de en
Nexia Ebner Stolz

Wirtschaftsprüfung

IT- Sicherheitsgesetz 2.0 - Durchbruch für Deutschlands Cybersicherheit?

Be­reits im Frühjahr 2019 wurde der er­ste Re­fe­ren­ten­ent­wurf zum IT-Si­cher­heits­ge­setz (IT-SiG) 2.0 veröff­ent­licht, um das aus dem Jahr 2015 stam­mende IT-SiG um­fang­reich an­zu­pas­sen. Zwei Jahre später wurde es zum 27.05.2021 im Bun­des­ge­setz­blatt veröff­ent­licht und trat zum 28.05.2021 in Kraft.

Was be­deu­tet diese An­pas­sung nun? Wie das IT-SiG 1.0 be­dingt auch die neue Ver­sion 2.0 als Ar­ti­kel­ge­setz weit­rei­chende Ände­run­gen in ei­ner gan­zen Reihe von Ein­zel­ge­set­zen (ne­ben dem BSI-Ge­setz - BSIG - u. a. das En­er­gie­wirt­schafts­ge­setz und das Te­le­kom­mu­ni­ka­ti­ons­ge­setz).

Die ein­zel­nen we­sent­li­chen Ände­run­gen bzw. Neue­run­gen sind:

  • Erhöhung der Be­fug­nisse des Bun­des­am­tes für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI)
  • Er­wei­te­rung der be­trof­fe­nen Un­ter­neh­men als KRI­TIS-Be­trei­ber
  • Zusätz­li­che Pflich­ten für KRI­TIS-Be­trei­ber
  • Schutz der Bürger
  • Neu­fas­sung der Bußgeld­vor­schrift

Erhöhung der Befugnisse des BSI

Ein Kern­as­pekt be­trifft die Kom­pe­ten­zen des BSI, die er­heb­lich aus­ge­wei­tet wer­den. Das BSI ist zum einen dazu be­rech­tigt, sog. Port­scans gemäß § 7b Abs. 1 BSIG durch­zuführen. Durch Port­scans können Si­cher­heitslücken, z. B. ver­al­tete Soft­ware oder of­fene Ports, in den IT-Sys­te­men iden­ti­fi­ziert wer­den. Durch die neue Ge­setz­ge­bung soll das BSI die Möglich­keit er­hal­ten, sol­che Schwach­stel­len zu iden­ti­fi­zie­ren, das be­trof­fene Un­ter­neh­men zu in­for­mie­ren und zu über­wa­chen, so dass die Si­cher­heitslücken zeit­nah ge­schlos­sen wer­den. Zum an­de­ren wird das BSI zum Ein­satz von Ho­ney­pots i. S. d. § 7b Abs. 4 BSIG be­rech­tigt, d. h. zum Ein­satz von Sys­te­men und Ver­fah­ren zur Ana­lyse von Schad­pro­gram­men so­wie An­griffs­me­tho­den.

Gemäß § 5 Abs. 2 BSIG war das BSI be­reits in der Ver­gan­gen­heit zur Er­he­bung und Aus­wer­tung von Pro­to­koll­da­ten, die beim Be­trieb von Kom­mu­ni­ka­ti­ons­tech­nik des Bun­des an­fal­len (Pro­to­koll­da­ten i. S. d. § 5 Abs. 1 Nr. 1 BSIG), be­rech­tigt. Der Zeit­raum für die Da­ten­spei­che­rung wurde von drei auf zwölf Mo­nate erhöht.

Zu­dem er­folgte die Auf­nahme von Pro­to­kol­lie­rungs­da­ten in das BSIG. Gemäß § 2 Abs. 8a BSIG ver­steht man un­ter Pro­to­kol­lie­rungs­da­ten Auf­zeich­nun­gen über tech­ni­sche Er­eig­nisse oder Zustände in­ner­halb in­for­ma­ti­ons­tech­ni­scher Sys­teme. Laut § 5a BSIG ist das BSI bei Pro­to­kol­lie­rungs­da­ten, ana­log zu den Pro­to­koll­da­ten, zur Ver­ar­bei­tung be­rech­tigt, so­fern dies zur Er­ken­nung, Ein­gren­zung oder Be­sei­ti­gung von Störun­gen, Feh­lern oder Si­cher­heits­vorfällen not­wen­dig ist.

