Das neue IT-Sicherheits­gesetz 2.0

Das neue IT-Sicherheitsgesetz 2.0 wurde am 7. Mai 2021 vom Bundesrat beschlossen, der Bundestag hatte am 23. April die Version vom Innenausschuss (19/28844) gebilligt. Das erste IT-Sicherheitsgesetz wird mit der Version 2.0 fortgeschrieben — seit Anfang 2021 in der Gesetzgebung, erweitert das IT-SiG 2.0 die Pflichten von Betreibern und Befugnisse vom Staat deutlich:

  1. Neue Pflichten für KRITIS-Betreiber
  2. Mehr betroffene Unternehmen
  3. Mehr Befugnisse für das BSI
  4. Sanktionen und Verbraucherschutz

Das neue IT-SiG 2.0 wird bei KRITIS-Betreibern (neu und alt) und den neuen Unternehmen im besonderen öffentlichen Interesse samt Zulieferern zu mehr Aufwänden für Cyber Security führen. Die Ausführungen beziehen sich auf das IT-Sicherheitsgesetz 2.0 in der Fassung vom Innenausschuss (19/28844) und referenzieren die Paragraphen des neuen BSIG-E.

up

Neue Pflichten für KRITIS-Betreiber

Angriffs­erkennung

Nach dem geänderten §8a (1a) gehören Systeme zur Angriffserkennung nun explizit zu den technischen und organisatorischen Sicherheitsvorkehrungen in KRITIS-Anlagen bei KRITIS-Betreibern. Diese müssen kontinuierlich Bedrohungen im laufenden Betrieb mittels Mustern erkennen und vermeiden. Der Einsatz ist spätestens zwei Jahre nach Verkündung des Gesetzes verpflichtend.

Die Begriffsdefinition in §2 (9b) spricht bei diesen Systemen von technischen Werkzeugen und unterstützenden Prozessen — was wohl SIEM und SOC zur Angriffserkennung meint.

Meldepflichten

Mit dem neuen §8b (4a) müssen KRITIS-Betreiber und UNBÖFI bei erheblichen Störungen dem BSI auf Nachfrage nun Informationen zur Verfügung stellen, die für die Störungs­bewältigung notwendig sind, einschließlich personenbezogener Daten.

Dazu kommt die neue Meldepflicht für den Einsatz kritischer Komponenten nach §9b.

Kritische Komponenten

Durch den neuen §9b müssen KRITIS-Betreiber bestimmter Sektoren dem Innenministerium den Einsatz so genannter kritischer Komponenten anzeigen. Kritische Komponenten sind nach §2 (13) IT-Produkte in KRITIS-Anlagen, deren Ausfall die Funktion der Anlage erheblich beeinträchtigen würden. Die kritischen Komponenten und Funktionen müssen je Sektor in Gesetzen festgelegt werden, andernfalls gibt es dort keine kritischen Komponenten. Bis dato ist dies nur im Sektor Telekommunikation durch eine Änderung des TKG geschehen.

Garantieerklärung

Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung der Vertrauenswürdigkeit des Herstellers (neu) eingesetzt werden. Die Erklärung muss noch zu definierende Mindestanforderungen des Innenministeriums erfüllen und ist von KRITIS-Betreibern dem Innenministerium bei der Anzeige vom Einsatz in KRITIS-Anlagen vorzulegen.

Einsatz darf untersagt werden

Das Innenministerium darf den Einsatz kritischer Komponenten untersagen, bei:

  1. Beeinträchtigung der öffentlichen Ordnung und Sicherheit — wenn a) der Hersteller von der Regierung, staatlichen Stellen oder den Streitkräften eines Drittstaats kontrolliert wird, b) der Hersteller an nachteiligen Aktivitäten gegen die öffentliche Ordnung und Sicherheit Deutschlands, der EU, EFTA oder NATO beteiligt war oder ist, c) der Einsatz nicht mit den sicherheitspolitischen Zielen Deutschlands, der EU oder der NATO im Einklang ist.
  2. Fehlender Vertrauenswürdigkeit basierend auf der Garantieerklärung des Herstellers, Sicherheitstests und Schwachstellen und Manipulationen in den betreffenden Produkten.

