Seit nun fast zwei Jahren wird an einer Erweiterung zum IT-Sicherheitsgesetz gearbeitet. Das IT-Sicherheitsgesetz ist erstmals im Juli 2015 in Kraft getreten (IT-SiG 1.0). Lange wurde über ein zweites Gesetz diskutiert, das sog. IT-SiG 2.0, dessen Fertigstellung ursprünglich bereits im Jahr 2019 erwartet wurde, jedoch bis heute nicht verabschiedet wurde. Stattdessen wurden drei weitere Referentenentwürfe eingereicht bis schließlich der dritte Entwurf am 16.12.2020 von der Bundesregierung beschlossen wurde. Dieser Beschluss blieb nicht ohne Kritik, da der Beschluss bereits innerhalb von zwei Wochen nach Vorlage des dritten Referentenentwurfs erfolgte. Kritiker sehen diesen Zeitraum als zu kurz an, um noch die restlichen Problemstellen des Entwurfs zu bereinigen, wie zum Beispiel die Höhe der Kosten oder die Verwendung von Netzwerkkomponenten chinesischer Netzwerkausrüster. Zudem beanstanden sie, dass die gesetzlich erforderliche Evaluierung nicht stattgefunden hat. Eine Verabschiedung wird nicht vor Frühjahr 2021 erwartet. Die erste Lesung des Gesetzes erfolgte am 28.01.2021 und wurde mit zwei Anträgen zur weiteren Beratung an den Ausschuss für Inneres und Heimat überwiesen.

Wozu dient das IT-Sicherheitsgesetz im Allgemeinen?

Der Fokus des Gesetzes ist die Verbesserung der Sicherheit und des Schutzes der IT-Systeme und Dienste. Insbesondere im Bereich der kritischen Infrastrukturen (KRITIS) sollen diese Verbesserungen erreicht werden. Aber auch die IT-Sicherheit der Bundesverwaltung, der Unternehmen sowie der Bürger wird von den Regelungen des IT-Sicherheitsgesetzes erfasst.

Um die Sicherheit informationstechnischer Systeme weiter zu erhöhen und ganzheitliche Ansätze zu integrieren wurde ein Entwurf für ein zweites Gesetz (IT-SiG 2.0) ausgearbeitet.

Was soll mit dem neuen Gesetz erreicht werden?

Mit dem neuen Gesetz soll die Informationssicherheit weiter verbessert werden. Der Fokus liegt vor allem auf der Ausweitung von Befugnissen des BSI. Das BSI soll nun verstärkt als Verbraucherschützer auftreten und dafür u.a. ein IT-Sicherheitskennzeichen einführen dürfen. Dadurch soll letztlich auch die IT-Sicherheit von Produkten sichtbar gemacht werden.

Das BSI erhält durch das neue Gesetz auch das Recht auf Abfrage- und Anordnungsbefugnis gegenüber Telekommunikationsdienstanbietern.

Im Rahmen der Gesetzesänderung sollen des Weiteren die bestehenden Meldepflichten für Betreiber von KRITIS auf weitere Teile der Wirtschaft erstreckt werden.

Darüber hinaus ist das BSI nun befugt Daten über einen längeren Zeitraum zu speichern. Im Entwurf ist ein Zeitraum von zwölf Monaten vorgesehen.

Des Weiteren soll das BSI vermehrt mit dem BKA oder dem Verfassungsschutz zusammenarbeiten.

Außerdem beinhaltet das neue Gesetz mehrere Änderungen oder Eingriffe in andere Gesetze, bspw. das TKG, TMG oder das EnWG, sowie erhebliche Änderungen des Bußgeldregimes.

Was haben Unternehmen zu beachten?

Sofern der Gesetzesentwurf verabschiedet wird, haben Unternehmer insbesondere folgende Änderungen zu beachten:

Zunächst sind die drastisch steigenden Geldbußen zu nennen. Im IT-SiG 1.0 lag der Strafrahmen bei 100.000,00 € pro Verstoß und nun werden Geldbußen bis zu 2.000.000,00 € veranschlagt. In vorherigen Entwürfen war noch eine Bußgeldverhängung in Höhe von 20.000.000,00 € oder eine Verknüpfung an die Jahresumsätze vorgesehen. Dahingehend wurde zumindest eine mildere Regelung getroffen, wenngleich die jetzige Bußgeldhöhe als empfindlich einzustufen ist.

Weiter wird das Security Incident & Event Management System (SIEM) verpflichtend, bisher galt es nur als Empfehlung. Bei einem SIEM handelt es sich um ein softwarebasiertes Konzept aus dem Bereich des Sicherheits-Managements, mit dem ein umfassender und zentralisierter Überblick über die Sicherheitslage einer IT-Infrastruktur ermöglicht wird.

Des Weiteren werden Unternehmen von besonderem öffentlichem Interesse dazu verpflichtet sich beim BSI zu registrieren und im Rahmen einer Selbsterklärung darzulegen, welche Schutzmaßnahmen zur IT-Sicherheit vorgesehen sind und durchgeführt werden. Unternehmen stehen dann im besonderen öffentlichen Interesse, wenn sie nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung sind. Welche Unternehmen dann konkret unter diese Regelung fallen, muss von der Rechtsverordnung noch abschließend definiert werden. Vor allem ist bislang nicht ersichtlich, ob diese Unternehmen immer noch unter Aufsicht des BSI stehen, wenn sie wirtschaftlich betrachtet nicht mehr zu den größten Unternehmen zählen.

Fazit

Die Erweiterung des Schutzes für kritische Infrastrukturen und die Abwehr von Gefahren für die Wirtschaft und Allgemeinheit ist durchaus zu begrüßen. Dennoch geht durch die Ausweitung der Befugnisse des BSI ein weitgehender Eingriff in die technischen Zugriffs- und Weisungsbefugnisse einzelner Unternehmen einher. Diese Befugnisse sollten nicht dem BSI zustehen. Ferner weist das neue Gesetz noch Lücken auf, die letztlich erst durch Rechtsverordnungen ausgefüllt werden müssen und so die Unternehmen vor einigen Unsicherheiten stellt. Insgesamt stellt das neue IT-SiG 2.0 die Unternehmen vor einen höheren bürokratischen Verwaltungsaufwand und unverhältnismäßigen Sanktionsmaßstab.

Wir werden Sie über die weiteren Entwicklungen informieren.