IT-Sicherheitsgesetz 2.0: Hintergründe, Kernpunkte und weitere Entwicklung

Inhaltsverzeichnis

    Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, bekannt als IT-Sicherheitsgesetz, ist vor allem für Betreiber kritischer Infrastrukturen die maßgebliche Grundlage für die Ausrichtung der notwendigen IT-Sicherheitsmaßnahmen. Die neue Fassung des Gesetzes definiert nicht nur einen erweiterten Geltungsbereich, sondern auch vermehrte Pflichten für betroffene Unternehmen. Das geht mit einer umfangreichen Befugniserweiterung für das BSI, dem Bundesamt für Sicherheit in der Informationstechnik einher.

    Im Vorfeld wurden zahlreiche  Referentenentwürfe verfasst und veröffentlicht, allein in der Phase vom 19.11. bis 16.12.2020 waren es fünf Versionen mit teils erheblichen Anpassungen. Die mangelnde Beteiligung von Verbänden, Experten und interessierten Kreisen bei der inhaltlichen Gestaltung wurde von verschiedenen Seiten massiv kritisiert.

    Bevor wir auf die Neuerungen im IT-Sicherheitsgesetz eingehen, verschaffen wir uns in diesem Artikel einen Überblick über die Hintergründe und die Entwicklungen, die zur Verabschiedung des IT-Sicherheitsgesetzes geführt haben. Wir beleuchten die Zielgruppen sowie die Anforderungen, die das Gesetz vorgibt.

    Daran anschließend befassen wir uns mit dem Weg, den das IT-SiG 2.0 im Gesetzgebungsprozess durchlaufen hat und zeigen die wesentlichen Änderungen im Gesetz auch im Kontext mit der von Verbänden und Fachkreisen geäußerten Kritik auf.

    Die Wurzeln des Gesetzes

    Cyber-Sicherheitsstrategie für Deutschland

    Im Februar 2011 gab das BMI (Bundesministerium) in der „Cyber-Sicherheitsstrategie für Deutschland“ die Zielsetzung vor: Die Verfügbarkeit der weltweit vernetzten Informationsinfrastrukturen wird als „existentielle Frage des 21. Jahrhunderts“ bezeichnet. Die ganzheitliche Absicherung dieser Strukturen sei eine Gemeinschaftsaufgabe für Staat, Gesellschaft und Wirtschaft auf nationaler wie auch auf internationaler Ebene. IT-Infrastrukturen werden als essenzielle Grundlage für gesellschaftliches und wirtschaftliches Leben dargestellt, die unseren Wohlstand begründet. Die Cyber-Sicherheitsstrategie ist ausgerichtet auf eine Balance zwischen der möglichst optimalen Nutzung und einer ausreichenden Absicherung dieser Infrastrukturen.

    Punkt 1 der strategischen Ziele und Maßnahmen betrifft den Schutz kritischer Infrastrukturen, die für die Versorgung der Gesellschaft eine grundlegende Bedeutung haben. Das Strategiepapier bezeichnet den Startschuss für das Nationale Cyber-Abwehrzentrum NCAZ (Punkt 4 der strategischen Ziele) und des Nationalen Cyber-Sicherheitsrates (Punkt 5).

    Im November 2016 beschloss die Bundesregierung eine neue Cyber-Sicherheitsstrategie für Deutschland, die vier Handlungsfelder für die fortschreitende Entwicklung in der Digitalisierung definiert. Die Ergebnisse aus der Evaluierung zur Messbarkeit und Wirksamkeit der definierten Maßnahmen sollen zusammen mit einer Cyber-Sicherheitsarchitektur Mitte des Jahres 2021 eine aktualisierte Cyber-Sicherheitsstrategie ergeben.

    Digitale Agenda der Bundesregierung

    Richtungsweisend für die Entwicklung von Cyber-Sicherheitsmaßnahmen und damit für den Weg hin zum IT-Sicherheitsgesetz ist die Digitale Agenda der Bundesregierung aus dem Jahr 2014. Sie listet unter den sieben Handlungsfeldern, die Deutschland bei der zunehmenden Digitalisierung voranbringen sollen, das Feld „Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft“. Darin wird die Notwendigkeit von „Sicherheit und Schutz im Netz für VerbraucherInnen und Unternehmen“ hervorgehoben sowie die Anforderung, sowohl Daten als auch die „Integrität und Verfügbarkeit der digitalen Infrastrukturen“ zu schützen.

    Die Umsetzung dieses Ziels brachte im Juli 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, das IT-Sicherheitsgesetz hervor.

    Kontext EU: NIS-Richtlinie

    Um das Sicherheitsniveau von IT-Systemen und -Netzen innerhalb des gemeinsamen EU-Binnenraums zu gewährleisten, trat im August 2016 die NIS-Richtlinie der EU in Kraft. Diese Richtlinie stellt ein Gegenstück zum deutschen IT-Sicherheitsgesetz mit zahlreichen inhaltlichen Parallelen dar, weswegen Deutschland dafür bereits gut gerüstet war. Die NIS-Richtlinie begründet den einheitlichen Rechtsrahmen für die Kooperation der Mitgliedsstaaten im Kontext Cybersicherheit und definiert Mindestanforderungen. Außerdem werden Meldepflichten für kritische Infrastrukturen und bestimmte online-Dienste innerhalb der Europäische Union eingeführt. Der Verpflichtung, die EU-Richtlinie in nationales Recht umzusetzen, ist Deutschland mit dem Gesetz zur Umsetzung der NIS-Richtline im Juni 2017 nachgekommen.

