9
Dez
2020
Jakob Theurer
Jakob Theurer
Prozessführung, Schiedsgerichtsbarkeit und Arbeitsrecht / Berlin
E-Mail: jakob.theurer@hoganlovells.com
Telefon: + 49 30 80 09 30 000
» zur Autorenseite
& Jakob Theurer

Regierungsentwurf zum IT-Sicherheitsgesetz 2.0 – Bedeutung für die Praxis

*aktualisiert am 28. Januar 2021

Hintergrund

Die Gewährleistung der Cyber- und Informationssicherheit ist ein Schlüsselthema für Staat, Wirtschaft und Gesellschaft. Bereits 2011 hat die Bundesregierung mit der Cyber-Sicherheitsstrategie für Deutschland einen gesetzlichen Grundstein für mehr Cybersicherheit gelegt.[1] Am 17. Juli 2015 wurde das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz bzw. „IT-SiG 1.0“)[2] verabschiedet. Am 19. November 2020 hatte das Bundesministerium des Innern, für Bau und Heimat („BMI“) den nunmehr dritten Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme („IT-SiG 2.0“) veröffentlicht[3], mit Datum vom 1. Dezember 2020 wurde dieser inhaltlich gleich als Diskussionsentwurf betitelt. Zwischenzeitlich existiert ein Regierungsentwurf vom 25. Januar 2021 (19/26106). Das IT-SiG 2.0 dient insbesondere dazu, die erforderlichen Konsequenzen aus den Erfahrungen mit der Anwendung der im IT-SiG 1.0 geregelten Befugnisse zu ziehen.

Relevante Punkte

Schwerpunkt der Änderungsvorschläge des Regierungsentwurfs bleibt das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik („BSIG“). Im Folgenden stellen wir die praxisrelevantesten Änderungsvorschläge dar.

Stärkung der Rolle des Bundesamts für Sicherheit in der Informationstechnik

Von besonderer Bedeutung ist die weitere Stärkung der Rolle des Bundesamts für Sicherheit in der Informationstechnik („BSI“) als allgemeine Stelle für Sicherheit in der Informationstechnik[4] und damit auch als nationale Cybersicherheitszertifizierungsbehörde i. S. d. EU Cybersecurity Acts (VO (EU) 2019/881). Folgende neue Aufgaben sowie Prüf- und Kontrollbefugnisse sollen dem BSI übertragen werden:

  • Verbraucherschutz und Verbraucherinformation im Bereich der Sicherheit in der Informationstechnik, insbesondere durch Beratung und Warnung von Verbrauchern in Fragen der Sicherheit in der Informationstechnik und unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen;
  • Mögliche Warnungen der Öffentlichkeit durch das BSI sollen nach dem Regierungsentwurf auch „Informationen über sicherheitsrelevante Eigenschaften von Produkten“ umfassen. Dabei hat das BSI Hersteller grundsätzlich rechtzeitig vor Veröffentlichung der Warnungen zu informieren. Ausnahmen hiervon sieht der Regierungsentwurf aber u. a. im Falle einer Zweckgefährdung sowie für den Fall, dass entdeckte Sicherheitslücken nicht allgemein bekannt werden sollen, vor. Zudem soll das BSI entsprechende Sicherheitstests und -analysen mit dem Schwerpunkt IT-Sicherheitsrisiken für Verbraucherinnen oder Verbraucher durchführen können. Auch sind sanktionsfähige Auskunftsansprüche gegen den Hersteller vorgesehen. Zudem kann das BSI, wenn der Hersteller nicht mitwirkt, die Öffentlichkeit unter namentlicher Nennung des Herstellers und des Produktes unterrichten.[5]
  • Zudem werden als Aufgaben des BSI Empfehlungen für Identifizierungs- und Authentisierungsverfahren und deren Bewertung wegen der Informationssicherheit[6] sowie die Entwicklung und Veröffentlichung eines Stands der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte neu aufgenommen.[7]
  • Neu ist auch, dass das BSI zur Aufrechterhaltung oder Wiederherstellung von IT-Systemen bei einer erheblichen Störung von Betreibern Kritischer Infrastrukturen oder Unternehmen im besonderen öffentlichen Interesse die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen darf.
  • Ferner wird eine Anordnungsbefugnis gegenüber Telekommunikations- und Telemedienanbietern zur Abwehr spezifischer Gefahren für die Informationssicherheit geschaffen.
  • Das BSI soll im Rahmen seiner Aufgaben zur Detektion von Sicherheitslücken und anderen Sicherheitsrisiken an den Schnittstellen öffentlich erreichbarer informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen Maßnahmen (Portscans) durchführen können, wenn Tatsachen die Annahme rechtfertigen, dass diese ungeschützt sein können und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sind.[8] Auch nach dem dritten Referentenentwurf bedarf es weiterhin keiner Vorankündigung.