Inventarisierung

Um dem BSI den Einsatz kritischer Komponenten in KRITIS-Anlagen nach §9b anzeigen zu können, folgt für Betreiber aus diesen Sektoren die Notwendigkeit, IT-Produkte in den KRITIS-Anlagen zu inventarisieren — mit aktuellen Informationen zu Herstellern, Typen der Produkte usw. Bis jetzt betrifft dies nur den KRITIS-Sektor Telekommunikation.

up

Mehr betroffene Unternehmen

Der Kreis der betroffenen Unternehmen wird im IT-Sicherheitsgesetz 2.0 größer: Neben einem neuen KRITIS-Sektor gibt es mit UNBÖFI eine neue Gruppe von Unternehmen und möglicherweise tiefere Schwellenwerte.

KRITIS-Sektor Siedlungsabfall­entsorgung

Der Sektor Siedlungsabfall­entsorgung, auch KRITIS Entsorgung, wird als offizieller KRITIS-Sektor in §2 (10) im Gesetz aufgenommen. Entsorger werden damit im IT-Sicherheitsgesetz 2.0 je nach Schwellenwerten zur Kritischen Infrastruktur.

Die kritische Dienstleistung ist wahrscheinlich Entsorgung von Siedlungsabfällen mit den Bereichen Sammlung, Beseitigung und Verwertung von Abfällen.

Aufgabe der Entsorgung von Siedlungs­abfällen ist es, die anfallenden Abfälle zu sammeln und anschließend so zu beseitigen oder zu verwerten, dass es dabei nicht zu einer Gefährdung der Bevölkerung und Umwelt kommt. Ein Ausfall oder eine Beeinträchtigung dieser Dienstleistung führt, ähnlich wie bei der Abwasser­entsorgung, sowohl zu einem kurzfristigen Anstieg der Seuchengefahr als auch zu einer Verschmutzung der Umwelt mit gefährlichen Stoffen. Ihr Ausfall führt damit sowohl kurz- als auch langfristig zu einer gesundheitlichen Gefährdung der Bevölkerung.

Die Schwellenwerte und genaue Anlagendefinitionen sind noch nicht bekannt und werden in der KRITIS-Verordnung konkretisiert.

Unternehmen im besonderen öffentlichen Interesse

Mit dem IT-Sicherheitsgesetz 2.0 gehören neben KRITIS-Betreibern auch Unternehmen im besonderen öffentlichen Interesse (UNBÖFI) und deren Zulieferer zur Regulierung. Die Unternehmen haben nach §2 (14) eine große Bedeutung in Bezug auf die IT-Sicherheit in Deutschland und setzen sich aus drei Gruppen zusammen:

  1. Rüstung: Hersteller von Rüstung und Produkten für staatliche Verschlusssachen (VS)
  2. Volkswirtschaftliche Bedeutung: Unternehmen von erheblicher volkswirtschaftlicher Bedeutung (Top 100), und deren
    Zulieferer, wenn sie von wesentlicher Bedeutung für sie sind.
  3. Gefahrstoffe: Betreiber Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen

Auf die betroffenen Unternehmen kommen mit dem neuen §8f UNBÖFI-Pflichten für Cyber Security zu:

  1. Identifikation und Registrierung: UNBÖFI müssen sich innerhalb von zwei Jahren selbst identifizieren und registrieren.
  2. Selbsterklärung IT-Sicherheit: UNBÖFI müssen eine Erklärung über IT-Sicherheit zu Zertifizierungen, Sicherheitsaudits und Sicherheitsmaßnahmen vorlegen.
  3. Vorfallsmeldungen: UNBÖFI müssen bestimmte Störungen an das BSI melden.

Änderungen gibt es für UNBÖFI in weitere Paragraphen, wie §5b zur Wiederherstellung in herausgehobenen Fällen mit der Aufnahme von UNBÖFI.

Neue Schwellenwerte und Anlagen

Die Grenzen für die Betroffenheit — die Schwellenwerte von KRITIS-Anlagen in KRITIS-Sektoren, könnten angepasst werden. Die Schwellenwerte werden nicht im Gesetz, sondern der Rechtsverordnung (KRITIS-Verordnung) festgelegt — und könnten mit deren Neufassung sinken, um den Kreis der Betreiber zu erweitern.

