Bundesnetzagentur legt neuen Sicherheitskatalog für Telekommunikationsnetze und -dienste vor

Out-Law News | 07 Sep 2021 | 1:07 pm | Lesedauer: 1 Min.

Der überarbeitete Sicherheitskatalog legt unter anderem fest, welche von Betreibern von Telekommunikationsnetzen verwendeten Komponenten bis 2026 durch das BSI zertifiziert werden müssen.

Der überarbeitete Sicherheitskatalog (PDF/1.119KB) stuft erstmals auch Betreiber öffentlicher Telekommunikationsnetze als Unternehmen mit erhöhtem Gefährdungspotenzial ein und macht für sie neue Vorgaben.

Die Bundesnetzagentur (BNetzA) hat den Katalog gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) festgelegt.

Die geänderten Anforderungen sollen die Telekommunikationsnetze sichern und vor Cyber-Angriffen und Spionage schützen. Die neuen Regelungen beruhen auf dem neuen IT-Sicherheitsgesetz und dem vollständig novellierten Telekommunikationsgesetz (TKG), welches zum 1. Dezember 2021 in Kraft treten wird.

Dr. Viktoria Lehner, Expertin für Telekommunikationsrecht bei Pinsent Masons, sieht erneut Handlungsbedarf in der Branche: „Für Betreiber von Telekommunikationsnetzen und Anbieter von Telekommunikationsdiensten kehrt vorerst keine Ruhe ein. Neben den zahlreichen Änderungen auf Ebene des Kundenschutzes bringt das neue TKG auch strengere Vorgaben zu Daten- und Informationssicherheit mit sich. Der nun festgelegte neue Sicherheitskatalog macht eine umfassende Prüfung und Überarbeitung von bestehenden TK-Sicherheitskonzepten notwendig, um sich insbesondere für das 5G-Zeitalter zu wappnen und das Entstehen neuer Angriffsvektoren auf unsere Telekommunikationsnetze zu verhindern.“

Der Mobilfunkstandard 5G wird bislang von Experten als nicht sicher genug eingestuft, da die Netzinfrastruktur anfälliger für Zugriffe durch Spionagedienste oder ausländische Regierungen werden könnte. Insbesondere einige chinesische Technik-Hersteller, die deutsche Netzbetreiber beliefern, stehen in der Kritik.

Der überarbeitete Katalog schreibt vor, wie die verpflichteten Unternehmen die Integrität und Sicherheit ihrer Systeme überwachen sollen und wie sie in Bedrohungssituationen reagieren müssen. Zudem wurde die Liste kritischer Funktionen (PDF/660 KB) überarbeitet, die festlegt, welche Komponenten besonders anfällig für Cyber-Angriffe sind und daher künftig durch das BSI zertifiziert werden müssen. So soll gewährleistet werden, dass sie den Sicherheitsanforderungen genügen.

Ab dem 1. Januar 2026 müssen neu in Betrieb genommene kritische Komponenten durch das BSI zertifiziert sein. Schon vor 2026 in Betrieb genommene neue Komponenten müssen ebenfalls bis 1. Januar 2026 zertifiziert werden. Sollten vergleichbare Produkte von mindestens zwei unterschiedlichen Herstellern am Markt verfügbar und bereits zertifiziert sein, muss die Zertifizierung der verbauten Komponente auch schon früher erfolgen. Erhält eine Komponente keine Zertifizierung, muss sie bis 2025 ausgetauscht werden. Es wird jedoch nicht verlangt, Bestandskomponenten, die nicht mehr verbaut werden, nachträglich durch das BSI zertifizieren zu lassen.