IT-Sicherheitsgesetz 2.0 und BSI-KritisV-Novelle: Wirksame IT-Security bei KRITIS und Netzbetreibern (Webinar)
Am 27.05.2021 wurde wie erwartet der letzte Schritt des Gesetzgebungsverfahrens abgeschlossen und das IT-SiG 2.0 im Bundesgesetzblatt veröffentlicht. In Kraft getreten ist es am Folgetag der Verkündung, dem 28.05.2021.
Was regelt das IT-SiG 2.0?
Das Gesetz verfolgt im Wesentlichen folgende Ziele:
• Stärkung der Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI)
• Inhaltliche Erweiterung von Pflichten für Betreiber Kritischer Infrastrukturen sowie von Energieversorgungs- und Telekommunikationsnetzen
• Einführung eines einheitlichen IT-Sicherheitskennzeichens zum Schutz von Verbrauchern
• Stärkung der staatlichen Schutzfunktion
Auswirkungen hat das IT-SiG 2.0 auf das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Telekommunikationsgesetz (TKG), das Gesetz über die Elektrizitäts- und Gasversorgung (EnWG), die Außenwirtschaftsverordnung (AWV) sowie das Zehnte Buch Sozialgesetzbuch (SGB X). Inhaltlich werden die gesetzlichen Anforderungen für Betreiber Kritischer Infrastrukturen nunmehr auch auf den Sektor der „Siedlungsabfallentsorgung“ ausgedehnt, sodass auch Entsorger ab bestimmten Schwellenwerten zur Kritischen Infrastruktur zählen. Gleichzeitig sieht das Gesetz nunmehr spezielle Pflichten auch für „Unternehmen im besonderen öffentlichen Interesse“ vor, worunter nach dem neuen § 2 Abs. 14 S. 1 Nr. 2 BSIG u.a. Unternehmen fallen, die nach Ansicht des Gesetzgebers von „erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind oder die für solche Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind“. Nach § 10 Abs. 5 BSIG soll eine vom Bundesinnenministerium noch zu erlassene Rechtsverordnung den Begriff des „Unternehmen[s] im besonderen öffentlichen Interesse“ präzisieren und entsprechende Schwellenwerte festlegen.
Darüber hinaus erweitert das IT-SiG 2.0 die Pflichten nach dem BSIG sowie den weiteren genannten Gesetzen: Dazu gehört die Pflicht zum Einsatz von Systemen zur Angriffserkennung sowohl für die Betreiber von Kritischen Infrastrukturen (ggf. auch Energieanlagen) als auch von Energieversorgungsnetzen (unabhängig davon, ob diese eine Kritische Infrastruktur im Sinne des Gesetzes sind oder nicht) sowie eine Anzeige- und Zertifizierungspflicht für „kritische Komponenten“ (sog. Lex Huawei). Die Umsetzungsfrist für die neu hinzugetretenen Pflichten beträgt 24 Monate. Außerdem wurde der Bußgeldkatalog nach § 14 BSIG überarbeitet und angepasst. Dabei wurden insbesondere die Bußgeldtatbestände für die Betreiber von Kritischen Infrastrukturen spürbar verschärft.
Novelle der BSI-KritisV: Wer ist zukünftig Betreiber Kritischer Infrastrukturen?
Parallel dazu wurde durch die Zweite Verordnung zur Änderung der BSI-Kritisverordnung eine Änderung der BSI- Kritisverordnung (BSI-KritisV) angestoßen. Die Anpassungen sind teils materiell relevant, z. B., soweit Schwellenwerte zur Bestimmung von Kritischen Infrastrukturen geändert werden. Deutlich heraus sticht etwa die vorgesehene Absenkung der maßgeblichen Schwellenwerte für Erzeugungsanlagen von derzeit 420 MW auf 36 MW, bezogen auf die installierte Maximalkapazität. Die geänderte BSI-KritisV soll noch im Juni beschlossen und zum 01.01.2022 wirksam werden.
Die konkreten Veranstaltungsinhalte finden Sie hier/Anmeldung.
Folgende Termine bieten wir an:
29.06.2021/Webinar,
07.07.2021/Webinar und
27.07.2021/Webinar.
Für Fragen zur Veranstaltung steht Ihnen Frau Michaela Jung gerne zur Verfügung.
Weitere Veranstaltungsangebote können Sie über den Blogkalender erfahren.
Selbstverständlich unterbreiten wir Ihnen auch gern ein Angebot zur Inhouse-Schulung. Sprechen Sie uns gern dazu an.
