Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, bekannt als IT-Sicherheitsgesetz, ist vor allem für Betreiber kritischer Infrastrukturen die maßgebliche Grundlage für die Ausrichtung der notwendigen IT-Sicherheitsmaßnahmen. Eine neue Fassung ist seit einiger Zeit in Arbeit und damit im öffentlichen Fokus. Sowohl Betreiber betroffener Industriesektoren als auch Fachkreise und Verbände verfolgen konzentriert die Entwicklung und die Inhalte, die sich bisher darstellen.

Nach verschiedenen Referentenentwürfen ist der Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0) nun auf der Zielgeraden.

Bevor wir auf die Neuerungen im IT-Sicherheitsgesetz eingehen, verschaffen wir uns in diesem Artikel einen Überblick über die Hintergründe und die Entwicklungen, die zur Verabschiedung des IT-SiG geführt haben. Wir beleuchten die Zielgruppen sowie die Anforderungen, die das Gesetz vorgibt.

Daran anschließend befassen wir uns mit dem Weg, den das IT-SiG 2.0 im Gesetzgebungsprozess durchläuft und zeigen die wesentlichen Änderungen im Gesetzentwurf auch im Kontext mit der von Verbänden und Fachkreisen geäußerten Kritik auf.

Die Wurzeln des Gesetzes

Cyber-Sicherheitsstrategie für Deutschland

Im Februar 2011 gab das BMI (Bundesministerium) in der „Cyber-Sicherheitsstrategie für Deutschland“ die Zielsetzung vor: Die Verfügbarkeit der weltweit vernetzten Informationsinfrastrukturen wird als „existentielle Frage des 21. Jahrhunderts“ bezeichnet. Die ganzheitliche Absicherung dieser Strukturen sei eine Gemeinschaftsaufgabe für Staat, Gesellschaft und Wirtschaft auf nationaler wie auch auf internationaler Ebene. IT-Infrastrukturen werden als essenzielle Grundlage für gesellschaftliches und wirtschaftliches Leben dargestellt, die unseren Wohlstand begründet. Die Cyber-Sicherheitsstrategie ist ausgerichtet auf eine Balance zwischen der möglichst optimalen Nutzung und einer ausreichenden Absicherung dieser Infrastrukturen.

Punkt 1 der strategischen Ziele und Maßnahmen betrifft den Schutz kritischer Infrastrukturen, die für die Versorgung der Gesellschaft eine grundlegende Bedeutung haben. Das Strategiepapier bezeichnet den Startschuss für das Nationale Cyber-Abwehrzentrum NCAZ (Punkt 4 der strategischen Ziele) und des Nationalen Cyber-Sicherheitsrates (Punkt 5).

Im November 2016 beschloss die Bundesregierung eine neue Cyber-Sicherheitsstrategie für Deutschland, die vier Handlungsfelder für die fortschreitende Entwicklung in der Digitalisierung definiert. Die Ergebnisse aus der Evaluierung zur Messbarkeit und Wirksamkeit der definierten Maßnahmen sollen zusammen mit einer Cyber-Sicherheitsarchitektur Mitte des Jahres 2021 eine aktualisierte Cyber-Sicherheitsstrategie ergeben.

Digitale Agenda der Bundesregierung

Richtungsweisend für die Entwicklung von Cyber-Sicherheitsmaßnahmen und damit für den Weg hin zum IT-Sicherheitsgesetz ist die Digitale Agenda der Bundesregierung aus dem Jahr 2014. Sie listet unter den sieben Handlungsfeldern, die Deutschland bei der zunehmenden Digitalisierung voranbringen sollen, das Feld „Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft“. Darin wird die Notwendigkeit von „Sicherheit und Schutz im Netz für VerbraucherInnen und Unternehmen“ hervorgehoben sowie die Anforderung, sowohl Daten als auch die „Integrität und Verfügbarkeit der digitalen Infrastrukturen“ zu schützen.

Die Umsetzung dieses Ziels brachte im Juli 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, das IT-Sicherheitsgesetz hervor.

