Nachdem das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) Ende April vom Bundestag verabschiedet und im Mai vom Bundesrat gebilligt wurde, ist es am 28.05.2021 in Kraft getreten. Schwerpunkte sind – wie bereits aus früheren Entwürfen bekannt – weiterhin, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Verbraucherschutz als Aufgabe übernimmt und ein IT-Sicherheitskennzeichen einführen wird, sowie die Übernahme weitergehender Aufgaben im Hinblick auf die Gewährleistung der IT-Sicherheit bei Bundesbehörden.
Darüber hinaus enthält das IT-SiG 2.0 weitere, wesentliche Neuerungen:
BSI als nationale Behörde für Cybersicherheitszertifizierungen
Das BSI wird gemäß Cyber Security Act der Europäischen Union als nationale Behörde für die Cybersicherheitszertifizierung festgelegt. Das BSI erhält damit weitgehende Befugnisse im Hinblick auf Cybersicherheitszertifizierungen in Deutschland. Sie genehmigt und überwacht beispielsweise Konformitätsbewertungsstellen und kann bei Bedarf entsprechende Zertifizierungen widerrufen.
Auflagen für den Einsatz „kritischer Komponenten“
KRITIS-Betreiber müssen zukünftig den Einsatz sogenannter „kritischer Komponenten“ bereits vor der Nutzung gegenüber dem BMI anzeigen. Die Hersteller dieser kritischen Komponenten müssen eine Vertrauenswürdigkeitserklärung abgeben, deren Einhaltung vom BSI überwacht wird. Das BMI kann unter bestimmten Voraussetzungen, insbesondere bei Verstößen gegen die Vertrauenswürdigkeitserklärung, den Einsatz dieser Komponenten untersagen. Bei groben Verstößen kann sogar der Einsatz aller kritischer Komponenten eines Herstellers untersagt werden.
Erfassung von Unternehmen im öffentlichen Interesse
Neben der Siedlungsabfallentsorgung als neuem KRITIS-Sektor fallen jetzt auch „Unternehmen im öffentlichen Interesse“ unter das IT-SiG 2.0. Dazu zählen beispielsweise Rüstungsunternehmen und die aufgrund ihrer volkswirtschaftlichen Bedeutung größten Unternehmen in Deutschland. Wer dann genau die Anforderungen des IT-SiG erfüllen muss, soll in einer Rechtsverordnung geregelt werden. Neben der Einrichtung einer Meldestelle zum BSI muss ein IT-Sicherheitsniveau nach Stand der Technik per Eigenerklärung gegenüber dem BSI nachgewiesen werden.
Systeme zur Angriffserkennung
Spätestens bis zum 01.05.2023 müssen KRITIS-Unternehmen „Systeme zur Angriffserkennung“ einsetzen und dies gegenüber dem BSI nachweisen.
Neue Vorschriften für Bußgelder
Die neuen Bußgeldvorschriften orientieren sich an Ordnungswidrigkeiten und können bis zu 2 Millionen Euro betragen. Unter bestimmten Umständen können Bußgelder jedoch auf bis zu 20 Millionen Euro angehoben werden. Als Grund für die Ausgestaltung der Bußgelder wird eine Harmonisierung mit anderen Normen, insbesondere auf EU-Ebene, angegeben.
Änderung des EnWG
Das IT-SiG 2.0 ergänzt auch das Energiewirtschaftsgesetz (EnWG). So wird in den neuen Absätzen 1d bis 1f des §11 EnWG der Einsatz von Systemen zur Angriffserkennung für Energieversorger und -erzeuger gefordert. Die Umsetzungsfrist muss ebenfalls bis zum 01.05.2023 erfolgen. Auch hier ist ein entsprechender Nachweis an das BSI erforderlich.
Neue BSI-KritisV
Darüber hinaus ist Ende April 2021 ein Entwurf einer Änderung der BSI-Kritis-Verordnung veröffentlicht und eine Verbändeanhörung dazu durchgeführt worden. Neben einer Vielzahl von allgemeinen Begriffsanpassungen und -ergänzungen wurden Schwellenwerte bzw. deren Definition insbesondere bei Energieerzeugern sowie im Sektor Transport und Verkehr vorgenommen. Dadurch sollen über 200 neue KRITIS-Betreiber unter das IT-SiG fallen. Diese neue BSI-KritisV soll zum 01.01.2022 in Kraft treten.
Schwellenwerte für den neuen KRITIS-Sektor Siedlungsabfallentsorgung wurden allerdings noch nicht festgelegt. Dies soll in Kürze folgen. Mit einer weiteren, entsprechenden Änderung der BSI-KritisV ist bis voraussichtlich Ende 2021 zu rechnen.