Was bedeutet diese Anpassung nun? Wie das IT-SiG 1.0 weist auch die neue Version 2.0 weitreichende Änderungen in einer ganzen Reihe von Einzelgesetzen (neben dem BSI-Gesetz (BSIG) u. a. das Energiewirtschaftsgesetz und das Telekommunikationsgesetz).
Die einzelnen wesentlichen Änderungen bzw. Neuerungen sind:
- Erhöhung der Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
- Erweiterung der betroffenen Unternehmen als KRITIS
- Zusätzliche Pflichten für KRITIS
- Schutz der Bürger
- Bußgelder
1. Erhöhung Befugnisse BSI
Ein Kernaspekt betrifft die Kompetenzen des BSI, die erheblich ausgeweitet werden. Das BSI ist zum einen dazu berechtigt, sogenannte Portscans gemäß § 7b Abs. 1 BSIG durchzuführen. Durch Portscans können Sicherheitslücken, zum Beispiel veraltete Software oder offene Ports, in den IT-Systemen identifiziert werden. Durch die neue Gesetzgebung soll das BSI die Möglichkeit erhalten, solche Schwachstellen zu identifizieren, das betroffene Unternehmen zu informieren und die Sicherheitslücken zeitnah zu schließen. Zum anderen wird zum Einsatz von Honeypots i. S. d. § 7b Abs. 4 BSIG berechtigt, d. h. zum Einsatz von Systemen und Verfahren zur Analyse von Schadprogrammen sowie Angriffsmethoden.
Gemäß § 5 Abs. 2 BSIG war das BSI bereits in der Vergangenheit zur Erhebung und Auswertung von Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen (Protokolldaten i.S.d. § 5 Abs. 1 Nr. 1 BSIG), berechtigt. Der Zeitraum für die Datenspeicherung wurde von drei auf zwölf Monate erhöht.
Durch den neu eingeführten § 7a BSIG Untersuchung der Sicherheit in der Informationstechnik darf das BSI nun jegliche, bereits auf dem Markt bereitgestellte wie auch dafür vorgesehene informationstechnische Produkte und Systeme untersuchen. Hersteller dieser Produkte und Systeme sind zur Auskunft gegenüber dem BSI verpflichtet, dazu gehört insbesondere die Auskunft über technische Details. Kommt ein Hersteller dieser Pflicht nicht nach, begeht er eine Ordnungswidrigkeit i. S. d. § 14 Abs. 2 BSIG, welche ein Bußgeld nach sich zieht.
Zudem erfolgte die Aufnahme von Protokollierungsdaten in das BSIG. Gemäß § 2 Abs. 8a BSIG versteht man unter Protokollierungsdaten Aufzeichnungen über technische Ereignisse oder Zustände innerhalb informationstechnischer Systeme. Laut § 5a BSIG ist das BSI bei Protokollierungsdaten, analog zu den Protokolldaten, zur Verarbeitung berechtigt, sofern dies zur Erkennung, Eingrenzung oder Beseitigung von Störungen, Fehlern oder Sicherheitsvorfällen notwendig ist.
Was als These aufgeworfen wurde, scheint sich nun zu bestätigen: Augenscheinlich entwickelt sich der BSI, analog zu der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Bereich des Finanzwesens, zu einer Aufsichtsbehörde, nur spezialisiert auf die IT-Sicherheit.
2. Ausweitung auf weitere Teile der Wirtschaft
Im Zuge des IT-SiG 2.0 wird der Anwendungsbereich des BSIG erweitert um sogenannte Unternehmen im öffentlichen Interesse - somit Unternehmen, die von „erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind oder die für solche Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind“ (vgl. § 2 Abs. 14 S. 1 Nr. 2 BSI-Gesetz neu).
Dazu gehören gemäß § 2 Abs. 14 BSIG drei Fallgruppen:
- Unternehmen, die Güter nach § 60 Abs. 1 Nr. 1 und 3 der Außenwirtschaftsverordnung herstellen oder entwickeln. Das sind insbesondere Unternehmen aus der Rüstungs-, Raumfahrt- und IT-Sicherheitsindustrie.
- Unternehmen, die gemessen an ihrer inländischen Wertschöpfung zu den größten Unternehmen des Landes gehören und daher von erheblicher Bedeutung für Deutschland sind. In einer künftigen Rechtsverordnung soll festgelegt werden, welche Kennzahlen maßgeblich für die Festlegung sind, ob ein Unternehmen von erheblicher Bedeutung für das Land ist.
- Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung oder diesen gemäß § 1 Abs. 2 der Störfall-Verordnung gleichgestellt sind, hierunter fallen insbesondere Unternehmen aus der Chemie-Industrie.
Unternehmen im besonderen öffentlichen Interesse werden KRITIS-Betreibern zwar nicht gleichgestellt, allerdings haben sie nun erhöhte Anforderungen gemäß § 8f BSIG zu erfüllen. Darunter fällt insbesondere die Selbsterklärung zur IT-Sicherheit gemäß § 8f Abs. 1 BSIG. Diese muss von den oben genannten ersten beiden Unternehmensgruppen mindestens alle zwei Jahre vorgelegt werden. Aus dem IT-Sicherheitskonzept muss hervorgehen, welche Zertifizierungen, sonstigen Sicherheitsaudits oder Prüfungen im Bereich der IT-Sicherheit in den letzten zwei Jahren durchgeführt wurden. Ergänzend dazu muss erklärt werden, wie der Schutz besonders schützenswerter IT-Systeme, Komponenten und Prozesse sichergestellt wird (§ 8f Abs. 1 BSI-Gesetz neu).
