IPT Germany

Update IT-Sicherheitsgesetz 2.0 – Verabschiedung nach der Sommerpause

By / / BSI, BSIG, IT/Datenschutz

Das IT-Sicherheitsgesetz 2.0 sieht nicht nur einige Änderungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) vor, sondern auch Änderungen des TKG, des TMG, des STGB, der StPO und weiterer Gesetze. Ziel ist nicht nur der Schutz der Bürger, sondern auch der Schutz öffentlicher Informationstechnik, im Fokus stehen vor allem Kritische Infrastrukturen (KRITIS).

Im April 2019 war ein Referentenentwurf des Bundesinnenministeriums für das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) publik geworden. Über diesen hatten wir hier berichtet. Dieser Referententwurf wurde nun vom Ministerium zur Ressortabstimmung an die betroffenen Ministerien verschickt.

Der jetzige Stand des Referentenentwurfs entspricht in weiten Teilen dem des im April 2019 veröffentlichen Entwurfs, an einigen wesentlichen Stellen wurde dieser jedoch ergänzt. Im Folgenden werden nur wesentliche Änderungen zum ersten Entwurf im jeweiligen Kontext dargestellt.

Änderungen des BSIG

Das BSI darf § 7a BSIG-E zufolge zur Erfüllung seiner Aufgaben aus § 3 Abs. 1 S. 2 BSIG auf dem Markt bereitgestellte informationstechnische Produkte und Systeme im Hinblick auf deren IT-Sicherheit untersuchen. Die Hersteller können vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Auskunft aufgefordert werden, sind aber letztlich nicht verpflichtet solche zu erteilen. Denn der Entwurf sieht als Rechtsfolge einer Nichtauskunft vor: Beziehen Hersteller nicht innerhalb einer angemessenen Frist Stellung, darf das BSI den Herstellernamen, das betroffene Produkt und inwieweit der Hersteller seiner Auskunftspflicht nicht nachgekommen ist, veröffentlichen. Dies führt faktisch zu einer Auskunftspflicht der Hersteller letztlich zur Vermeidung von Reputationsschäden. Neu ist § 7a Abs. 3 BSIG-E, der bestimmt, dass das BSI verpflichtet ist, die Auskünfte und die gewonnenen Erkenntnisse an die zuständigen Aufsichtsbehörde des Bundes weiterzugeben, wenn Anhaltspunkte bestehen, dass diese sie zur Erfüllung ihrer Aufgaben benötigen.

8a BSIG-E sieht im Vergleich zum Erstentwurf zusätzlich vor, dass Betreiber Kritischer Infrastrukturen zukünftig auch geeignete Prozesse einführen können, um die Vertrauenswürdigkeit ihrer Beschäftigten zu überprüfen, die in Bereichen tätig sind, in denen in besonderem Maße auf die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit informationstechnischer Systeme, die für die Funktionsfähigkeit der Kritischen Infrastruktur maßgeblich sind, eingewirkt werden kann. Dies bedeutet nichts anderes als die Legitimation sog. Background Checks. Zudem sieht der Entwurf vor, dass die von den Betreibern Kritischer Infrastrukturen eingesetzten Systeme zur Angriffserkennung dem jeweiligen Stand der Technik zu entsprechen haben. Dies wird vermutet, wenn die Systeme der jeweils geltenden Technischen Richtlinie des Bundesamtes entsprechen. Die für den Einsatz dieser Systeme erforderlichen Daten haben die Betreiber den dafür zuständigen Behörden zu übermitteln. Dabei soll dem BSI zusätzlich eine Liste aller IT-Produkte übermittelt werden, die für die Funktionsfähigkeit der Kritischen Infrastrukturen von Bedeutung sind.

Einem neuen Zusatz in § 8b BSIG-E zufolge werden nunmehr neben der KRITIS-Betreiber Unternehmen im besonderen öffentlichen Interesse nach § 2 Abs. 14 Nr. 1, 2 BSIG verpflichtet, sich beim BSI zu registrieren und eine erreichbare Stelle zu benennen. Bestimmte Störungen müssen diese zukünftig unverzüglich an das BSI melden. Dies betrifft Unternehmen von besonderem außenwirtschaftliche- oder volkswirtschaftlichen Interesse oder solche, die der Gefahrstoffverordnung unterliegen. Unternehmen im besonderen öffentlichen Interesse nach § 2 Abs. 14 Nr. 3 BSIG können sich zukünftig freiwillig registrieren. Aber auch diese müssen bestimmte Störungen unverzüglich melden. Auf Antrag kann das BSI gemäß § 8e Abs. 1 BSIG-E Dritten nur Auskunft über Informationen  und Meldungen von Unternehmen gegenüber dem BSI erteilen, wenn keine schutzwürdigen Interessen des betroffenen Unternehmens entgegenstehen und durch die Auskunft keine Sicherheitsinteressen beeinträchtigt werden. Die neue Fassung des § 8f BSIG-E verpflichtet Unternehmen im besonderem öffentlichen Interesse nach § 2 Abs. 14 Nr. 1 BSIG zudem dazu, spätestens zwei Jahre nach Inkrafttreten der Änderungen ein IT-Sicherheitskonzept beim BSI vorzulegen, welche Systeme, Komponenten und Prozesse für die Wertschöpfung des Unternehmens maßgeblich sind, welche Vorkehrungen zur Vermeidung von Störungen vorgenommen werden und inwieweit bei diesen der Stand der Technik eingehalten wurde.

Bestimmte kritische Komponenten, für die eine Zertifizierungspflicht besteht, dürfen gemäß § 9b BSIG-E nur noch von solchen Herstellern eingesetzt werden, die gegenüber den Betreibern der Kritischen Infrastruktur eine Erklärung über ihre Vertrauenswürdigkeit abgegeben haben. Die Erklärung muss sich auf die gesamte Lieferkette des Herstellers erstrecken. Wann ein Hersteller nicht vertrauenswürdig ist, bestimmt sich zukünftig nach § 9b Abs. 4 BSIG-E.

Der Bußgeldkatalog nach § 14 BSIG wurde nicht erneut überarbeitet und bleibt vorerst so bestehen wie im ersten Entwurf.

Änderungen des TKG

Auch § 109 TKG-E wurde überarbeitet. Sicherheitsrelevante Netz- und Systemkomponenten, die kritische Funktionen erfüllen, dürfen nur eingesetzt werden, wenn sie von anerkannten zuständigen Stellen überprüft und zertifiziert wurden („Huawei-Klausel“). Es bleibt darüber hinaus dabei, dass die Provider stärker in die Pflicht genommen werden durch § 109a TKG-E. Die weitreichenden Pflichten zur Meldung und Löschung nach § 109b TKG-E wurden allerdings wieder verworfen.

Ausblick

Es ist davon auszugehen, dass der Entwurf im Verlauf der Abstimmung noch einige Änderungen erfahren wird. Aller Voraussicht nach wird das IT-Sicherheitsgesetz 2.0 aber nicht mehr vor der Sommerpause des Parlaments verabschiedet werden. Welche Änderungen das endgültige IT-Sicherheitsgesetz 2.0 mit sich bringen wird, bleibt daher abzuwarten.

 

Note to English-speaking readers:  In April 2019, a draft bill for the IT Security Act 2.0 (IT-SiG 2.0) was leaked. We summarized this draft here. The draft bill has now been sent to the ministries involved for interdepartmental coordination. The most important changes are summarized in the above article.

 

Linkedin-in Twitter Facebook-f Instagram Youtube Weixin

© 2019 DLA Piper. DLA Piper is a global law firm operating through various separate and distinct legal entities. For further information about these entities and DLA Piper's structure, please refer to the Legal Notices page. All rights reserved. Attorney advertising.