Kontext EU: NIS-Richtlinie

Um das Sicherheitsniveau von IT-Systemen und -Netzen innerhalb des gemeinsamen EU-Binnenraums zu gewährleisten, trat im August 2016 die NIS-Richtlinie der EU in Kraft. Diese Richtlinie stellt ein Gegenstück zum deutschen IT-Sicherheitsgesetz mit zahlreichen inhaltlichen Parallelen dar, weswegen Deutschland dafür bereits gut gerüstet war. Die NIS-Richtlinie begründet den einheitlichen Rechtsrahmen für die Kooperation der Mitgliedsstaaten im Kontext Cybersicherheit und definiert Mindestanforderungen. Außerdem werden Meldepflichten für kritische Infrastrukturen und bestimmte online-Dienste innerhalb der Europäische Union eingeführt. Der Verpflichtung, die EU-Richtlinie in nationales Recht umzusetzen, ist Deutschland mit dem Gesetz zur Umsetzung der NIS-Richtline im Juni 2017 nachgekommen.

Zielgruppen des IT-SiG und relevanter Inhalt

Das IT-Sicherheitsgesetz adressiert vier Zielgruppen und definiert deren Pflichten entsprechend der Zielsetzung.

Betreiber von kritischen Infrastrukturen – eingestuft durch die BSI-Kritisverordnung

Wer die betroffenen Unternehmen der kritischen Infrastrukturen sind, die in den Geltungsbereich des IT-SiG fallen, muss anhand von messbaren und nachvollziehbaren Kriterien definierbar sein. Dafür wurde im Februar 2016 die Rechtsverordnung zur Bestimmung kritischer Infrastrukturen/BSI-KritisV als Ergänzung zum IT-Sicherheitsgesetz erlassen. Darin sind betroffene Sektoren festgelegt sowie die Schwellenwerte für deren Anlagenkategorien. Erreicht ein Unternehmen die vorgegebenen Schwellenwerte, z.B. für die Versorgung einer bestimmten Anzahl von Personen mit Energie oder Wasser, so ist es als betroffenes Unternehmen eingestuft und unterliegt den Bestimmungen des IT-Sicherheitsgesetzes. Alle zwei Jahre sollen diese Einstufungen einer Evaluierung unterzogen werden.

Mit Gültigkeit ab Juli 2015 bestimmt die BSI-Kritisverordnung folgende KRITIS-Sektoren:

  • Energie (Elektrizität, Gas, Kraftstoff- und Heizöl, Fernwärme)
  • Wasser (Trinkwasser, Abwasser)
  • Ernährung (Lebensmittelversorgung)
  • Informationstechnik und (andere) Telekommunikation (Sprach- und Datenübertragung, Datenspeicherung und -verarbeitung)
  • Kernkraftwerke sind direkt vom IT-SiG betroffen, ungeachtet von Schwellenwerten
  • Telekommunikationsunternehmen sind direkt vom IT-SiG betroffen, ungeachtet von Schwellenwerten

Per Änderungsverordnung bis Ende 2016 zusätzlich definierte KRITIS-Sektoren:

  • Transport und Verkehr (Personen- und Güterverkehr u.a. im ÖPNV, Logistik, sowie nach Schwellenwerten)
  • Gesundheit (stationäre medizinische Versorgung, lebenserhaltende Medizinprodukte, verschreibungspflichtige Arzneimittel, Blut- und Plasmakonzentrate, Labordiagnostik)
  • Finanz- und Versicherungswesen (Bargeldversorgung, konventioneller und kartengestützter Zahlungsverkehr, Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften, Versicherungsdienstleistungen)

Gesetzliche Anforderungen für die Betreiber kritischer Infrastrukturen

Das IT-Sicherheitsgesetz verpflichtete betroffene Unternehmen in einem Zeitrahmen von zwei Jahren ab Inkrafttreten der BSI-Kritisverordnung, die IT-Infrastruktur, die für die Erbringung ihrer Dienste notwendig ist, nach dem „Stand der Technik“ abzusichern. Eine regelmäßige Überprüfung der Maßnahmen im Abstand von jeweils zwei Jahren ist obligatorisch. Das Gesetz rät zur Erarbeitung branchenspezifischer Sicherheitsstandards.

Für die IT-Sicherheit im Energiesektor definiert die Bundesnetzagentur im Benehmen mit dem BSI Mindeststandards für den sicheren Netzbetrieb. In den IT-Sicherheitskatalogen für Betreiber von Strom- und Gasnetzen und Energieanlagen ist die Anforderung zum Aufbau eines ISMS nach DIN ISO/IEC 27001 (Informationssicherheits-Managementsystem) festgelegt.

