Thomas Köster Vor wenigen Wochen wurde das IT-Sicherheitsgesetz 2.0 beschlossen und verkündigt. Wesentliche Teile des Gesetzes treten Ende des Jahres in Kraft. Damit hat der Gesetzgeber die Anforderungen an die IT-Sicherheit weiter verschärft. In den nächsten Monaten werden konkretisierende Gesetze und Verordnungen erwartet, um die vielen unbestimmten Rechtsbegriffe genauer zu fassen. Wer ist betroffen und was muss nun beachtet werden?
Während das erste IT-Sicherheitsgesetz einen engen Fokus auf Betreiber sogenannter kritischer Infrastrukturen (KRITIS) gelegt hatte, zu denen beispielsweise die Betreiber von Telekommunikationsnetzen gehören, setzt die Novelle den mit der EU-Richtlinie zur Netz- und Informationssicherheit (NIS Directive) eingeschlagenen Weg fort und gilt somit für eine viel breitere Zielgruppe. Clouddienstleister sind seither ebenso betroffen, wie Betreiber wesentlicher Dienste. Die Bedeutung des Bundesamts für Sicherheit in der Informationstechnik (BSI) wird in den nächsten Monaten qualitativ und quantitativ erheblich steigen. Das BSI wird nicht nur mehr Personal aufbauen, sondern auch neue Kontroll- und Durchgriffsrechte erhalten. Demnächst werden sich zudem auch Unternehmen von “besonderem öffentlichen Interesse”1 mit den Anforderungen vertraut machen müssen.
Wer ist betroffen?
Zu den betroffenen Unternehmen zählen insbesondere Hersteller von Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen sowie von Rüstungsgütern, die unter die Beschränkungen der Außenwirtschaftsverordnung fallen. Die Unternehmen der Siedlungsabfallwirtschaft sind neu in den Katalog der kritischen Infrastrukturen aufgenommen worden. Sie lagern in nicht unerheblichen Mengen Gefahrstoffe? Auch hier gelten die neuen Bestimmungen. Zuletzt kommen solche Unternehmen hinzu, „die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören“1 sowie deren wichtigste Zulieferer. Sprich: Unternehmen, die bspw. über ihre Alleinstellung eine besondere Bedeutung für die Liefer- und Wertschöpfungskette des zugehörigen Konzerns haben.
5G-Diskussion und die unbestimmten Rechtsbegriffe
Die Diskussion um die Errichtung des 5G-Netzes in Deutschland und die darin verbauten Systeme haben zu einer Reihe von bisher unklaren Definitionen geführt: Das Gesetz setzt enge Grenzen für IT-Produkte, die als „kritische Komponenten“ eingestuft werden. Kritische Komponenten und deren Funktionen bedürfen einer Freigabe durch das Bundesinnenministerium (BMI) für den Einsatz in KRITIS. Doch bisher fehlt eine rechtssichere Definition solcher Komponenten, welche in den Konkretisierungen durch eine Novelle des BSI-Gesetzes folgen soll. Auch die Vorgaben für die neue Garantieerklärung von Herstellern kritischer Komponenten müssen vom BMI noch vorgelegt werden.
Die neuen Kompetenzen
Wenn Hersteller ihren Mitwirkungspflichten für die Sicherheit kritischer Komponenten nicht nachkommen, kann das BMI auch noch nach deren Freigabe „den weiteren Betrieb einer kritischen Komponente gegenüber dem Betreiber der kritischen Infrastruktur im Einvernehmen mit den betroffenen Ressorts untersagen oder Anordnungen erlassen, wenn der Hersteller der kritischen Komponente sich als nicht vertrauenswürdig erwiesen hat“1. Die Garantieerklärung der Hersteller für diese Komponenten ist nicht zu verwechseln mit dem neu geschaffenen freiwilligem IT-Sicherheitskennzeichen, das beim BSI verantwortet wird. Ferner wird das BSI mehr Kontrolle über die Kommunikationstechnik des Bundes erhalten, als Melde- und Auskunftsstelle für Sicherheitslücken etabliert werden und somit eine neue Zentralstellung in der behördlichen IT-Sicherheitsarchitektur einnehmen. Das BSI soll demnächst auch verstärkt selbst aktiv Sicherheitslücken aufspüren. Dazu werden ihm Portscans „an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen“1 ebenso erlaubt, wie das Aufsetzen von „Systemen und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden“1, sogenannter Honeypots. Zuletzt kann das BSI selbst kritische Infrastrukturen identifizieren, womit die betroffenen Unternehmen offenlegungspflichtig werden.
Was sollten Sie beachten?
Unternehmen und Behörden müssen Systeme zur Angriffserkennung und Angriffsbewältigung etablieren und pflegen. Protokolldaten und Log-Files müssen in verarbeitbarer Form vorgehalten werden und eine Kontaktstelle für sicherheitsrelevante Ereignisse muss beim BSI registriert werden und erreichbar sein. Weiterhin bleibt es dabei, dass die Pflicht zu einer Selbsterklärung gegenüber dem BSI, inklusive der einschlägigen Zertifizierungen, Audits, Prüfungen, dem Stand der Technik und Maßnahmen zum Schutz besonders schützenswerter Systeme besteht. Generell sind Störungen zu melden, die tatsächlich zu einem Ausfall geführt haben oder potenziell hätten führen können. Die zugehörigen Sanktionsmittel wurden im IT-Sicherheitsgesetz nicht nur über die neuen Durchgriffsrechte, sondern vor allem auch durch eine Erhöhung der möglichen Geldbußen empfindlich verstärkt.
Zunächst gilt zu prüfen, ob Sie durch den speziellen Regelungskreis betroffen sind. Für Bundesbehörden, Unternehmen des Bundes und IT-Dienstleister des Bundes ist jetzt schon klar, weil Sie in der Gesetzesbegründung ausdrücklich genannt werden. Für sie gelten Mindeststandards der IT-Sicherheit, die sich in der Regeln nach aktuellen technischen Standards definieren. Über den weiteren Kreis der betroffenen Unternehmen und Einrichtungen wird das weitere regulative Verfahren mehr Aufschluss liefern. Aber auch unabhängig davon setzt das Gesetz neue Standards. Außerdem sind weitere Verschärfungen durch die bereits gestartete Novelle der EU-Richtlinie für Cybersicherheit (NIS-2) zu erwarten.
Quellen:
[1] Bundesrat (2021): „Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“, Gesetzentwurf der Bundesregierung, Drucksache 16/21, Berlin.