    Zielgruppen des IT-SiG und relevanter Inhalt

    Das IT-Sicherheitsgesetz adressiert vier Zielgruppen und definiert deren Pflichten entsprechend der Zielsetzung.

    Betreiber von kritischen Infrastrukturen – eingestuft durch die BSI-Kritisverordnung

    Wer die betroffenen Unternehmen der kritischen Infrastrukturen sind, die in den Geltungsbereich des IT-SiG fallen, muss anhand von messbaren und nachvollziehbaren Kriterien definierbar sein. Dafür wurde im Februar 2016 die Rechtsverordnung zur Bestimmung kritischer Infrastrukturen/BSI-KritisV als Ergänzung zum IT-Sicherheitsgesetz erlassen. Darin sind betroffene Sektoren festgelegt sowie die Schwellenwerte für deren Anlagenkategorien. Erreicht ein Unternehmen die vorgegebenen Schwellenwerte, z.B. für die Versorgung einer bestimmten Anzahl von Personen mit Energie oder Wasser, so ist es als betroffenes Unternehmen eingestuft und unterliegt den Bestimmungen des IT-Sicherheitsgesetzes. Alle zwei Jahre sollen diese Einstufungen einer Evaluierung unterzogen werden.

    Mit Gültigkeit ab Juli 2015 bestimmt die BSI-Kritisverordnung folgende KRITIS-Sektoren:

    • Energie (Elektrizität, Gas, Kraftstoff- und Heizöl, Fernwärme)
    • Wasser (Trinkwasser, Abwasser)
    • Ernährung (Lebensmittelversorgung)
    • Informationstechnik und (andere) Telekommunikation (Sprach- und Datenübertragung, Datenspeicherung und -verarbeitung)
    • Kernkraftwerke sind direkt vom IT-SiG betroffen, ungeachtet von Schwellenwerten
    • Telekommunikationsunternehmen sind direkt vom IT-SiG betroffen, ungeachtet von Schwellenwerten

    Per Änderungsverordnung bis Ende 2016 zusätzlich definierte KRITIS-Sektoren:

    • Transport und Verkehr (Personen- und Güterverkehr u.a. im ÖPNV, Logistik, sowie nach Schwellenwerten)
    • Gesundheit (stationäre medizinische Versorgung, lebenserhaltende Medizinprodukte, verschreibungspflichtige Arzneimittel, Blut- und Plasmakonzentrate, Labordiagnostik)
    • Finanz- und Versicherungswesen (Bargeldversorgung, konventioneller und kartengestützter Zahlungsverkehr, Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften, Versicherungsdienstleistungen)

    Gesetzliche Anforderungen für die Betreiber kritischer Infrastrukturen

    Absicherung mit Stand der Technik

    Das IT-Sicherheitsgesetz verpflichtete betroffene Unternehmen in einem Zeitrahmen von zwei Jahren ab Inkrafttreten der BSI-Kritisverordnung, die IT-Infrastruktur, die für die Erbringung ihrer Dienste notwendig ist, nach dem „Stand der Technik“ abzusichern. Eine regelmäßige Überprüfung der Maßnahmen im Abstand von jeweils zwei Jahren ist obligatorisch. Das Gesetz rät zur Erarbeitung branchenspezifischer Sicherheitsstandards.

    ISMS als Bestandteil des Mindeststandards für den Energiesektor

    Für die IT-Sicherheit im Energiesektor definiert die Bundesnetzagentur im Benehmen mit dem BSI Mindeststandards für den sicheren Netzbetrieb. In den IT-Sicherheitskatalogen für Betreiber von Strom- und Gasnetzen und Energieanlagen ist die Anforderung zum Aufbau eines ISMS nach DIN ISO/IEC 27001 (Informationssicherheits-Managementsystem) festgelegt.

    Meldepflichten und Kontaktstelle

    Die benannten Sektoren wurden mit Inkrafttreten der BSI-Kritisverordnung zur Meldung erheblicher Sicherheitsvorfälle (auch) an das BSI verpflichtet, eine Anforderung, die das IT-SiG bereits für Kernkraftwerke und Telekommunikationsunternehmen verfügt hatte. Dafür war innerhalb einer Frist von sechs Monaten ab Inkrafttreten der Verordnung dem BSI eine 24/7-Kontaktstelle im Unternehmen bekanntzugeben.

    Orientierung für Lieferanten

    Für Betreiber kritischer Infrastrukturen, die vom IT-SiG betroffen sind, ist das Sicherheitsniveau von Produkten und Dienstleistungen, die sie zur Erbringung ihrer Leistung oder zur Herstellung ihrer Erzeugnisse verwenden, relevant. Die entsprechenden Anforderungen an Lieferanten hat UP KRITIS, eine öffentlich-private Partnerschaft zwischen Betreibern kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen als „Best-Practice-Empfehlungen zur Gewährleistung der Informationssicherheit in kritischen Infrastrukturen und „Empfehlungen zu Entwicklung und Einsatz von in kritischen Infrastrukturen eingesetzten Produkten“ herausgegeben. Lieferanten, deren Produkte dieses Sicherheitsniveau aufweisen, ersparen den Betreibern kritischer Infrastrukturen aufwändige Zusatzmaßnahmen, um das Sicherheitsniveau vor Ort entsprechend zu gewährleisten. Solche Lieferanten haben in diesem Marktsegment einen Wettbewerbsvorteil.