Die benannten Sektoren wurden mit Inkrafttreten der BSI-Kritisverordnung zur Meldung erheblicher Sicherheitsvorfälle (auch) an das BSI verpflichtet, eine Anforderung, die das IT-SiG bereits für Kernkraftwerke und Telekommunikationsunternehmen verfügt hatte. Dafür war innerhalb einer Frist von sechs Monaten ab Inkrafttreten der Verordnung dem BSI eine 24/7-Kontaktstelle im Unternehmen bekanntzugeben.

Für Betreiber kritischer Infrastrukturen, die vom IT-SiG betroffen sind, ist das Sicherheitsniveau von Produkten und Dienstleistungen, die sie zur Erbringung ihrer Leistung oder zur Herstellung ihrer Erzeugnisse verwenden, relevant. Die entsprechenden Anforderungen an Lieferanten hat UP KRITIS, eine öffentlich-private Partnerschaft zwischen Betreibern kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen als „Best-Practice-Empfehlungen zur Gewährleistung der Informationssicherheit in kritischen Infrastrukturen und „Empfehlungen zu Entwicklung und Einsatz von in kritischen Infrastrukturen eingesetzten Produkten“ herausgegeben. Lieferanten, deren Produkte dieses Sicherheitsniveau aufweisen, ersparen den Betreibern kritischer Infrastrukturen aufwändige Zusatzmaßnahmen, um das Sicherheitsniveau vor Ort entsprechend zu gewährleisten. Solche Lieferanten haben in diesem Marktsegment einen Wettbewerbsvorteil.

Betreiber von Webangeboten

Das IT-Sicherheitsgesetzt erhöht die organisatorischen und technischen Anforderungen für Betreiber von Websites und kommerzielle Onlineshops, um deren Kundendaten und die für den Betrieb der Webseiten erforderlichen IT-Systeme zu schützen. Im Telemediengesetz definiert z.B. §13 die Pflichten des Diensteanbieters im Umgang mit personenbezogenen Daten.

Telekommunikationsunternehmen

Betreiber öffentlicher Telekommunikationsdienste und -Netze werden dazu verpflichtet, die Daten ihrer Kunden vor Missbrauch zu schützen.

Gesetzliche Anforderungen an Telekommunikationsunternehmen

Die Unternehmen werden verpflichtet, ihre Kunden zu warnen, wenn sie Kenntnis davon erlangen, dass Anschlüsse für Cyberangriffe missbraucht werden. Damit einher geht die Aufforderung zur Unterstützung bei der Problembehebung.

Die IT-Sicherheitsmaßnahmen der Provider müssen dem Stand der Technik entsprechen, um personenbezogene Daten und die Infrastruktur vor unerlaubten Zugriffen zu schützen.

Die Meldepflicht für erhebliche IT-Sicherheitsvorfälle wird erweitert, so dass neben der Bundesnetzagentur auch das BSI informiert werden muss.

BSI Bundesamt für Sicherheit in der Informationstechnik

Das IT-Sicherheitsgesetz weitet die Befugnisse des BSI aus und ändert dafür das BSIG, das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik. Im BSI-Gesetz werden Begriffserklärungen für Informationstechnik im Sinne des Gesetzes definiert sowie die Aufgaben und Befugnisse des BSI, das dem Bundesministerium des Innern, für Bau und Heimat untersteht, festgelegt. Außerdem regelt das BSI-Gesetz die Löschung personenbezogener Daten.

Aufgaben des BSI 

Dazu gehört das Untersuchen der Sicherheit von IT-Produkten und das Erarbeiten von Mindeststandards für die Bundesverwaltung. Im Rahmen einer Zertifizierung wird die Sicherheitsfunktionalität von IT-Produkten und IT-Systemen nach technischen Kriterien entsprechend der BSI-Sicherheitsvorgaben und Richtlinien validiert. Eine Zertifizierung wird auf Anfrage eines Herstellers initiiert.

Das BSI hat die Aufgabe, Informationen, die die IT-Sicherheit für kritische Infrastrukturen gefährden, zu sammeln und relevante Informationen an die Betreiber bzw. betroffene Unternehmen sowie an die zuständigen Aufsichtsbehörden weiterzuleiten.

