Home   >   News   >   Neuer Referentenentwurf des IT-SiG 2.0 bringt einige Änderungen
Neuer Referentenentwurf des IT-SiG 2.0 bringt einige Änderungen

Ein neuer Referentenentwurf des IT-SiG 2.0 (datiert vom 19.11.2020) ist publik geworden. Schwerpunkte sind – wie bereits aus früheren Entwürfen bekannt – weiterhin, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Verbraucherschutz als Aufgabe übernimmt und ein IT-Sicherheitskennzeichen einführen wird, sowie die Übernahme weitergehender Aufgaben im Hinblick auf die Gewährleistung der IT-Sicherheit bei Bundesbehörden.

Allerdings bringt der Entwurf auch einige, wesentliche Neuerungen:

BSI als nationale Behörde für Cybersicherheitszertifizierungen

Das BSI wird gemäß Cyber Security Act der Europäischen Union als nationale Behörde für die Cybersicherheitszertifizierung festgelegt. Das BSI erhält damit weitgehende Befugnisse im Hinblick auf Cybersicherheitszertifizierungen in Deutschland. Sie genehmigt und überwacht beispielsweise Konformitätsbewertungsstellen und kann bei Bedarf entsprechende Zertifizierungen widerrufen.

Auflagen für den Einsatz „kritischer Komponenten“

KRITIS-Betreiber müssen zukünftig den Einsatz sogenannter „kritischer Komponenten“ bereits vor der Nutzung gegenüber dem BMI anzeigen. Die Hersteller dieser kritischen Komponenten müssen eine Vertrauenswürdigkeitserklärung abgeben, deren Einhaltung vom BSI überwacht wird. Mit dem neuen Entwurf des IT-SiG 2.0 kann das BMI unter bestimmten Voraussetzungen den Einsatz dieser Komponenten auch dann untersagen, wenn die Vertrauenswürdigkeit des Herstellers nicht infrage gestellt wird.

Erfassung von Unternehmen im öffentlichen Interesse

Neben den Entsorgungsunternehmen als neuen KRITIS-Sektor, die als „Siedlungsabfallentsorgung“ präzisiert werden, fallen jetzt auch „Unternehmen im öffentlichen Interesse“ unter das IT-SiG 2.0. Dazu zählen beispielsweise Rüstungsunternehmen und die aufgrund ihrer volkswirtschaftlichen Bedeutung größten Unternehmen in Deutschland. Wer dann genau die Anforderungen des IT-SiG erfüllen muss, soll in einer Rechtsverordnung geregelt werden. Neben der Einrichtung einer Meldestelle zum BSI fallen die Pflichten für diese Unternehmen etwas schwächer aus als für KRITIS-Unternehmen.

Systeme zur Angriffserkennung

Spätestens ein Jahr nach Inkrafttreten des IT-SiG 2.0 müssen KRITIS-Unternehmen „Systeme zur Angriffserkennung“ einsetzen und dies gegenüber dem BSI nachweisen. Die von diesen Systemen gesammelten Daten müssen vier Jahre gespeichert werden, was aufgrund der immensen Datenmenge für viele Unternehmen vermutlich mit hohem Aufwand und entsprechenden Kosten verbunden sein wird.

Neue Vorschriften für Bußgelder

Nach den neuen Bußgeldvorschriften beträgt das maximale Bußgeld für die Nichteinhaltung von Auflagen 2 Millionen Euro. Dieses kann unter bestimmten Umständen jedoch auf bis zu 20 Millionen Euro angehoben werden. Als Grund für die Ausgestaltung dieser Bußgelder wird eine Harmonisierung mit anderen Normen, insbesondere auf EU-Ebene, angegeben.

Änderung des EnWG

Zum ersten Mal ändert ein Entwurf des IT-SiG 2.0 auch das Energiewirtschaftsgesetz (EnWG). So wird in den neuen Absätzen 1d bis 1f §11 EnWG der Einsatz von Systemen zur Angriffserkennung für Energieversorger und -erzeuger gefordert. Die Umsetzungsfrist beträgt hier ebenfalls ein Jahr. Neuerdings ist auch ein Nachweis an das BSI erforderlich, erstmalig nach einem Jahr.

 

Gemäß Aussagen des BMI soll der Gesetzentwurf noch in diesem Jahr dem Kabinett zur Abstimmung vorgelegt werden. Sollte es danach auf den parlamentarischen Weg gebracht werden, könnte das neue IT-SiG 2.0 im ersten Quartal 2021 in Kraft treten.

Zur Newsübersicht