Was bedeutet diese Anpassung nun? Wie das IT-SiG 1.0 bedingt auch die neue Version 2.0 als Artikelgesetz weitreichende Änderungen in einer ganzen Reihe von Einzelgesetzen (neben dem BSI-Gesetz - BSIG - u. a. das Energiewirtschaftsgesetz und das Telekommunikationsgesetz).
Die einzelnen wesentlichen Änderungen bzw. Neuerungen sind:
- Erhöhung der Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
- Erweiterung der betroffenen Unternehmen als KRITIS-Betreiber
- Zusätzliche Pflichten für KRITIS-Betreiber
- Schutz der Bürger
- Neufassung der Bußgeldvorschrift
Erhöhung der Befugnisse des BSI
Ein Kernaspekt betrifft die Kompetenzen des BSI, die erheblich ausgeweitet werden. Das BSI ist zum einen dazu berechtigt, sog. Portscans gemäß § 7b Abs. 1 BSIG durchzuführen. Durch Portscans können Sicherheitslücken, z. B. veraltete Software oder offene Ports, in den IT-Systemen identifiziert werden. Durch die neue Gesetzgebung soll das BSI die Möglichkeit erhalten, solche Schwachstellen zu identifizieren, das betroffene Unternehmen zu informieren und zu überwachen, so dass die Sicherheitslücken zeitnah geschlossen werden. Zum anderen wird das BSI zum Einsatz von Honeypots i. S. d. § 7b Abs. 4 BSIG berechtigt, d. h. zum Einsatz von Systemen und Verfahren zur Analyse von Schadprogrammen sowie Angriffsmethoden.
Gemäß § 5 Abs. 2 BSIG war das BSI bereits in der Vergangenheit zur Erhebung und Auswertung von Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen (Protokolldaten i. S. d. § 5 Abs. 1 Nr. 1 BSIG), berechtigt. Der Zeitraum für die Datenspeicherung wurde von drei auf zwölf Monate erhöht.
Zudem erfolgte die Aufnahme von Protokollierungsdaten in das BSIG. Gemäß § 2 Abs. 8a BSIG versteht man unter Protokollierungsdaten Aufzeichnungen über technische Ereignisse oder Zustände innerhalb informationstechnischer Systeme. Laut § 5a BSIG ist das BSI bei Protokollierungsdaten, analog zu den Protokolldaten, zur Verarbeitung berechtigt, sofern dies zur Erkennung, Eingrenzung oder Beseitigung von Störungen, Fehlern oder Sicherheitsvorfällen notwendig ist.
Durch den neu eingeführten § 7a BSIG, in dem die Untersuchung der Sicherheit in der Informationstechnik geregelt ist, darf das BSI nun jegliche, bereits auf dem Markt bereitgestellte wie auch dafür vorgesehene informationstechnische Produkte und Systeme untersuchen. Hersteller dieser Produkte und Systeme sind zur Auskunft gegenüber dem BSI verpflichtet, dazu gehört insb. die Auskunft über technische Details. Kommt ein Hersteller dieser Pflicht nicht nach, begeht er eine Ordnungswidrigkeit i. S. d. § 14 Abs. 2 BSIG, welche ein Bußgeld nach sich ziehen kann.
Zusätzlich werden die Kontroll- und Prüfbefugnisse zum Schutz der Regierungsnetze ausgebaut.
Was als These aufgeworfen wurde, scheint sich nun zu bestätigen: Augenscheinlich entwickelt sich der BSI, analog zu der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Bereich des Finanzwesens, zu einer Aufsichtsbehörde, jedoch nur spezialisiert auf die IT-Sicherheit.
Erweiterung der betroffenen Unternehmen als KRITIS-Betreiber - Ausweitung auf weitere Teile der Wirtschaft
Im Zuge des IT-SiG 2.0 wird der Anwendungsbereich des BSIG um sog. Unternehmen „im öffentlichen Interesse“ erweitert. Dies sind Unternehmen, die von „erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind oder die für solche Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind“ (vgl. § 2 Abs. 14 Satz 1 Nr. 2 BSIG).