In einem jährlichen Bericht hat das BSI die Öffentlichkeit über aktuelle Gefahren für die IT-Sicherheit zu informieren („Die Lage der IT-Sicherheit in Deutschland“) und die Sensibilisierung für das Thema zu unterstützen.

Das IT-SiG als Artikelgesetz

Das IT-Sicherheitsgesetz ist ein sogenanntes Artikelgesetz oder Mantelgesetz. Das bedeutet, dass es mehrere bestehende Gesetze vereint und hinsichtlich einer bestimmten Thematik gleichzeitig ändert. Es fungiert als Rahmen dieser Gesetze mit der Zielsetzung der nachhaltigen Absicherung der IT-Sicherheit, wobei der Schwerpunkt auf der Sicherheit von kritischen Infrastrukturen liegt. Die einzelnen Artikel des Artikelgesetzes referenzieren die Änderungen in den jeweiligen Gesetzen.

Das IT-SiG ist der Rahmen für folgende Gesetze bzw. relevanten Teilen davon:

  • BSI-Gesetz
  • Energiewirtschaftsgesetz
  • Telemediengesetz
  • Telekommunikationsgesetz
  • Atomgesetz
  • Bundeskriminalamtsgesetz
  • Gesetz zur Strukturreform des Gebührenrechts des Bundes
  • Bundesbesoldungsgesetz

Der Unterschied zwischen Gesetzen und Verordnungen

Gesetze fallen in die Zuständigkeit der Legislative. Auf Bundesebene werden sie in den meisten Fällen durch die Bundesregierung als Entwurf eingebracht und dem Bundesrat, also der Ländervertretung, zur Stellungnahme übergeben. Gesetzesinitiativen können auch durch den Bundesrat oder durch die “Mitte des Parlaments”, d.h. von einer Fraktion oder von 5% der Abgeordneten, eingebracht werden.

Nach der Stellungnahme des Bundesrats wird im Plenum in drei Lesungen über die Gesetzesvorlage beraten und darüber abgestimmt. Wird dabei eine Zweidrittelmehrheit im Bundestag erreicht, wird die Gesetzesvorlage, nachdem sie noch einige formale Stationen durchlaufen hat, zum rechtskräftigen Gesetz.

Rechtsverordnungen sind „Gesetze im formellen Sinn“ und definieren die Umsetzung eines Gesetzes. Sie werden von der Exekutive (vollziehende Gewalt), also der Verwaltung, erarbeitet, die vom Gesetzgeber ermächtigt wird, Details zu einem Gesetz zu regeln.

Gesetze legen das Grundsätzliche fest, das „Was“. Verordnungen definieren das „Wie“, die Art und Weise, wie Gesetze konkret umzusetzen sind.

Wie das IT-Sicherheitsgesetz konkret umzusetzen ist, wird in der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz, auch BSI-Kritisverordnung genannt, beschrieben.

Vom Referentenentwurf zum Gesetzentwurf

Bevor die Bundesregierung einen Gesetzentwurf in den Gesetzgebungsprozess einbringen kann, muss der konkrete Inhalt erarbeitet werden. Dies wird von den Referaten in den zuständigen Bundesministerien übernommen, wo die Referentenentwürfe erstellt werden Für das IT-SiG 2.0 ist die Abteilung CI (Cyber- und Informationssicherheit) im Bundesministerium des Innern, für Bau und Heimat zuständig.

Die vom Gesetzentwurf betroffenen Bundesministerien müssen in die Ausarbeitung der Inhalte einbezogen werden. Wenn europarechtliche Überprüfungen erforderlich sind, dann ist neben dem Bundesministerium für Wirtschaft und Technologie und dem Ministerium für Justiz auch das Auswärtige Amt involviert.

Im Verlauf der Abstimmungen zwischen den Ministerien kann es mehrere Referentenentwürfe geben. Das zuständige Referat ist dafür zuständig, dass Referentenentwürfe mit entsprechenden Hinweisen zum Stand der Abstimmungen zwecks rechtzeitiger Beteiligung am Gesetzgebungsverfahren an Zentral- und Gesamtverbände sowie Fachkreise zur Stellungnahme geschickt werdenGeregelt ist dies im § 47 Absatz 3 GGO (Gemeinsamen Geschäftsordnung der Bundesministerien), wo auch die Beteiligung von Fachkreisen und Experten bei mündlichen Anhörungen festgeschrieben ist.