Wichtige Änderungen für Betreiber/Unternehmen

Erweiterung der Pflichten von Betreibern Kritischer Infrastrukturen

 

Ein neu gefasster Abs. 3 in § 8b BSIG-E normiert die Pflicht von Betreibern Kritischer Infrastrukturen, sich beim Bundesamt zu registrieren und eine Kontaktstelle zu benennen. Bei Nichterfüllung kann das BSI die Registrierung auch selbst vornehmen. Die Betreiber haben sicherzustellen, dass sie über die Kontaktstelle jederzeit erreichbar sind. Zudem werden die Betreiber Kritischer Infrastrukturen verpflichtet, spätestens ein Jahr nach Inkrafttreten dieses Gesetzes Systeme zur Angriffserkennung einzusetzen. Die eingesetzten Systeme müssen geeignete Parameter bzw. Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen.[9]

Kommen sogenannte kritische Komponenten[10] zum Einsatz, kann qua Gesetz eine Zertifizierungspflicht gelten. Zudem macht der Entwurf deren Einsatz davon abhängig, dass der Betreiber von dem Hersteller der kritischen Komponente eine die gesamte Lieferkette umfassende sogenannte Garantieerklärung erhalten hat, die die Vertrauenswürdigkeit des Herstellers zum Gegenstand haben soll.

Neue Kategorie von Unternehmen im besonderen öffentlichen
Interesse

 

Neben den Betreibern von Kritischen Infrastrukturen werden nun auch die sogenannten „Unternehmen im besonderen öffentlichen Interesse“ als neue Begriffsdefinition geschaffen. Besonders interessant ist hier die Variante, die § 2 Abs. 14 Nr. 2 BISG-E vorsieht und diejenigen Unternehmen betrifft, die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung sind. Welche darunter fallen, soll durch eine Rechtsverordnung bestimmt werden. In der Rechtsverordnung soll festgelegt werden, welche wirtschaftlichen Kennzahlen bei der Berechnung der inländischen Wertschöpfung heranzuziehen sind, mit welcher Methodik die Berechnung zu erfolgen hat und welche Schwellenwerte für die Zugehörigkeit zu den größten Unternehmen in Deutschland maßgeblich sind. Die Begründung gibt vor, dass Unternehmen anhand dieser abstrakt-generellen Kriterien selbst feststellen sollen, ob sie hierunter fallen, oder nicht. Ein Gleichlauf mit Betreibern Kritischer Infrastrukturen ist für Unternehmen im öffentlichen Interesse jedoch nicht vorgesehen. Vielmehr gibt der dritte Referentenentwurf einen eigenständigen Pflichtenkatalog vor. Für Unternehmen im öffentlichen Interesse gilt grundsätzlich eine Registrierungspflicht unter Angabe einer erreichbaren Stelle[11]. Wichtig ist hierbei insbesondere die Pflicht, im Wege einer Selbsterklärung dem BSI darzulegen, welche Maßnahmen zur Verbesserung ihrer IT-Sicherheit vorgesehen sind und durchgeführt werden. Die Entwurfsbegründung verweist dazu auf Zertifizierungen, Audits oder Prüfungen nach nationalen oder internationalen Standards, beispielsweise dem BSI-Grundschutz oder der ISO/IEC 27001, oder auch nach anderen branchenspezifischen Normen oder Standards, die sie als technisch besonders geeignet ansieht. Zudem sieht der Entwurf eine unverzügliche Meldepflicht für Vorfälle wie Cyberangriffe oder andere IT-Störungen vor, die ab dem Zeitpunkt, zu dem eine Pflicht zur Vorlage der Selbsterklärung zur IT-Sicherheit nach § 8f Abs. 1 besteht, gelten soll.[12]

