6
Mai
2021

IT-Sicherheitsgesetz 2.0 – Update für Unternehmen

Hintergrund

Der Bundesrat hat am 7. Mai 2021 das vom Bundestag am 23. April 2021 beschlossene IT-Sicherheitsgesetz 2.0 („IT-SiG 2.0“) gebilligt[1]. Wir haben bereits in einem ersten Blogbeitrag einen Überblick zum Inhalt des Gesetzentwurfs für das IT-SiG 2.0 gegeben. Den Gesetzentwurf in der Fassung vom 25. Januar 2021 (BT- Drucksache 19/26106) hatte der Bundestag nun mit den vom Ausschuss für Inneres und Heimat vorgeschlagenen Änderungen (BT-Drucksache 19/28844) angenommen.

Im Folgenden stellen wir die wichtigsten praxisrelevantesten neu vom Bundestag aufgenommenen Änderungen des IT-SiG 2.0 vor:

Befugnisse für das BSI

  • Dem Bundesamt für Sicherheit in der Informationstechnik („BSI“) kommt nunmehr die Aufgabe zu, im Benehmen mit den Ressorts Mindeststandards für IT-Sicherheit verbindlich festzulegen.[2]
  • Die Befugnisse des BSI zur Entgegennahme von Informationen zu IT-Schwachstellen und Meldung an betroffene IT-Hersteller werden ausgebaut und zugleich klargestellt, dass das BSI nicht berechtigt ist, sich zu weigern, Informationen entgegenzunehmen.[3]

Datenschutz

  • Das IT-SiG 2.0 erleichtert die für das BSI geltenden datenschutzrechtlichen Anforderungen für die Verarbeitung von Protokolldaten.
  • Gemäß dem unverändert geltenden § 5 Abs. 1 Satz 1 Nr. 1 Abs. 2 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik („BSIG“) darf das Bundesamt zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist. Das IT-SiG 2.0 verlängert die gemäß der (noch) aktuellen Fassung des § 5 Abs. 2 BSIG vorgeschriebene Begrenzung der Speicherdauer der Protokolldaten über den für die automatische Auswertung erforderlichen Zeitraum hinaus von maximal drei Monate auf maximal 18 Monate.[4]
  • Dabei bleibt aber im Wesentlichen die Einschränkung bestehen, dass eine derartige Speicherung nur dann erlaubt ist, soweit es tatsächliche Anhaltspunkte dafür gibt, dass diese Daten im Falle der Bestätigung eines Verdachts nach § 5 Absatz 3 Satz 2 BSIG zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen, oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich sein können.

Produktbezogene Regelungen

  • Die Anpassung des IT-SiG 2.0 stellt klar, dass dem BSI die Aufgabe zukommt, technische Richtlinien für die IT-Sicherheit zu beschreiben statt zu erstellen, wobei zugleich die maßgeblichen Akteure (Hersteller, Entwickler, Wirtschaft) einbezogen sowie die internationalen Standards und Normen berücksichtigt werden sollen.[5]
  • Änderungen zu dem IT-Sicherheitskennzeichen selbst sind im Vergleich zur Fassung des IT-SiG 2.0 vom 25. Januar 2021 nicht erfolgt.[6] Das IT-Sicherheitskennzeichen besteht daher weiterhin aus zwei Komponenten: 1) der Herstellererklärung und 2) einer auf der Seite des BSI abrufbaren dynamischen Sicherheitsinformation zum Produkt (via Link oder QR-Code als elektronischer Beipackzettel).
  • Das IT-SiG 2.0 sieht im Zusammenhang mit dem IT-Sicherheitskennzeichen allerdings nun konkretisierend vor, dass das BSI durch Rechtsverordnung festlegt, welche Normen, Standards oder IT-Sicherheitsvorgaben nach Produktkategorie der Hersteller einhalten soll, um den IT-Sicherheitsanforderungen, die Gegenstand der Herstellererklärung werden sollen, zu genügen.[7] Wo keine derartige Regelung durch Rechtsverordnung vorliegt, hat der Hersteller die Vorgaben der vom BSI je nach Produktkategorie veröffentlichten Technischen Richtlinie einzuhalten.[8]

Aufnahme von Unternehmen aus der Supply Chain der neu eigeführten „Unternehmen im besonderen öffentlichen Interesse“

