Kategorien

RefE zum IT-Sicherheitsgesetz 2.0 – die wichtigsten Änderungen


Wie beim Datenschutz sollen erhöhte Bußgeldrisiken Geschäftsleiter dazu animieren, in das Thema „Cyber Security“ zu investieren. | Mareike Christine Gehrmann

Kürzlich wurde der Referentenentwurf für ein „Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz 2.0) vom Bundesministerium des Innern vorgelegt. Der Gesetzesentwurf enthält Maßnahmen zum Schutz der Gesellschaft, des Staates, der öffentlichen Informationstechnik sowie für eine resiliente Wirtschaft. Eine erste Einschätzung zu Inhalt und Auswirkungen gibt Mareike Christine Gehrmann, Salary Partner bei Taylor Wessing, im Interview. 

DB: Was sind die Kernregelungen des IT-Sicherheitsgesetzes 2.0?

Gehrmann: Die Änderungen sind vielfältig und einschneidend. Ein Kernelement ist vor allem die deutliche Erweiterung der Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Das BSI soll zukünftig in der Lage sein, aktiv als „Hackerbehörde“ gegen Cyberangriffe vorgehen zu können.

Eine weitere wesentliche Änderung ist, dass der Adressatenkreis erheblich erweitert werden soll – nicht nur in Bezug auf die Betreiber kritischer Infrastrukturen (KRITIS), sondern auch für deren Dienstleister und für Hersteller von IT-Produkten im Allgemeinen. Letztere sollen beispielsweise ebenfalls verpflichtet werden, Störungen durch Cyberangriffe in Zusammenhang mit ihren Produkten dem BSI zu melden. Hintergrund ist, dass Hersteller in der Regel vor ihren Kunden Kenntnis von Sicherheitslücken erhalten. Die Meldepflicht soll also bewirken, dass Sicherheitslücken schneller bekannt werden und proaktiv Schutzmaßnahmen ergriffen werden können. Zu guter Letzt sollen die Bußgelder deutlich erhöht werden.

DB: Das BSI erhält neue Aufgaben – Stichwort Verbraucherschutz. Zudem will das Gesetz Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen schaffen. Worauf müssen sich Unternehmen einstellen?

 Gehrmann: Aufgrund der zunehmenden Digitalisierung in allen Lebensbereichen soll das BSI zukünftig vermehrt als unabhängigere und neutrale Beratungsstelle fungieren und hierbei ein besonderes Augenmerk auf den Schutz der Verbraucher haben. Deshalb soll das BSI berechtigt werden, auf dem Markt bereitgestellte IT-Produkte und Systeme im Hinblick auf die IT-Sicherheit zu untersuchen. Hierfür soll das BSI Informationen und Auskünfte der Hersteller anfordern dürfen. Kommen diese der Aufforderung nicht oder nur unzureichend nach, kann das BSI hierüber die Öffentlichkeit informieren. Die Informationen und die Erkenntnisse aus den Untersuchungen darf das BSI ebenfalls publizieren. Wird bei der Untersuchung schlechterdings festgestellt, dass Sicherheitslücken bestehen, kann das BSI vor dem Einsatz solcher IT-Produkte oder Systeme warnen. KRITIS-Betreiber dürfen diese dann nicht mehr verwenden.

Transparenz, auch gegenüber dem Verbraucher, wird – wie beim Datenschutz – also immer wichtiger. Hierzu gehört es auch, dass Hersteller von Produkten die Möglichkeit erhalten sollen, freiwillig ein IT-Sicherheitskennzeichen beim BSI beantragen zu können. Dieses beinhaltet eine Herstellererklärung und Informationen des BSI zu den Sicherheitseigenschaften. Das IT-Sicherheitskennzeichen muss körperlich mit dem Produkt oder dessen Umverpackung verbunden sein. Der Vorteil für den Hersteller: Das IT-Sicherheitskennzeichen darf auch für Werbung genutzt werden.