Die Entscheidung darüber, ob die Presse und andere Organisationen oder Personen, die amtlich nicht beteiligt sind, den Gesetzentwurf erhalten oder ob er im Internet veröffentlicht wird, obliegt dem zuständigen Bundesministerium oder dem Bundeskanzleramt, wenn es sich um Gesetzesentwürfe mit „grundsätzlicher politischer Bedeutung“ handelt (§48 GGO).

Erst nach der Abstimmung mit den betroffenen Bundesministerien und der Einbeziehung der Stellungnahmen der Fachkreise und Verbände auf Bundesebene wird der Gesetzentwurf der Bundesregierung zum Beschluss vorgelegt.

Erschwerte Bedingungen für Stellungnahmen zu Referentenentwürfen zum IT-SiG 2.0

Die Beteiligung der Fachkreise und Verbände an den Inhalten der Referentenentwürfe für das neue IT-Sicherheitsgesetz erfolgte unter erschwerten Bedingungen.

Bei den Veröffentlichungen der verschiedenen Versionen wurden die Änderungen gegenüber der Vorgängerversion nicht kenntlich gemacht, wie dies im §49 (1) GGO eigentlich festgelegt ist. Die Fristen, die für eine Stellungnahme jeweils eingeräumt wurden, waren außerdem sehr knapp bemessen. Beim 3. Referentenentwurf vom 19.11.2020 räumte das BMI den Fachkreisen und Verbänden zunächst zweieinhalb Tage Zeit für das Einreichen einer Stellungnahme ein, die dann auf fünf Tage verlängert wurden. Für den Referentenentwurf vom 09.12.2020, der einem Entwurf vom 01.12.2020 folgte, war die Frist für die Prüfung des über hundert Seiten umfassenden Entwurfs und die Einreichung einer Stellungnahme auf nur mehr einen Tag begrenzt. Dabei war die Beschlussfassung des Kabinetts für den 16. Dezember anvisiert. Eine inhaltliche Berücksichtigung der Stellungnahmen der Fachkreise und Verbände scheint so ziemlich unwahrscheinlich. Dies hat, neben inhaltlichen Punkten, große Kritik hervorgerufen.

Der Gesetzentwurf des IT-SiG 2.0 auf dem Weg zum rechtskräftigen Gesetz

Gesetzentwürfe werden von der Bundesregierung an den Bundesrat zur Stellungnahme überstellt. Der Bundesrat hat den Gesetzentwurf der Bundesregierung „Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ am 01.01.2021 erhalten und ihn zusammen mit der Stellungnahme der Ländervertretung innerhalb der vorgegebenen Frist von vier Wochen an den Bundestag weitergeleitet.

Im Bundestag folge die erste Lesung im Plenum und die Bildung fraktionsübergreifender Ausschüsse, wo die inhaltliche Beratung stattfand. Interessenvertreter und Experten wurden bei einer öffentlichen Anhörung am 1. März gehört, die schriftlichen Stellungnahmen sind veröffentlicht.

In der zweiten Lesung debattieren die Abgeordneten im Bundestag über einen Gesetzentwurf und stimmen über Änderungsanträge ab. Die Schlussabstimmung erfolgt in der dritten Lesung. Dies steht aktuell (Stand Ende März 2021) für das IT-SiG 2.0 noch aus.

Wird in der Abstimmung die nötige Mehrheit erreicht, wird das Gesetz dem Bundesrat zur Zustimmung übergeben. Stimmt dieser zu, geht das Gesetz zur Unterzeichnung an die Bundeskanzlerin und den zuständigen Fachminister. Der Bundespräsident erhält das Gesetz zur Prüfung auf Verfassungsmäßigkeit und Unterschrift. Das Gesetz gilt als verkündet, wenn es im Bundesgesetzblatt veröffentlicht ist. Es tritt 14 Tage nach der Ausgabe des Bundesgesetzblattes in Kraft.

