juris Nachrichten

  • Die wichtigsten Entscheidungen
  • Gesetzesentwicklungen und -vorhaben
  • Tagesaktuelle Auswahl der juris Redaktion

Die juris Nachrichten App jetzt gratis herunterladen

Login
Autor:Priska Katharina Büttel, Dipl.-Juristin, Wissenschaftliche Mitarbeiterin
Erscheinungsdatum:30.07.2021
Quelle:juris Logo
Normen:§ 3 BSIG, § 4b BSIG, § 8 BSIG, § 7a BSIG, § 7d BSIG, § 7c BSIG, § 5c BSIG, § 4a BSIG, § 5a BSIG, § 8b BSIG, § 8a BSIG, § 14 BSIG, § 60 AWV 2013, § 10 BSIG, § 8f BSIG, § 2 BSIG, § 109 TKG 2004, § 9b BSIG, § 9c BSIG, EUV 2019/881, EURL 2016/1148
Fundstelle:jurisPR-ITR 15/2021 Anm. 2
Herausgeber:Prof. Dr. Dirk Heckmann, Technische Universität München
Zitiervorschlag:Büttel, jurisPR-ITR 15/2021 Anm. 2 Zitiervorschlag

Das IT-Sicherheitsgesetz 2.0: Erweiterte Befugnisse für das BSI, KRITIS light und andere Neuerungen

A. Einführung

Der Bundestag hat am 23.04.2021 den Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0) verabschiedet. Dem Beschluss gingen zahlreiche Überarbeitungen der Entwürfe und heftige Debatten über deren Inhalt und das Verfahren, etwa hinsichtlich der Stellungnahmefristen, voraus. Das im Mai verkündete Artikelgesetz1 sieht Änderungen insbesondere des BSI-Gesetzes (Art. 1 IT-SiG 2.0) und des Telekommunikationsgesetzes (Art. 2 IT-SiG 2.0) sowie weiterer Gesetze vor.

Im folgenden Beitrag werden einige der wichtigsten – und umstrittensten – Neuregelungen vorgestellt, die primär die Aufgaben, Befugnisse und Ausstattung des Bundesamts für Sicherheit in der Informationstechnik (BSI) betreffen.

B. Neue Pflichten für KRITIS-Betreiber und erweiterte Befugnisse für das BSI

Das BSI fungiert nun zusätzlich zu seinen bisherigen Aufgaben auch als Cybersicherheitszertifizierungsbehörde im Sinne des EU-Cybersecurity-Acts (VO (EU) 2019/881; § 3 Abs. 1 Satz 2 Nr. 5a i.V.m. § 9a BSIG) sowie als allgemeine Meldestelle für IT-Sicherheitsvorfälle. § 4b BSIG dient als Rechtsgrundlage für die Übermittlung von Meldungen sicherheitsrelevanter Informationen durch Dritte aus der Wirtschaft und Einzelpersonen, wenngleich hierfür keine Meldepflicht gilt. Bei der Planung und Umsetzung von wesentlichen Digitalisierungsvorhaben des Bundes ist das Bundesamt künftig frühzeitig zu beteiligen (§ 8 Abs. 4 BSIG).

Die §§ 7a bis 7d BSIG enthalten verschiedene Untersuchungs-, Kontroll- und Anordnungsrechte. Das BSI kann Diensteanbieter beispielsweise zur Installation von Patches oder zur Löschung von Schadsoftware anhalten (§ 7c Abs. 1 Satz 1 Nr. 2 BSIG). Darüber hinaus ist das BSI befugt, auch selbst mittels Portscans sowohl bei KRITIS-Betreibern als auch bei Unternehmen im besonderen öffentlichen Interesse aktiv in infizierte Systeme einzugreifen, um unter anderem Gefahren durch Botnetze abzuwehren.2 Gemäß § 5c BSIG können Anbieter von Telekommunikationsdiensten zur Bestandsdatenauskunft verpflichtet werden.

Aus § 4a BSIG ergeben sich Kontrollbefugnisse des BSI mit Blick auf die Kommunikationstechnik des Bundes. Hiervon ausgenommen sind im Ausland befindliche Systeme des Auswärtigen Amtes sowie Systeme der Bundeswehr und des Militärischen Abschirmdienstes. § 5a BSIG statuiert ab 01.12.2021 die Befugnis, im Zusammenhang mit der Kommunikationstechnik des Bundes behördeninterne Protokollierungsdaten zu verarbeiten, um Störungen zu erkennen, einzugrenzen bzw. zu beseitigen, soweit nicht Geheimschutz- oder überwiegende Sicherheitsinteressen der betroffenen Stellen entgegenstehen.