  • Bereits der Regierungsentwurf des IT-SiG 2.0 schaffte eine neue Kategorie besonders zu schützender Unternehmen, die sogenannten „Unternehmen im besonderen öffentlichen Interesse“. Darunter fallen z.B. Unternehmen im Rüstungsbereich, aber auch andere Unternehmen von besonderer Bedeutung für die deutsche Wirtschaft. Der zuständige Bundesminister des Inneren, Horst Seehofer, hat hier in der Debatte zum Entwurf etwa deutsche Automobilhersteller genannt.[9]
  • Diese Unternehmen sollen einem ähnlichen Schutz- und Pflichtenregime unterstellt werden wie die kritischen Infrastrukturen, bestehend aus unter anderem Registrierung, Selbsterklärung alle zwei Jahre inklusive IT-Zertifizierungen, Audits und Schutzmaßnahmen sowie die unverzügliche Meldung von Störungen und Herausgabe von Informationen dazu.
  • Doch darüber hinaus sollen nun auch erstmals Unternehmen aus der Supply Chain dieser Unternehmen im besonderen öffentlichen Interesse einbezogen werden.[10] Solche Unternehmen in der Supply Chain sollen dann auch Unternehmen im besonderen öffentlichen Interesse sein, wenn sie „für solche Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung“ sind. Es sollen so nach der Begründung des Innenausschusses, auf den diese Ergänzung zurückgeht, solche Zulieferer erfasst werden, die „auf die Wertschöpfung der größten Unternehmen Einfluss haben, zum Beispiel, weil ein Ausfall der Zulieferung ihrer Produkte oder der Einbringung ihrer Dienstleistungen auch einen Ausfall der Wertschöpfung der größten Unternehmen bedeuten“ könne.[11]
  • Besonders erfolgreiche und wichtige Zulieferer der wirtschaftlich bedeutendsten Betriebe in Deutschland müssen sich damit darauf einstellen, dass sie künftig deutlich höhere IT-Sicherheitsanforderungen erfüllen, dokumentieren und an das BSI berichten müssen.

Kritische Komponenten

  • Zu den Neuerungen des IT-SiG 2.0 gehört insbesondere, dass das BMI den Einsatz sogenannter kritischer Komponenten untersagen kann, „wenn der Einsatz die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt„.[12] Hierbei ist nun insbesondere zu prüfen, ob der Hersteller kritischer Komponenten von der Regierung eines anderen Landes kontrolliert wird oder bereits an Aktivitäten beteiligt war oder ist, die nachteilige Auswirkungen auf die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland oder eines anderen EU-Mitgliedstaates hatten.[13] Mit dieser Neufassung wird einer der Kernforderungen der sogenannten EU 5G Toolbox[14] der Europäischen Kommission für den Umgang mit Cyberrisiken bei 5G Rechnung getragen werden.[15]
  • Zudem konkretisiert das IT-SiG 2.0 die Vorgaben der sogenannten Garantieerklärung, die Hersteller kritischer Komponenten gegenüber dem BSI abzugeben haben sollen.[16]
  • Ferner hat das BMI nun mehr Zeit zur Prüfung einer potentiellen Untersagung des erstmaligen Einsatzes kritischer Komponenten (Ex-ante-Untersagung) erhalten. Der Gesetzentwurf in der Fassung vom 23. April 2021 sieht dafür nun zwei Monate bzw. die Möglichkeit einer weiteren Verlängerung von vier Monaten vor, wenn „die Prüfung besondere Schwierigkeiten tatsächlicher oder rechtlicher Art aufweist„.[17]

Ausblick

Anders als vom federführende Ausschuss für Innere Angelegenheiten empfohlen, hat der Bundesrat den Gesetzentwurf angenommen und keinen Vermittlungsausschuss angerufen. Das Gesetz wird daher in einem nächsten Schritt ausgefertigt, d.h. unterzeichnet und im Bundesgesetzblatt verkündet. Allerdings ist auch jetzt mit weiteren Gesetzesänderungen im Bereich der IT-Sicherheit zu rechnen: Z.B. ist zeitnah mit einer Umsetzung der neuen Cyberstrategie für die EU[18], insbesondere in Form einer Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der EU[19] sowie einer neuen Richtlinie über die Widerstandfähigkeit kritischer Einrichtungen[20], zu rechnen.

[1]                Der Bundesrat hat den Gesetzentwurf des IT-SiG 2.0 am 7. Mai 2021 in der 1004. Sitzung des Bundesrates als TOP 10 beraten.

[2]               BT-Drucksache 19/28844, S. 14.

[3]               BT-Drucksache 19/28844, S. 40.

[4]               BT-Drucksache 19/28844, S. 13.

[5]               BT- Drucksache 19828844, S. 45.

[6]               Dem Antrag, dass das IT-Sicherheitskennzeichen eines Produkts stets auf elektronischen Weg zu erfolgen hat, wurde nicht stattgegeben, BT- Drucksache 19828844, S. 28.

[7]               BT-Drucksache 19/28844, S. 18.

[8]               BT-Drucksache 19/28844, S. 18.

[9]               19/206, S. 25917

[10]               BT-Drucksache 19/28844, S. 10.

[11]               BT-Drucksache 19/28844, S. 39; Die Kriterien für die Bestimmung dieser Zulieferer soll per Rechtsverordnung des Bundesministeriums des Inneren, für Bau und Heimat („BMI“) festgelegt werden.

[12]               BT-Drucksache 19/28844, S. 15.

[13]               BT-Drucksache 19/28844, S. 15 f.

[14]               Cybersecurity of 5G networks – EU Toolbox of risk mitigating measures.

[15]               BT-Drucksache 19/28844, S. 26.

[16]               BT-Drucksache 19/28844, S. 16.

[17]               BT-Drucksache 19/28844, S. 16.

[18] https://ec.europa.eu/commission/presscorner/detail/de/ip_20_2391, vorgelegt von der EU-Kommission vom 16. Dezember 2020.

[19]               Vorschlag für eine Richtlinie des Europäischen Parlamentes und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union und zur Aufhebung der Richtlinie (EU) 2016/1148, COM(2020) 823 final.

[20]               Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über die Resilienz kritischer Einrichtungen, COM(2020) 829 final.