Hiervon zu unterscheiden ist die Vertrauenswürdigkeitserklärung von Herstellern von IT-Produkten, die zum Betrieb von KRITIS dienen und für diesen Zweck besonders entwickelt oder geändert werden, sog. KRITIS-Kernkomponenten. Hersteller solcher KRITIS-Kernkomponenten werden zukünftig verpflichtet, eine Vertrauenswürdigkeitserklärung abzugeben, welche sich auf die gesamte Lieferkette erstreckt. Anderenfalls dürfen ihre IT-Produkte nicht mehr bei KRITIS-Betreibern eingesetzt werden.

DB: Die Befugnisse des BSI sowie der Strafverfolgungs- und Sicherheitsbehörden sollen Ausgeweitet werden. Was ist hier geplant?

Gehrmann: Brisant ist vor allem, dass das BSI berechtigt werden soll, Maßnahmen zur Detektion und Auswertung von Schadprogrammen, Sicherheitslücken und anderen Sicherheitsrisiken in öffentlich erreichbaren IT-Systemen durchzuführen, wenn Tatsachen die Annahme rechtfertigen, dass diese ungeschützt sind und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sein können. Hierbei wird dem BSI zur Abwehr von Cyberangriffen oder zum Schließen von Sicherheitslücken beispielsweise ein offensives Eindringen in die IT-Systeme Dritter gestattet oder das BSI kann Providern anordnen, Datenverkehre zu blockieren oder umzuleiten, um Cyberangriffe abzuwehren.

Daneben sollen die Strafverfolgungs- und Sicherheitsbehörden mit effektiven Ermittlungsinstrumenten zur Bekämpfung der Cyberkriminalität ausgestattet werden. Beispielsweise sollen Sicherheitsbehörden befugt sein, virtuelle Identitäten anzunehmen, um künftig verdeckt unter der Identität eines Tatbeteiligten ermitteln zu können.

DB: Welche Auswirkungen hat das IT-Sicherheitsgesetz 2.0 für Unternehmen?

Gehrmann: Zukünftig sollen mehr Unternehmen vom IT-Sicherheitsgesetz 2.0 betroffen sein. So soll der Anwendungsbereich für KRITIS-Betreiber um den Sektor „Abfallentsorgung“ erweitert werden. Auch Infrastrukturen, die im besonderen öffentlichen Interesse stehen, wie die Verteidigungs- und Sicherheitsindustrie sowie die Bereiche Kultur und Medien, Chemie und Automobilherstellung sollen erfasst werden. Ergänzend soll das BSI berechtigt werden, in begründeten Einzelfällen Unternehmen, die bislang unter den Schwellenwerten zur Anwendung des IT-Sicherheitsgesetzes gemäß BSI-KritisVO liegen, die Pflichten des IT-Sicherheitsgesetzes aufzuerlegen.

Die betroffenen Unternehmen werden – soweit sie nicht bereits aufgrund anderer Regularien zu einem hohen IT-Sicherheitsstandard verpflichtet waren – erhebliche Investitionen tätigen müssen, um die gesetzlichen Anforderungen einhalten zu können. Nicht zu vergessen ist, dass das Sicherheitsniveau dem „Stand der Technik“ in der Branche entsprechen muss und sich stetig weiterentwickelt und steigt.

Zugleich erhöht sich für die betroffenen Unternehmen sowie für Hersteller von KRITIS-Kernkomponenten und anderen IT-Produkten das Haftungsrisiko. Denn zum einen wurden die Bußgeldtatbestände erweitert. Zum anderen wurden die drohenden Bußgeldsummen deutlich erhöht. Wie in der EU-Datenschutz-Grundverordnung sollen nun Bußgelder bis zu maximal 20 Mio. € oder bis zu 4% des gesamten, weltweiten Unternehmensumsatzes verhängt werden können, je nachdem, welcher Betrag höher ist. Wie beim Datenschutz erhofft sich der Gesetzgeber über dieses Instrument, Geschäftsführer und Vorstände dazu zu animieren, das Thema „Cyber Security“ ernst zu nehmen und hierin zu investieren. Zugleich soll bereits bei der Entwicklung von IT-Produkten – beim Datenschutz heißt es Privacy by Design und Default – die IT-Sicherheit berücksichtigt werden. Dies ist ebenfalls mit Kosten verbunden.

Frau Gehrmann – vielen Dank für das Interview!


Top