Durch den neu ein­geführ­ten § 7a BSIG, in dem die Un­ter­su­chung der Si­cher­heit in der In­for­ma­ti­ons­tech­nik ge­re­gelt ist, darf das BSI nun jeg­li­che, be­reits auf dem Markt be­reit­ge­stellte wie auch dafür vor­ge­se­hene in­for­ma­ti­ons­tech­ni­sche Pro­dukte und Sys­teme un­ter­su­chen. Her­stel­ler die­ser Pro­dukte und Sys­teme sind zur Aus­kunft ge­genüber dem BSI ver­pflich­tet, dazu gehört insb. die Aus­kunft über tech­ni­sche De­tails. Kommt ein Her­stel­ler die­ser Pflicht nicht nach, be­geht er eine Ord­nungs­wid­rig­keit i. S. d. § 14 Abs. 2 BSIG, wel­che ein Bußgeld nach sich zie­hen kann.

Zusätz­lich wer­den die Kon­troll- und Prüfbe­fug­nisse zum Schutz der Re­gie­rungs­netze aus­ge­baut.

Was als These auf­ge­wor­fen wurde, scheint sich nun zu bestäti­gen: Au­gen­schein­lich ent­wi­ckelt sich der BSI, ana­log zu der Bun­des­an­stalt für Fi­nanz­dienst­leis­tungs­auf­sicht (Ba­Fin) im Be­reich des Fi­nanz­we­sens, zu ei­ner Auf­sichts­behörde, je­doch nur spe­zia­li­siert auf die IT-Si­cher­heit.

Erweiterung der betroffenen Unternehmen als KRITIS-Betreiber - Ausweitung auf weitere Teile der Wirtschaft

Im Zuge des IT-SiG 2.0 wird der An­wen­dungs­be­reich des BSIG um sog. Un­ter­neh­men „im öff­ent­li­chen In­ter­esse“ er­wei­tert. Dies sind Un­ter­neh­men, die von „er­heb­li­cher volks­wirt­schaft­li­cher Be­deu­tung für die Bun­des­re­pu­blik Deutsch­land sind oder die für sol­che Un­ter­neh­men als Zu­lie­fe­rer we­gen ih­rer Al­lein­stel­lungs­merk­male von we­sent­li­cher Be­deu­tung sind“ (vgl. § 2 Abs. 14 Satz 1 Nr. 2 BSIG).

Dazu gehören gemäß § 2 Abs. 14 BSIG drei Fall­grup­pen:

  • Un­ter­neh­men, die Güter nach § 60 Abs. 1 Nr. 1 und 3 der Außen­wirt­schafts­ver­ord­nung her­stel­len oder ent­wi­ckeln. Das sind insb. Un­ter­neh­men aus der Rüstungs-, Raum­fahrt- und IT-Si­cher­heits­in­dus­trie.
  • Un­ter­neh­men, die ge­mes­sen an ih­rer inländi­schen Wert­schöpfung zu den größten Un­ter­neh­men des Lan­des gehören und da­her von er­heb­li­cher Be­deu­tung für Deutsch­land sind. In ei­ner künf­ti­gen Rechts­ver­ord­nung soll fest­ge­legt wer­den, wel­che Kenn­zah­len maßgeb­lich für die Fest­le­gung sind, ob ein Un­ter­neh­men von er­heb­li­cher Be­deu­tung für das Land ist.
  • Be­trei­ber ei­nes Be­triebs­be­reichs der oberen Klasse im Sinne der Störfall-Ver­ord­nung oder ei­nes die­sen gemäß § 1 Abs. 2 der Störfall-Ver­ord­nung gleich­ge­stell­ten Be­reichs, hier­un­ter fal­len insb. Un­ter­neh­men aus der Che­mie-In­dus­trie. 

Un­ter­neh­men mit be­son­de­ren öff­ent­li­chen In­ter­esse wer­den KRI­TIS-Be­trei­bern zwar nicht gleich­ge­stellt, al­ler­dings ha­ben sie nun erhöhte An­for­de­run­gen gemäß § 8f BSIG zu erfüllen. Dar­un­ter fällt insb. die Selbst­erklärung zur IT-Si­cher­heit gemäß § 8f Abs. 1 BSIG. Diese muss von den oben ge­nann­ten ers­ten bei­den Un­ter­neh­mens­grup­pen min­des­tens alle zwei Jahre vor­ge­legt wer­den. Aus dem IT-Si­cher­heits­kon­zept muss her­vor­ge­hen, wel­che Zer­ti­fi­zie­run­gen, sons­ti­gen Si­cher­heits­au­dits oder Prüfun­gen im Be­reich der IT-Si­cher­heit in den letz­ten zwei Jah­ren durch­geführt wur­den. Ergänzend dazu muss erklärt wer­den, wie der Schutz be­son­ders schützens­wer­ter IT-Sys­teme, Kom­po­nen­ten und Pro­zesse si­cher­ge­stellt wird.

Zu­dem ha­ben Un­ter­neh­men der ers­ten bei­den Fall­grup­pen bei Störun­gen eine un­verzügli­che Mel­dung gemäß § 8 Abs. 7 BSIG an das BSI vor­zu­neh­men. Eine ent­spre­chende Mel­de­pflicht gilt eben­falls für Un­ter­neh­men der Che­mie-In­dus­trie, al­ler­dings gilt hier eine Be­son­der­heit, denn Störun­gen können hier in Ge­fah­ren für die öff­ent­li­che Si­cher­heit und Ord­nung re­sul­tie­ren. Ein ent­spre­chen­der Mel­de­weg ist zu de­fi­nie­ren.

Durch die Aus­wei­tung des An­wen­dungs­be­reichs, trifft die Re­gu­lie­rung nun alle Un­ter­neh­men ab ei­ner be­stimm­ten Be­deu­tung für das All­ge­mein­wohl. Dazu zählen eben­falls Un­ter­neh­men, die kei­nem der in § 2 Abs. 10 BSIG auf­gezähl­ten Sek­to­ren an­gehören. Insb. jene soll­ten prüfen, ob sich aus der In­kraft­set­zung nun Erfüllungs­pflich­ten er­ge­ben.

Darüber hin­aus wer­den die KRI­TIS um den Sek­tor „Sied­lungs­ab­fall­ent­sor­gung“ (§ 2 Abs. 10 BSIG) er­wei­tert, wo­durch nun u. a. Ent­sor­ger KRI­TIS sind (Dienst­leis­tung Ent­sor­gung von Sied­lungs­abfällen mit Samm­lung, Be­sei­ti­gung und Ver­wer­tung).

Die ge­genwärtig de­fi­nier­ten Schwel­len­werte wer­den ge­senkt, so dass mehr Un­ter­neh­men als kri­ti­sche In­fra­struk­tur ein­ge­stuft wer­den. Es wird da­von aus­ge­gan­gen, dass die An­zahl der KRI­TIS-Un­ter­neh­men um 15 bis 20 % stei­gen wird.

Ana­log des IT-SiG 1.0 wird die Ver­ord­nung zur Be­stim­mung kri­ti­scher In­fra­struk­tu­ren nach dem BSI-Ge­setz (BSI-Kri­tisV) no­vel­liert, in wel­chem die ex­ak­ten Schwel­len­werte de­fi­niert wer­den. Noch in 2020 wurde ein Ent­wurf der BSI-Kri­tisV veröff­ent­licht.

Zusätzliche Pflichten für KRITIS-Betreiber

Be­trei­ber kri­ti­scher In­fra­struk­tu­ren sind ver­pflich­tet, sich un­mit­tel­bar beim BSI zu re­gis­trie­ren (vgl. § 8b Abs. 3 Satz 1 BSIG) und müssen ab dem 01.05.2023 ganz­heit­li­che „Sys­teme zur An­griffs­er­ken­nung“ nut­zen (§ 8a Abs. 1a BSIG). Sol­che ganz­heit­li­chen Sys­teme sind da­bei so de­fi­niert, dass sie „ge­eig­nete Pa­ra­me­ter und Merk­male aus dem lau­fen­den Be­trieb kon­ti­nu­ier­lich und au­to­ma­ti­sch er­fas­sen und aus­wer­ten“ müssen.

Darüber hin­aus gab es bis­her nur den Be­griff der Kri­ti­schen In­fra­struk­tu­ren (KRI­TIS) im BSIG, nun auch den der Kri­ti­schen Kom­po­nen­ten. Hin­ter sog. Kri­ti­schen Kom­po­nen­ten ver­ber­gen sich gemäß § 2 Abs. 13 BSIG IT-Pro­dukte, die in Kri­ti­schen In­fra­struk­tu­ren ein­ge­setzt wer­den und von ho­her Be­deu­tung für das Funk­tio­nie­ren des Ge­mein­we­sens sind, da auf­tre­tende Störun­gen er­heb­li­chen Ein­fluss auf die Kri­ti­sche In­fra­struk­tur selbst oder auch auf die öff­ent­li­che Si­cher­heit ha­ben können. Ebenso fal­len dar­un­ter IT-Pro­dukte, die kraft Ge­set­zes als Kri­ti­sche Kom­po­nente de­fi­niert wer­den.

Im ers­ten Schritt be­steht eine Mel­de­pflicht, wenn sich Kri­ti­sche Kom­po­nen­ten im Ein­satz be­fin­den. Be­nannte Kom­po­nen­ten dürfen nur noch zum Ein­satz kom­men, so­fern eine ent­spre­chende Ga­ran­tie­erklärung des Her­stel­lers ab­ge­ge­ben wurde, in der er seine Ver­trau­enswürdig­keit un­ter Be­weis stellt. Darin an­zu­ge­ben ist, ob und wie si­cher­ge­stellt wird, dass die Kri­ti­sche Kom­po­nente frei von Ei­gen­schaf­ten ist, die missbräuch­lich auf die Si­cher­heit, In­te­grität, Verfügbar­keit und Funk­ti­onsfähig­keit der Kri­ti­schen In­fra­struk­tur ein­wir­ken könn­ten. Da­bei wird vor al­lem auf Sa­bo­tage, Spio­nage oder Ter­ro­ris­mus ab­ge­stellt. Im nächs­ten Schritt hat das BSI die Möglich­keit, den Ein­satz ein­ge­setz­ter kri­ti­scher Kom­po­nen­ten zu un­ter­sa­gen. Hierfür müssen al­ler­dings öff­ent­li­che In­ter­es­sen ge­gen be­sag­ten Ein­satz spre­chen. Diese Klau­sel wird auch als „Lex Hua­wei“ be­zeich­net.

Schutz der Bürger

Ver­brau­cher­schutz wurde neu im BSIG als Auf­gabe des BSI ver­an­kert. Den Kern­punkt bil­det da­bei das frei­wil­lige IT-Si­cher­heits­kenn­zei­chen gemäß § 9c BSIG. Ziel da­bei ist es, eine verständ­li­che, trans­pa­rente und ein­heit­li­che Dar­stel­lung von Ver­brau­cher­pro­duk­ten und IT-Dienst­leis­tun­gen zu gewähr­leis­ten. Das IT-Si­cher­heits­kenn­zei­chen be­steht aus der Her­stel­ler­erklärung und der Si­cher­heits­erklärung des BSI. In der Her­stel­ler­erklärung ga­ran­tiert der Her­stel­ler dafür, dass das Pro­dukt be­stimmte IT-Si­cher­heits­an­for­de­run­gen erfüllt.

Bußgeldvorschriften

Die Re­ge­lung zu den Bußgeld­vor­schrif­ten be­fin­det sich wei­ter­hin in § 14 BSIG. Es er­folgte al­ler­dings eine kom­plette Über­ar­bei­tung des auf­geführ­ten Ka­ta­logs, wo­bei Tat­bestände ergänzt und die Bußgelder deut­lich erhöht wur­den. Bis­lang wa­ren nicht alle Pflich­ten, die laut BSIG erfüllt wer­den müssen, durch die Bußgeld­vor­schrift er­fasst, was durch das nun ver­ab­schie­dete Ge­setz geändert wurde. Die Not­wen­dig­keit, auf die Ein­hal­tung der Vor­schrif­ten des IT-Si­cher­heits­ge­set­zes 2.0 ein Auge zu ha­ben, wird spätes­tens bei der Be­trach­tung der Bußgeldhöhe deut­lich. In der Ver­gan­gen­heit lag das prin­zi­pi­elle Ma­xi­mum der Bußgeldhöhe bei nur 100.000 Euro, in der Zu­kunft kann das BSI Un­ter­neh­men bis zu einem Be­trag von zwei Mio. Euro zur Kasse bit­ten. Durch den Ver­weis auf § 30 Abs. 2 Satz 3 OWiG kann sich die Bußgeldhöhe so­gar noch auf bis zu 20 Mio. Euro ver­zehn­fa­chen. Das ist bspw. der Fall bei Zu­wi­der­hand­lung von An­ord­nun­gen, aber auch bei der Un­ter­las­sung der Nach­wei­ser­brin­gung in Form des § 8a-Au­dit sind bis zu 10 Mio. Euro möglich. Die Höhe liegt im Er­mes­sen des Bun­des­am­tes.

nach oben