Am 16.12.2020 ist die Kabinettsfassung des IT-SiG 2.0 vom Bundeskabinett verabschiedet geworden. Schwerpunkte sind – wie bereits aus früheren Entwürfen bekannt – weiterhin, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Verbraucherschutz als Aufgabe übernimmt und ein IT-Sicherheitskennzeichen einführen wird, sowie die Übernahme weitergehender Aufgaben im Hinblick auf die Gewährleistung der IT-Sicherheit bei Bundesbehörden.
Darüber hinaus enthält das IT-SiG 2.0 weitere, wesentliche Neuerungen:
BSI als nationale Behörde für Cybersicherheitszertifizierungen
Das BSI wird gemäß Cyber Security Act der Europäischen Union als nationale Behörde für die Cybersicherheitszertifizierung festgelegt. Das BSI erhält damit weitgehende Befugnisse im Hinblick auf Cybersicherheitszertifizierungen in Deutschland. Sie genehmigt und überwacht beispielsweise Konformitätsbewertungsstellen und kann bei Bedarf entsprechende Zertifizierungen widerrufen.
Auflagen für den Einsatz „kritischer Komponenten“
KRITIS-Betreiber müssen zukünftig den Einsatz sogenannter „kritischer Komponenten“ bereits vor der Nutzung gegenüber dem BMI anzeigen. Die Hersteller dieser kritischen Komponenten müssen eine Vertrauenswürdigkeitserklärung abgeben, deren Einhaltung vom BSI überwacht wird. Mit dem neuen Entwurf des IT-SiG 2.0 kann das BMI unter bestimmten Voraussetzungen den Einsatz dieser Komponenten auch dann untersagen, wenn die Vertrauenswürdigkeit des Herstellers nicht infrage gestellt wird.
Erfassung von Unternehmen im öffentlichen Interesse
Neben den Entsorgungsunternehmen als neuen KRITIS-Sektor, die als „Siedlungsabfallentsorgung“ präzisiert werden, fallen jetzt auch „Unternehmen im öffentlichen Interesse“ unter das IT-SiG 2.0. Dazu zählen beispielsweise Rüstungsunternehmen und die aufgrund ihrer volkswirtschaftlichen Bedeutung größten Unternehmen in Deutschland. Wer dann genau die Anforderungen des IT-SiG erfüllen muss, soll in einer Rechtsverordnung geregelt werden. Neben der Einrichtung einer Meldestelle zum BSI fallen die Pflichten für diese Unternehmen etwas schwächer aus als für KRITIS-Unternehmen.
Systeme zur Angriffserkennung
Spätestens ein Jahr nach Inkrafttreten des IT-SiG 2.0 müssen KRITIS-Unternehmen „Systeme zur Angriffserkennung“ einsetzen und dies gegenüber dem BSI nachweisen.
Neue Vorschriften für Bußgelder
Nach den neuen Bußgeldvorschriften beträgt das maximale Bußgeld für die Nichteinhaltung von Auflagen 2 Millionen Euro. Dieses kann unter bestimmten Umständen jedoch auf bis zu 20 Millionen Euro angehoben werden. Als Grund für die Ausgestaltung dieser Bußgelder wird eine Harmonisierung mit anderen Normen, insbesondere auf EU-Ebene, angegeben.
Änderung des EnWG
Zum ersten Mal ändert ein Entwurf des IT-SiG 2.0 auch das Energiewirtschaftsgesetz (EnWG). So wird in den neuen Absätzen 1d bis 1f §11 EnWG der Einsatz von Systemen zur Angriffserkennung für Energieversorger und -erzeuger gefordert. Die Umsetzungsfrist beträgt hier ebenfalls ein Jahr. Auch hier ist ein Nachweis an das BSI erforderlich, erstmalig nach einem Jahr.
Es ist davon auszugehen, dass das neue IT-SiG 2.0 im Laufe des ersten Halbjahres 2021 in Kraft treten wird. Am 29.01.2021 steht die erste Lesung auf der Tagesordnung des Bundestags.