Das IT-Sicherheitsgesetz 2.0 tritt in Kraft – Überblick über die wichtigsten Änderungen des BSI-Gesetzes

Nach Unterzeichnung durch den Bundespräsidenten und Veröffentlichung im Bundesgesetzblatt tritt das Gesetz morgen am 28. Mai 2021 zum ganz überwiegenden Teil in Kraft. Mit dem IT-Sicherheitsgesetz 2.0 wurde das erste Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme fortgeschrieben, um die Cyber- und Informationssicherheit vor dem Hintergrund der immer häufigeren und komplexeren Cyber-Attacken sowie der weiter voranschreitenden Digitalisierung des Alltags zu erhöhen. 

Insbesondere die etlichen Änderungen des zentralen IT-Sicherheitsgesetzes Deutschlands – des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (“BSIG“) – sind aufgrund der verschärften IT-Sicherheitspflichten und erhöhten Bußgelder nicht nur für die vom BSIG bereits erfassten KRITIS-Betreiber, sondern auch für eine Reihe weiterer Unternehmen relevant. Dies betrifft (i) die im Bereich der Siedlungsabfallentsorgung tätigen Unternehmen, (ii) Hersteller von IT-Produkten, die in Kritischen Infrastrukturen eingesetzt werden, sowie (iii) die sog. Unternehmen im besonderen öffentlichen Interesse. 

Wer ist von den Änderungen des BSIG betroffen?

Die Erweiterung des Anwendungsbereichs des BSIG stellt eine der wesentlichen durch das IT-Sicherheitsgesetz 2.0 herbeigeführten Änderungen dar:  

• Neben den bereits im BSIG verankerten KRITIS-Sektoren (Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen), wird ein weiterer Sektor, nämlich der Sektor Siedlungsabfallentsorgung, in den Regelungsbereich des BSIG aufgenommen werden. Die kritische Dienstleistung besteht in diesem Sektor in der Entsorgung von Siedlungsabfällen. 
  
  
• Auch den Zulieferern, d.h. den Herstellern von kritischen Komponenten werden bestimmte Pflichten auferlegt werden – dadurch soll die gesamte Lieferkette abgesichert werden. Bei den kritischen Komponenten handelt es sich um IT-Produkte, (1) die in Kritischen Infrastrukturen eingesetzt werden, (2) bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit Kritischer Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können und (3) die auf Grund eines Gesetzes unter Verweis auf diese Vorschrift a) als kritische Komponente bestimmt werden oder b) eine auf Grund eines Gesetzes als kritisch bestimmte Funktion realisieren. 
  
  
• Ganz neu ist die Kategorie „Unternehmen im besonderen öffentlichen Interesse“, die zusätzlich zu Kritischen Infrastrukturen eingeführt wird. Dazu gehören Unternehmen, die nicht Betreiber Kritischer Infrastrukturen sind und
  
  
  • Nr. 1 – die Güter nach § 60 Abs. 1 Nr. 1 und 3 AWV herstellen oder entwickeln (Rüstungshersteller sowie Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen)  
    
    
  • Nr. 2 – die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung für die  Bundesrepublik Deutschland sind oder die für solche Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind (wer konkret unter diese Kategorie fallen soll, soll – wie im Fall der Kritischen Infrastrukturen – durch eine Rechtsverordnung konkretisiert werden) oder
    
    
  • Nr. 3 – die Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung sind oder nach § 1 Absatz 2 der Störfall-Verordnung diesen gleichgestellt sind.
    
    

Welche neuen IT-sicherheitsrechtlichen Pflichten werden eingeführt?

Das IT-Sicherheitsgesetz 2.0 ergänzt die nach dem BSIG bereits bestehenden Pflichten und führt neue Pflichten ein:

1.)  Für Betreiber Kritischer Infrastrukturen geht es dabei insbesondere um folgende neue Pflichten: 

• Pflicht zur Registrierung einer Kritischen Infrastruktur beim Bundesamt für Sicherheit in der Informationstechnik („BSI“): Neben der bereits bestehenden Pflicht der Betreiber Kritischer Infrastrukturen, eine jederzeit erreichbare Kontaktstelle für die von ihnen betriebene Kritische Infrastruktur zu benennen, wird eine Pflicht zur Registrierung einer Kritischen Infrastruktur unmittelbar verankert. 
  
