IT-Sicherheitsgesetz 2.0 auf der Zielgeraden

10. Mai 2021

Am 23.4.2021 hat der Bundestag das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) beschlossen. Am 7.5.2021 wurde es vom Bundesrat gebilligt. Nach Unterzeichnung durch den Bundespräsidenten und Veröffentlichung im Bundesgesetzblatt wird das Gesetz zum ganz überwiegenden Teil am darauffolgenden Tag in Kraft treten. Die Änderungen sind für die Betreiber von Energieversorgungsnetzen und von Kritischen Infrastrukturen (KRITIS) sowie für die neu adressierten „Unternehmen im besonderen öffentlichen Interesse“ relevant. Zudem laufen die Konsultationen zum Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung (BSI-KritisV).

Wesentliche Inhalte

Mit dem IT-SiG 2.0 werden mehrere andere Gesetze, unter anderem das BSI-Gesetz (BSIG), das Telekommunikationsgesetz (TKG) und das Energiewirtschaftsgesetz (EnWG), geändert. Das Gesetz soll unter anderem regeln, unter welchen Umständen ein Telekommunikationsausrüster „kritische Komponenten“ für 5G-Mobilfunknetze in Deutschland beisteuern darf. Es sieht außerdem eine deutliche Aufwertung des Bundesamts für Informationstechnik (BSI) vor. Schwerpunkt ist die Änderung des BSIG. Neben Anpassungen im Bereich von KRITIS schafft es die neue Kategorie der „Unternehmen im besonderen öffentlichen Interesse“.

Abgestufte Anforderungen

„Unternehmen im besonderen öffentlichen Interesse“ sind solche Unternehmen, die nicht KRITIS-Betreiber sind und

  • die bestimmte Güter nach § 60 Abs. 1 lit. 1 und 3 AWV herstellen oder entwickeln,
  • die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik sind oder die für solche Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind oder
  • die Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung (12. BImSchV) sind oder diesen gleichgestellt sind.

Unter die erste Gruppe fallen Unternehmen, die bestimmte Kriegswaffen oder Produkte mit IT-Sicherheitsfunktionen zur Verarbeitung von staatlichen Verschlusssachen herstellen oder entwickeln. Unternehmen der zweit- und drittgenannten Fallgruppe werden anhand bestimmter Kennzahlen und Schwellenwerte bestimmt, die in Rechtsverordnungen festgelegt werden.

Die Anforderungen an die IT-Sicherheit bei Unternehmen im besonderen öffentlichen Interesse können je nach Fallgruppe z.B. eine Selbsterklärung zur IT-Sicherheit sowie eine Registrierungspflicht inklusive der Benennung einer erreichbaren Stelle beim BSI oder Meldepflichten bei Störungen der IT-Systeme umfassen.

Anpassungen bei KRITIS

Die Siedlungsabfallentsorgung wird grundsätzlich als neuer KRITIS-Sektor ergänzt. Die Anforderungen für die Bewertung als KRITIS-Sektor bestimmt im Einzelnen die BSI-KritisV, die sich hierfür noch in der Anpassung befindet.

Zudem werden mit dem IT-SiG 2.0 die IT-Sicherheitsanforderungen für KRITIS-Betreiber angepasst und erweitert. Künftig müssen sie zusätzlich Systeme zur Erkennung von Angriffen auf ihre IT-Systeme einsetzen, sog. Intrusion Detection/Intrusion Prevention Systeme. Um den Betrieb aufrechtzuerhalten, sind KRITIS-Unternehmen regelmäßig auf kritische Komponenten angewiesen. Deren Störungen können zu einem Ausfall führen oder die Funktionsfähigkeit oder Integrität der KRITIS beeinträchtigen und so die öffentliche Sicherheit gefährden. Rahmenbedingungen für entsprechende Komponenten werden ebenfalls geregelt sowie Regelungen für die Hersteller von betroffenen IT-Produkten erlassen. Kritische Komponenten müssen aufgrund eines Gesetzes entweder als solche bestimmt werden oder eine als kritisch bestimmte Funktion realisieren. Eine entsprechende gesetzliche Bestimmung ist derzeit für KRITIS-Betreiber im Sektor der Informationstechnik und Telekommunikation beabsichtigt.