    Betreiber von Webangeboten

    Das IT-Sicherheitsgesetzt erhöht die organisatorischen und technischen Anforderungen für Betreiber von Websites und kommerzielle Onlineshops, um deren Kundendaten und die für den Betrieb der Webseiten erforderlichen IT-Systeme zu schützen. Im Telemediengesetz definiert z.B. §13 die Pflichten des Diensteanbieters im Umgang mit personenbezogenen Daten.

    Telekommunikationsunternehmen

    Betreiber öffentlicher Telekommunikationsdienste und -Netze werden dazu verpflichtet, die Daten ihrer Kunden vor Missbrauch zu schützen.

    Gesetzliche Anforderungen an Telekommunikationsunternehmen

    Warnung vor Gefahren und Hilfe bei Problembehebung

    Die Unternehmen werden verpflichtet, ihre Kunden zu warnen, wenn sie Kenntnis davon erlangen, dass Anschlüsse für Cyberangriffe missbraucht werden. Damit einher geht die Aufforderung zur Unterstützung bei der Problembehebung.

    Absicherung nach dem Stand der Technik

    Die IT-Sicherheitsmaßnahmen der Provider müssen dem Stand der Technik entsprechen, um personenbezogene Daten und die Infrastruktur vor unerlaubten Zugriffen zu schützen.

    Meldepflicht

    Die Meldepflicht für erhebliche IT-Sicherheitsvorfälle wird erweitert, so dass neben der Bundesnetzagentur auch das BSI informiert werden muss.

    BSI Bundesamt für Sicherheit in der Informationstechnik

    Das IT-Sicherheitsgesetz weitet die Befugnisse des BSI aus und ändert dafür das BSIG, das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik. Im BSI-Gesetz werden Begriffserklärungen für Informationstechnik im Sinne des Gesetzes definiert sowie die Aufgaben und Befugnisse des BSI, das dem Bundesministerium des Innern, für Bau und Heimat untersteht, festgelegt. Außerdem regelt das BSI-Gesetz die Löschung personenbezogener Daten.

    Aufgaben des BSI

    Sicherstellen der IT-Sicherheit für Unternehmen und Bundesverwaltung

    Dazu gehört das Untersuchen der Sicherheit von IT-Produkten und das Erarbeiten von Mindeststandards für die Bundesverwaltung. Im Rahmen einer Zertifizierung wird die Sicherheitsfunktionalität von IT-Produkten und IT-Systemen nach technischen Kriterien entsprechend der BSI-Sicherheitsvorgaben und Richtlinien validiert. Eine Zertifizierung wird auf Anfrage eines Herstellers initiiert.

    Sammlung IT-sicherheitsrelevanter Informationen

    Das BSI hat die Aufgabe, Informationen, die die IT-Sicherheit für kritische Infrastrukturen gefährden, zu sammeln und relevante Informationen an die Betreiber bzw. betroffene Unternehmen sowie an die zuständigen Aufsichtsbehörden weiterzuleiten.

    BSI-Lagebericht

    In einem jährlichen Bericht hat das BSI die Öffentlichkeit über aktuelle Gefahren für die IT-Sicherheit zu informieren („Die Lage der IT-Sicherheit in Deutschland“) und die Sensibilisierung für das Thema zu unterstützen.

    Das IT-SiG als Artikelgesetz

    Das IT-Sicherheitsgesetz ist ein sogenanntes Artikelgesetz oder Mantelgesetz. Das bedeutet, dass es mehrere bestehende Gesetze vereint und hinsichtlich einer bestimmten Thematik gleichzeitig ändert. Es fungiert als Rahmen dieser Gesetze mit der Zielsetzung der nachhaltigen Absicherung der IT-Sicherheit, wobei der Schwerpunkt auf der Sicherheit von kritischen Infrastrukturen liegt. Die einzelnen Artikel des Artikelgesetzes referenzieren die Änderungen in den jeweiligen Gesetzen.

    Das IT-SiG ist der Rahmen für folgende Gesetze bzw. relevanten Teilen davon:

    • BSI-Gesetz
    • Energiewirtschaftsgesetz
    • Telemediengesetz
    • Telekommunikationsgesetz
    • Atomgesetz
    • Bundeskriminalamtsgesetz
    • Gesetz zur Strukturreform des Gebührenrechts des Bundes
    • Bundesbesoldungsgesetz

    Der Unterschied zwischen Gesetzen und Verordnungen

    Gesetze fallen in die Zuständigkeit der Legislative. Auf Bundesebene werden sie in den meisten Fällen durch die Bundesregierung als Entwurf eingebracht und dem Bundesrat, also der Ländervertretung, zur Stellungnahme übergeben. Gesetzesinitiativen können auch durch den Bundesrat oder durch die “Mitte des Parlaments”, d.h. von einer Fraktion oder von 5% der Abgeordneten, eingebracht werden.