  
• Pflicht zum Einsatz von Systemen zur Angriffserkennung: Die in § 8a BSIG verankerte Verpflichtung der Betreiber Kritischer Infrastrukturen, angemessene organisatorische und technische Vorkehrungen zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind, wird konkretisiert. Diese Pflicht umfasst nun auch ausdrücklich den Einsatz von Systemen zur Angriffserkennung, die dem Stand der Technik entsprechen müssen. 
  
  
• Pflicht zur Vorlage der für eine Bewertung aus Sicht des BSI erforderlichen Unterlagen und zur Erteilung der Auskunft: Im Zusammenhang mit dieser neuen Pflicht kann das BSI zum Beispiel Auskünfte zu Kennzahlen bezüglich der jeweiligen Schwellenwerte verlangen, wenn Tatsachen die Annahme rechtfertigen, dass ein Betreiber seine Pflicht zur Registrierung nicht erfüllt. 
  
  
• Pflicht zur Herausgabe der zur Bewältigung der Störung notwendigen Informationen: Während einer erheblichen Störung kann das BSI im Einvernehmen mit der jeweils zuständigen Aufsichtsbehörde des Bundes von den betroffenen Betreibern Kritischer Infrastrukturen oder den Unternehmen im besonderen öffentlichen Interesse die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen.
  
  
• Pflichten im Zusammenhang mit dem Einsatz kritischer Komponenten: Dem Betreiber einer Kritischen Infrastruktur werden ferner Pflichten im Zusammenhang mit dem Einsatz kritischer Komponenten auferlegt.
  
  
  • Es handelt sich zum einen um die Pflicht, den geplanten erstmaligen Einsatz einer kritischen Komponente dem Bundesministerium des Innern, für Bau und Heimat („BMI“) vor ihrem Einsatz anzuzeigen. 
    
    
  • Zum anderen geht es um die Pflicht des Betreibers einer kritischen Infrastruktur, eine Erklärung des Herstellers der kritischen Komponenten über seine Vertrauenswürdigkeit (sog. Garantieerklärung) einzuholen. Erst nach der Einholung einer solchen Garantieerklärung darf der Betreiber einer Kritischen Infrastruktur kritische Komponenten einsetzen. Diese Erklärung muss der Anzeige gegenüber dem BMI beigefügt werden.

Auf der Grundlage der oben beschriebenen Anzeige sowie der Garantierklärung führt das BMI eine ex-ante sowie eine ex-post Prüfung in Bezug auf den Einsatz kritischer Komponenten durch und kann dabei den geplanten erstmaligen oder auch den weiteren Einsatz einer kritischen Komponente gegenüber dem Betreiber der Kritischen Infrastruktur im Einvernehmen mit den im BSIG aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt untersagen oder Anordnungen erlassen, „wenn der (weitere) Einsatz die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt“. Zu beachten ist, dass die erfolgte Untersagung des weiteren Einsatzes einer kritischen Komponente eines Herstellers weitere Folgen für den Hersteller nach sich ziehen kann.

2.) Entsprechend der oben beschriebenen Verpflichtung der Betreiber Kritischer Infrastrukturen, kritische Komponenten nur von solchen Herstellern einzusetzen, die eine Erklärung über ihre Vertrauenswürdigkeit gegenüber dem Betreiber der Kritischen Infrastruktur abgegeben haben, werden die Hersteller entsprechende Garantieerklärungen über die gesamte Lieferkette gegenüber dem Betreiber der Kritischer Infrastruktur abgeben (müssen).

3.) Die für die Betreiber Kritischer Infrastrukturen bislang geltenden Pflichten sollen in etwas modifizierter Form auf weitere Wirtschaftsbereiche, die Unternehmen im besonderen öffentlichen Interesse, ausgeweitet werden. Die Pflichten der Unternehmen im besonderen öffentlichen Interesse unterscheiden sich dabei je nach Kategorie, welcher ein solches Unternehmen angehört: Die Pflichten, die den einer Regulierung durch die Störfall-Verordnung unterliegenden Unternehmen auferlegt werden sollen, sind nicht so umfangreich wie die Pflichten der Rüstungshersteller und der Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen sowie der Unternehmen, die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind oder die für solche Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind. 

Welche Folgen kann die Verletzung der IT-sicherheitsrechtlichen Pflichten infolge der Änderungen des BSIG nach sich ziehen?

Der Katalog der Bußgeldvorschriften wurde komplett überarbeitet: Die Bußgeldtatbestände wurden zur besseren Durchsetzung insbesondere von Auskunfts- und Nachweispflichten präzisiert und entsprechend den neu eingeführten oben beschriebenen Pflichten erheblich erweitert. Es wurde etwa der Ordnungswidrigkeitstatbestand für diejenigen  KRITIS-Betreiber eingeführt, die nicht sicherstellen, dass die zu benennende Kontaktstelle jederzeit erreichbar ist oder – bei Einordnung als Unternehmen im besonderen öffentlichen Interesse nach § 2 Abs. 14 Satz 1 Nr. 1 und 2 BSIG – eine Selbsterklärung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vorlegen. 

Die Bußgelder selbst wurden dabei drastisch erhöht, um – wie in der Gesetzesbegründung aufgeführt wird – eine lenkende Wirkung erzielen zu können. Statt der nach dem bisherigen BSIG möglichen Geldbußen von bis zu 100,000 Euro bzw. bis zu 50,000 Euro können Ordnungswidrigkeiten nun  – je nach Fall – mit einer Geldbuße von (i) bis zu 2,000,000 Euro, (ii) bis zu 1,000,000 Euro, (iii) bis zu 500,000 Euro oder (iv) bis zu 100,000 Euro geahndet werden.

Welche neuen Aufgaben bekommt das BSI?

In dem Gesetz wird ferner die Rolle des BSI ausgebaut. Das BSI bekommt eine Reihe neuer Aufgaben, die unter anderem Folgendes umfassen: 

• In den Aufgabenkatalog des BSI wird Wahrnehmung der Aufgaben und Befugnisse des Bundesamtes als nationale Behörde für die Cybersicherheitszertifizierung im Sinne des Artikels 58 der Verordnung (EU) 2019/881 vom 17. April 2019 aufgenommen.
  
  
• Um der wachsenden Bedeutung der Cyber- und Informationssicherheit für Verbraucherinnen und Verbraucher, insbesondere durch die steigende Vernetzung privater Haushalte und die Verbreitung vernetzter Verbraucherprodukte, Rechnung zu tragen, wird der Verbraucherschutz und die Verbraucherinformation im Bereich der Sicherheit in der Informationstechnik als zusätzliche Aufgabe des BSI etabliert.
  
  
• Es wird ferner die Zuständigkeit des BSI für die Entwicklung von Vorgaben sowie die abschließende Bewertung von Identifizierungs- und Authentisierungsverfahren unter dem Gesichtspunkt der Informationssicherheit gesetzlich klargestellt. 
  
  
• Mit Blick auf die zunehmende Vernetzung der IT-Produkte und die Notwendigkeit entsprechender Anforderungen an die IT-Sicherheit zum Zwecke des Verbraucherschutzes wird die Zuständigkeit des BSI für die Entwicklung von Anforderungen und Empfehlungen nebst  Konformitätsprüfung und -bestätigung bei  IT-Produkten, insbesondere in Gestalt  von Technischen Richtlinien, ausdrücklich festgelegt. 
  
  
• Es wird ferner die Befugnis des BSI geregelt, die Abfrage von Bestandsdaten bei Anbietern von Telekommunikationsdiensten vornehmen zu können, um Betroffene über Sicherheitslücken und Angriffe zu informieren.
  
  
• Um das Bestehen von Sicherheitslücken und andere Sicherheitsrisiken in der Informationstechnik des Bundes und in der Informationstechnik Kritischer Infrastrukturen, digitaler Dienste und der Unternehmen im besonderen öffentlichen Interesse zu prüfen, wird die Befugnis zur Durchführung von sogenannten Portscans geschaffen. In § 7b Abs. 4 BSIG neu wird zudem die Befugnis des BSI festgehalten, zur Erfüllung seiner Aufgaben Systeme und Verfahren einzusetzen, welche einem Angreifer einen erfolgreichen Angriff vortäuschen, um den Einsatz von Schadprogrammen oder andere Angriffsmethoden zu erheben und auszuwerten (sog. Honeypots).
  
  
• Schließlich wird eine Anordnungsbefugnis des BSI gegenüber Telekommunikations- und Telemedienanbietern zur Abwehr spezifischer Gefahren für die Informationssicherheit geschaffen.
  
  

Was ändert sich mit der Einführung des freiwilligen IT-Sicherheitskennzeichens?

Die bereits nach dem BSIG bestehende Befugnis des BSI, Anwender von Produkten im Bereich der Sicherheit der Informationstechnik zu warnen und zu beraten wird um die Neuregelung zu einem freiwilligen IT-Sicherheitskennzeichens ergänzt. Das IT-Sicherheitskennzeichen wird als Etikett auf dem jeweiligen Produkt oder auf dessen Umverpackung angebracht (sofern dies nach der Beschaffenheit des Produktes möglich ist) oder wird elektronisch veröffentlicht und soll den Verbrauchern eine Orientierung in Bezug auf die IT-Sicherheit von Produkten und Dienstleistungen im IT-Bereich geben.

Das IT-Sicherheitskennzeichen trifft dabei keine Aussage über die den Datenschutz betreffenden Eigenschaften eines Produktes und darf nur dann für ein Produkt verwendet werden, wenn das BSI das IT-Sicherheitskennzeichen für dieses Produkt freigegeben hat. Die Freigabe wird auf Antrag des Herstellers bei Erfüllung der im BSIG im Zusammenhang mit dem IT-Sicherheitskennzeichnen festgelegten Anforderungen erteilt und erfolgt nur für Produkte der Kategorien, für die das BSI das IT-Sicherheitskennzeichen durch öffentliche Bekanntmachung bereits eingeführt hat. 

Ausblick

Das IT-Sicherheitsgesetz 2.0 erlegt Betreibern von kritischen Infrastrukturen viele neue und zum Teil weitreichende Pflichten auf, die eine sorgfältige Planung, aber auch eine zeitnahe Umsetzung erfordern. Bei der Beurteilung, wann und wie die neuen Anforderungen umgesetzt werden sollen, sind auch die aktuellen Entwicklungen in der Europäischen Union zu beachten – die Richtlinie für Netz- und Informationssicherheit (NIS-Richtlinie, (EU) 2016/1148) wird zurzeit überarbeitet.

Gemäß dem am 16. Dezember 2020 veröffentlichten Vorschlag für eine Richtlinie über Maßnahmen für ein hohes gemeinsames Cyber-Sicherheitsniveau in der EU (sog. NIS 2-Richtlinie) soll insbesondere die Liste der Sektoren und Tätigkeiten, die Cybersicherheitspflichten unterliegen, erweitert werden sowie die gesetzlichen Sicherheits- und Meldepflichten stärker harmonisiert werden. Beide Regelwerke enthalten ähnliche und verwandte Anforderungen an die IT-Sicherheit und eine koordinierte Umsetzung unter Berücksichtigung bestehender sowie geplanter zukünftiger Anforderungen kann den (finanziellen) Aufwand erheblich begrenzen. Auf nationaler Ebene wird ferner die KRITIS-Verordnung aktuell weiterentwickelt – gemäß dem aktuellen Entwurf sollen insbesondere neue Definitionen und Schwellenwerte für Kritische Infrastrukturen eingeführt werden.