Ein Entwurf der KritisV 2.0 liegt vom 26.4.21 vor: ein separater Artikel analysiert die Änderungen der Schwellenwerte — die in der Tat sinken. Folgend als Übersicht:

Sinkende Schwellenwerte ↓

Sektor Anlage Alt Neu
Energie Dez. Erzeugungsanlage 420 36 MW Leistung
Energie Erzeugungsanlage 420 36 MW Leistung
Energie Stromhandel 200 TWh 3700 GWh
IT IXP 300 100 angeschlossene AS
IT Rechenzentren 5 3,5 MW Leistung
IT Serverfarmen 25 10 Tsd. Instanzen

Neue Schwellenwerte ⚡

Sektor Bereich Neu
Energie Öl 63,7 Tsd. t Flugkraftstoff
Transport Logistik 51,5 Mio Sendungen

Neue Anlagen ⚡

Sektor Bereich Neu
Transport Flugverkehr Flughafenleitungsorgan
Transport Flugverkehr Verkehrszentrale Fluggesellschaft
Transport Schiffahrt Hafenleitungsorgan
Transport Schiffahrt Hafenbetrieb
Transport Schiffahrt Umschlaganlage
Transport Straßenverkehr Intelligentes Verkehrssystem
Gesundheit Labore Laborinformationsverbund
Finanzen Wertpapiere Erzeugen von Aufträgen zum Handel
Finanzen Wertpapiere Handelsplatz
Finanzen Wertpapiere Sonst. Depotführung
Energie Gas Zentrale Steuerung
Energie Öl Kommerzielle Steuerung
Energie Fernwärme Zentrale Steuerung
IT Steuerung TLD-Registry
Entsorgung noch nicht definiert

Wegfallende Anlagen ✗

Sektor Bereich Fällt weg
Gesundheit Labordiagnostik Transportsystem
Gesundheit Labordiagnostik Kommunikationssystem Auftrags-/Befundübermittlung
Transport ÖPNV Verkehrssteuerungs- und Leitsystem ÖPNV
Energie Strom Erzeugungsanlage mit Wärmeauskopplung
Energie Strom Messtelle

Unmittelbare Registrierung

Der geänderte §8b (3) verpflichtet Betreiber, sich nun unmittelbar nach Feststellung als KRITIS-Betreiber beim BSI zu registrieren und eine Kontaktstelle zu benennen. Das BSI darf Betreiber mit dem neuen IT-SiG 2.0 auch von sich aus als Kritische Infrastruktur registrieren, und mit dem neuen §8b (3a) bei bestimmten Sachverhalten Einblick bei Betreibern in Unterlagen verlangen, falls diese ihrer Registrierungspflicht nicht nachkommen.

up

Mehr Befugnisse für das BSI

Die Aufgaben, Rechte und Befugnisse der Bundesverwaltung nehmen im neuen BSIG-E vom IT-SiG 2.0 stark zu. Das BSI wird mit erweiterten Kompetenzen, größeren Informationsbedarf und stärkerer Organisation ausgestattet.

Neue Aufgaben

Die neuen Aufgaben sind in §3 ergänzt, neu sind:

  1. Aufgaben und Befugnisse als nationale Behörde für Cybersicherheits­zertifizierung nach Art. 58 (7-8) EU-Verordnung 2019/881 (5a)
  2. Erweiterte Beratung und Warnung staatlicher Stellen (12a und 14)
  3. Verantwortungen für den Verbraucherschutz (14a)
  4. Erweiterung als zentrale Stelle für KRITIS-Betreiber und UNBÖFI (17)
  5. Empfehlungen für die Sicherheit von IAM-Verfahren und Stand der Technik für Sicherheit in IT-Produkten, nach bestehenden Normen (19 und 20)

Zentrale Meldestelle und Informationen

Das BSI wird nach dem neuen §4b zur zentralen allgemeinen Meldestelle für Sicherheit in der Informationstechnik. Dazu darf das BSI Informationen zu Schadprogrammen, Lücken und Angriffen sammeln, analysieren, über noch einzurichtende Meldewege entgegennehmen und diese Informationen u.a. für Warnungen, Meldungen benutzen.