    Nach der Stellungnahme des Bundesrats wird im Plenum in drei Lesungen über die Gesetzesvorlage beraten und darüber abgestimmt. Wird dabei eine Zweidrittelmehrheit im Bundestag erreicht, wird die Gesetzesvorlage, nachdem sie noch einige formale Stationen durchlaufen hat, zum rechtskräftigen Gesetz.

    Rechtsverordnungen sind „Gesetze im formellen Sinn“ und definieren die Umsetzung eines Gesetzes. Sie werden von der Exekutive (vollziehende Gewalt), also der Verwaltung, erarbeitet, die vom Gesetzgeber ermächtigt wird, Details zu einem Gesetz zu regeln.

    Gesetze legen das Grundsätzliche fest, das „Was“. Verordnungen definieren das „Wie“, die Art und Weise, wie Gesetze konkret umzusetzen sind.

    Wie das IT-Sicherheitsgesetz konkret umzusetzen ist, wird in der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz, auch BSI-Kritisverordnung genannt, beschrieben.

    Vom Referentenentwurf zum Gesetzentwurf

    Bevor die Bundesregierung einen Gesetzentwurf in den Gesetzgebungsprozess einbringen kann, muss der konkrete Inhalt erarbeitet werden. Dies wird von den Referaten in den zuständigen Bundesministerien übernommen, wo die Referentenentwürfe erstellt werden Für das IT-SiG 2.0 ist die Abteilung CI (Cyber- und Informationssicherheit) im Bundesministerium des Innern, für Bau und Heimat zuständig.

    Die vom Gesetzentwurf betroffenen Bundesministerien müssen in die Ausarbeitung der Inhalte einbezogen werden. Wenn europarechtliche Überprüfungen erforderlich sind, dann ist neben dem Bundesministerium für Wirtschaft und Technologie und dem Ministerium für Justiz auch das Auswärtige Amt involviert.

    Im Verlauf der Abstimmungen zwischen den Ministerien kann es mehrere Referentenentwürfe geben. Das zuständige Referat ist dafür zuständig, dass Referentenentwürfe mit entsprechenden Hinweisen zum Stand der Abstimmungen zwecks rechtzeitiger Beteiligung am Gesetzgebungsverfahren an Zentral- und Gesamtverbände sowie Fachkreise zur Stellungnahme geschickt werdenGeregelt ist dies im § 47 Absatz 3 GGO (Gemeinsamen Geschäftsordnung der Bundesministerien), wo auch die Beteiligung von Fachkreisen und Experten bei mündlichen Anhörungen festgeschrieben ist.

    Die Entscheidung darüber, ob die Presse und andere Organisationen oder Personen, die amtlich nicht beteiligt sind, den Gesetzentwurf erhalten oder ob er im Internet veröffentlicht wird, obliegt dem zuständigen Bundesministerium oder dem Bundeskanzleramt, wenn es sich um Gesetzesentwürfe mit „grundsätzlicher politischer Bedeutung“ handelt (§48 GGO).

    Erst nach der Abstimmung mit den betroffenen Bundesministerien und der Einbeziehung der Stellungnahmen der Fachkreise und Verbände auf Bundesebene wird der Gesetzentwurf der Bundesregierung zum Beschluss vorgelegt.

    Erschwerte Bedingungen für Stellungnahmen zu Referentenentwürfen zum IT-SiG 2.0

    Die Beteiligung der Fachkreise und Verbände an den Inhalten der Referentenentwürfe für das neue IT-Sicherheitsgesetz erfolgte unter erschwerten Bedingungen.

    Bei den Veröffentlichungen der verschiedenen Versionen wurden die Änderungen gegenüber der Vorgängerversion nicht kenntlich gemacht, wie dies im §49 (1) GGO eigentlich festgelegt ist. Die Fristen, die für eine Stellungnahme jeweils eingeräumt wurden, waren außerdem sehr knapp bemessen. Beim 3. Referentenentwurf vom 19.11.2020 räumte das BMI den Fachkreisen und Verbänden zunächst zweieinhalb Tage Zeit für das Einreichen einer Stellungnahme ein, die dann auf fünf Tage verlängert wurden. Für den Referentenentwurf vom 09.12.2020, der einem Entwurf vom 01.12.2020 folgte, war die Frist für die Prüfung des über hundert Seiten umfassenden Entwurfs und die Einreichung einer Stellungnahme auf nur mehr einen Tag begrenzt. Dabei war die Beschlussfassung des Kabinetts für den 16. Dezember anvisiert. Eine inhaltliche Berücksichtigung der Stellungnahmen der Fachkreise und Verbände war damit ziemlich unwahrscheinlich. Dies hat, neben inhaltlichen Punkten, große Kritik hervorgerufen.

    Der Weg vom Gesetzentwurf des IT-SiG 2.0 zum rechtskräftigen Gesetz

    Gesetzentwürfe werden von der Bundesregierung an den Bundesrat zur Stellungnahme überstellt. Der Bundesrat hat den Gesetzentwurf der Bundesregierung „Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ am 01.01.2021 erhalten und ihn zusammen mit der Stellungnahme der Ländervertretung innerhalb der vorgegebenen Frist von vier Wochen an den Bundestag weitergeleitet. Die Bundesregierung hat auf die Stellungnahme des Bundesrats eine Gegenäußerung verfasst.