Gesetzentwurf IT-SiG 2.0 – Inhalte

„Inhaltlich sieht das Gesetz Regelungen zum Schutz der Bundesverwaltung, zum Schutz der kritischen Infrastrukturen, zum Schutz weiterer Unternehmen im besonderen öffentlichen Interesse sowie zum Verbraucherschutz vor.“, so beschreibt das Referat CI1 des BMI in seinem Anschreiben an die Fachkreise und Verbände den Inhalt des Gesetzentwurfs.

Die Kernpunkte des Referentenentwurfs vom 09.12.2020 verdeutlichen eine Befugnis-Erweiterung für das BSI, bei dem dafür ca. 800 neue Stellen geschaffen werden:

Artikel 1 – Änderungen des BSI-Gesetzes jeweils mit der Zielsetzung der Gefahrenabwehr

  • Dem BSI werden Kontroll- und Prüfbefugnisse gegenüber der gesamten Bundesverwaltung übertragen. Es darf Protokolldaten für die Kommunikationstechnik für 12 Monate speichern.
  • Das BSI darf Protokollierungsdaten (die beim Betrieb von Kommunikationstechnik des Bundes anfallen) verarbeiten, das BSI-Gesetz wird entsprechend ergänzt.
  • Verbraucherschutz wird in den BSI-Aufgabenkatalog mit aufgenommen.
  • Das BSI darf von Telekommunikationsdienst-Anbietern die Herausgabe von Bestandsdaten verlangen.
  • Hersteller von IT-Produkten werden verpflichtet, dem BSI Auskunft zu ihren Produkten zu liefern.
  • Das BSI darf Portscans an Schnittstellen zu öffentlichen Telekommunikationsnetzen durchführen sowie Honeypots einsetzen (Systeme und Analyse-Maßnahmen für Schadprogramme und Angriffsmethoden).
  • Das BSI darf bei entsprechender Bedrohungslage Maßnahmen gegenüber Telekommunikations- und Telemedienunternehmen anordnen.
  • Der Mindeststandard des BSI muss auch von IT-Dienstleistern des Bundes eingehalten werden.
  • Das BSI wird frühzeitig bei Digitalisierungsvorhaben des Bundes eingebunden.
  • KRITIS-Betreiber müssen Angriffserkennungssysteme einsetzen.
  • Erweiterung der Meldepflicht auf Unternehmen des öffentlichen Interesses, Rüstungsindustrie, Verschlusssachen-IT, Unternehmen mit hoher Wertschöpfung und besonderer volkswirtschaftlicher Bedeutung, Unternehmen, die der Regulierung durch die Störfallverordnung unterliegen (z.B. aufgrund des Einsatzes gefährlicher Stoffe).
  • Das BSI regelt die Untersagung des Einsatzes kritischer Komponenten, für die eine Zertifizierungspflicht besteht.
  • Die Einführung der Grundlage eines einheitlichen IT-Sicherheitskennzeichens soll IT-Sicherheitsfunktionen von Produkten für Verbraucher sichtbar machen.
  • Neufassung der Bußgeldvorschrift (Strafen bis 2 Mio. EUR).

Artikel 2 – Änderungen im Telekommunikationsgesetz (TKG)

schafft eine Rechtsgrundlage für einen Katalog von Sicherheitsanforderungen für den Betrieb von Telekommunikations- und Datenverarbeitungssystemen und die Verarbeitung von personenbezogenen Daten.

Artikel 3 – Änderungen des Gesetzes über die Elektrizitäts- und Gasversorgung (ENWG)

Für Energieversorger und Energieanlagen als Betreiber kritischer Infrastrukturen besteht die Pflicht, Systeme zur Angriffserkennung einzuführen.

Artikel 4 – Änderung der Außenwirtschaftsverordnung (AWV)

Einführung von Definitionen für kritische Komponenten im BSI-Gesetz und eine Anzeigepflicht des Betreibers gegenüber dem BMI vor dem Einsatz.

Artikel 5 – Änderung des Zehnten Buches Sozialgesetzbuch (SGB X)

Das BSI darf bei entsprechendem Bedarf Sozialdaten verarbeiten.

Artikel 6

enthält Bestimmungen zur Evaluierung des Gesetzes.

