IT-Sicherheitsgesetz 2.0

Kommt das IT-Sicher­heits­gesetz 2.0?

Nach einem längeren Still­stand ist nun wieder Bewegung in die Diskussion um das IT-Sicher­heits­gesetz (IT-SIG 2.0) gekommen. Kürzlich wurde ein 3. Referen­ten­entwurf durch das Bundes­mi­nis­te­riums des Innern, für Bau und Heimat (BMI) veröffentlicht.

Aktueller Status der Novellierung

Die Novel­lierung des IT-SiG zieht sich nun seit April 2019, vermutlich verzögert durch die recht­lichen Anfor­de­rungen beim Einsatz von techni­schen Produkten aus Dritt­ländern durch Betreiber von kriti­schen Infra­struk­turen. Der nun vorlie­gende dritte Referen­ten­entwurf ist nun bereit, in die Ressort­ab­stimmung zu gehen. Eine Verab­schiedung noch im 1. Quartal des kommenden Jahres scheint nun nicht mehr unrealistisch.

Welche Schwer­punkte setzt der Gesetzesentwurf?

Schwer­punkte des neuen Referen­ten­ent­wurfs sind die Bedro­hungen für die Cyber­si­cherheit. Daneben werden auch die Befug­nisse des BSI erweitert werden und neue Aufga­ben­felder, z.B. als nationale Cyber­si­cher­heits­zer­ti­fi­zie­rungs­be­hörde mit der Umsetzung von aktiven Detektionsmaßnahmen.

Auch im neuen Entwurf ist in §2 Absatz 13 die Anzeige von kriti­schen Kompo­nenten enthalten:

Der Einsatz einer kriti­schen Kompo­nente (…), ist durch den Betreiber einer Kriti­schen Infra­struktur dem Bundes­mi­nis­terium des Innern, für Bau und Heimat vor Einbau anzuzeigen. In der Anzeige ist die kritische Kompo­nente und die Art ihres Einsatzes anzugeben“.

Kritische Kompo­nenten sind insbe­sondere solche IT-Produkte, die in KRITIS einge­setzt werden und von hoher Bedeutung für das Funktio­nieren des Gemein­wesens sind. Für TK-Netzbe­treiber oder TK-Diens­teer­bringer werden diese Kompo­nenten durch den Katalog nach § 109 Abs. 6 TKG näher bestimmt, alle anderen werden durch einen entspre­chenden BSI-Katalog konkretisiert.

Es dürfen nur kritische Kompo­nenten einge­setzt werden, deren Hersteller eine Erklärung über ihre Vertrau­ens­wür­digkeit gegenüber dem Betreiber der Kriti­schen Infra­struktur abgeben haben (Garan­tie­er­klärung). Das BMI legt die Mindest­an­for­de­rungen für die Garan­tie­er­klärung unter Berück­sich­tigung überwie­gender öffent­licher Inter­essen, insbe­sondere sicher­heits­po­li­ti­scher Belange, fest. Aus der Garan­tie­er­klärung muss hervor­gehen, ob und wie der Hersteller hinrei­chend sicher­stellen kann, dass die kritische Kompo­nente über keine techni­schen Eigen­schaften verfügt, die geeignet sind, missbräuchlich auf die Sicherheit, Integrität, Verfüg­barkeit oder Funkti­ons­fä­higkeit der Kriti­schen Infra­struktur (etwa Sabotage, Spionage oder Terro­rismus) einwirken zu können.

Hier entsteht eine neue Anzei­ge­pflicht für die Betreiber der Kompo­nenten. Bisher mussten die Hersteller beim BSI eine Zerti­fi­zierung dieser Kompo­nenten beantragen. Diese neue Listung von kriti­schen Kompo­nenten enthält hochsen­sible Angriffs­ziele. Erfolg­reiche Angriffe durch Hacker oder Geheim­dienste können den kriti­schen Infra­struk­turen in der Bundes­re­publik nachhaltig schaden.

Auch die Diskussion um Anfor­de­rungen an die einge­setzten IT-Produkte, Identi­fi­zie­rungs- und Authen­ti­sie­rungs­ver­fahren und deren Bewertung hinsichtlich der Infor­ma­ti­ons­si­cherheit wird aufge­nommen und konkre­ti­siert. Diese Vorgaben münden in die Entwicklung und Veröf­fent­li­chung eines Stands der Technik bei sicher­heits­tech­ni­schen Anfor­de­rungen an IT-Produkte. Hinzu­ge­kommen sind Anfor­de­rungen an Verbrau­cher­schutz und Verbraucherinformation.

Fazit

Es bleibt abzuwarten, ob dieser Zeitplan einge­halten werden kann. Inhaltlich ist der neue Entwurf eine deutliche Verbes­serung, weil Konkre­ti­sierung, im Vergleich zum Entwurf vom April 2019. Kritisch ist zu sehen, dass die Evalu­ierung des IT-SIG von 2015, die spätestens nach vier Jahren hätte statt­finden sollen, immer noch aussteht.

Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswir­kungen aus und unter­stützen Sie bei der Umsetzung der Anfor­de­rungen aus IT-SIG und BSIG sowie bei der Nachwei­ser­bringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).