    Im Bundestag folgte die erste Lesung im Plenum und die Bildung fraktionsübergreifender Ausschüsse, wo die inhaltliche Beratung stattfand. Interessenvertreter und Experten wurden bei einer öffentlichen Anhörung am 1. März gehört, die schriftlichen Stellungnahmen sind veröffentlicht.

    In der zweiten Lesung debattierten die Abgeordneten im Bundestag über den Gesetzentwurf und stimmten über die Änderungsanträge ab. Die Schlussabstimmung erfolgte in der dritten Lesung. 

    In der Folge wird das Gesetz dem Bundesrat zur Zustimmung übergeben. Stimmt dieser zu, geht das Gesetz zur Unterzeichnung an die Bundeskanzlerin und den zuständigen Fachminister. Der Bundespräsident erhält das Gesetz zur Prüfung auf Verfassungsmäßigkeit und Unterschrift. Das Gesetz gilt als verkündet, wenn es im Bundesgesetzblatt veröffentlicht ist. Es tritt 14 Tage nach der Ausgabe des Bundesgesetzblattes in Kraft.

    Gesetzentwurf IT-SiG 2.0 – Inhalte

    „Inhaltlich sieht das Gesetz Regelungen zum Schutz der Bundesverwaltung, zum Schutz der kritischen Infrastrukturen, zum Schutz weiterer Unternehmen im besonderen öffentlichen Interesse sowie zum Verbraucherschutz vor.“, so beschreibt das Referat CI1 des BMI in seinem Anschreiben an die Fachkreise und Verbände den Inhalt des Gesetzentwurfs.

    Die Kernpunkte des Referentenentwurfs vom 09.12.2020 verdeutlichen eine Befugnis-Erweiterung für das BSI, bei dem dafür ca. 800 neue Stellen geschaffen werden:

    Artikel 1 – Änderungen des BSI-Gesetzes jeweils mit der Zielsetzung der Gefahrenabwehr

    • Dem BSI werden Kontroll- und Prüfbefugnisse gegenüber der gesamten Bundesverwaltung übertragen. Es darf Protokolldaten für die Kommunikationstechnik für 12 Monate speichern.
    • Das BSI darf Protokollierungsdaten (die beim Betrieb von Kommunikationstechnik des Bundes anfallen) verarbeiten, das BSI-Gesetz wird entsprechend ergänzt.
    • Verbraucherschutz wird in den BSI-Aufgabenkatalog mit aufgenommen.
    • Das BSI darf von Telekommunikationsdienst-Anbietern die Herausgabe von Bestandsdaten verlangen.
    • Hersteller von IT-Produkten werden verpflichtet, dem BSI Auskunft zu ihren Produkten zu liefern.
    • Das BSI darf Portscans an Schnittstellen zu öffentlichen Telekommunikationsnetzen durchführen sowie Honeypots einsetzen (Systeme und Analyse-Maßnahmen für Schadprogramme und Angriffsmethoden).
    • Das BSI darf bei entsprechender Bedrohungslage Maßnahmen gegenüber Telekommunikations- und Telemedienunternehmen anordnen.
    • Der Mindeststandard des BSI muss auch von IT-Dienstleistern des Bundes eingehalten werden.
    • Das BSI wird frühzeitig bei Digitalisierungsvorhaben des Bundes eingebunden.
    • KRITIS-Betreiber müssen Angriffserkennungssysteme einsetzen.
    • Erweiterung der Meldepflicht auf Unternehmen des öffentlichen Interesses, Rüstungsindustrie, Verschlusssachen-IT, Unternehmen mit hoher Wertschöpfung und besonderer volkswirtschaftlicher Bedeutung, Unternehmen, die der Regulierung durch die Störfallverordnung unterliegen (z.B. aufgrund des Einsatzes gefährlicher Stoffe).
    • Das BSI regelt die Untersagung des Einsatzes kritischer Komponenten, für die eine Zertifizierungspflicht besteht.
    • Die Einführung der Grundlage eines einheitlichen IT-Sicherheitskennzeichens soll IT-Sicherheitsfunktionen von Produkten für Verbraucher sichtbar machen.
    • Neufassung der Bußgeldvorschrift (Strafen bis 2 Mio. EUR).

    Artikel 2 – Änderungen im Telekommunikationsgesetz (TKG)

    schafft eine Rechtsgrundlage für einen Katalog von Sicherheitsanforderungen für den Betrieb von Telekommunikations- und Datenverarbeitungssystemen und die Verarbeitung von personenbezogenen Daten.

    Artikel 3 – Änderungen des Gesetzes über die Elektrizitäts- und Gasversorgung (ENWG)

    Für Energieversorger und Energieanlagen als Betreiber kritischer Infrastrukturen besteht die Pflicht, Systeme zur Angriffserkennung einzuführen.

    Artikel 4 – Änderung der Außenwirtschaftsverordnung (AWV)

    Einführung von Definitionen für kritische Komponenten im BSI-Gesetz und eine Anzeigepflicht des Betreibers gegenüber dem BMI vor dem Einsatz.

