IT-Sicherheitsgesetz 2.0: Neue Vorschriften für Betreiber kritischer Infrastrukturen

Der Bundestag hat den Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) mit Änderungen des Innenausschusses verabschiedet. Ziel ist es, das bisher geltende IT-Sicherheitsgesetz aus dem Jahr 2015 zu reformieren. Das Rad der Zeit hat sich weitergedreht, technisch wie auch hinsichtlich der tatsächlichen Gefahren sogenannter Cyber-Angriffe. Somit musste auch der deutsche Gesetzgeber handeln. Das neue Gesetz weitet unter anderem die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aus und erlegt Betreibern kritischer Infrastrukturen im Sinne der BSI-KritisV und „Unternehmen von besonderem öffentlichen Interesse“ neue Pflichten auf.

Die Palette der Unternehmen, Organisationen und Einrichtungen von besonderem öffentlichen Interesse ist denkbar breit. Kritische Infrastrukturen existieren in nahezu allen Bereichen des Lebens, so etwa im Energiesektor oder in den Sektoren Gesundheit und Ernährung, Transport und Verkehr, Wasserversorgung, Finanzwesen, Medien und Kultur oder Informationstechnik und Telekommunikation.

Betreiber kritischer Infrastrukturen und Unternehmen von besonderem öffentlichen Interesse müssen nun nicht mehr nur angemessene organisatorische und technische Sicherheitsvorkehrungen treffen, sondern auch Systeme in ihren Unternehmen etablieren, die dabei helfen, Cyber-Angriffe zu erkennen. Hierzu haben sie nach Inkrafttreten des Gesetzes zwei Jahre Zeit. Spätestens ab dann ist es also mit der bloßen Erstellung eines Informationsmanagement-Systems (ISMS) als Dokumentation dafür, dass eventuell noch kein Bedarf für Sicherheitsvorkehrungen gesehen wurde, nicht mehr getan.

Zudem wird der Einsatz von sogenannten „kritischen Komponenten“ eingeschränkt. Dies sind IT-Produkte, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser IT-Produkte zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit kritischer Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können. Setzt ein Betreiber kritischer Infrastrukturen erstmals eine kritische Komponente ein, die zertifizierungspflichtig ist, muss er dies dem Bundesinnenministerium (BMI) anzeigen. Das Ministerium prüft dann, ob der Einsatz der kritischen Komponente die öffentliche Ordnung oder Sicherheit beeinträchtigen könnte, etwa, da der Hersteller der Komponente durch einen Drittstaat oder dessen Militär kontrolliert wird. Für die Prüfung hat das BMI zwei Monate Zeit, bei besonders schwierigen Fällen sogar vier Monate. Das BMI kann den Einsatz der Komponente untersagen. Auch kann es den Einsatz kritischer Komponenten untersagen, die bereits in Betrieb genommen wurden.

Generell dürfen kritischen Komponenten nur eingesetzt werden, wenn der Hersteller gegenüber dem Betreiber eine Garantieerklärung über seine Vertrauenswürdigkeit abgegeben hat, die die komplette Lieferkette einbezieht. Die Mindestanforderungen an die Garantieerklärung legt das BMI fest.

Unternehmen von besonderem öffentlichen Interesse werden verpflichtet, eine Selbsterklärung über die in den letzten zwei Jahren vorgenommenen Sicherheitsaudits, Zertifizierungen und Prüfungen im Bereich der IT-Sicherheit abzugeben sowie eine Erklärung darüber, ob und wie die für das Unternehmen besonders wichtigen IT-Systeme, Komponenten und Prozesse im Einzelnen vor Hacker-Angriffen und anderen Gefahren geschützt werden. Im Fall von Störungen müssen sie das BSI informieren.

Durch das IT-Sicherheitsgesetz 2.0 erhält das BSI neue Kompetenzen, die es ihm laut BMI ermöglichen sollen, Sicherheitslücken in der Telekommunikation aufzuspüren und Cyber-Angriffe abzuwehren. Es kann in Zukunft Mindeststandards für die Bundesbehörden verbindlich festlegen und kontrollieren, ob diese eingehalten werden. Es wird zudem zur allgemeine Meldestelle für Sicherheitsrisiken und zur Zertifizierungsstelle für informationstechnische Produkte, Komponenten und Systeme gemäß dem Rechtsakt zur Cybersicherheit der EU.

Von Anbietern von Telekommunikationsdiensten mit mehr als 100.000 Kunden kann das BSI künftig verlangen, dass sie im Fall von „konkreter erheblicher Gefahr“ für die gesetzlich genannten Schutzziele bestimmte Schutzmaßnahmen einleiten. Auch kann das BSI anordnen, dass technische Befehle zur Bereinigung von konkret benannten Schadprogrammen an betroffene informationstechnische Systeme verteilt werden.

Darüber hinaus soll auch die Verordnung zur Bestimmung kritischer Infrastrukturen (BSI-KritisV) überarbeitet werden, die festlegt, welche Unternehmen Betreiber kritischer Infrastrukturen sind und sich an die entsprechenden gesetzlichen Vorgaben halten müssen. Geplant ist eine Absenkung der Schwellenwerte für Rechenzentren, Serverfarmen und Internetknoten. Dadurch könnten in Zukunft mehr Unternehmen als Betreiber kritischer Infrastrukturen eingestuft und den neuen und bestehenden Regeln unterworfen werden.

Schließlich wird ein freiwilliges IT-Sicherheitskennzeichen, mithin also ein IT-Gütesiegel, eingeführt. Dieses soll eine Herstellererklärung zur Einhaltung bestimmter IT-Sicherheitsanforderungen wie auch eine Sicherheitsinformation des BSI umfassen. Explizit ausgeklammert ist dabei der Datenschutz, zu dem das Siegel keine Aussage treffen soll. Ziel ist es, mittels eines solchen sichtbaren Gütesiegels auch die Verbraucher zu sensibilisieren und so das Bewusstsein für proaktive IT-Sicherheit zu stärken.

Insbesondere für Unternehmen gilt es nun, in eine eingehende Prüfung einzutreten, ob man den Bestimmungen des reformierten IT-Sicherheitsgesetzes unterfällt oder nicht. Hierbei handelt es sich keineswegs um eine triviale, leicht zu beantwortende Frage. Die BSI-KritisV enthält in insgesamt sieben Anlagen dezidierte Schwellenwerte für die einzelnen Wirtschaftssektoren. Ob diese im Einzelfall erreicht sind, ist zu ermitteln.