IT-Sicherheitsgesetz 2.0: Was Betreiber kritischer Infrastrukturen jetzt wissen müssen

Der Referentenentwurf zum IT-Sicherheitsgesetz (IT-SiG 2.0) liegt seit dem 27. März 2019 vor. Nun hat das Bundesinnenministerium (BMI) noch einmal nachgelegt und das Gesetzesvorhaben am 7. Mai 2020 in Form eines zweiten Referentenentwurfs weiter konkretisiert. Auch bei diesem Entwurf dürfte allerdings noch im Detail nachgebessert werden. Das neue IT-Sicherheitsgesetz fokussiert sich vor allem auf das Bundesamt für Sicherheit in der Informationstechnik (BSI). Demnach sollen die Befugnisse des BSI künftig massiv ausgeweitet werden. Die Behörde soll stärker die Rolle eines Verbraucherschützers wahrnehmen

und beispielsweise ein IT-Sicherheitskennzeichen einführen, welches die IT-Sicherheit von Produkten sichtbar machen. Außerdem soll das BSI künftig stärker mit Sicherheitsbehörden wie dem Bundeskriminalamt oder dem Verfassungsschutz zusammenarbeiten. Veränderungen soll es auch im Zusammenhang mit dem Schutz kritischer Infrastrukturen (KRITIS) geben. Für KRITIS-Unternehmen besteht aktuell eine große Unsicherheit bezüglich möglicher künftiger Auflagen, die Investitionen in Technik, Personal oder Dienstleistereinbindung nach sich ziehen könnten.

Das IT-Sicherheitsgesetz in der Praxis

Das erste IT-Sicherheitsgesetz erschien bereits im Jahre 2015. Darin wurden kritische Versorgungsbereiche definiert. Unternehmen, die in diesen Bereichen tätig waren, fielen somit in den Regelungsbereich dieses Gesetzes. Mit den zwei konkretisierenden Rechtsverordnungen aus den Jahren 2016 und 2017 wurden Definitionen veröffentlicht, die die Einstufung von Anlagen als kritische Infrastruktur festlegten und den betroffenen Unternehmen Kriterien (sog. „Schwellenwerte“) zur Bewertung ihrer Anlagen zur Verfügung stellten. Anhand dieser Kenngrößen konnten Unternehmen ermitteln, ob ihre Anlagen unter die KRITIS-Verordnung fallen.

Die beiden Rechtsverordnungen gruppierten die kritischen Sektoren in zwei Tranchen. Die im Gesetz festgeschriebene zweijährige Umsetzungsfrist lief für die erste Tranche im Juni 2018 und für die zweite Tranche im Juni 2019 aus. Bis dahin mussten alle betroffenen Unternehmen die Umsetzung der vorgeschriebenen Maßnahmen nachgewiesen haben. Inzwischen nähert sich für die Unternehmen der ersten Tranche bereits die zweijährliche Wiederholungsfrist ihrem Ende.

Die Praxis hat gezeigt, dass das Gesetz, u. a. durch die singuläre Anlagenfokussierung, deutlichen Nachbesserungsbedarf hat und der im Gesetz prognostizierte Erfüllungsaufwand für die betroffenen Unternehmen an der Wirklichkeit deutlich vorbeigeht.

Mit dem IT-Sicherheitsgesetz 2.0 verfolgt der Gesetzgeber nun offensichtlich einen ganzheitlicheren Ansatz, was im Sinne der IT-Sicherheit grundsätzlich zu begrüßen ist.

Da es sich bei dem vorliegenden Dokument um den zweiten Referentenentwurf handelt, ist die Veröffentlichung des Gesetzes in seiner abschließenden Form nicht vor Ende 2020 zu erwarten. Die konkreten Regelungen bedürfen außerdem einer Rechtsverordnung – wiederum mit zweijähriger Frist zur Umsetzung. Unter Zugrundelegung der Zeitspannen der jeweiligen Veröffentlichungen des ersten Gesetzes und seiner Rechtsverordnungen darf davon ausgegangen werden, dass die erste Frist zur Umsetzung frühestens im Jahre 2023 abläuft.

Ihr Experte für Fragen

Derk Fischer

Derk Fischer
Partner, Cyber Security bei PwC Deutschland
Tel.: +49 211 981-2192
E-Mail

Die Neuerungen des zweiten Referentenentwurfs im Überblick

Der zweite Referentenentwurf zum IT-SiG 2.0 konkretisiert den bereits im ersten Entwurf vorgestellten ganzheitlichen Ansatz und enthält Maßnahmen zum Schutz der Bürger, zur Stärkung des Staates, zum Schutz der öffentlichen Informationstechnik und für eine informationstechnisch robuste Wirtschaft.

Das Gesetz stärkt vor allem die Rolle des BSI als zentrale Behörde mit sehr weitreichenden Befugnissen. Neu ist die Übertragung von Verbraucherschutzaufgaben an das BSI, das zukünftig mit „IT-Sicherheitskennzeichen“ die IT-Sicherheit von Produkten sichtbar machen soll. Hinzugekommen ist auch, dass das BSI künftig Providern Verpflichtungen zum Löschen, zum Melden und zu Bestandsauskünften bei Cybercrime-Vorfällen auferlegen kann. Zwar ist der im ersten Entwurf vorgesehene Eingriff in das Straf- und das Strafverfahrensrecht im zweiten Referentenentwurf nicht mehr enthalten, allerdings dürfte die stärkere Zusammenarbeit des BSI mit Sicherheitsbehörden wie dem Bundeskriminalamt oder dem Verfassungsschutz nicht unbedingt für das Vertrauen der Industrie in das BSI förderlich sein. Insgesamt werden beim BSI für die Umsetzung des Gesetzes knapp 600 Planstellen geschaffen.

Der Teufel steckt aber wie immer im Detail. Im Folgenden fokussieren wir uns deshalb auf die wesentlichen Neuerungen in Bezug auf kritische Infrastrukturen.

BSI und IDW haben die Anforderungen an KRITIS-Betreiber konkretisiert

„Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“

Die bisherigen Regelungen zur Umsetzung der KRITIS-Anforderungen waren uneinheitlich. Ein allgemeingültiger, für alle KRITIS-Betreiber anwendbarer Anforderungskatalog existierte bisher nicht. Einzelne Sektoren haben daher – gemeinsam mit dem BSI – eigene branchenspezifische Sicherheitsstandards (B3S) entwickelt, um Rahmenwerke zur Auswahl, Umsetzung und Prüfung der Sicherheitsvorkehrungen zu erstellen und damit auch die Anforderungen zu konkretisieren. Solche branchenspezifischen Standards gibt es unter anderem für Einrichtungen im Gesundheitswesen (z. B. Krankenhäuser oder Labore), die Fernwärmeversorgung oder auch für die Wasserversorgung sowie Abwasserentsorgung.

Unternehmen, die nicht in den Geltungsbereich eines B3S fallen, mussten sich bislang selbst behelfen. Das war ein großer Nachteil und wegen der qualitativen und quantitativen Interpretationsspielräume naturgemäß mit gewissen Unsicherheiten verbunden.

Um dem zu begegnen, hat das BSI am 28. Februar 2020 mit der „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“ einen exzellenten, in sich schlüssigen und einheitlichen Rahmen veröffentlicht. Dieser Anforderungskatalog wurde in enger Zusammenarbeit mit dem Fachausschuss für Informationstechnologie (FAIT) des Instituts der Wirtschaftsprüfer (IDW) entwickelt und lehnt sich inhaltlich an den bereits existierenden BSI-C5-Katalog an. 

Mit diesem Anforderungskatalog gibt das BSI den KRITIS-Betreibern einen konkreten Rahmen zur Auswahl, Umsetzung und Prüfung der von ihnen gemäß § 8a Absatz 1 BSI-Gesetz (BSIG) umzusetzenden IT-Sicherheitsvorkehrungen an die Hand. Im Zusammenspiel mit dem neuen IT-Sicherheitsgesetz gewinnen die KRITIS-Betreiber damit mehr Planungssicherheit.

PwC hat bei KRITIS-Betreibern bisher bereits einen vergleichbaren Anforderungskatalog herangezogen, sodass diese Betreiber den neuen Anforderungskatalog des BSI bereits jetzt vollumfänglich erfüllen dürften.

Prüfungen rücken zukünftig auch die Wirksamkeitsbetrachtung in den Mittelpunkt

IDW PH 9.860.2 „Prüfung bei Betreibern kritischer Infrastrukturen“

Die bisher verwendeten Prüfleitfäden zur Durchführung von § 8a-Auditierungen haben gezeigt, dass die durchgeführten Auditierungen nur eine bedingte Aussagekraft hinsichtlich der dauerhaften Wirksamkeit der eingerichteten Schutzmaßnahmen hatten.

Daher hat das IDW im Mai 2020 und passend zu dem im vorherigen Abschnitt benannten neuen Anforderungskatalog des BSI mit dem Prüfungshinweis IDW PH 9.860.2 „Prüfung bei Betreibern kritischer Infrastrukturen“ einen Prüfleitfaden herausgegeben, der den §8a-Prüfern eine klare und einheitliche Prüfmethodik an die Hand gibt.

Die Wechselwirkung zwischen dem neuen Anforderungskatalog des BSI und dem IDW-Prüfungshinweis dürfte nach unserer Auffassung zu einem insgesamt einheitlicheren und qualitativ höherwertigen Sicherheits- und Prüfungsniveau für die KRITIS-Betreiber führen.

Fazit

Selbstverständlich enthält der zweite Referentenentwurf noch eine Vielzahl weiterer konkreter Änderungen. Die in unserem Beitrag vorgestellten Neuerungen stellen einen wesentlichen Ausschnitt aus dem Gesamtpaket der Veränderungen dar, der insbesondere auf die für Betreiber kritischer Infrastrukturen relevanten Bestimmungen abzielt.

Die Erfahrung aus dem ersten IT-Sicherheitsgesetz lehrt, dass bis zum finalen Gesetzestext durchaus noch inhaltliche Anpassungen möglich sind. Dennoch gibt dieser zweite Referentenentwurf eine klare Richtung vor – auch und vor allem für Betreiber kritischer Infrastrukturen. Deswegen sollten diese Unternehmen die formulierten Anforderungen bereits heute in ihren Sicherheitsstrategien berücksichtigen.

Über künftige Entwicklungen werden wir Sie auf dem Laufenden halten.

Contact us

Derk Fischer

Derk Fischer

Partner, Cyber Security, PwC Germany

Tel.: +49 211 981-2192

Follow us