Mit dem neuen §5c darf das BSI Bestandsdaten von TK-Diensten verlangen, um drohende Gefahren für die öffentliche oder Versorgungssicherheit durch eine Beeinträchtigung von KRITIS-Betreibern oder UNBÖFI abzuwehren.

Tiefere Untersuchungen

Das BSI darf mit dem neuen §7a marktgängige IT-Produkte und Systeme untersuchen, und dazu auch Auskünfte von Herstellern verlangen. Die Ergebnisse darf das BSI, je nach Rechtsgrundlage, mit anderen Behörden, Ressorts, den Herstellern und Betreibern teilen.

Nach dem neuen §7b darf das BSI Maßnahmen (Portscans) an den Schnittstellen öffentlich erreichbarer IT-Systeme des Bundes, von KRITIS-Betreibern oder UNBÖFI durchführen. Das BSI soll dazu White Lists von IP-Ranges der betroffenen Behörden und Betreiber pflegen. Bei Erkennen von Lücken soll das BSI die Verantwortlichen oder Betreiber unverzüglich darauf hinweisen.

Durch den neuen §7c darf das BSI Anbietern von TK-Netzen (mit mehr als 100 Tsd. Kunden) im Sinne des TKG Anordnungen zur Störungsbeseitigung erteilen. Dies umfasst Maßnahmen zur Einschränkung der Dienste und technische Befehle zur Bereinigung befallener IT. Das BSI darf anordnen, den Datenverkehr zur Störungsbeseitigung an eine vom Bundesamt benannte Anschlusskennung umleiten zu lassen und dort zu verarbeiten und speichern.

Weiterhin darf das BSI mit dem neuen §7d zur Abwehr konkreter, erheblicher Gefahren Anordnungen an Telemedien-Anbieter erteilen, damit diese Sicherheitsmaßnahmen ergreifen.

Stärkerer Schutz der Bundesnetze

Die Befugnisse des BSI zum Schutz der Kommunikationstechnik und IT des Bundes nehmen deutlich zu — der neue §4a erlaubt dem BSI:

  1. Die Sicherheit der Kommunikationstechnik und Infrastrukturen des Bundes zu kontrollieren. Dazu darf es Informationen, Konzepte und Dokumente anfordern.
  2. Zutritt zu den Betriebsräumen der Kommunikationstechnik des Bundes zu erlangen.
  3. Mit Zustimmung von Dritten die Schnittstellen bei diesen Dritten zur Kommunikationstechnik des Bundes kontrollieren, Unterlagen anfordern etc.
  4. Die Ergebnisse aus (1) bis (3) der zuständigen Fachaufsicht mitteilen.
  5. Ausgenommen ist Auslands-IKT des Auswärtigen Dienstes.
  6. Ausgenommen ist Informations- und Kommunikationstechnik für die Bundeswehr.

Dazu erlaubt der neue §5a dem BSI, behördeninterne Protokolldaten zum Erkennen von Störungen in der Kommunikationstechnik und Angriffen auf die IT des Bundes zu verarbeiten.

Mit dem geänderten §8 wird das BSI ermächtigt, verbindliche Mindeststandards für die Sicherheit der Bundes-IT festzulegen.

Neue Zertifizierungen

Mit dem neuen §9a wird das BSI zur nationalen Behörde für Cybersicherheitszertifizierung nach Art. 58 (7-8) EU-Verordnung 2019/881 und darf Konformitätsbewertungsstellen eine Tätigkeitserlaubnis erteilten und Zertifikate überprüfen und wiederrufen.