Zudem haben Unternehmen der ersten beiden Fallgruppen bei Störungen eine unverzügliche Meldung gemäß § 8 Abs. 7 BSIG an das BSI vorzunehmen. Eine entsprechende Meldepflicht gilt ebenfalls für Unternehmen der Chemie-Industrie, allerdings gilt hier eine Besonderheit, denn Störungen können hier in Gefahren für die öffentliche Sicherheit und Ordnung resultieren. Ein entsprechender Meldeweg ist zu definieren.
Durch die Ausweitung des Anwendungsbereichs, trifft die Regulierung nun alle Unternehmen ab einer bestimmten Wichtigkeit. Dazu zählen ebenfalls Unternehmen, die keinem der in § 2 Abs. 10 BSI-Gesetz aufgezählten Sektoren angehören. Insbesondere jene sollten prüfen, ob sich aus der Inkraftsetzung nun Erfüllungspflichten ergeben.
Darüber hinaus werden die KRITIS erweitert um den Sektor „Siedlungsabfallentsorgung“ (§ 2 Abs. 10 BSI-Gesetz neu), wodurch nun u. a. Entsorger KRITIS sind (Dienstleistung Entsorgung von Siedlungsabfällen mit Sammlung, Beseitigung und Verwertung).
Die gegenwärtig definierten Schwellenwerte werden gesenkt, so dass mehr Unternehmen als kritische Infrastruktur eingestuft werden. Es wird davon ausgegangen, dass die Anzahl der KRITIS Unternehmen um 15-20 % steigen wird.
Analog des IT-SiG 1.0 wird die Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) novelliert, in welchem die exakten Schwellenwerte definiert werden. Noch in 2020 wurde ein Entwurf der BSI-KritisV veröffentlicht.
3. Kritische Komponenten
Betreiber kritischer Infrastrukturen sind verpflichtet, sich unmittelbar beim BSI zu registrieren (vgl. § 8b Abs. 3 S. 1 BSI-Gesetz neu) und müssen ab dem 1. Mai 2023 „Systeme zur Angriffserkennung“ nutzen (§ 8a Abs. 1a BSI-Gesetz neu).
Darüber hinaus gab es bisher nur den Begriff der Kritischen Infrastrukturen (KRITIS) im BSIG, nun auch den der Kritischen Komponenten. Hinter sog. Kritischen Komponenten verbergen sich gemäß § 2 Abs. 13 BSIG IT-Produkte, die in Kritischen Infrastrukturen eingesetzt werden und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, da auftretende Störungen erheblichen Einfluss auf die Kritische Infrastruktur selbst oder auch auf die öffentliche Sicherheit haben können. Ebenso fallen darunter IT-Produkte, die kraft Gesetzes als kritische Komponente definiert werden.
Im ersten Schritt besteht eine Meldepflicht, wenn sich kritische Komponenten im Einsatz befinden. Benannte Komponenten dürfen nur noch zum Einsatz kommen, sofern eine entsprechende Garantieerklärung des Herstellers abgegeben wurde, in der er seine Vertrauenswürdigkeit unter Beweis stellt. Darin anzugeben, ob und wie sichergestellt wird, dass die kritische Komponente frei von Eigenschaften ist, die missbräuchlich auf die Sicherheit, Integrität, Verfügbarkeit und Funktionsfähigkeit der Kritischen Infrastruktur einwirken könnten. Dabei wird vor allem auf Sabotage, Spionage oder Terrorismus abgestellt. Im nächsten Schritt hat das BSI die Möglichkeit, den Einsatz eingesetzter kritischer Komponenten zu untersagen. Hierfür müssen allerdings öffentliche Interessen gegen besagten Einsatz sprechen. Diese Klausel wird auch als „Lex Huawei“ bezeichnet.
4. Schutz der Bürger
Verbraucherschutz wurde neu im BSIG als Aufgabe des BSI verankert. Den Kernpunkt bildet dabei das freiwillige IT-Sicherheitskennzeichen gemäß § 9c BSIG. Ziel dabei ist es, eine verständliche, transparente und einheitliche Darstellung von Verbraucherprodukten und IT-Dienstleistungen zu gewährleisten. Das IT-Sicherheitskennzeichen besteht aus der Herstellererklärung und der Sicherheitserklärung des BSIs. In der Herstellererklärung garantiert der Hersteller dafür, dass das Produkt bestimmte IT-Sicherheitsanforderungen erfüllt.
5. Bußgeldvorschriften
Die Regelung zu den Bußgeldvorschriften befindet sich weiterhin in § 14 BSIG. Es erfolgte allerdings eine komplette Überarbeitung des aufgeführten Katalogs, wobei Tatbestände ergänzt und die Bußgelder deutlich erhöht wurden. Bislang waren nicht alle Pflichten, die laut BSIG erfüllt werden müssen, durch die Bußgeldvorschrift erfasst, was durch den nun verabschiedeten Entwurf geändert wurde. Die Notwendigkeit, auf die Einhaltung der Vorschriften des IT-Sicherheitsgesetzes 2.0 ein Auge zu haben, wird spätestens bei der Betrachtung der Bußgeldhöhe deutlich. In der Vergangenheit lag das Maximum der Bußgeldhöhe bei nur 100.000 Euro, in der Zukunft kann das BSI Unternehmen bis zu einem Betrag von zwei Millionen Euro zur Kasse bitten.
Wir informieren über weitere Neuigkeiten, wie die erwartete Novellierung der BSI-KritisV.
Haben Sie bis Fragen, so kontaktieren Sie uns gern.
Marc Alexander Luge | Juni 2021