Dazu gehören gemäß § 2 Abs. 14 BSIG drei Fallgruppen:
- Unternehmen, die Güter nach § 60 Abs. 1 Nr. 1 und 3 der Außenwirtschaftsverordnung herstellen oder entwickeln. Das sind insb. Unternehmen aus der Rüstungs-, Raumfahrt- und IT-Sicherheitsindustrie.
- Unternehmen, die gemessen an ihrer inländischen Wertschöpfung zu den größten Unternehmen des Landes gehören und daher von erheblicher Bedeutung für Deutschland sind. In einer künftigen Rechtsverordnung soll festgelegt werden, welche Kennzahlen maßgeblich für die Festlegung sind, ob ein Unternehmen von erheblicher Bedeutung für das Land ist.
- Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung oder eines diesen gemäß § 1 Abs. 2 der Störfall-Verordnung gleichgestellten Bereichs, hierunter fallen insb. Unternehmen aus der Chemie-Industrie.
Unternehmen mit besonderen öffentlichen Interesse werden KRITIS-Betreibern zwar nicht gleichgestellt, allerdings haben sie nun erhöhte Anforderungen gemäß § 8f BSIG zu erfüllen. Darunter fällt insb. die Selbsterklärung zur IT-Sicherheit gemäß § 8f Abs. 1 BSIG. Diese muss von den oben genannten ersten beiden Unternehmensgruppen mindestens alle zwei Jahre vorgelegt werden. Aus dem IT-Sicherheitskonzept muss hervorgehen, welche Zertifizierungen, sonstigen Sicherheitsaudits oder Prüfungen im Bereich der IT-Sicherheit in den letzten zwei Jahren durchgeführt wurden. Ergänzend dazu muss erklärt werden, wie der Schutz besonders schützenswerter IT-Systeme, Komponenten und Prozesse sichergestellt wird.
Zudem haben Unternehmen der ersten beiden Fallgruppen bei Störungen eine unverzügliche Meldung gemäß § 8 Abs. 7 BSIG an das BSI vorzunehmen. Eine entsprechende Meldepflicht gilt ebenfalls für Unternehmen der Chemie-Industrie, allerdings gilt hier eine Besonderheit, denn Störungen können hier in Gefahren für die öffentliche Sicherheit und Ordnung resultieren. Ein entsprechender Meldeweg ist zu definieren.
Durch die Ausweitung des Anwendungsbereichs, trifft die Regulierung nun alle Unternehmen ab einer bestimmten Bedeutung für das Allgemeinwohl. Dazu zählen ebenfalls Unternehmen, die keinem der in § 2 Abs. 10 BSIG aufgezählten Sektoren angehören. Insb. jene sollten prüfen, ob sich aus der Inkraftsetzung nun Erfüllungspflichten ergeben.
Darüber hinaus werden die KRITIS um den Sektor „Siedlungsabfallentsorgung“ (§ 2 Abs. 10 BSIG) erweitert, wodurch nun u. a. Entsorger KRITIS sind (Dienstleistung Entsorgung von Siedlungsabfällen mit Sammlung, Beseitigung und Verwertung).
Die gegenwärtig definierten Schwellenwerte werden gesenkt, so dass mehr Unternehmen als kritische Infrastruktur eingestuft werden. Es wird davon ausgegangen, dass die Anzahl der KRITIS-Unternehmen um 15 bis 20 % steigen wird.
Analog des IT-SiG 1.0 wird die Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) novelliert, in welchem die exakten Schwellenwerte definiert werden. Noch in 2020 wurde ein Entwurf der BSI-KritisV veröffentlicht.
Zusätzliche Pflichten für KRITIS-Betreiber
Betreiber kritischer Infrastrukturen sind verpflichtet, sich unmittelbar beim BSI zu registrieren (vgl. § 8b Abs. 3 Satz 1 BSIG) und müssen ab dem 01.05.2023 ganzheitliche „Systeme zur Angriffserkennung“ nutzen (§ 8a Abs. 1a BSIG). Solche ganzheitlichen Systeme sind dabei so definiert, dass sie „geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten“ müssen.