Neu ist für KRITIS-Betreiber die Registrierungspflicht nach § 8b Abs. 3 BSIG. Sofern die vorgeschriebene Registrierung (und Benennung einer Kontaktstelle) unterbleibt, kann das BSI diese auch unmittelbar selbst vornehmen. Ab dem 01.05.2021 sind KRITIS-Betreiber außerdem explizit verpflichtet, Systeme zur Angriffserkennung einzusetzen, um Bedrohungen zu identifizieren und zu vermeiden (§ 8a Abs. 1a BSIG).

Zur effektiven Durchsetzung sieht § 14 BSIG einen im Vergleich zur vorherigen Fassung deutlich erhöhten Bußgeldrahmen vor.

C. „KRITIS light“: Unternehmen im besonderen öffentlichen Interesse

Das IT-SiG 2.0 führt neben der bereits bekannten Kategorie der Kritischen Infrastrukturen eine weitere Gruppe unterhalb der KRITIS-Schwelle ein, für die künftig ebenfalls (teils abgeschwächte) Anforderungen hinsichtlich ihrer IT-Sicherheit zu beachten sind: Als „Unternehmen im besonderen öffentlichen Interesse“ gelten gemäß § 2 Abs. 14 BSIG unter anderem Unternehmen, die Güter nach § 60 Abs. 1 Nr. 1, Nr. 3 der Außenwirtschaftsverordnung (AWV) herstellen oder entwickeln – das betrifft beispielsweise Produkte mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen sowie Waffen, Munition und Rüstungsmaterial im Sinne der BAFA-Ausfuhrliste Teil I Abschnitt A. Auch Unternehmen, die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und deshalb von erheblicher volkswirtschaftlicher Bedeutung oder als bedeutsame Zulieferer für ein solches Unternehmen tätig sind, haben nun umfassendere Pflichten zu erfüllen. Die für die Beurteilung maßgeblichen Kennzahlen und Kriterien sollen durch das Bundesinnenministerium per Rechtsverordnung konkretisiert werden (§ 10 Abs. 5 BSIG).

Eine Einstufung als Unternehmen im besonderen öffentlichen Interesse begründet unter anderem eine Registrierungspflicht (§ 8f Abs. 5 Satz 5 BSIG) sowie die Pflicht, angemessene technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Sicherheitsniveau besonders schützenswerter IT-Systeme, Komponenten und Prozesse unter Einhaltung des Stands der Technik gewährleisten zu können (§ 8f Abs. 1 Nr. 3 BSIG).

Nach Ablauf einer Übergangsfrist (ab 01.05.2023 bzw. zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Abs. 5, vgl. § 8f Abs. 4 BSIG) müssen die Unternehmen regelmäßig eine umfassende Selbsterklärung abgeben (§ 8f Abs. 1 BSIG).

Weiterhin statuiert § 8f Abs. 7 BSIG eine erweiterte Meldepflicht im Zusammenhang mit Störungen, spätestens ab dem 01.11.2021 müssen Störungen, die zu einem Störfall nach der Störfall-Verordnung geführt haben sowie erhebliche Störungen, die zu einem solchen führen könnten, dem BSI gemeldet werden (§ 8f Abs. 8 BSIG).

D. Kritische Komponenten – die „Huawei-Klausel“

Betreiber öffentlicher Telekommunikationsnetze mit erhöhtem Gefährdungspotential dürfen kritische Komponenten – etwa solche, die im Rahmen des 5G-Ausbaus benötigt werden – nur einsetzen, wenn diese zuvor von einer anerkannten Zertifizierungsstelle überprüft und zertifiziert wurden (§ 109 Abs. 2 Satz 4 TKG). § 2 Abs. 13 BSIG definiert kritische Komponenten als IT-Produkte, die in Kritischen Infrastrukturen eingesetzt werden, bei denen Störungen […] zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit Kritischer Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können oder die aufgrund eines Gesetzes als solche bestimmt werden bzw. eine als kritisch bestimmte Funktion realisieren. Welche Funktionen als „kritische Funktionen“ i.S.d. § 2 Abs. 13 Satz 1 Nr. 3 Buchst. b BSIG durch kritische Komponenten realisiert werden und wer als „Betreiber öffentlicher Telekommunikationsnetze mit erhöhtem Gefährdungspotential“ einzustufen ist, legt die Bundesnetzagentur im Einvernehmen mit dem BSI und dem Bundesdatenschutzbeauftragten fest (§ 109 Abs. 6 Nr. 2, Nr. 3 TKG).3

