IT –Sicherheitsgesetz 2.0 vom Kabinett verabschiedet
Am Schluss folgte Entwurf auf Entwurf – und dann ging es ganz schnell. Am vergangenen Mittwoch, den 16. Dezember 2020, hat das Kabinett das IT-Sicherheitsgesetz 2.0 verabschiedet. Bundesinnenminister Horst Seehofer bezeichnet es als „Durchbruch für Deutschlands Sicherheit“. Branchenverbände sowie die UP KRITIS äußern scharfe Kritik über die Einbindung der dortigen Experten sowohl bei der inhaltlichen Ausgestaltung als auch bei der sehr kurzen Kommentierungsfrist von nur wenigen Werktagen für Entwurf Nr. 3 und 4. Dies spiegelt nicht die Wichtigkeit der geplanten Gesetzesanpassungen wider.
Diskussionsstart im November
Überraschend wurde im November die Diskussion um das IT-Sicherheitsgesetz mit einem dritten Referentenentwurf neu entfacht. Nach langem Stillstand kam wieder Bewegung in die Diskussion um kritische Infrastrukturen, deren Betreiber sowie der Rolle des BSI. Die Kommentierungen der Fachexperten, die auf inhaltliche Verbesserung wesentlicher Punkte sowie die Klärung offener Fragen, z. B. das z. T. unverhältnismäßige Sanktionsmaß, Übergangsfristen, die Zertifizierung und Meldung des Einsatzes sog. Kritischer Komponenten oder auch die Aufnahme neuer Sektoren wie z. B. die Abfallwirtschaft.
Mehr Befugnisse für das BSI
Klar ist, dass die Befugnisse des BSI stark erweitert werden. Dies lässt sich nicht nur in der Zahl neugeschaffender Stellen ablesen, sondern auch im Bestreben, schnellstmöglich eine Cybereingriffstruppe zu schaffen.
Evaluierung des IT-Sig 1.0
Weiterhin steht die gesetzlich festgelegte Evaluierung des IT-SIG 1.0 gemäß Artikel 10 weiterhin aus. Auch laut § 9 KritisV muss die BSI-Kritisverordnung – und damit insbesondere auch die Schwellwerte, ab denen ein Betreiber als Kritische Infrastruktur betrachtet wird – alle zwei Jahre evaluiert werden.
Inhaltliche Änderungen
Folgenden Punkte sind aus Sicht der SRC-Experten die wesentlichen Änderungen im neuen IT-SIG:
- Regelungen zum Einsatzes kritischer Komponenten
- Konkretisierung der Kennzahlen und Schwellwerte für die größten Unternehmen in Deutschland, Einfügen einer Rechtsverordnung zur Offenlegung von Schnittstellen und zur Einhaltung etablierter technischer Standards.
- Bußgeldvorschriften und Santionierung
- Änderung der Vorgaben zur Speicherung von Protokolldaten
- Angleichung der Bestandsdatenauskunft an die Vorgaben der Entscheidung des BVerfG vom 27. Mai 2020 („Bestandsdatenauskunft II“)
- Eingrenzung der Durchführung von Detektionsmaßnahmen für die Netz- und IT-Sicherheit („Hacker-Paragraf“)
- Änderung von Fristen für die KRITIS-Regelungen in § 8a BSIG und eine Anpassung bzw. Einschränkung der Vorlagepflicht von Betreiberdokumenten, soweit die Registrierungspflicht nicht erfüllt wurde.
- Regelungen zur IT-Sicherheit von Unternehmen in besonderem öffentlichen Interesse: Vom BSI bereitgestellte Formulare zur Selbsterklärung sind nicht mehr verbindlich, mit der Vorlage der Selbsterklärung besteht eine Registrierungspflicht beim BSI.
- Zeitliche Einschränkung der Betretensbefugnis des BSI zur Prüfung der Voraussetzungen der EU VO 2019/881 (EU Cybersecurity Act).
Daneben wurden über den gesamten Gesetzentwurf verteilt, begriffliche Anpassungen und Konkretisierungen vorgenommen. Am 16.12.2020 hat das Bundeskabinett den Entwurf für das IT-SiG 2.0 beschlossen. Die Kabinettsfassung steht zum Download zur Verfügung.
Weitere Regelung zur IT-Sicherheit
Der am 09.12.2020 ebenso vorgelegte Referentenentwurf zum Telekommunikationsmodernisierungsgesetz (Gesetz zur Umsetzung der Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation (Neufassung) und zur Modernisierung des Telekommunikationsrechts) enthält ebenfalls Vorgaben zur IT-Sicherheit.
Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswirkungen aus und unterstützen Sie bei der Umsetzung der Anforderungen aus IT-SIG und BSIG sowie bei der Nachweiserbringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).
