Home   >   News   >   Kurz-Information zum Referentenentwurf des IT-SiG 2.0 vom 07.05.2020
Kurz-Information zum Referentenentwurf des IT-SiG 2.0 vom 07.05.2020

Mit Bearbeitungsstand vom 07.05.2020 ist ein neuer Referentenentwurf zum IT-Sicherheitsgesetz (IT-SiG) 2.0 öffentlich geworden. Dieser Referentenentwurf zum IT-SiG 2.0 beinhaltet viele Dinge, die bereits mit dem Referentenentwurf vom 27.03.2019 publik geworden sind. Andererseits sind auch einige Punkte weggefallen, so z.B. die ursprünglich geplante Verschärfung des Cyber-Strafrechts.

Nach einer ersten Sichtung des Referentenentwurfs möchten wir mit dieser Kurz-Information einen Überblick über einige, aus unserer Sicht wesentlichen Neuerungen des IT-SiG geben.

1. Aufgaben und Befugnisse des BSI sollen wesentlich erweitert werden. Dazu zählen u.a.:

  • Verbraucherschutz
  • Schutz der Bundesverwaltung
  • Empfehlungen für Identifizierungs- und Authentisierungsverfahren
  • Entwicklung und Veröffentlichung eines Stands der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte

Das IT-SiG 2.0 sieht verschiedene Möglichkeiten vor, wie das BSI über Rechtverordnungen die Wirksamkeit des IT-SiG konkretisieren und ausweiten kann.

2. Der Geltungsbereich des IT-SiG wird auf weitere Sektoren und Branchen ausgedehnt. Konkret werden die Entsorgung und die Rüstungsindustrie genannt. Darüber hinaus kann das BSI auch weitere „Unternehmen im besonderen öffentlichen Interesse“ einbeziehen. Die Festlegung erfolgt per Rechtsverordnung, was einen hohen Gestaltungsspielraum des BSI ermöglicht.

3. Das BSI erhält weitere Befugnisse, Produkte auf IT-Sicherheit zu untersuchen. Werden Auskunftsverlangen des BSI von entsprechenden Herstellern nicht beantwortet, so können Sanktionen greifen. Darüber hinaus darf das BSI über solche Vorgänge die Öffentlichkeit informieren.

4. Das BSI darf Maßnahmen zur Detektion von Sicherheitslücken bei öffentlich erreichbaren IT-Systemen durchführen. Das BSI darf u.a. auch Honeypots betreiben.

5. Unternehmen, die unter das IT-SiG 2.0 fallen, müssen zukünftig „Systeme zur Angriffserkennung“ nach Stand der Technik einsetzen (z.B. Security Operations Center – SOC). Wie solche Systeme auszusehen haben, soll in einer entsprechenden Richtlinie des BSI geregelt werden. Außerdem müssen KRITIS-Unternehmen mit dem Prüfbericht (Prüfung nach §8a (3) BSIG) dem BSI auch eine Liste von IT-Systemen übermitteln, die für die Funktionsfähigkeit der kDL von Bedeutung sind.

6. KRITIS-Betreiber müssen ihre KRITIS-Anlagen beim BSI registrieren. Falls dies nicht geschieht, kann das BSI solche Anlagen ggf. selbst registrieren.

7. Unternehmen im besonderen öffentlichen Interesse werden in das Meldewesen des IT-SiG einbezogen. Darüber hinaus haben diese Unternehmen alle zwei Jahre dem BSI ein IT-Sicherheitskonzept vorzulegen.

8. Es wird ein freiwilliges IT-Sicherheitskennzeichen eingeführt, das aus einer Hersteller-erklärung und einer BSI-Sicherheitsinformation besteht. Die BSI-Sicherheitsinformation ist dynamisch und soll jeweils aktuell auf der BSI-Webseite abrufbar sein. Das BSI spricht hier von einem „elektronischen Beipackzettel“. Das BSI erhält entsprechende Kontrollrechte. Die weitere Ausgestaltung des IT-Sicherheitskennzeichens erfolgt per Rechtsverordnung.

9. Das BSI kann den Einsatz sogenannter „kritischer Komponenten“ bei KRITIS-Unternehmen untersagen, wenn der entsprechende Hersteller als nicht vertrauenswürdig gilt. Der Einsatz solcher Komponenten ist anzeigepflichtig, und außerdem müssen Hersteller solcher Komponenten eine sogenannte „Vertrauenswürdigkeitserklärung“ abgeben. Um die Vertrauenswürdigkeit aufrecht zu erhalten, müssen diese Hersteller verschiedenen Pflichten nachkommen, u.a. die Durchführung von Sicherheitsüberprüfungen oder die Meldung und Beseitigung von Schwachstellen. Das BSI erhält dazu entsprechende Prüf- und Kontrollrechte.

10. Die Bußgeldvorschriften sollen wesentlich erweitert werden. Dies umfasst einerseits eine ausführliche und erweiterte Auflistung von Tatbeständen. Andererseits werden die Bußgelder drastisch erhöht und auf das Niveau der EU-DSGVO angepasst. Dann sind Bußgelder in einer Höhe von bis zu 20 Mio. € oder 4% des gesamten, weltweiten jährlichen Jahresumsatzes eines Unternehmens möglich.

11. Weitere Änderungen betreffen das Telekommunikationsgesetz und das Telemediengesetz. Hier werden u.a. Auskunfts- und Meldepflichten bis hin zu zweijährigen Überprüfungen von Providern z.B. durch eine qualifizierte unabhängige Stelle geregelt. Darüber hinaus erhält das BSI entsprechende Weisungsbefugnisse.

Es wird damit gerechnet, dass der vorliegende Referentenentwurf demnächst an die Branchenverbände versendet wird und dann ggf. eine Anhörung folgt. Mit wesentlichen Änderungen würden wir allerdings nicht rechnen. Das Gesetzgebungsverfahren wird vermutlich in der zweiten Jahreshälfte folgen. Betroffene Unternehmen werden sich dann zeitnah um die Umsetzung der Anforderungen aus diesem IT-SiG 2.0 kümmern müssen.

Zur Newsübersicht