    Artikel 5 – Änderung des Zehnten Buches Sozialgesetzbuch (SGB X)

    Das BSI darf bei entsprechendem Bedarf Sozialdaten verarbeiten.

    Artikel 6

    enthält Bestimmungen zur Evaluierung des Gesetzes.

    Kritik am Gesetzentwurf des IT-SiG 2.0

    Der Gesetzentwurf zum IT-SiG 2.0 rief unter Experten und Fachkreisen viel Kritik hervor, die in der Anhörung im Ausschuss am 01.03.21 geäußert und in den schriftlichen Stellungnahmen umfänglich festgehalten ist. Darunter finden sich u.a. die nachfolgenden Punkte:

    Eine Evaluierung für das IT-SiG 1.0 fehlt – Erkenntnisse fließen nicht in das IT-SiG 2.0 ein

    Die im Artikel 10 des IT-SiG von 2015 gesetzlich vorgeschriebene Evaluierung der Wirksamkeit der Maßnahmen unter Einbeziehung eines wissenschaftlichen Sachverständigen hat nicht stattgefunden. Experten kritisieren, dass im neuen IT-Sicherheitsgesetz wichtige Erkenntnisse zum aktuellen Stand und zur Wirksamkeit von Maßnahmen fehlen, beispielsweise hinsichtlich der definierten Schwellenwerte und der Erreichung der Schutzziele. Die Durchführung der Evaluierung und die Berücksichtigung der daraus resultierenden Erkenntnisse im IT-SiG 2.0 wurde von der AfD in einem entsprechenden Antrag während der ersten Lesung eingefordert. Der Antrag wurde entsprechend der Beschlussempfehlung des Ausschusses für Inneres und Heimat (4. Ausschuss) abgelehnt.

    Unzureichende Beteiligung der Zivilgesellschaft führt zu einem Mangel an Expertise

    Die „Zivilgesellschaft“, vertreten durch Fachkreise, Verbände und Experten sowie die Vertreter der Wissenschaft, wurde nicht ausreichend in das Gesetzgebungsverfahren eingebunden und beteiligt. Die Kritik bezieht sich auf die Tatsache, dass nicht alle Referentenentwürfe dem Fachpublikum zugänglich gemacht wurden und auf die extrem kurzen Fristen für die Einreichung von Stellungnahmen zu komplexen Sachverhalten. Dies führt in der Folge dazu, dass wichtige Inhalte und Sichtweisen von Experten und Beteiligten nicht in den Gesetzentwurf Einzug gehalten haben. Für die Sicherheit kritischer Infrastrukturen und die Folgen, die Sicherheitslücken für die Gesellschaft haben können, ist dieser Mangel schwerwiegend.

    Die Rolle des BSI

    Das BSI wird nicht mehr als unabhängige Behörde betrachtet, sondern als „Handlanger und wahlweise verlängerter Arm der Sicherheitsbehörden und Nachrichtendienste“, wie Manuel Atug von der AG KRITIS dies in der Anhörung ausdrückte. Diese Kritik gründet auf der Befugnis des BSI, im Rahmen von Strafverfolgung Sicherheitslücken, die erkannt wurden, offenzuhalten und zu verheimlichen. Dies steht der Verpflichtung des BSI entgegen, relevante Informationen über bekannte Schwachstellen öffentlich zu machen und an einer Behebung mitzuwirken.

    Es wird ein Interessenkonflikt aus der Tatsache hergeleitet, dass sowohl das BSI als auch die Sicherheitsbehörden dem BMI unterstellt sind. Während das BSI eine Informationspflicht für entdeckte Schwachstellen hat und bekannte Sicherheitslücken veröffentlichen muss, haben Sicherheitsbehörden ein Interesse daran, Informationen zu Sicherheitslücken für eigene Verwendung im Rahmen von Strafverfolgung zurückzuhalten.

     “Huawei-Klausel” behindert Innovationen

    Technische Komponenten, die vom BSI als kritisch eingestuft sind, müssen durch die Betreiber vor dem Einsatz in kritischen Infrastrukturen dem BMI gemeldet und technisch zertifiziert werden. Im Rahmen dieser Meldung muss auch eine Erklärung zur Vertrauenswürdigkeit des Herstellers der kritischen Komponenten vorgelegt werden, die sich über die gesamte Lieferkette der Produkte erstreckt. Nachdem Lieferketten komplex sind und viele Beteiligte, wie z.B. Reseller, Systemhäuser, etc. umfassen, ist dies nur schwer möglich.

    Wenn öffentliche oder sicherheitspolitische Interessen dies begründen, dann kann das BMI Hersteller und damit deren Technologien ganz von wichtigen Themen wie z.B. dem 5G-Ausbau ausschließen. Dies betrifft im Telekommunikationsbereich Firmen wie Huawei, Nokia und andere. Es wird kritisiert, dass damit die Entscheidung für die Nutzung einer fortschrittlichen Technologie und des Stands der Technik nicht auf einer technischen Prüfung und Zertifizierung sowie internationalen und europäischen Normen basiert. Wenn die Einsatzentscheidung auf nationalen Festlegungen und auf politischer Motivation basiert, werden zukunftsorientierte Innovationen empfindlich behindert.