Mehr Personal

Von den im Entwurf in E.3 und 4.c. 1.585,80 angemeldeten Stellen für die Erfüllung der zusätzlichen Aufgaben in der Bundesverwaltung entfallen 799 neue Planstellen auf das BSI.

up

Weitere Änderungen

Stärkere Sanktionen

Die Ordnungswidrigkeiten und Bußgelder erhöhen sich im IT-Sicherheitsgesetz 2.0 merklich. §14 (1-4) legt deutlich mehr vorsätzliche oder fahrlässige Verstösse gegen KRITIS-Vorgaben als Ordnungswidrigkeiten, u.a.:

  1. Fehlende Nachweise und Nachweisprüfungen §8a (3)
  2. Systeme auf Verlangen des BSI nicht wiederherstellen oder keine Maßnahmen zur Gefahrenabwehr treffen §5b (6) 7§c (1) §8a (3)
  3. Hersteller-Informationen für Untersuchungen nicht herausgeben §7a (2)
  4. Fehlende Mitwirkung bei Störungsbeseitigung §8b (6)
  5. Fehlende Umsetzung von Cyber Security Maßnahmen §8a (1)
  6. Dem BSI Zutritt oder Informationen zur Überprüfung der Maßnahmen verweigern §8a (4)
  7. Fehlende Registrierung als KRITIS, fehlende Kontaktstelle, keine Erreichbarkeit §8b (3)
  8. Fehlende, unvollständige oder zu späte Meldung von Störungen §8b (4)
  9. Fehlende Maßnahmen von Anbietern digitaler Dienste §8c (1)
  10. Fehlende Selbsterklärung IT-Sicherheit von UNBÖFI §8f (1)
  11. Konformitäts­bewertungsstellen ohne Genehmigung §9a (2)

§14 (5) enthält deutlich erhöhte Bußgelder für die benannten Ordnungswidrigkeiten. Es gibt nun Geldbußen von 2.000.000 EUR bis 500.000 EUR im BSIG-E, durch Verweis auf §30 Abs. 2 OWiG bis zu 20.000.000 EUR als juristische Person.

Neue Gütesiegel

Der neue §9c beschreibt ein freiwilliges IT-Sicherheitskennzeichen für IT-Produkte, die das BSI noch in Produktkategorien festlegt. Das BSI definiert die Sicherheits­anforderungen mittels bestehender Normen und Standards oder regelt diese in einer Technischen Richtlinie. Das Sicherheitskennzeichen besteht aus zwei Teilen — einer Hersteller­erklärung, die Sicherheits­eigenschaften des Produkts zusichert und eine Sicherheitsinformation des BSI zum Produkt.

Die Kennzeichen werden durch das BSI erteilt, freigegeben, geprüft und auch widerrufen.

Eingeschränkte Grundrechte

Nach dem geänderten §11 wird das Fernmeldegeheimnis nun durch §4a, §5, §5a, §5b, §5c, §7b und §7 eingeschränkt — vormals nur §§5 und 5a.

Mehr Begriffsbestimmungen

In der Begriffsdefinition in §2 werden eine Vielzahl neuer Begriffe aufgenommen und näher definiert: Kommunikationstechnik des Bundes, Protokollierungsdaten, IT-Produkte, Systeme zur Angriffserkennung, kritische Komponenten, der Sektor Siedlungsabfallentsorgung, Unternehmen im besonderen öffentlichen Interesse.

Änderungen an weiteren Gesetzen

Mit dem neuen IT-Sicherheitsgesetz 2.0 werden weitere Gesetze geändert:

up

Der weitere Weg

Gesetzgebung

Der erste von mehreren Entwürfen vom IT-Sicherheitsgesetz 2.0 wurde 2019 veröffentlicht. Am 23. April 2021 wurde das neue IT-Sicherheitsgesetz 2.0 vom Bundestag in der Fassung vom Innenausschuss (19/28844) beschlossen, am 7. Mai 2021 vom Bundesrat. Die überarbeitete KRITIS-Verordnung ist als Entwurf 2.0 bekannt.