Zu der bereits bestehenden Pflicht des KRITIS-Betreibers, beim BSI eine jederzeit erreichbare Kontaktstelle zu benennen, soll zukünftig eine Pflicht zur Registrierung der KRITIS als solche hinzukommen.

Neuer Bußgeldkatalog

Auch der Bußgeldkatalog für Verstöße gegen die gesetzlichen Vorgaben wird überarbeitet und angepasst. Dabei werden insbesondere die Bußgeldtatbestände für die Betreiber von KRITIS spürbar verschärft. Verstöße gegen die Nachweispflicht hinsichtlich der Erfüllung der Sicherheitsanforderungen können zukünftig mit Geldbußen bis zu 1 Mio. Euro bei Vorsatz und bis zu 100.000 Euro bei Fahrlässigkeit geahndet werden. Werden Vorkehrungen für die Erfüllung der Sicherheitsanforderungen (vorsätzlich oder fahrlässig) nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen, sind ebenfalls Bußgelder bis zu 1 Mio. Euro möglich. Verstöße gegen die jederzeitige Erreichbarkeit der von einem KRITIS-Betreiber benannten Kontaktstelle können mit Bußgeldern bis zu 100.000 Euro geahndet werden. Bei Zuwiderhandlungen gegen bestimmte vollziehbare Anordnungen des BSI kann die Bußgeldhöhe bis zu 2 Mio. Euro betragen.

Betreiber von Energieversorgungsnetzen

Ebenso wie die KRITIS-Betreiber werden künftig auch die Betreiber von Energieversorgungsnetzen und von als KRITIS einzuordnenden Energieanlagen grundsätzlich verpflichtet, Systeme zur Angriffserkennung einzusetzen und gegenüber dem BSI nachzuweisen.

Konsultation zur Änderung der BSI-Kritisverordnung

Am 26.4.2021 hat das Bundesinnenministerium (BMI) zudem eine Konsultation zum Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung gestartet. Die Verordnung enthält unter anderem die maßgeblichen Schwellenwerte zur Bestimmung von KRITIS.

Die Verordnung soll wesentliche Änderungsbedarfe umsetzen, die in der zuletzt durchgeführten Evaluierung der BSI-KritisV identifiziert wurden. Die beabsichtigte Absenkung der maßgeblichen Schwellenwerte für Erzeugungsanlagen von derzeit 420 MW auf 36 MW, bezogen auf die installierte Maximalkapazität, sticht dabei deutlich heraus. Der Kreis der Erzeugungsanlagen, die als KRITIS einzuordnen sind, würde damit erheblich erweitert und die Anforderungen zur Sicherheit an die jeweiligen Betreiber würden deutlich steigen. Zum neuen KRITIS-Sektor der Siedlungsabfallentsorgung finden sich in dem Entwurf (noch) keine Regelungen. Stellungnahmen zu dem Verordnungsentwurf sind bis zum 17.5.2021 möglich.

Ansprechpartner*innen: Dr. Thies Christian Hartmann/Alexander Bartsch/Stefan Brühl/Victor Stocker

Share
Weiterlesen

22 April

Interviewreihe: Marcel Malcher, BBH-Partner und Vorstand BBH Consulting AG

Am 24.4.2024 findet die BBH-Jahreskonferenz in der Französischen Friedrichstadtkirche in Berlin statt. Im Mittelpunkt steht das Thema Energie in seiner Gesamtheit, seiner systemischen Verknüpfung und seiner Entwicklungsperspektive. „Energie heute & morgen“ ist daher auch der Titel der Veranstaltung. Zu den...

Weiterlesen

18 April

Missbrauchsverfahren nach den Energiepreisbremsengesetzen: Bundeskartellamt nimmt Energieversorger unter die Lupe

Die Energiepreisbremsengesetze sollten Letztverbraucher für das Jahr 2023 von den gestiegenen Strom-, Gas- und Wärmekosten entlasten. Um zu verhindern, dass Versorger aus der Krise auf Kosten des Staates Kapital schlagen, wurden in den dazu erlassenen Preisbremsengesetzen besondere Missbrauchsverbote implementiert, über...

Weiterlesen