    Der Endspurt

    Änderungsantrag von CDU/CSU und SPD vom 19.04.21

    Nachdem im Ausschuss für Inneres und Heimat des Deutschen Bundestages über den Gesetzentwurf beraten wurde, brachten die Fraktionen der CDU/CSU und SPD am 19.04.21 einen Änderungsantrag mit einer Reihe von redaktionellen Korrekturen und erläuternden Änderungen ein. Dabei ging es aus Sicht der beiden Fraktionen um Klarstellungen, Konkretisierungen und um die Vermeidung von Unklarheiten im Text des Gesetzentwurfs.

    Der Änderungsantrag weist auch inhaltliche Ergänzungen auf, beispielsweise für die Voraussetzungen und die erlaubte Dauer für die Speicherung von Protokolldaten und ihre Verarbeitung (Artikel 1 Nr. 4).

    Umfangreichere Änderungen sind für den §9b aufgeführt, der den Einsatz von kritischen Komponenten in kritischen Infrastrukturen und die Voraussetzungen für eine Untersagung des Einsatzes durch das BMI regelt. In diesem Zusammenhang werden auch die Vorgaben für die Erklärung der Vertrauenswürdigkeit der Hersteller konkretisiert. Hintergrund der gewünschten Änderung ist das Bestreben, dass Hersteller, die „unmittelbar oder mittelbar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert“ werden, ausgeschlossen werden können. Damit sollen die „strategic measure SM03“ der EU 5G Toolbox („Cybersecurity of 5G Networks – EU Toolbox of risk mitigating measure“), einer Empfehlung der Europäischen Kommission für den Umgang mit Cybersicherheitsrisiken bei 5G, umgesetzt werden. Die EU 5G Toolbox beschreibt die „Bewertung von Risikoprofilen der Hersteller und mögliche Restriktionen als eine der Schlüsselmaßnahmen zur Absicherung der 5G-Netze“.

    Antrag auf Entschließung vom 20.04.21 der Fraktionen der CDU/CSU und der SPD

    Am 20.04.21 folgte der Antrag der Fraktionen der CDU/CSU und SPD auf eine Entschließung des 4. Ausschusses des Deutschen Bundestages – Ausschuss für Inneres Heimat – mit der Überschrift „Deutschlands Cybersicherheit stärken“.

    Ein Entschließungsantrag bezieht sich auf einen vorliegenden Gesetzentwurf und erläutert die Auffassung einer oder mehrerer Fraktionen zu politischen Fragestellungen. Außerdem fordert der Antrag die Bundesregierung zu einem bestimmten Handeln auf. In diesem Fall umfasst die Handlungsaufforderung des Ausschusses für Inneres und Heimat die folgenden fünf Punkte:

    BSI und Hersteller – Umgang mit erkannten IT-Schwachstellen

    Es wird gefordert, dass die Bundesregierung das BSI ausreichend für die erweiterten Aufgaben und die Meldepflicht für entdeckte IT-Schwachstellen ausstattet.

    Es soll außerdem geprüft werden, ob die definierten Pflichten für Hersteller ausreichen, damit diese eine entsprechende Fehlerbehebung in ihren IT-Produkten durchführen, nachdem Schwachstellen durch das BSI gemeldet wurden.

    Rechtswidrigen Eingriff in Grundrecht verhindern

    Im BSI soll sichergestellt werden, dass „rechtwidrige Eingriffe in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ vermieden werden.

    Überprüfung von Personal in kritischen Bereichen

    Es werden gesetzlich geregelte Möglichkeiten eingefordert, um die Vertrauenswürdigkeit von Personen zu prüfen, die in sicherheitskritischen Bereichen von kritischen Infrastrukturen oder von Unternehmen von öffentlichem Interesse beschäftigt sind.

    Kommunikation zwischen BSI, zuständigen Behörden und KRITIS-Betreiber stärken

    Um die Kommunikation zwischen BSI, zuständigen Behörden und kritischen Infrastrukturen zu stärken sowie einen besseren Überblick für den jährlichen Bericht des BSI zu ermöglichen, soll ein „geeignetes System“ geschaffen werden, um „spezialisierte technische Informationen zu Prävention, Detektion und Reaktion“ automatisiert auszutauschen.

    Einsatz kritischer Komponenten und Erklärung zur Vertraulichkeit von Herstellern entsprechend der EU 5G Toolbox

    Die Anwendung von §9b (Einsatz kritischer Komponenten in kritischen Infrastrukturen und Garantieerklärung zur Vertrauenswürdigkeit von Herstellen) soll fortlaufend überwacht werden. Bei Anpassungen sollen ggf. auch Entschädigungsregelungen definiert werden.

    Zur Stärkung der „digitalen Souveränität der Bundesrepublik Deutschland“ soll die Bundesregierung sichere kritische Komponenten für den Einsatz in kritischen Infrastrukturen, und hier vor allem in der Telekommunikation, entsprechend den Empfehlungen der EU 5G Toolbox fördern.

    Entschließungsanträge von Fraktionen der Opposition

    Entschließungsanträge wurden auch von der FDP Fraktion und der AfD Fraktion jeweils am 21.04.21 eingebracht.

    Abstimmung im Bundestag am 23. April – das IT-SiG 2.0 ist durch!

