IT-Sicherheitsgesetz 2.0 – mehr KRITIS und mehr BSI

Fachbeitrag

Das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ist am 28. Mai 2021 in Kraft getreten. Was wird nun anders? Wofür bekommt das BSI 799 neue Stellen? Wir geben einen Überblick.

Die Struktur des IT-Sicherheitsgesetzes 2.0

Das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz: IT-Sicherheitsgesetz 2.0, noch kürzer: IT-SiG 2.0, ist ein sog. Artikelgesetz. Es bestimmt in seinen insgesamt 7 Artikeln, dass und wie verschiedene andere, thematisch nicht unbedingt zusammenhängende, Gesetze geändert werden. Die betroffenen Gesetze sind:

  • Das BSI-Gesetz
  • Das Telekommunikationsgesetz
  • Das Energiewirtschaftsgesetz
  • Die Außenwirtschaftsverordnung
  • Das SGB X

Allein 15 von 17 Seiten nehmen dabei die Änderungen des BSI-Gesetzes (des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik) in Anspruch. Auch wir nehmen ausschließlich diese Änderungen in den Fokus.

Wird jetzt alles sicherer?

Knapp 6 Jahre nach Verabschiedung des (ersten) IT-Sicherheitsgesetzes und immerhin über 2 Jahre nach dem ersten neuen Gesetzesentwurf ist das IT-Sicherheitsgesetz 2.0 in Kraft getreten. Gerade in Anbetracht der rasanten technischen Entwicklungen sind 6 Jahre ein erstaunlich langer Zeitraum. Aber wird mein Internet nun deshalb sicherer?

Nun, letzteres vielleicht am Rande. Aber die zentrale Stoßrichtung des Gesetzes ist trotz des allgemeinen Namens eine recht Spezielle: Es soll die IT-Sicherheit für Unternehmen aus besonders sensiblen Bereichen, insbesondere deren Resilienz gegen Cyberattacken, erhöhen. Die Wichtigkeit einer solchen Widerstandsfähigkeit für Unternehmen im Allgemeinen hat zuletzt erst wieder der Supply-Chain-Angriff der Hackergruppe REvil auf Kassensoftware des Dienstleisters Kaseya gezeigt.

KRITIS – Kritische Infrastrukturen erweitert

Die mit dem IT-Sicherheitsgesetz (2.0) adressierten Kreise sind daher zunächst die Betreiber sog. Kritischer Infrastrukturen. Hier gibt es relevante Änderungen:

Zu den bisher schon nach § 2 Abs. 10 Nr. 1 des BSI-Gesetzes umfassten Sektoren (Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, sowie Transport und Verkehr), kommt nun auch die Siedlungsabfallentsorgung hinzu. Außerdem führt das IT-Sicherheitsgesetz 2.0 eine neue Kategorie von Unternehmen ein, die letztlich den Betreibern kritischer Infrastrukturen quasi gleichgestellt werden: die „Unternehmen im besonderen öffentlichen Interesse“ (§ 2 Abs. 14 BSIG). Dazu sollen u.a. gehören: Unternehmen der Rüstungsindustrie, oder auch Unternehmen „von erheblicher volkswirtschaftlicher Bedeutung für Bundesrepublik Deutschland“ und deren Zulieferer.

Außerdem wird erwartet, dass die in der BSI-KritisV (Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz) festgelegten Schwellenwerte, die konkret über die Einordnung als Kritische Infrastruktur entscheiden, im Rahmen einer anstehenden Novellierung der Verordnung zusätzlich verschärft werden. Damit würden noch mehr Unternehmen als bisher unter das BSI-Gesetz fallen.

Viel Verantwortung

Auf die somit neu als Kritische Infrastrukturen (o.ä.) anzusehenden Unternehmen kommt unter Umständen – je nachdem wie sie bislang IT-sicherheitstechnisch aufgestellt waren – erheblicher Aufwand zu, da sie die entsprechenden inhaltlichen Vorgaben des BSI-Gesetzes erfüllen müssen.

In Bezug auf Kritische Infrastrukturen im engeren Sinne finden sich hier zum Beispiel Vorgaben, die Datenschützern sehr bekannt vorkommen: So bestimmt § 8a BSIG:

„Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens bis zum ersten Werktag, der darauf folgt, dass diese erstmalig oder erneut als Betreiber einer Kritischen Infrastruktur nach der Rechtsverordnung nach § 10 Absatz 1 gelten, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.“

Neu ist, dass diese Unternehmen zudem – spätestens zum 1. Mai 2023 – Systeme zur Angriffserkennung einsetzen müssen. Diese müssen „geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten“.

Wer als „Unternehmen im besonderen öffentlichen Interesse“ gilt (s.o.), hat dem BSI gemäß § 8f BSIG zukünftig alle 2 Jahre eine „Selbsterklärung zur IT-Sicherheit“ vorzulegen. Mit dieser müssen sie aufzeigen, welche Zertifizierungen sie im Bereich der IT-Sicherheit in den letzten zwei Jahren durchgeführt haben und wie ihre IT-Systeme geschützt sind.

Neue Herausgabe- und Anzeigepflichten

Im Falle besonders schwerwiegender Störungen kritischer Infrastrukturen gilt zukünftig: Das BSI kann gemäß § 8b Abs. 4a BSIGdie Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen“. Die Herausgabepflicht trifft sowohl Betreiber Kritischer Infrastrukturen als auch „Unternehmen im besonderen öffentlichen Interesse“.

Neu ist auch die Meldepflicht für den Einsatz sog. „Kritischer Komponenten“ nach § 9b BSIG.

Lex Huawei?

Solche Kritischen Komponenten (für die Funktionsfähigkeit Kritischer Infrastrukturen besonders wesentliche IT-Produkte, vgl. § 2 Abs. 13 BSIG) unterliegen jetzt einer Meldepflicht (§ 9b Abs. 1 S. 1 BSIG). Mehr noch: Das zuständige Bundesinnenministerium kann ihren Einsatz sogar untersagen, „wenn der Einsatz die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt“. Unter der Bezeichnung Lex Huawei wurde öffentlich kontrovers diskutiert, wie eine entsprechende Regelung auszusehen habe, um nicht diskriminierend zu sein. Nach dem jetzt gewählten Wortlaut des Gesetzes kann bei der Abwägung insbesondere berücksichtigt werden, ob der Hersteller der Komponente von einem Drittstaat kontrolliert wird oder ob der Einsatz den „sicherheitspolitischen Zielen“ der Bundesregierung, EU oder Nato widerspricht. Dies ist zumindest eine nicht direkt China diskriminierende Regelung. Ob Huawei nun beim 5G-Ausbau aber zum Zuge kommt, bleibt die spannende Frage. Darüber entscheiden wird das Bundesinnenministerium zusammen mit dem für die digitale Infrastruktur zuständigen Bundesverkehrsministerium.

Derzeit gibt es Kritische Komponenten im Sinne des Gesetzes im Übrigen lediglich für den Telekommunikationssektor. Mit spezialgesetzlichen Regelungen werden jedoch auch für die anderen Sektoren des BSIG in der Zukunft Kritische Komponenten bestimmt werden.

BSI wächst gewaltig

Die Zahlen sprechen eine eindeutige Sprache: Ganze 799 neue Stellen erhält das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Bearbeitung verschiedener zusätzlicher Zuständigkeitsbereiche, die ihm im neuen BSIG zugewiesen werden.

War das BSI bei seiner Gründung 1991 noch primär dafür da, den Schutz der Regierungsnetze und die Sicherung zentraler Netzübergänge zu gewährleisten, sowie Betroffene und Interessierte über Risiken der Informationstechnik und mögliche Schutzmaßnahmen zu unterrichten, erweiterte sich sein Zuständigkeitsbereich in der Folge, aufgrund der immer weiter zunehmenden Bedeutung der Informationstechnologie, stetig:

Zunächst entwickelte das BSI Sicherheitsstandards für die Beschaffung und den Einsatz von IT und wurde zur zentralen Meldestelle für IT-Sicherheit innerhalb der Bundesverwaltung. Mit Inkrafttreten des ersten IT-Sicherheitsgesetzes im Juli 2015 wurde es dann auch zur zentralen Stelle für den Schutz der Kritischen Infrastrukturen (KRITIS) und der Erhöhung der Netzsicherheit in den oben beschriebenen, besonders relevanten Sektoren.

Zahlreiche neue Kompetenzen für das BSI

Mit dem IT-Sicherheitsgesetz 2.0 erhält das BSI nun in § 3 BSIG noch weitere Kompetenzen, von denen hier nur einige wiedergegeben werden sollen:

  • Das BSI erhält weitere Kompetenzen bei der Detektion von Sicherheitslücken und der Abwehr von Cyber-Angriffen. Dazu gehört auch die Festlegung und Kontrolle von Mindeststandards für die Bundesbehörden. Die Kontrolle umfasst allerdings nicht die Systeme des Auswärtigen Amtes und der Bundeswehr.
  • Das BSI soll künftig Identifizierungs- und Authentisierungsverfahren im Hinblick auf die Informationssicherheit bewerten.
  • Zu seinen Aufgaben gehört nunmehr auch die „Beschreibung und Veröffentlichung eines Stands der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte unter Berücksichtigung bestehender Normen und Standards sowie Einbeziehung der betroffenen Wirtschaftsverbände“.
  • Das BSI ist zukünftig auch für den „digitalen Verbraucherschutz“ zuständig. Es dient einerseits als unabhängige und neutrale Beratungsstelle für Verbraucherinnen und Verbraucher in Fragen der IT-Sicherheit, andererseits soll es ein einheitliches IT-Sicherheitskennzeichen für Bürgerinnen und Bürger einführen, mit dem klar erkennbar wird, welche Produkte bereits bestimmte IT-Sicherheitsstandards einhalten.

Insgesamt ist dies ein bunter Strauß an Aufgaben und Kompetenzen, durch den das BSI immer mehr zur Cybersicherheits-Superbehörde wird. Ein paar mehr Mitarbeiter tun da sicher nicht schlecht. Man wird sie allerdings erst einmal finden müssen.

Kritik von Experten

Auch wenn die Notwendigkeit eines die IT-Sicherheit stärkenden Gesetzesvorhabens von allen Seiten geteilt wurde, sieht sich das IT-Sicherheitsgesetz 2.0 einiger Kritik ausgesetzt. So gefällt etwa der Zuwachs an Eingriffsmöglichkeiten des BSI und dessen Unterstellung unter das Bundesinnenministerium nicht jedermann. Auch sei das Gesetz aus Sicht von Experten nur bedingt geeignet, um eine Absicherung der deutschen IT- und Cybersicherheit gegenüber immer raffinierteren Cyber-Angriffen zu gewährleisten.

Nach dem Gesetz ist vor dem Gesetz

Die von der internationalen Cyberkriminalität ausgehenden Bedrohungen werden auch künftig weiter zunehmen und schnelle Reaktionen sowohl seitens der Wirtschaft als auch seitens der Politik erforderlich machen. Zudem sind unsere nationalen Regelungen, u.a. das BSIG, eingebettet in europäische Vorgaben, wie z.B. die NIS-Richtlinie (EU) 2016/1148 (betreffend Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau), die derzeit überarbeitet werden. Andere Regelungen wie eine „Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen“ sind gerade in Konzeption. Aufgrund solcher Änderungen – im Tatsächlichen wie im Rechtlichen – werden wir auf ein IT-Sicherheitsgesetz 3.0 vermutlich keine 6 Jahre warten müssen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Sicherheit Beratung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.