Eine weitere Änderung betrifft die Anzeigepflicht der KRITIS-Betreiber für den geplanten Einsatz kritischer Komponenten (§ 9b Abs. 1 BSIG). Deren Hersteller hat eine Garantieerklärung hinsichtlich seiner Vertrauenswürdigkeit und der seiner gesamten Lieferkette abzugeben (§ 9b Abs. 3 BSIG). Aus dieser muss unter anderem hervorgehen, wie der Hersteller sicherstellt, dass die Komponente nicht über technische Eigenschaften verfügt, die insbesondere für terroristische oder Spionagezwecke missbraucht werden kann. Die Mindestanforderungen an diese Erklärung legt das Bundesinnenministerium im Einvernehmen mit den betroffenen Ressorts sowie dem Auswärtigen Amt durch Allgemeinverfügung fest.

Das Bundesinnenministerium wird ermächtigt, den Einsatz kritischer Komponenten zu untersagen, wenn zu befürchten ist, dass dieser die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland beeinträchtigen wird (§ 9b Abs. 2, Abs. 4 BSIG). Dabei ist unter anderem zu berücksichtigen, ob der Hersteller mittelbar oder unmittelbar von der Regierung eines Drittstaates kontrolliert wird oder sein Verhalten in der Vergangenheit zu derartigen negativen Auswirkungen beigetragen hat. Wurde eine solche Untersagung ausgesprochen, so kann diese auf weitere kritische Komponenten desselben Typs und desselben Herstellers (§ 9b Abs. 6 BSIG) oder sogar sämtliche Komponenten des Herstellers (§ 9b Abs. 7 BSIG) ausgedehnt werden.

E. Mehr Verbraucherschutz dank IT-Sicherheitskennzeichen?

Mittels eines neuen IT-Sicherheitskennzeichens (§ 9c BSIG) sollen Produkteigenschaften, welche die Cybersicherheit betreffen, verständlicher, transparenter und einheitlicher dargestellt werden. Für Verbraucherinnen und Verbraucher soll so die Einschätzung und Auswahl mit Blick auf die IT-Sicherheit – der Datenschutz hingegen ist ausdrücklich nicht Gegenstand des Kennzeichens – vereinfacht werden.

Das IT-Sicherheitskennzeichen besteht aus der Herstellererklärung (die Zusicherung des Herstellers bzw. Diensteanbieters, dass das Produkt für eine festgelegte Dauer bestimmte IT-Sicherheitsanforderungen enthält) und der Sicherheitsinformation (einer Information des BSI hinsichtlich der sicherheitsrelevanten IT-Eigenschaften des Produkts) (§ 9c Abs. 2 BSIG). Die Herstellererklärung soll sich dabei auf Normen, Standards oder Vorgaben für die jeweilige Produktkategorie beziehen (§ 9c Abs. 3 BSIG).

Eine Freigabe des IT-Sicherheitskennzeichens für das jeweilige Produkt wird erteilt, wenn das Produkt in eine der durch das BSI festgelegten Kategorien fällt und die Herstellererklärung plausibel und ausreichend belegt ist (§ 9c Abs. 5 BSIG). Mit der Plausibilitätsprüfung können auch qualifizierte Dritte beauftragt werden (§ 9c Abs. 4 Satz 5 BSIG). Das nach erfolgter Freigabe auf dem jeweiligen Produkt aufzubringende Etikett wird mit einem Verweis auf die Internetseite des BSI versehen, auf der sowohl die Herstellererklärung als auch die Sicherheitsinformationen abrufbar sind (§ 9c Abs. 6 BSIG).

F. Kritik

Insgesamt werden einige Aspekte des IT-SiG 2.0 kritisch aufgenommen. In Bezug auf die inhaltlichen Änderungen wird insbesondere die Erweiterung der Befugnisse des BSI kritisiert.4

Auch sei es nicht sinnvoll, den Stand der Technik durch das BSI festschreiben zu lassen.5 Das IT-Sicherheitskennzeichen stelle einen „deutschen Alleingang“ dar, sinnvoller sei ein gesamteuropäischer Ansatz.6 Nicht zuletzt führe unter anderem die Einführung der Kategorie „Unternehmen im besonderen öffentlichen Interesse“ zu erheblicher Rechtsunsicherheit und Unklarheit.7

Auf formeller Ebene wurde neben der nicht ausreichenden Einbindung der Länder vor allem die sehr kurze Beteiligungsfrist – zwischen Veröffentlichung des finalen Entwurfs und Ende der Frist lagen nur wenige Tage – bemängelt. Es sei lediglich um ein „Durchwinken“ des Entwurfs gegangen.8

Dass die im IT-Sicherheitsgesetz 1.0 vorgesehene Evaluierung nicht stattgefunden hat, stößt auf Unverständnis.9

Hinsichtlich der parallelen Überarbeitung der NIS-Richtlinie (Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union) hätte zudem eine inhaltliche Abstimmung stattfinden müssen.10

G. Auswirkungen für die Praxis

Für KRITIS-Betreiber halten sich die Änderungen – von wenigen Punkten abgesehen – in einem überschaubaren Rahmen. So dürfte die Pflicht, geeignete technische und organisatorische Maßnahmen zur Gewährleistung der IT-Sicherheit zu ergreifen, im Regelfall schon vor der ausdrücklichen Formulierung des IT-SiG 2.0 auch den Einsatz von Systemen zur Angriffserkennung umfasst haben.

Demgegenüber werden sich einige Unternehmen, die unterhalb der KRITIS-Schwelle angesiedelt sind, auf neue Pflichten einstellen müssen. Ob ein konkretes Unternehmen in diese Kategorie fällt, muss mit Blick auf die noch festzulegende Konkretisierung der Schwellenwerte abgewartet werden.

Unabhängig von den unmittelbaren Auswirkungen auf die Wirtschaft ist zu hoffen, dass die auch im IT-SiG 2.0 vorgesehene Evaluierung tatsächlich durchgeführt wird, um die Effektivität der Regelungen auf den Prüfstand zu stellen und künftige Anpassungen auf eine fundierte Basis zu stellen. So ließe sich auch in mancherlei Hinsicht eine vernünftigere Auseinandersetzung mit Kritik realisieren.


Fußnoten


1)

BGBl 2021 I, 1122.

2)

Vgl. die Begründung zum Referentenentwurf des Bundesinnenministeriums v. 09.12.2020, abrufbar unter: https://intrapol.org/wp-content/uploads/2020/12/IT-SiG-2.0-RefE-Stand-9.12.2020.pdf, letzter Abruf am 19.07.2021, S. 75.

3)

Vgl. den Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 TKG, Version 2.0 v. 29.04.2020, abrufbar unter: https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/KatalogSicherheitsanforderungen/KatalogSicherheitsanforderungen.pdf?__blob=publicationFile&v=10, letzter Abruf am 19.07.2021.

4)

Vgl. etwa AG KRITIS, Stellungnahme der AG KRITIS zum 3. Entwurf des IT-SiG 2.0, 03.12.2020, abrufbar unter: https://ag.kritis.info/wp-content/uploads/2020/12/AG-KRITIS-Stellungnahme-IT-SiG2-RefE3-final.pdf, letzter Abruf am 19.07.2021, S. 8.

5)

Vgl. Stroscher, ZD-Aktuell 2021, 05098 m.w.N.

6)

Vgl. AG KRITIS, Stellungnahme der AG KRITIS zum 3. Entwurf des IT-SiG 2.0, 03.12.2020, abrufbar unter: https://ag.kritis.info/wp-content/uploads/2020/12/AG-KRITIS-Stellungnahme-IT-SiG2-RefE3-final.pdf, letzter Abruf am 19.07.2021, S. 14.

7)

Vgl. Stroscher, ZD-Aktuell 2021, 05098 (m.w.N.).

8)

Vgl. Stroscher, ZD-Aktuell 2021, 05098 (m.w.N.); AG KRITIS, Stellungnahme der AG KRITIS zum 3. Entwurf des IT-SiG 2.0, 03.12.2020, abrufbar unter: https://ag.kritis.info/wp-content/uploads/2020/12/AG-KRITIS-Stellungnahme-IT-SiG2-RefE3-final.pdf, letzter Abruf am 19.07.2021, S. 3.

9)

Vgl. AG KRITIS, Stellungnahme der AG KRITIS zum 3. Entwurf des IT-SiG 2.0, 03.12.2020, abrufbar unter: https://ag.kritis.info/wp-content/uploads/2020/12/AG-KRITIS-Stellungnahme-IT-SiG2-RefE3-final.pdf, letzter Abruf am 19.07.2021, S. 3.

10)

Stroscher, ZD-Aktuell 2021, 05098.



Zur Nachrichten-Übersichtsseite