Darüber hinaus gab es bisher nur den Begriff der Kritischen Infrastrukturen (KRITIS) im BSIG, nun auch den der Kritischen Komponenten. Hinter sog. Kritischen Komponenten verbergen sich gemäß § 2 Abs. 13 BSIG IT-Produkte, die in Kritischen Infrastrukturen eingesetzt werden und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, da auftretende Störungen erheblichen Einfluss auf die Kritische Infrastruktur selbst oder auch auf die öffentliche Sicherheit haben können. Ebenso fallen darunter IT-Produkte, die kraft Gesetzes als Kritische Komponente definiert werden.
Im ersten Schritt besteht eine Meldepflicht, wenn sich Kritische Komponenten im Einsatz befinden. Benannte Komponenten dürfen nur noch zum Einsatz kommen, sofern eine entsprechende Garantieerklärung des Herstellers abgegeben wurde, in der er seine Vertrauenswürdigkeit unter Beweis stellt. Darin anzugeben ist, ob und wie sichergestellt wird, dass die Kritische Komponente frei von Eigenschaften ist, die missbräuchlich auf die Sicherheit, Integrität, Verfügbarkeit und Funktionsfähigkeit der Kritischen Infrastruktur einwirken könnten. Dabei wird vor allem auf Sabotage, Spionage oder Terrorismus abgestellt. Im nächsten Schritt hat das BSI die Möglichkeit, den Einsatz eingesetzter kritischer Komponenten zu untersagen. Hierfür müssen allerdings öffentliche Interessen gegen besagten Einsatz sprechen. Diese Klausel wird auch als „Lex Huawei“ bezeichnet.
Schutz der Bürger
Verbraucherschutz wurde neu im BSIG als Aufgabe des BSI verankert. Den Kernpunkt bildet dabei das freiwillige IT-Sicherheitskennzeichen gemäß § 9c BSIG. Ziel dabei ist es, eine verständliche, transparente und einheitliche Darstellung von Verbraucherprodukten und IT-Dienstleistungen zu gewährleisten. Das IT-Sicherheitskennzeichen besteht aus der Herstellererklärung und der Sicherheitserklärung des BSI. In der Herstellererklärung garantiert der Hersteller dafür, dass das Produkt bestimmte IT-Sicherheitsanforderungen erfüllt.
Bußgeldvorschriften
Die Regelung zu den Bußgeldvorschriften befindet sich weiterhin in § 14 BSIG. Es erfolgte allerdings eine komplette Überarbeitung des aufgeführten Katalogs, wobei Tatbestände ergänzt und die Bußgelder deutlich erhöht wurden. Bislang waren nicht alle Pflichten, die laut BSIG erfüllt werden müssen, durch die Bußgeldvorschrift erfasst, was durch das nun verabschiedete Gesetz geändert wurde. Die Notwendigkeit, auf die Einhaltung der Vorschriften des IT-Sicherheitsgesetzes 2.0 ein Auge zu haben, wird spätestens bei der Betrachtung der Bußgeldhöhe deutlich. In der Vergangenheit lag das prinzipielle Maximum der Bußgeldhöhe bei nur 100.000 Euro, in der Zukunft kann das BSI Unternehmen bis zu einem Betrag von zwei Mio. Euro zur Kasse bitten. Durch den Verweis auf § 30 Abs. 2 Satz 3 OWiG kann sich die Bußgeldhöhe sogar noch auf bis zu 20 Mio. Euro verzehnfachen. Das ist bspw. der Fall bei Zuwiderhandlung von Anordnungen, aber auch bei der Unterlassung der Nachweiserbringung in Form des § 8a-Audit sind bis zu 10 Mio. Euro möglich. Die Höhe liegt im Ermessen des Bundesamtes.