Versionen IT-Sicherheitsgesetz 2.0, Stand 7. Mai 2021
aus: AG KRITIS und Bundestag: Gesetzgebung
Status Fassung Datum Nr.
Bundesregierung diverse
Verbändefassung
Kabinettsfassung
2019-2020
9.12.2020
16.12.2020

Referentenentwurf
Bundesrat Bundesratsfassung 1.1.2021 Drucksache 16/21
Bundestag, Verteilung Bundestagsfassung 25.1.2021 Drucksache 19/26106
Innenausschuss Änderungen
Entscheidung
Beschlussempfehlung
19.04.2021
20.04.2021
21.04.2021
19(4)811
19(4)812
19/28844
Bundestag Beschlossen 23.04.2021 19/28844
Bundesrat Beschlossen 07.05.2021 324/21 (Beschluss)
Bundespräsident
Inkrafttreten

Evaluierung

Im IT-Sicherheitsgesetz 1.0 von 2015 legt Artikel 10 eine Evaluierung einzelner Teile des Gesetzes vier Jahre nach Inkrafttreten der Rechtsverordnung fest. Diese Evaluierung, unter Einbeziehung eines wissenschaftlichen Sachverständigen, ist bis jetzt noch nicht erfolgt. Im IT-Sicherheitsgesetz 2.0 legt Artikel 6 eine Evaluierung von Teilen zwei Jahre nach Verkündung, von den restlichen Teilen vier Jahre nach Verkündung fest.

Normenkontrollrat

Eine Stellungnahme des Normenkontrollrats ist in der Bundestagsfassung 19/26106 vom IT-Sicherheitsgesetz 2.0 ab Seite 100 zu lesen.

up

Neue KRITIS-Verordnung

Eine Rechtsverordnung konkretisiert die Forderungen des Gesetzes und beschreibt die Schwellenwerte, Anlagen und Vorgaben zur Umsetzung — diese KRITIS-Verordnung (KritisV) wurde bis April 2021 noch nicht für das neue IT-Sicherheitsgesetz 2.0 aktualisiert.

Ein Entwurf der KritisV 2.0 liegt mittlerweile (26.4.21) vor — ein separater Artikel analysiert die Änderungen für Anlagen und Schwellenwerte.

Definitionen

Mindestens die folgenden Themen werden durch die neue KritisV konkretisiert:

up

Weitere Informationen

Literatur

  1. Bundesrat kritisiert mangelnde Einbindung der Länder bei IT-Sicherheit, Beschluss Bundesrat, 7.5.2021
  2. Stellungnahme des Bundesrates und Gegenäußerung der Bundesregierung zum Entwurf vom 25.01.2021 (Drucksache 19/26106 ), Deutscher Bundestag, Drucksache 19/26921 24.02.2021
  3. Notbremse für den Entwurf! - Stellungnahme der AG KRITIS zum 3. Entwurf des IT-SiG 2.0, AG KRITIS 03.12.2020
  4. IT-Sicherheitsgesetz 2.0: Dritter Referentenentwurf veröffentlicht, Dr. Dennis-Kenji Kipker, Beck-Community, 21.11.2020
  5. Wenig Beifall für das geplante IT-Sicherheitsgesetz 2.0, Anhörung des Ausschusses für Inneres und Heimat im Bundestag, 01.03.2021
  6. ENISA-Report National Capabilities Assessment Framework, European Union Agency for Cybersecurity, December 2020

Quellen

  1. Beschluss des Bundesrates - Zweites Gesetz zur Erhöhung der Sicherheit informations- technischer Systeme, Bundesrat, Drucksache 324/21 (Beschluss), 07.05.21
  2. Anlage 1: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung mit Vorblatt und Begründung, Intrapol.org, 26.4.2021
  3. Anlage 2: Inoffizielle Lesefassung der Änderungsverordnung, Intrapol.org, 26.4.2021
  4. Gesetz zur Erhöhung der IT-Sicherheit mit Koalitionsmehrheit beschlossen, Bundestag 23.04.2021
  5. Beschlussempfehlung und Bericht zu dem Gesetzentwurf der Bundesregierung Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme, Deutscher Bundestag, Drucksache 19/28844, 21.4.2021
  6. Ausschuss gibt grünes Licht für IT-Sicherheitsgesetz 2.0, Bundestag Inneres und Heimat/Ausschuss - 21.04.2021 (hib 527/2021)
  7. Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
  8. Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0), Pressemitteilung Innenministerium 16.12.2020
  9. Kabinett beschließt Entwurf für IT-Sicherheitsgesetz 2.0, Pressemitteilung Innenministerium 16.12.2020
  10. IT-Sicherheitsgesetz 2.0 - alle verfügbaren Versionen, AG KRITIS, 21. April 2021