Kritik am Gesetzentwurf des IT-SiG 2.0

Der Gesetzentwurf zum IT-SiG 2.0 ruft unter Experten und Fachkreisen viel Kritik hervor, die in der Anhörung im Ausschuss am 01.03.21 geäußert und in den schriftlichen Stellungnahmen umfänglich festgehalten ist. Darunter finden sich u.a. die nachfolgenden Punkte:

Eine Evaluierung für das IT-SiG 1.0 fehlt – Erkenntnisse fließen nicht in das IT-SiG 2.0 ein

Die im Artikel 10 des IT-SiG von 2015 gesetzlich vorgeschriebene Evaluierung der Wirksamkeit der Maßnahmen unter Einbeziehung eines wissenschaftlichen Sachverständigen hat nicht stattgefunden. Experten kritisieren, dass im neuen IT-Sicherheitsgesetz wichtige Erkenntnisse zum aktuellen Stand und zur Wirksamkeit von Maßnahmen fehlen, beispielsweise hinsichtlich der definierten Schwellenwerte und der Erreichung der Schutzziele. Die Durchführung der Evaluierung und die Berücksichtigung der daraus resultierenden Erkenntnisse im IT-SiG 2.0 wurde von der AfD in einem entsprechenden Antrag während der ersten Lesung eingefordert.  

Unzureichende Beteiligung der Zivilgesellschaft führt zu einem Mangel an Expertise

Die „Zivilgesellschaft“, vertreten durch Fachkreise, Verbände und Experten sowie die Vertreter der Wissenschaft, wurde nicht ausreichend in das Gesetzgebungsverfahren eingebunden und beteiligt. Die Kritik bezieht sich auf die Tatsache, dass nicht alle Referentenentwürfe dem Fachpublikum zugänglich gemacht wurden und auf die extrem kurzen Fristen für die Einreichung von Stellungnahmen zu komplexen Sachverhalten. Dies führt in der Folge dazu, dass wichtige Inhalte und Sichtweisen von Experten und Beteiligten nicht in den Gesetzentwurf Einzug gehalten haben. Für die Sicherheit kritischer Infrastrukturen und die Folgen, die Sicherheitslücken für die Gesellschaft haben können, ist dieser Mangel schwerwiegend.

Die Rolle des BSI

Das BSI wird nicht mehr als unabhängige Behörde betrachtet, sondern als „Handlanger und wahlweise verlängerter Arm der Sicherheitsbehörden und Nachrichtendienste“, wie Manuel Atug von der AG KRITIS dies in der Anhörung ausdrückte. Diese Kritik gründet auf der Befugnis des BSI, im Rahmen von Strafverfolgung Sicherheitslücken, die erkannt wurden, offenzuhalten und zu verheimlichen. Dies steht der Verpflichtung des BSI entgegen, relevante Informationen über bekannte Schwachstellen öffentlich zu machen und an einer Behebung mitzuwirken.

 “Huawei-Klausel” behindert Innovationen

Technische Komponenten, die im BSI-Gesetz als kritisch eingestuft sind, müssen durch die Betreiber vor dem Einsatz in kritischen Infrastrukturen dem BMI gemeldet und technisch zertifiziert werden. Zusätzlich müssen Hersteller kritischer Komponenten eine Erklärung zu ihrer Vertrauenswürdigkeit abgeben, die sich über die gesamte Lieferkette ihrer Produkte erstreckt. Nachdem Lieferketten komplex sind und viele Beteiligte, wie z.B. Reseller, Systemhäuser, etc. umfassen, ist dies kaum möglich. Wenn öffentliche oder sicherheitspolitische Interessen dies begründen, dann kann das BMI Hersteller und damit deren Technologien ganz von wichtigen Themen wie z.B. dem 5G-Ausbau ausschließen. Dies betrifft im Telekommunikationsbereich Firmen wie Huawei, Nokia und andere. Es wird kritisiert, dass damit die Entscheidung für die Nutzung einer fortschrittlichen Technologie und des Stands der Technik nicht auf einer technischen Prüfung und Zertifizierung sowie internationalen und europäischen Normen basiert. Wenn die Einsatzentscheidung auf nationalen Festlegungen und auf politischer Motivation basiert, werden zukunftsorientierte Innovationen empfindlich behindert.

Die Diskussion um die Inhalte des IT-SiG 2.0 und eine entsprechende Bewertung für die einzelnen Zielgruppen wird weiter Fahrt aufnehmen, sobald das zweite IT-Sicherheitsgesetz beschlossen und veröffentlicht ist.