Das neue IT-Sicherheitsgesetz 2.0 – ein Überblick

Stefan Hessel

Mit dem zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 18. Mai 2021 (IT-Sicherheitsgesetz 2.0) hat der Gesetzgeber neue Schutzmechanismen und Abwehrstrategien für wichtige Bereiche der IT-Sicherheit in Deutschland geschaffen. Anknüpfend an das erste IT-Sicherheitsgesetz aus dem Jahr 2015 wurden neben einer Stärkung und Erweiterung der Kompetenzen des Bundesamts für Sicherheit in der Informationstechnik (BSI) auch zahlreiche Neuregelungen für Betreiber Kritischer Infrastrukturen (KRITIS), für den Einsatz "Kritischer Komponenten" und für die neue Kategorie der "Unternehmen im besonderen öffentlichen Interesse" eingeführt.

Neue Vorschriften für die Betreiber Kritischer Infrastrukturen

Eine Vielzahl der neuen Regelungen betreffen die KRITIS-Betreiber. KRITIS sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Das IT-Sicherheitsgesetz 2.0 fügt zu den bereits bekannten KRITIS-Sektoren, namentlich Staat und Verwaltung, Energie, IT und TK, Transport und Verkehr, Gesundheit, Medien und Kultur, Wasser, Ernährung, Finanz- und Versicherungswesen, zur Abwehr von Seuchen- und Umweltgefahren nun den neuen Sektor "Siedlungsabfallentsorgung" hinzu.

Sofern ein in einem dieser Sektoren tätiges Unternehmen einen gewissen Schwellenwert der Versorgung erreicht oder übersteigt – der Regelschwellenwert liegt hier bei 500.000 versorgten Personen – ist das Unternehmen zur Einhaltung bestimmter gesetzlicher Pflichten und Sicherheitsvorkehrungen verpflichtet. So führt der mit dem IT-Sicherheitsgesetz 2.0 eingeführte § 8b Abs. 3 BSIG eine Registrierungspflicht für KRITIS-Betreiber ein, die, falls erforderlich, auch gegen deren Willen durchgesetzt werden kann. Darüber hinaus besteht ab dem 1. Mai 2023 eine ausdrückliche Pflicht für den Einsatz von Systemen zur Angriffserkennung.

Verschärfte Vorschriften auch für den Einsatz Kritischer Komponenten

Bei Kritischen Komponenten handelt es sich um IT-Produkte, die in Kritischen Infrastrukturen eingesetzt werden und bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können.

KRITIS-Unternehmen sind vor dem geplanten Einsatz Kritischer Komponenten nunmehr zur Anzeige verpflichtet. Sie haben im Rahmen des Entscheidungsprozesses über den Einsatz einer Kritischen Komponente zudem den Anordnungen des zuständigen Bundesinnenministeriums Folge zu leisten und im Falle einer Untersagung den Einsatz der Komponente gänzlich zu unterlassen. Darüber hinaus führt § 9b Abs. 3 BSIG eine verpflichtende Garantieerklärung des Herstellers der Kritischen Komponente gegenüber dem KRITIS-Betreiber ein, die darlegen muss, wie die Kritische Komponente vor Missbrauch, Sabotage, Spionage oder Terrorismus geschützt wird. Hierdurch wird der Anwendungsbereich des BSIG mittelbar enorm erweitert.

Neue Regelungen für Unternehmen im besonderen öffentlichen Interesse

Zu der durch das IT-Sicherheitsgesetz 2.0 neu geschaffenen Kategorie der „Unternehmen im besonderen öffentlichen Interesse“ gehören Unternehmen, die entweder unter § 60 Außenwirtschaftsverordnung (AWV) fallen, zu den größten Unternehmen in Deutschland gehören oder die in bestimmte Bereiche der Störfall-VO fallen. Erfasst sind zudem auch Zulieferer, die wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind.

Die gesetzlichen Verpflichtungen für diese Unternehmen sind vielfach an die Verpflichtungen der KRITIS-Betreiber angelehnt, ihr Umfang ist jedoch bisweilen reduziert. So müssen sich Unternehmen im besonderen öffentlichen Interesse ebenfalls bei dem Bundesamt für Sicherheit in der Informationstechnik registrieren und die Einhaltung der Anforderungen alle zwei Jahre nachweisen. Als Nachweis genügt hier jedoch eine Selbsterklärung zur IT-Sicherheit – externe Nachweise sind nicht verpflichtend. Wie KRITIS-Betreiber trifft auch Unternehmen im besonderen öffentlichen Interesse die Pflicht, Störungen, die die Erbringung der Wertschöpfung betreffen, unverzüglich zu melden. Im Gegenzug haben diese Unternehmen im Falle von herausgehobenen IT-Sicherheitsvorfällen die Möglichkeit, das BSI um Hilfe zu ersuchen.

Weitere Neuerungen und verschärfte Bußgelder

Neben den bereits genannten Neuregelungen führt das IT-Sicherheitsgesetz 2.0 mit § 9c BSIG ein freiwilliges IT-Sicherheitskennzeichen zur Verbesserung der Verbraucherinformation ein. Bereits Ende des Jahres sollen Verbraucher durch das Kennzeichen die Möglichkeit erhalten, sich leicht über vom Hersteller zugesicherte Sicherheitsfunktionen von Produkten und Diensten zu informieren. Außerdem wird das BSI auch für Unternehmen zur zentralen Stelle für die Entgegennahme und Auswertung von Meldungen über IT-Sicherheitsrisiken und richtet hierzu anonym nutzbare Meldewege ein. Zu guter Letzt hat der Gesetzgeber mit dem neuen Sicherheitsgesetz auch die Bußgeldvorschriften in § 14 BSIG erheblich erweitert und den Bußgeldrahmen für Verstöße gegen die normierten Pflichten erheblich erhöht. Unternehmen sollten daher in jedem Fall genau prüfen, ob sich aus dem IT-Sicherheitsgesetz 2.0 oder den bereits bestehenden Vorschriften zur IT-Sicherheit rechtliche Pflichten ergeben, und gegebenenfalls rasch geeignete Maßnahmen ergreifen.

[Oktober 2021]