IT-Schwachstellen

    Es wird gefordert, dass die Bundesregierung das BSI ausreichend für die erweiterten Aufgaben und die Meldepflicht für entdeckte IT-Schwachstellen ausstattet.

    Es soll außerdem geprüft werden, ob die definierten Pflichten für Hersteller ausreichen, damit diese eine entsprechende Fehlerbehebung in ihren IT-Produkten durchführen, nachdem Schwachstellen durch das BSI gemeldet wurden.

    Rechtswidrigen Eingriff in Grundrecht verhindern

    Im BSI soll sichergestellt werden, dass „rechtswidrige Eingriffe in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ vermieden werden.

    Überprüfung von Personal in kritischen Bereichen

    Es werden gesetzlich geregelte Möglichkeiten eingefordert, um die Vertrauenswürdigkeit von Personen zu prüfen, die in sicherheitskritischen Bereichen von Kritischen Infrastrukturen oder von Unternehmen von öffentlichem Interesse beschäftigt sind.

    Kommunikation zwischen BSI, zuständigen Behörden und KRITIS-Betreiber stärken

    Um die Kommunikation zwischen BSI, zuständigen Behörden und Kritischen Infrastrukturen zu stärken sowie einen besseren Überblick für den jährlichen Bericht des BSI zu ermöglichen, soll ein „geeignetes System“ geschaffen werden, um „spezialisierte technische Informationen zu Prävention, Detektion und Reaktion“ automatisiert auszutauschen.

    Einsatz kritischer Komponenten und Erklärung zur Vertraulichkeit von Herstellern entsprechend der EU 5G Toolbox

    Die Anwendung von §9b (Einsatz kritischer Komponenten in Kritischen Infrastrukturen und Garantieerklärung zur Vertrauenswürdigkeit von Herstellen) soll fortlaufend überwacht werden. Bei Anpassungen sollen gegebenenfalls auch Entschädigungsregelungen definiert werden.

    Zur Stärkung der „digitalen Souveränität der Bundesrepublik Deutschland“ soll die Bundesregierung sichere kritische Komponenten für den Einsatz in Kritischen Infrastrukturen, und hier vor allem in der Telekommunikation, entsprechend den Empfehlungen der EU 5G Toolbox fördern.

    Entschließungsanträge von Fraktionen der Opposition

    Entschließungsanträge wurden auch von der FDP Fraktion und der AfD Fraktion jeweils am 21.04.21 eingebracht.

    Abstimmung im Bundestag am 23. April – das IT-SiG 2.0 ist durch!

    Am 23. April 2021 wurde der Entwurf der Bundesregierung für ein zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme in der vom Innenausschuss geänderten Fassung (Beschlussempfehlung und Bericht des Ausschusses für Inneres und Heimat – 4. Ausschuss) vom Bundestag angenommen. Damit steht das IT-SiG 2.0.

    Das Dokument „Beschlussempfehlung und Bericht des Ausschusses für Inneres und Heimat (4. Ausschuss)“ listet die Schwerpunkte für die Änderungen im Bezug zum IT-SiG 1.0 und erläutert die Änderungen und Ergänzungen, die der zuständige Ausschuss für den Gesetzentwurf erarbeitet hat.

    Es wird darin die Annahme der geänderten Fassung des Gesetzentwurfs empfohlen sowie die Ablehnung der beiden Anträge der AfD (Evaluierung des IT-Sicherheitsgesetzes von 2015 nach Gesetzeslage umsetzen und Ergebnisse im IT-Sicherheitsgesetz 2.0 berücksichtigen und IT-Sicherheitsgesetz 2.0 – Planungs- und Rechtssicherheit für Netzbetreiber herstellen) und eines Antrags der Fraktion BÜNDNIS 90/Die Grünen (IT-Sicherheit stärken, Freiheit erhalten, Frieden sichern) vorgeschlagen.

    Die Beschlussempfehlung für den Inhalt des neuen IT-Sicherheitsgesetz entspricht dem Inhalt des Änderungsantrages der Fraktionen CDU/CSU und SPD.

