Kommt das IT-Sicherheitsgesetz 2.0?
Nach einem längeren Stillstand ist nun wieder Bewegung in die Diskussion um das IT-Sicherheitsgesetz (IT-SIG 2.0) gekommen. Kürzlich wurde ein 3. Referentenentwurf durch das Bundesministeriums des Innern, für Bau und Heimat (BMI) veröffentlicht.
Aktueller Status der Novellierung
Die Novellierung des IT-SiG zieht sich nun seit April 2019, vermutlich verzögert durch die rechtlichen Anforderungen beim Einsatz von technischen Produkten aus Drittländern durch Betreiber von kritischen Infrastrukturen. Der nun vorliegende dritte Referentenentwurf ist nun bereit, in die Ressortabstimmung zu gehen. Eine Verabschiedung noch im 1. Quartal des kommenden Jahres scheint nun nicht mehr unrealistisch.
Welche Schwerpunkte setzt der Gesetzesentwurf?
Schwerpunkte des neuen Referentenentwurfs sind die Bedrohungen für die Cybersicherheit. Daneben werden auch die Befugnisse des BSI erweitert werden und neue Aufgabenfelder, z.B. als nationale Cybersicherheitszertifizierungsbehörde mit der Umsetzung von aktiven Detektionsmaßnahmen.
Auch im neuen Entwurf ist in §2 Absatz 13 die Anzeige von kritischen Komponenten enthalten:
„Der Einsatz einer kritischen Komponente (…), ist durch den Betreiber einer Kritischen Infrastruktur dem Bundesministerium des Innern, für Bau und Heimat vor Einbau anzuzeigen. In der Anzeige ist die kritische Komponente und die Art ihres Einsatzes anzugeben“.
Kritische Komponenten sind insbesondere solche IT-Produkte, die in KRITIS eingesetzt werden und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Für TK-Netzbetreiber oder TK-Diensteerbringer werden diese Komponenten durch den Katalog nach § 109 Abs. 6 TKG näher bestimmt, alle anderen werden durch einen entsprechenden BSI-Katalog konkretisiert.
Es dürfen nur kritische Komponenten eingesetzt werden, deren Hersteller eine Erklärung über ihre Vertrauenswürdigkeit gegenüber dem Betreiber der Kritischen Infrastruktur abgeben haben (Garantieerklärung). Das BMI legt die Mindestanforderungen für die Garantieerklärung unter Berücksichtigung überwiegender öffentlicher Interessen, insbesondere sicherheitspolitischer Belange, fest. Aus der Garantieerklärung muss hervorgehen, ob und wie der Hersteller hinreichend sicherstellen kann, dass die kritische Komponente über keine technischen Eigenschaften verfügt, die geeignet sind, missbräuchlich auf die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur (etwa Sabotage, Spionage oder Terrorismus) einwirken zu können.
Hier entsteht eine neue Anzeigepflicht für die Betreiber der Komponenten. Bisher mussten die Hersteller beim BSI eine Zertifizierung dieser Komponenten beantragen. Diese neue Listung von kritischen Komponenten enthält hochsensible Angriffsziele. Erfolgreiche Angriffe durch Hacker oder Geheimdienste können den kritischen Infrastrukturen in der Bundesrepublik nachhaltig schaden.
Auch die Diskussion um Anforderungen an die eingesetzten IT-Produkte, Identifizierungs- und Authentisierungsverfahren und deren Bewertung hinsichtlich der Informationssicherheit wird aufgenommen und konkretisiert. Diese Vorgaben münden in die Entwicklung und Veröffentlichung eines Stands der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte. Hinzugekommen sind Anforderungen an Verbraucherschutz und Verbraucherinformation.
Fazit
Es bleibt abzuwarten, ob dieser Zeitplan eingehalten werden kann. Inhaltlich ist der neue Entwurf eine deutliche Verbesserung, weil Konkretisierung, im Vergleich zum Entwurf vom April 2019. Kritisch ist zu sehen, dass die Evaluierung des IT-SIG von 2015, die spätestens nach vier Jahren hätte stattfinden sollen, immer noch aussteht.
Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswirkungen aus und unterstützen Sie bei der Umsetzung der Anforderungen aus IT-SIG und BSIG sowie bei der Nachweiserbringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).