Einheitliches IT-Sicherheitskennzeichen für bestimmte Produktkategorien

Eine weitere zentrale Neuerung betrifft die Schaffung eines einheitlichen IT-Sicherheitskennzeichens (der Begriff des „IT-Gütesiegels“ wird nicht mehr verwendet) für vom BSI festgelegte Produktkategorien auf – wegen Vorgaben des Unionsrechts – freiwilliger Basis. Es besteht aus zwei Komponenten, nämlich der Herstellererklärung und einer auf der Seite des BSI abrufbaren dynamischen Sicherheitsinformation zum Produkt (via Link oder QR-Code als elektronischer Beipackzettel). Das IT-Sicherheitskennzeichen soll es laut Entwurfsbegründung ermöglichen, die IT-Sicherheit von Verbraucherprodukten oder auch Dienstleistungen im IT-Bereich verständlich, transparent, einheitlich und aktuell darzustellen. Das Kennzeichen darf für ein Produkt verwendet werden, nachdem es das BSI freigegeben hat. Die Freigabe wird erteilt, wenn das Produkt zu einer der Produktkategorien gehört, die das BSI durch im Bundesanzeiger veröffentlichte Allgemeinverfügung bekannt gegeben hat, die Herstellererklärung plausibel und durch die beigefügten Unterlagen ausreichend belegt ist und die ggf. erhobene Verwaltungsgebühr beglichen wurde. Nach Erteilung des IT-Sicherheitskennzeichens besitzt das BSI die Prüfbefugnis – keine Pflicht, ob die erklärten Anforderungen auch fortlaufend eingehalten werden. Details zur Freigabe, Inhalte und Ausgestaltung des IT-Sicherheitskennzeichens sollen via Verordnung geregelt werden.

Neufassung des Bußgeldregimes

Während der zweite Referentenentwurf noch einen Gleichlauf mit der Datenschutz-Grundverordnung vorsah, wurde dieser im Regierungsentwurf nun aufgegeben. Die in § 14 Abs. 2 BSIG-E vorgesehenen Sanktionen sind zur Abschreckung aber deutlich höher als bisher (z. T. Geldbuße bis zu 2 Millionen Euro).

Ausblick

Sollte der Entwurf in der derzeit vorliegenden Form Gesetz werden, sind insbesondere die Umsetzungen der oben dargestellten Änderungen in der täglichen Praxis zu berücksichtigen. Um rechtsverbindlich zu werden, muss das IT-SiG 2.0 nun im Bundestag beschlossen, vom Bundespräsidenten ausgefertigt und im Bundesgesetzblatt veröffentlicht werden. Am 28. Januar 2021 fand die erste Lesung im Bundestagsplenum statt. Der Entwurf wurde im Anschluss zur weiteren Beratung in den federführenden Innenausschuss für Inneres und Heimat überwiesen. Der Bundesrat hat den Entwurf Anfang Januar 2021 den Entwurf als eilbedürftig übermittelt erhalten. Die Verabschiedung ist spätestens für das erste Quartal 2021 angedacht. Wir halten Sie gerne insofern weiterhin auf dem Laufenden.

Hogan Lovells – Cyber Breach App

Klicken Sie hier oder auf das Bild, um es zu vergrößern.

Laden Sie hier unsere Cyber Breach App herunter.

_____________________________________________________________

[1]               https://www.cio.bund.de/SharedDocs/Publikationen/DE/Strategische-Themen/css_download.pdf?__blob= publicationFile.
[2]               https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/IT-Sicherheitsgesetz.pdf?__ blob=publicationFile&v=7.
[3]               https://intrapol.org/wp-content/uploads/2020/11/Entwurf-IT-SiG-2.0-19.11.2020.pdf; der erste Entwurf stammt vom 27. März 2019, der zweite vom 7. Mai 2020.
[4]               Vgl. § 4b BSIG-E.
[6]               Vgl. die in § 3 Abs. 1 Nr. 2 BSIG-E neu eingefügte Nr. 19.
[7]               Vgl. die in § 3 Abs. 1 Nr. 2 BSIG-E neu eingefügte Nr. 20.
[8]               Vgl. § 7b BSIG-E.
[9]               Vgl. den neu eingefügten § 8a Abs. 1a BSIG-E.
[10]             Vgl. § 2 Abs. 13 BSIG-E.
[11]             Vgl. § 8f Abs. 5 BISG-E.
[12]             Vgl. § 8f Abs. 7 BISG-E.