    Am 23. April wurde der Entwurf der Bundesregierung für ein zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme in der vom Innenausschuss geänderten Fassung (Beschlussempfehlung und Bericht des Ausschusses für Inneres und Heimat – 4. Ausschuss) vom Bundestag angenommen. Damit steht das IT-SiG 2.0.

    Das Dokument „Beschlussempfehlung und Bericht des Ausschusses für Inneres und Heimat (4. Ausschuss)“ listet die Schwerpunkte für die Änderungen im Bezug zum IT-SiG 1.0 und erläutert die Änderungen und Ergänzungen, die der zuständige Ausschuss für den Gesetzentwurf erarbeitet hat.

    Es wird darin die Annahme der geänderten Fassung des Gesetzentwurfs empfohlen sowie die Ablehnung der beiden Anträge der AfD (Evaluierung des IT-Sicherheitsgesetzes von 2015 nach Gesetzeslage umsetzen und Ergebnisse im IT-Sicherheitsgesetz 2.0 berücksichtigen und IT-Sicherheitsgesetz 2.0 – Planungs- und Rechtssicherheit für Netzbetreiber herstellen ) und eines Antrags der Fraktion BÜNDNIS 90/Die Grünen (IT-Sicherheit stärken, Freiheit erhalten, Frieden sichern) vorgeschlagen.

    Die Beschlussempfehlung für den Inhalt des neuen IT-Sicherheitsgesetz entspricht dem Inhalt des Änderungsantrages der Fraktionen CDU/CSU und SPD.

    Die wesentlichen Änderungen im Überblick

    Befugniserweiterung des BSI
    • Prüf- und Kontrollbefugnisse
    • Festlegung von Mindestandards
    • Detektion von Schadprogrammen zum Schutz der Regierungsnetze
    • Abfrage von Bestandsdaten bei Telekommunikationsdienste-Anbietern
    • Detektion von Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen
    • Einsatz von Systemen und Verfahren, um Schadprogramme und Angriffsmethoden zu analysieren
    • Erlass von Anordnungen für Telekommunikations- und Telemedienanbieter zur Gefahrenabwehr
    • Verbraucherschutz als zusätzliche Aufgabe
    Einführung eines einheitliches Sicherheitskennzeichens

    Freiwillige Kennzeichnung von Software- und Hardware-Produkte durch die Hersteller. Dies soll im Rahmen des Verbraucherschutzes mehr Transparenz und Aussagekraft für die IT-Sicherheit mit sich bringen.

    Erweiterung der vom IT-Sicherheitsgesetz betroffenen Unternehmen

    Neben den kritischen Infrastrukturen, die entsprechend dem Anwendungsbereich der BSI-Kritisverordnung betroffen sind, sind dies nun auch „Unternehmen von besonderem öffentlichen Interesse“. Darunter fallen „auch Zulieferer mit Alleinstellungsmerkmal für die nach ihrer Wertschöpfung größten Unternehmen in Deutschland“.

    Ausweitung der Pflichten für Betreiber kritischer Infrastrukturen und Unternehmen von besonderem öffentlichen Interesse

    Hierzu zählt die Anzeigepflicht für den Einsatz kritischer Komponenten beim BMI und eine verpflichtende Garantieerklärung zur Vertrauenswürdigkeit des Herstellers für die gesamte Lieferkette.

    Bedingungen für den Einsatz kritischer Komponenten und Untersagung des Einsatzes

    Die Eingriffsbefugnisse des BMI für den Einsatz und den Betrieb kritischer Komponenten werden definiert. Außerdem werden konkrete Voraussetzungen für die Untersagung des Einsatzes festgelegt.

    Verpflichtende Unterrichtung des Innenausschuss

    Das BMI muss den Innenausschuss jährlich über die Anwendung des Gesetzes informieren.

    Änderung der BSI-Kritisverordnung – Anpassung der Schwellenwerte

    Eine Änderung der BSI-KritisV mit einer Anpassung der Schwellenwerte ist derzeit in Arbeit.

    Ausblick auf das IT-SiG 3.0

    Die bestehende NIS-Richtinie der EU soll „neue Vorschriften zur Erhöhung der Widerstandsfähigkeit kritischer physischer und digitaler Einrichtungen“ erhalten und zur „NIS2“ werden.

    Der Entwurf einer neuen Cybersicherheitsstrategie für die EU wurde von der EU-Kommission am 16. Dezember 2020 vorgelegt. Nachdem sich das Gesetzgebungsverfahren für das deutsche IT-SiG 2.0 in die Länge zog, verlief die Entwicklung parallel zu der EU-Initiative ohne ausreichende Abstimmung. Im Hinblick auf die Verpflichtung, EU-Gesetze zeitnah in nationales Recht umzusetzen, ist damit der Startschuss für ein IT-SiG 3.0 gefallen. Die Umsetzung wird voraussichtlich weitere Aufwände für Betreiber von betroffenen Unternehmen verursachen.

    Das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme IT-SiG 2.0 wurde am 21. Mai 2021 im Bundesgesetzblatt veröffentlicht.

    Dieser Artikel wird entsprechend den aktuellen Entwicklungen aktualisiert, damit Sie auf dem Laufenden bleiben!

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie die wichtigsten Erkenntnisse und Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung