IT-Sicherheitsgesetz 2.0 – Ein Paukenschlag, nicht nur für KRITIS-Betreiber

Der Referentenentwurf zum IT-SiG 2.0 liegt seit dem 27.03.2019 vor. Neu sind nicht nur die massive Ausweitung der Befugnisse des BSI, die Einführung eines Sicherheitskennzeichens und die Rolle der Behörde als Verbraucherschützer. Veränderungen gab es auch im Zusammenhang mit dem Schutz kritischer Infrastrukturen. Und die dürfen ohne Übertreibung als Paukenschlag bezeichnet werden.

Das IT-Sicherheitsgesetz in der Praxis

Das erste IT-Sicherheitsgesetz erschien im Jahr 2015. Mit diesem wurden kritische Versorgungsbereiche definiert. Unternehmen, die in diesen Bereichen tätig waren, fielen somit in den Regelungsbereich dieses Gesetzes. Mit den zwei konkretisierenden Rechtsverordnungen aus den Jahren 2016 und 2017 wurden Definitionen veröffentlicht, die die Einstufung von Anlagen als kritische Infrastruktur festlegten und den betroffenen Unternehmen Kriterien (sog. „Schwellen­werte“) zur Bewertung ihrer Anlagen zur Verfügung stellten. Anhand dieser Kenngrößen konnten Unter­nehmen ermitteln, ob ihre Anlagen unter die KRITIS-Regelungen fallen.

Die beiden Rechtsverordnungen gruppierten die kritischen Sektoren de facto in zwei Tranchen. Die im Gesetz festgeschriebene zweijährige Umsetzungsfrist läuft nun für die zweite Tranche am 30.06.2019 aus. Bis dahin müssen demnach alle betroffenen Unternehmen die Umsetzung der vorgeschriebenen Maßnahmen nachgewiesen haben.

Die Praxis hat gezeigt, dass das Gesetz, u.a. durch die singuläre Anlagenfokussierung, deutlichen Nachbesserungsbedarf hat und der im Gesetz prognostizierte Erfüllungsaufwand für die betroffenen Unternehmen an der Wirklichkeit deutlich vorbeigeht.

Mit dem IT-Sicherheitsgesetz 2.0 verfolgt der Gesetzgeber nun offensichtlich einen ganzheitlicheren Ansatz, was im Sinne der Informationssicherheit grundsätzlich zu begrüßen ist.

Da es sich bei dem vorliegenden Dokument um den Referentenentwurf handelt, ist die Ver­öffent­lichung des Gesetzes in seiner abschließenden Form nicht vor Ende 2019 zu erwarten. Die konkreten Regelungen bedürfen außerdem einer Rechtsverordnung – wiederum mit zweijähriger Frist zur Umsetzung. Unter Zugrundelegung der Zeitspannen der jeweiligen Veröffentlichungen des ersten Gesetzes und seiner Rechtsverordnungen darf davon ausgegangen werden, dass die erste Frist zur Umsetzung frühestens im Jahre 2022 abläuft.

ITSiG 2.0 – die Neuerungen im Überblick

Der nun vorliegende Referentenentwurf zum ITSiG 2.0 verfolgt einen ganzheitlichen Ansatz und enthält Maßnahmen zum Schutz der Bürger, zur Stärkung des Staates, zum Schutz der öffentlichen Informationstechnik und für eine informationstechnisch robuste Wirtschaft.

Das Gesetz stärkt vor allem die Rolle des BSI als zentrale Behörde mit sehr weitreichenden Befug­nissen. Dazu greift das Gesetz auch in das Straf- und das Strafverfahrensrecht ein – ein Novum.  Auch neu ist die Übertragung von Aufgaben des Verbraucherschutzes an das BSI, das zukünftig mit „IT-Sicherheitskennzeichen“ die IT-Sicherheit von Produkten sichtbar machen soll. Neu ist auch, dass das BSI zukünftig Providern Verpflichtungen zum Löschen, zum Melden und zu Bestandsauskünften bei Cybercrime-Vorfällen auferlegen kann.

Dazu werden beim BSI mehr als 750 Planstellen geschaffen.

Der Teufel steckt wie immer im Detail. Und die Details haben es in sich. Im Folgenden fokussieren wir auf die wesentlichen Neuerungen in Bezug auf kritische Infrastrukturen.

Neuerungen für die Betreiber kritischer Infrastrukturen

Drastisch höhere Geldbußen

Hat der Gesetzgeber im ersten Sicherheitsgesetz noch einen Strafrahmen von 100.000 Euro je Verstoß vorgesehen, so wurden diese nun an die Regelungen der EU-DSGVO angeglichen. Zukünftig sieht der Gesetzgeber für Verstöße maximal „Geldbußen von bis zu 20.000.000 Euro oder von bis zu vier Prozent des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist“ vor. 

Abfallwirtschaft neuer kritischer Sektor

Neben den bisherigen kritischen Sektoren wurde die Abfallwirtschaft zum kritischen Sektor bestimmt. Zu den konkreten Bestimmungen bleiben die konkreten Regelungen der kommenden Rechtsverordnung abzuwarten.

Infrastrukturen im besonderen öffentlichen Interesse

Neu ist auch die Definition sogenannter „Infrastrukturen im besonderen öffentlichen Interesse“. Das sind zwar nicht unmittelbar kritische Infrastrukturen, dennoch werden sie als solche behandelt. Dazu zählen

  • Rüstungsindustrie, 
  • Kultur und Medien sowie
  • Unternehmen von erheblicher volkswirtschaftlicher Bedeutung.

Da diese Begrifflichkeiten sehr weit gefasst werden können, sind auch hier die Konkretisierungen der Rechtsverordnung abzuwarten.

Bestimmung von „KRITIS-Kernkomponenten“

KRITIS-Kernkomponenten gab es bisher auch schon. Dazu zählten alle diejenigen Assets, die unmittelbar für den Betrieb der kritischen Anlagen notwendig waren oder deren Störung umgekehrt eine Störung der kritischen Dienstleistung bewirkt hätte. Neu ist, dass für diese KRITIS-Kern¬kom¬ponenten zukünftig explizit Mindeststandards durch das BSI definiert werden. Auch dürfen dafür zukünftig nur noch solche Komponenten von Herstellern verbaut werden, für die eine „Vertrauens¬würdig¬keits-erklärung“ abgegeben wurde, die also demnach über ein BSI-Sicherheits¬kennzeichen verfügen. Diese Anforderung schließt die gesamte Zulieferkette des Herstellers ausdrücklich ein.

Ganzheitliche Ansatz

Das BSI erweitert den Betrachtungsfokus zukünftig auch auf allgemein vernetzte Systeme, z.B. Industrial Control Systems (ICS-Geräte) oder Internet of Things Systeme (IoT-Geräte), die offene Dienste (Ports) und diverse andere Schwachstellen aufweisen können. Im Kontext mit den o.g. KRITIS-Kernkomponenten wird damit die ganzheitliche Sicht für Betreiber kritischer Infrastrukturen zukünftig in den Fokus rücken müssen.

Systeme zur Angriffserkennung

Die Notwendigkeit zur Einrichtung von Systemen zur Angriffserkennung (sogn. Security Incident & Event Management Systeme, kurz „SIEM“) und -bewältigung hat sich bisher implizit ergeben, um ein Informationssicherheitsmanagementsystem (kurz „ISMS“) wirksam betreiben zu können. Im neuen ITSiG ist diese Anforderung ausdrücklich festgeschrieben. Mehr noch, das BSI macht künftig konkrete Vorgaben zur Ausgestaltung solcher Systeme.

Krisenreaktionsplan

Das BSI stellt zukünftig im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und der jeweils zuständigen Aufsichtsbehörde des Bundes und in Abstimmung mit den jeweiligen Betreibern kritischer Infrastrukturen Krisenreaktionspläne auf. Diese sollen die an der Krisenreaktion beteiligten Behörden, Betreiber Kritischer Infrastrukturen und Betreiber weiterer Anlagen im besonderen öffentlichen Interesse in die Lage versetzen, im Notfall unverzüglich abgestimmte Entscheidungen zu treffen und angemessene Maßnahmen rechtzeitig durchzuführen.

Fazit: Anforderungen bereits jetzt in Sicherheitsstrategien berücksichtigen

Selbstverständlich enthält der Referentenentwurf noch eine Vielzahl weiterer konkreter Änderungen. Die in unserem Beitrag vorgestellten Neuerungen stellen einen wesentlichen Ausschnitt aus dem Gesamtpaket der Veränderungen dar, der insbesondere auf die für Betreiber kritischer Infrastrukturen relevanten Bestimmungen abzielt.

Die Erfahrung mit dem Referentenentwurf zum, ersten IT-Sicherheitsgesetz lehrt, dass bis zum finalen Gesetzestext durchaus noch inhaltliche Anpassungen möglich sind. Die Diskussion des Papiers in den Gremien und Verbänden hat gerade erst begonnen.

Dennoch gibt dieser Referentenentwurf eine klare Zielvorgabe - auch und vor allem für Betreiber kritischer Infrastrukturen. Diese sollten die formulierten Anforderungen bereits jetzt in ihren Sicherheitsstrategien berücksichtigen.

Contact us

Derk Fischer

Partner, Cyber Security, PwC Germany

Tel.: +49 211 981-2192

Follow us