    Die wesentlichen Änderungen im Überblick

    Befugniserweiterung des BSI
    • Prüf- und Kontrollbefugnisse
    • Festlegung von Mindestandards
    • Detektion von Schadprogrammen zum Schutz der Regierungsnetze
    • Abfrage von Bestandsdaten bei Telekommunikationsdienste-Anbietern
    • Detektion von Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen
    • Einsatz von Systemen und Verfahren, um Schadprogramme und Angriffsmethoden zu analysieren
    • Erlass von Anordnungen für Telekommunikations- und Telemedienanbieter zur Gefahrenabwehr
    • Verbraucherschutz als zusätzliche Aufgabe
    Einführung eines einheitliches Sicherheitskennzeichens

    Das BSI führt ein (freiwilliges) einheitliches IT-Sicherheitskennzeichen für Software- und Hardware-Produkte ein. Im Rahmen des Verbraucherschutzes soll mehr Transparenz und Aussagekraft für die IT-Sicherheit von Produkten gewährleisten.

    Die Kennzeichnung besteht aus einer „Zusicherung des Herstellers oder Diensteanbieters, dass das Produkt für eine festgelegte Dauer bestimmte IT-Sicherheitsanforderungen erfüllt (Herstellererklärung)“ sowie „einer Information des Bundesamtes über sicherheitsrelevante IT-Eigenschaften des Produktes (Sicherheitsinformation)“ (§9c)

    Erweiterung der vom IT-Sicherheitsgesetz betroffenen Unternehmen

    Neben den Kritischen Infrastrukturen, die entsprechend dem Anwendungsbereich der BSI-Kritisverordnung und ihrer Neufassung betroffen sind (neuer Sektor „Siedlungsabfall-Entsorgung“), sind dies nun auch „Unternehmen von besonderem öffentlichem Interesse“. Darunter fallen „auch Zulieferer mit Alleinstellungsmerkmal für die nach ihrer Wertschöpfung größten Unternehmen in Deutschland“.

    Gesetzliche Zertifizierungspflicht für den Einsatz kritischer Komponenten

    Der Einsatz kritischer Komponenten muss vor dem (ersten) Einsatz durch den Betreiber beim BMI angezeigt werden. Kritische Komponenten dürfen nur dann eingesetzt werden, wenn der Hersteller dem Betreiber eine Garantieerklärung zur Vertrauenswürdigkeit gegeben hat. „Aus der Garantieerklärung muss hervorgehen, wie der Hersteller sicherstellt, dass die kritische Komponente nicht über technische Eigenschaften verfügt, die spezifisch geeignet sind, missbräuchlich, insbesondere zum Zwecke von Sabotage, Spionage oder Terrorismus auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur einwirken zu können.“ (§9b)

    Es werden konkrete Voraussetzungen für die Untersagung des Einsatzes durch das BMI festgelegt, nämlich, wenn der Einsatz der kritischen Komponente eine Beeinträchtigung der öffentlichen Sicherheit und Ordnung begründet.

    Angriffserkennung obligatorisch

    KRITIS-Betreiber müssen im Rahmen der technischen und organisatorischen Sicherheitsmaßnahmen auch eine Angriffserkennung etablieren. „Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen“ (BSIG §8a (1))

    Verpflichtende Unterrichtung des Innenausschuss

    Das BMI muss den Innenausschuss jährlich über die Anwendung des Gesetzes informieren.

    Änderung der BSI-Kritisverordnung – Anpassung der Schwellenwerte und neue Anwendungsbereiche

    Das neue IT-Sicherheitsgesetz bewirkte eine Änderung der BSI-Kritisverordnung. Darin wurde eine Anpassung der Schwellenwerte vorgenommen, die ab 1. Januar 2022 gelten.

    Der neue Sektor Siedlungsabfall-Entsorgung (nach BSIG) fällt ebenso in den Geltungsbereich des IT-Sicherheitsgesetzes wie die „Unternehmen von besonderem öffentlichem Interesse“ (UBI). Dadurch sind künftig wesentlich mehr Unternehmen vom IT-Sicherheitsgesetz betroffen.

    Das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme IT-SiG 2.0 wurde am 27. Mai 2021 im Bundesgesetzblatt veröffentlicht.

    Ausblick auf die weitere Entwicklung

    Am 27.12.2022 wurde die NIS2 Richtlinie im Amtsblatt der EU veröffentlicht. Innerhalb von 21 Monaten nach Inkrafttreten müssen die Mitgliedstaaten sie in nationales Recht umsetzen. Ein erster Entwurf für ein Gesetz zur Umsetzung der NIS2 (NIS2UmsuCG) liegt seit April 2023 vor.

    Checkliste: Angriffserkennung in KRITIS Betrieben

    Max Weidele
    CEO & Founder

    Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.

    Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Veröffentlicht am
    Zuletzt aktualisiert am

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Checkliste herunterladen

    Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.


    Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung