Das IT-Sicherheitsgesetz 2.0

Das IT-Sicherheitsgesetz 2.0 ist seit Mai 2021 in Kraft und erweitert die deutsche KRITIS-Regulierung von 2015 deutlich – mit mehr Pflichten für einen größeren Betreiberkreis, höheren Cyber Security Anforderungen und mehr Befugnissen für den Staat und Regulierungsbehörden:

Neue KRITIS-Pflichten
Mehr Unternehmen
Neue KRITIS-Verordnung
Mehr Befugnisse für den Staat
Sanktionen, Gütesiegel
Gesetzgebung

Das IT-SiG 2.0 bildet einige Neuerungen der EU-Regulierung von NIS 2 und RCE bereits ab. In Deutschland bedeutet das deutlich mehr KRITIS-Betreiber und betroffene Unternehmen und Zulieferer – und stärkere Anstrengungen für Cyber Security. Mit dem KRITIS-Dachgesetz und IT-Sicherheitsgesetz 3.0 stehen ab 2023 Erweiterungen für mehr Betreiber und mehr Pflichten an, (auch) durch RCE und NIS2.

EN German IT Security Act IT-SiG 2.0

Major changes in German IT security law with IT-SiG 2.0
English ∙ PDF ∙ September 2021 ∙ OpenKRITIS-Briefing

DE Das neue IT-Sicherheitsgesetz 2.0

Die wichtigsten Änderungen im neuen KRITIS-Gesetz 2.0
Deutsch ∙ PDF ∙ Januar 2022 ∙ OpenKRITIS-Briefing

Neue Pflichten für KRITIS-Betreiber

Angriffserkennung

Systeme zur Angriffserkennung gehören mit dem geänderten §8a (1a) nun explizit zu den technischen und organisatorischen Sicherheitsvorkehrungen in KRITIS-Anlagen bei KRITIS-Betreibern. Diese müssen kontinuierlich Bedrohungen im laufenden Betrieb mittels Mustern erkennen und vermeiden. Der Einsatz ist spätestens ab dem 1. Mai 2023 verpflichtend und muss in KRITIS-Prüfungen ab dann auch explizit nachgewiesen werden.

Die Definition in §2 (9b) spricht von technischen Werkzeugen und unterstützenden Prozessen — die 2022 publizierte Orientierungshilfe für Systeme zur Angriffserkennung (OH SZA) legt die Anforderungen an Betreiber aus Sicht des BSI ab 2023 fest.

Meldepflichten

Störungen

Mit dem neuen §8b (4a) müssen KRITIS-Betreiber und UBI bei erheblichen Störungen dem BSI auf Nachfrage nun Informationen zur Verfügung stellen, die für die Störungsbewältigung notwendig sind, einschließlich personenbezogener Daten.

Dazu kommt die neue Meldepflicht für den Einsatz kritischer Komponenten nach §9b.

Unmittelbare Registrierung

Der geänderte §8b (3) verpflichtet Betreiber, sich nun unmittelbar nach Feststellung als KRITIS-Betreiber beim BSI zu registrieren und eine Kontaktstelle zu benennen. Das BSI darf Betreiber mit dem neuen IT-SiG 2.0 auch von sich aus als Kritische Infrastruktur registrieren, und mit dem neuen §8b (3a) bei bestimmten Sachverhalten Einblick bei Betreibern in Unterlagen verlangen, falls diese ihrer Registrierungspflicht nicht nachkommen.

Kritische Komponenten

Durch den neuen §9b müssen KRITIS-Betreiber dem Innenministerium den Einsatz so genannter kritischer Komponenten, bestimmter IT-Produkte §2 (13), anzeigen. Kritische Komponenten und Funktionen müssen in Gesetzen festgelegt werden, bis jetzt nur im Sektor Telekommunikation durch das TKG 2021.

Garantieerklärung

Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung der Vertrauenswürdigkeit des Herstellers (neu) eingesetzt werden. Die Erklärung muss noch zu definierende Mindestanforderungen des Innenministeriums erfüllen und ist von KRITIS-Betreibern dem Innenministerium bei der Anzeige vom Einsatz in KRITIS-Anlagen vorzulegen.

Einsatz darf untersagt werden

Das Innenministerium darf den Einsatz kritischer Komponenten untersagen, bei:

Beeinträchtigung der öffentlichen Ordnung und Sicherheit — wenn a) der Hersteller von der Regierung, staatlichen Stellen oder den Streitkräften eines Drittstaats kontrolliert wird, b) der Hersteller an nachteiligen Aktivitäten gegen die öffentliche Ordnung und Sicherheit Deutschlands, der EU, EFTA oder NATO beteiligt war oder ist, c) der Einsatz nicht mit den sicherheitspolitischen Zielen Deutschlands, der EU oder der NATO im Einklang ist.
Fehlender Vertrauenswürdigkeit basierend auf der Garantieerklärung des Herstellers, Sicherheitstests und Schwachstellen und Manipulationen in den betreffenden Produkten.

Inventarisierung

Um dem BSI den Einsatz kritischer Komponenten in KRITIS-Anlagen nach §9b anzeigen zu können, folgt für Betreiber aus diesen Sektoren die Notwendigkeit, IT-Produkte in den KRITIS-Anlagen zu inventarisieren — mit aktuellen Informationen zu Herstellern, Typen der Produkte usw. Bis jetzt betrifft dies nur den KRITIS-Sektor Telekommunikation.

Mehr betroffene Unternehmen

KRITIS-Sektor Siedlungsabfallentsorgung

Der Sektor Siedlungsabfallentsorgung, auch KRITIS Entsorgung, wird als offizieller KRITIS-Sektor in §2 (10) im Gesetz aufgenommen. Entsorger werden damit im IT-Sicherheitsgesetz 2.0 je nach Schwellenwerten zur Kritischen Infrastruktur.

Die kritische Dienstleistung ist wahrscheinlich Entsorgung von Siedlungsabfällen mit den Bereichen Sammlung, Beseitigung und Verwertung von Abfällen.

Aufgabe der Entsorgung von Siedlungsabfällen ist es, die anfallenden Abfälle zu sammeln und anschließend so zu beseitigen oder zu verwerten, dass es dabei nicht zu einer Gefährdung der Bevölkerung und Umwelt kommt. Ein Ausfall oder eine Beeinträchtigung dieser Dienstleistung führt, ähnlich wie bei der Abwasserentsorgung, sowohl zu einem kurzfristigen Anstieg der Seuchengefahr als auch zu einer Verschmutzung der Umwelt mit gefährlichen Stoffen. Ihr Ausfall führt damit sowohl kurz- als auch langfristig zu einer gesundheitlichen Gefährdung der Bevölkerung.

Die Schwellenwerte und Anlagendefinitionen sind in der aktuellen KRITIS-Verordnung 2021 noch offen und werden in einer neuen KRITIS-Verordnung 2.0 seit 2022 erarbeitet. Ein Referentenentwurf ist zu Ende 2022 geplant mit Inkrafttreten in der ersten Jahreshälfte 2023.

Unternehmen im besonderen öffentlichen Interesse

Mit dem IT-Sicherheitsgesetz 2.0 gehören neben KRITIS-Betreibern auch Unternehmen im besonderen öffentlichen Interesse (UBI) und deren Zulieferer zur Regulierung. Die Unternehmen haben nach §2 (14) eine große Bedeutung in Bezug auf die IT-Sicherheit in Deutschland und setzen sich aus drei Gruppen zusammen:

Rüstung: Hersteller von Rüstung und Produkten für staatliche Verschlusssachen (VS)
Volkswirtschaftliche Bedeutung: Unternehmen von erheblicher volkswirtschaftlicher Bedeutung, und deren
Zulieferer, wenn sie von wesentlicher Bedeutung für sie sind.
Gefahrstoffe: Betreiber Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen

Auf die betroffenen Unternehmen kommen neue §8f UBI-Pflichten zu:

Identifikation und Registrierung: UBI müssen sich innerhalb von zwei Jahren selbst identifizieren und registrieren.
Selbsterklärung IT-Sicherheit: UBI müssen eine Erklärung über IT-Sicherheit zu Zertifizierungen, Sicherheitsaudits und Sicherheitsmaßnahmen vorlegen.
Vorfallsmeldungen: UBI müssen bestimmte Störungen an das BSI melden.

Genauere Definitionen für UBI (Gruppe 2) werden noch in einer neuen UBI-Rechtsverordnung (UBI-VO) konkretisiert, die KRITIS-Verordnung 2021 lies dies noch offen. Geplant war 2022.

Neue KRITIS-Verordnung

Mehr KRITIS-Anlagen 2021

Mit dem IT-Sicherheitsgesetz 2.0 ändern sich durch die neue KRITIS-Verordnung 2021 auch die KRITIS-Anlagen und Schwellenwerte. Die Grenzen der KRITIS-Betroffenheit durch die Schwellenwerte von KRITIS-Anlagen in KRITIS-Sektoren sinken mit der Überarbeitung der Regulierung. Mehr Betroffenheit — für über 250 neue Betreiber.

Die KRITIS-Verordnung 2021 senkt Schwellenwerte bestehender KRITIS-Anlagen, fügt neue Anlagen hinzu, benennt weitere um und streicht wenige. Die wichtigsten Änderungen:

Energie: 6 neue und 4 gestrichene Anlagen, 3 sinkende Schwellenwerte, 167 neue Betreiber.
Gesundheit: 1 neue und 2 gestrichene Anlagen.
Transport: 6 neue und 1 gestrichene Anlage, 1 neuer Schwellenwert, 72 neue Betreiber
IT und TK: 1 neue Anlage, 3 sinkende Schwellenwerte, 10 neue Betreiber
Finanz- und Versicherungen: 3 neue Anlagen, Konsolidierung bei Versicherungen, 21 neue Betreiber

In der im August beschlossenen KRITIS-Verordnung 2021 (1.5) sind einige Änderungen noch offen — u.a. Definitionen der UBI und der Sektor Siedlungsabfallentsorgung, die in weiteren Verordnungen 2022 und 2023 definiert werden sollen.

Die KRITIS-Verordnung 2021 (1.5) ist seit 1. Januar 2022 in Kraft.

Mehr Befugnisse für den Staat

Neue Aufgaben für das BSI

Die neuen und erweiterten Aufgaben für das BSI wurden in §3 ergänzt:

Aufgaben und Befugnisse als nationale Behörde für Cybersicherheitszertifizierung nach Art. 58 (7-8) EU-Verordnung 2019/881 (5a)
Erweiterte Beratung und Warnung staatlicher Stellen (12a und 14)
Verantwortungen für den Verbraucherschutz (14a)
Erweiterung als zentrale Stelle für KRITIS-Betreiber und UBI (17)
Empfehlungen für die Sicherheit von IAM-Verfahren und Stand der Technik für Sicherheit in IT-Produkten, nach bestehenden Normen (19 und 20)

Zentrale Meldestelle und Informationen

Das BSI wird nach dem neuen §4b zur zentralen allgemeinen Meldestelle für Sicherheit in der Informationstechnik. Dazu darf das BSI Informationen zu Schadprogrammen, Lücken und Angriffen sammeln, analysieren, über noch einzurichtende Meldewege entgegennehmen und diese Informationen u.a. für Warnungen, Meldungen benutzen.

Mit dem neuen §5c darf das BSI Bestandsdaten von TK-Diensten verlangen, um drohende Gefahren für die öffentliche oder Versorgungssicherheit durch eine Beeinträchtigung von KRITIS-Betreibern oder UBI abzuwehren.

Tiefere Untersuchungen

Das BSI darf mit dem neuen §7a marktgängige IT-Produkte und Systeme untersuchen, und dazu auch Auskünfte von Herstellern verlangen. Die Ergebnisse darf das BSI, je nach Rechtsgrundlage, mit anderen Behörden, Ressorts, den Herstellern und Betreibern teilen.

Nach dem neuen §7b darf das BSI Maßnahmen (Portscans) an den Schnittstellen öffentlich erreichbarer IT-Systeme des Bundes, von KRITIS-Betreibern oder UBI durchführen. Das BSI soll dazu White Lists von IP-Ranges der betroffenen Behörden und Betreiber pflegen. Bei Erkennen von Lücken soll das BSI die Verantwortlichen oder Betreiber unverzüglich darauf hinweisen.

Durch den neuen §7c darf das BSI Anbietern von TK-Netzen (mit mehr als 100 Tsd. Kunden) im Sinne des TKG Anordnungen zur Störungsbeseitigung erteilen. Dies umfasst Maßnahmen zur Einschränkung der Dienste und technische Befehle zur Bereinigung befallener IT. Das BSI darf anordnen, den Datenverkehr zur Störungsbeseitigung an eine vom Bundesamt benannte Anschlusskennung umleiten zu lassen und dort zu verarbeiten und speichern.

Weiterhin darf das BSI mit dem neuen §7d zur Abwehr konkreter, erheblicher Gefahren Anordnungen an Telemedien-Anbieter erteilen, damit diese Sicherheitsmaßnahmen ergreifen.

Stärkerer Schutz der Bundesnetze

Die Befugnisse des BSI zum Schutz der Kommunikationstechnik und IT des Bundes nehmen deutlich zu — der neue §4a erlaubt dem BSI:

Die Sicherheit der Kommunikationstechnik und Infrastrukturen des Bundes zu kontrollieren. Dazu darf es Informationen, Konzepte und Dokumente anfordern.
Zutritt zu den Betriebsräumen der Kommunikationstechnik des Bundes zu erlangen.
Mit Zustimmung von Dritten die Schnittstellen bei diesen Dritten zur Kommunikationstechnik des Bundes kontrollieren, Unterlagen anfordern etc.
Die Ergebnisse aus (1) bis (3) der zuständigen Fachaufsicht mitteilen.
Ausgenommen ist Auslands-IKT des Auswärtigen Dienstes.
Ausgenommen ist Informations- und Kommunikationstechnik für die Bundeswehr.

Dazu erlaubt der neue §5a dem BSI, behördeninterne Protokolldaten zum Erkennen von Störungen in der Kommunikationstechnik und Angriffen auf die IT des Bundes zu verarbeiten.

Mit dem geänderten §8 wird das BSI ermächtigt, verbindliche Mindeststandards für die Sicherheit der Bundes-IT festzulegen.

Neue Zertifizierungen

Mit dem neuen §9a wird das BSI zur nationalen Behörde für Cybersicherheitszertifizierung nach Art. 58 (7-8) EU-Verordnung 2019/881 und darf Konformitätsbewertungsstellen eine Tätigkeitserlaubnis erteilten und Zertifikate überprüfen und wiederrufen.

Mehr Personal

Von den im Entwurf in E.3 und 4.c. 1.585,80 angemeldeten Stellen für die Erfüllung der zusätzlichen Aufgaben in der Bundesverwaltung entfallen 799 neue Planstellen auf das BSI.

Weitere Änderungen

Stärkere Sanktionen

Die Ordnungswidrigkeiten und Bußgelder erhöhen sich im IT-Sicherheitsgesetz 2.0 merklich.

Ordnungswidrigkeiten

§14 (1-4) legt deutlich mehr vorsätzliche oder fahrlässige Verstöße gegen KRITIS-Vorgaben als Ordnungswidrigkeiten fest, u.a.:

Zusammenfassung Verstöße im Entwurf IT-Sicherheitgesetz 2.0, Stand Mai 2021
Verstöße	BSIG-E
Fehlende Nachweise	§8a (3) §8a (3)
Fehlende Störungsmeldungen, mangelnde Zusammenarbeit	§5b (6) §7c (1) §8a (3) §8b (6) §8b (4) §8c (3) §8f (7)
Fehlende Maßnahmen	§8a (1) §8c (1) §8f (1)
Fehlende Registrierung und Kontaktstelle	§8b (3) §8f (5)
Mangelnde Informationen	§7a (2) §8c (4) §8a (4) §8b (3a)
Fehler bei Zertifizierungen	§9a (2) §9c (4) Art. 55 und 56 (EU) 2019/881

Bußgelder

§14 (5) definiert dazu deutlich höhere Bußgelder für diese Ordnungswidrigkeiten. Es gibt nun Geldbußen bis zu 2 Mio. EUR, mit Verweis auf §30 Abs. 2 OWiG bis zu 20 Mio. EUR als juristische Person (Organ).

Neue Gütesiegel

Der neue §9c beschreibt ein freiwilliges IT-Sicherheitskennzeichen für IT-Produkte, die das BSI noch in Produktkategorien festlegt. Das BSI definiert die Sicherheitsanforderungen mittels bestehender Normen und Standards oder regelt diese in einer Technischen Richtlinie. Das Sicherheitskennzeichen besteht aus zwei Teilen — einer Herstellererklärung, die Sicherheitseigenschaften des Produkts zusichert und eine Sicherheitsinformation des BSI zum Produkt.

Die Kennzeichen werden durch das BSI erteilt, freigegeben, geprüft und auch widerrufen.

Eingeschränkte Grundrechte

Nach dem geänderten §11 wird das Fernmeldegeheimnis nun durch §4a, §5, §5a, §5b, §5c, §7b und §7 eingeschränkt — vormals nur §§5 und 5a.

Mehr Begriffsbestimmungen

In der Begriffsdefinition in §2 werden eine Vielzahl neuer Begriffe aufgenommen und näher definiert: Kommunikationstechnik des Bundes, Protokollierungsdaten, IT-Produkte, Systeme zur Angriffserkennung, kritische Komponenten, der Sektor Siedlungsabfallentsorgung, Unternehmen im besonderen öffentlichen Interesse.

Änderungen an weiteren Gesetzen

Mit dem neuen IT-Sicherheitsgesetz 2.0 werden weitere Gesetze geändert:

Telekommunikationsgesetz (TKG) — teilweise schon umgesetzt
Energiewirtschaftsgesetz (EnWG)
Außenwirtschaftsverordnung
Zehntes Buch Sozialgesetzbuch

Der weitere Weg

Gesetzgebung

Das IT-Sicherheitsgesetz 2.0 ist am 28. Mai 2021 in Kraft getreten, nachdem es am Tag zuvor im Bundesgesetzblatt veröffentlicht wurde.

Der erste von mehreren Entwürfen vom IT-Sicherheitsgesetz 2.0 wurde 2019 veröffentlicht. Am 23. April 2021 wurde das neue IT-Sicherheitsgesetz 2.0 vom Bundestag in der Fassung vom Innenausschuss (19/28844) beschlossen, am 7. Mai 2021 vom Bundesrat. Die überarbeitete KRITIS-Verordnung ist als KritisV 2021 bekannt.

Versionen IT-Sicherheitsgesetz 2.0, Stand 28. Mai 2021
aus: AG KRITIS und Bundestag: Gesetzgebung
Status	Fassung	Datum	Nr.
Bundesregierung	diverse Verbändefassung Kabinettsfassung	2019-2020 9.12.2020 16.12.2020	Referentenentwurf
Bundesrat	Bundesratsfassung	1.1.2021	Drucksache 16/21
Bundestag, Verteilung	Bundestagsfassung	25.1.2021	Drucksache 19/26106
Innenausschuss	Änderungen Entscheidung Beschlussempfehlung	19.04.2021 20.04.2021 21.04.2021	19(4)811 19(4)812 19/28844
Bundestag	Beschlossen	23.04.2021	19/28844
Bundesrat	Beschlossen	07.05.2021	324/21 (Beschluss)
Bundespräsident
Inkrafttreten	Bundesgesetzblatt	27.05.2021	28. Mai 2021

Das IT-Sicherheitsgesetz 2.0 nimmt einige Änderungen der neuen EU NIS2-Direktive vorweg mit angepassten Sektoren und mehr Informations- und Kooperationspflichten. Mit dem KRITIS-Dachgesetz und IT-Sicherheitsgesetz 3.0 stehen ab 2023 neue Entwicklungen an – mehr Betreiber und Pflichten durch RCE und NIS2, die mittlerweile verabschiedet sind.

Evaluierung

Im IT-Sicherheitsgesetz 1.0 von 2015 legt Artikel 10 eine Evaluierung einzelner Teile des Gesetzes vier Jahre nach Inkrafttreten der Rechtsverordnung fest. Diese Evaluierung des IT-Sicherheitsgesetzes 1.0, unter Einbeziehung eines wissenschaftlichen Sachverständigen, ist bis jetzt noch nicht erfolgt.

Im IT-Sicherheitsgesetz 2.0 legt Artikel 6 eine Evaluierung von Teilen zwei Jahre nach Verkündung, von den restlichen Teilen vier Jahre nach Verkündung fest. Im Mai 2023 hat das BMI dazu den Bericht zur Evaluierung des IT-Sicherheitsgesetzes 2.0 vorgelegt.

Insgesamt ist der Bericht mit 15 (inhaltlichen) Seiten eher kurz, zumal neben der eigentlichen Bewertung des IT-Sicherheitsgesetzes diverse Hintergrundinformationen zu Historie und Inhalt des Gesetzes beinhaltet sind. Input für die Evaluierung war:

Das BSI hat im Februar/März 2023 eine Online-Befragung unter KRITIS-Betreibern durchgeführt, an der knapp 400 Betreiber (von 1.800) teilgenommen haben.
Das BMI und das BSI haben weitere Fachkreise angeschrieben und um Stellungnahme zur Wirksamkeit des IT-Sicherheitsgesetzes gebeten, darunter UP KRITIS, Fachverbände, Universitäten, Forschungseinrichtungen, das IDW etc. Aus dem Bericht geht nicht hervor, welche Organisationen Stellung genommen haben; nicht alle angefragten Organisationen haben sich beteiligt.

Die Kernergebnisse der Evaluierung sind:

Bereich	Ergebnis der Bewertung
§ 2 Abs. 10 BSIG: Begriffsbestimmungen im KRITIS-Kontext	Die Begriffsbestimmung im KRITIS-Kontext hat sich aus Sicht des BMI grundsätzlich bewährt. Mit der Umsetzung der NIS2-Richtlinie wird voraussichtlich eine grundsätzliche Neustrukturierung der Begrifflichkeiten erforderlich werden. Hierbei sollte sichergestellt werden, dass in der nationalen Umsetzung Begriffe verwendet werden, aus denen sich auch semantisch die Abstufung der drei Begriffskategorien (Kritische Infrastrukturen, wesentliche Einrichtungen, wichtige Einrichtungen) unmittelbar ergibt. Ebenfalls sollte sichergestellt werden, dass für die Umsetzungen der CER-Richtlinie und der NIS-2-Richtlinie in Deutschland möglichst einheitliche Begrifflichkeiten und Definitionen verwendet werden. Aus Sicht des BMI ist das bisherige Vorgehen über kritische Anlagen und Schwellenwerte weiterhin sinnvoll, da hierdurch eine zielgenauere Adressierung Kritischer Infrastrukturen erfolgen kann als durch andere allgemeine Kriterien wie die Mitarbeiteranzahl oder den Umsatz bei NIS2.
§ 8a BSIG: Umsetzung angemessener organisatorischer und technischer Maßnahmen und Nachweise	Manche Betreiber wünschen sich die Möglichkeit, KRITIS-Nachweise in einem dreijährigen Zyklus zu erbringen, um dies an die Zertifizierungszyklen auf Basis von ISO/IEC 27001 etc. anzugleichen. Eine grundsätzliche Wahlmöglichkeit zwischen zwei- und dreijährigem Rhythmus lehnt das BMI aus Gründen der Gleichbehandlung ab. Einen dreijährigen Rhythmus erachtet das BMI für zu lang, um der Cyberbedrohungslage und den dynamischen technischen Weiterentwicklungen gerecht zu werden. Einige Fachkreise fordern bei der Abwägung der Angemessenheit der Maßnahmen auch eine explizite Nennung einer erforderlichen Wirksamkeit der Maßnahmen. Dies wird im Zuge der NIS2-Umsetzung ohnehin erforderlich und sollte daher auch bei einer Neuformulierung entsprechend aufgenommen werden. Die Nutzung branchenspezifischer Sicherheitsstandards (B3S) hat sich aus Sicht des BMI und der KRITIS-Betreiber bewährt. Zwei Drittel der im Rahmen der Umfrage befragten Unternehmen (68 %) haben derzeit einen B3S. 80 % dieser Unternehmen setzen diesen auch für das Nachweisregime ein. 69 % der befragten Unternehmen mit B3S sind der Überzeugung, dass dieser Standard ihnen einen Mehrwert bringt. Der mit dem IT-Sicherheitsgesetz 2.0 eingeführte verpflichtende Einsatz von Systemen zur Angriffserkennung nach Stand der Technik wird als positiv betrachtet. Einzelne Fachkreise aus der Wissenschaft fordern für KRITIS-Betreiber mit besonders hohem Schutzbedarf der IT zusätzlich auch regelmäßige Scans der externen Angriffsfläche („External Attack Surface“ (EAS) Scans).
§ 8b BSIG: BSI als zentrale Stelle für Sicherheit Kritischer Infrastrukturen	Das BSI steht bei den befragten Unternehmen an erster Stelle bei der Kommunikation von Sicherheitsvorfällen. In Bezug auf den Informationsaustausch zwischen BSI und KRITIS-Betreibern wird betreiberseitig eine engere Anbindung an das Lagezentrum des BSI gewünscht. Das BMI prüft aktuell die Möglichkeit sektorspezifischer CERTs. Zudem soll das geplante BSI Information Sharing Portal den Informationsfluss verbessern. Betreiberseitig gibt es den Wunsch, die meldepflichtigen Vorfälle auf jene einzuschränken, die tatsächlich zu erheblichen Beeinträchtigungen der KRITIS-Funktionsfähigkeit geführt haben. Aus Sicht des BMI ist die Meldung von potenziellen oder rechtzeitig mitigierten Vorfällen jedoch sinnvoll, um neuartige Cyberangriffe oder -bedrohungen zu erkennen. Im Zuge der NIS2-Umsetzung soll geprüft werden, inwieweit eine weitere Konkretisierung meldepflichtiger Vorfälle im BSIG erfolgen kann, um den Betreibern bessere Hilfestellungen zu geben. Seitens der KRITIS-Betreiber wurde das Anliegen vorgebracht, das Melde- und Informationswesen des BSIG möglichst synchron zum neu aufzubauenden Störungsmonitoring des KRITIS-Dachgesetzes zur Umsetzung der CER-Richtlinie zu gestalten. Das BMI unterstützt dies.
§ 8d BSIG: Anwendungsbereich des BSIG	Für die im BSIG formulierten horizontalen Cybersicherheitsanforderungen bestehen in bestimmten Teilsektoren Ausnahmeregelungen, z. B. im AtG, TKG und EnWG. Die bestehenden sektorspezifischen Vorgaben in anderen Gesetzen müssen regelmäßig auf ihre Angemessenheit geprüft und ggf. an Änderungen im BSIG angepasst werden, damit das Sicherheitsniveau über alle Sektoren vergleichbar bleibt. Im Energiesektor sollte geprüft werden, ob die geteilte Regulierung mittels BSIG und EnWG sowie die Aufsicht durch BSI und BNetzA übersichtlicher gestaltet bzw. vereinheitlicht werden kann. Im Finanzsektor sollte im Hinblick auf die DORA-Verordnung in der Umsetzung der entsprechenden europarechtlichen und nationalen gesetzlichen Vorschriften ein eng abgestimmtes Vorgehen zwischen BMI und BMF sichergestellt werden.
§ 8e BSIG: Auskunftsverlangen Dritter	Es besteht sowohl aus Sicht der KRITIS-Betreiber als auch aus Sicht des BMI weitergehender Konkretisierungsbedarf. Insbesondere dürfen durch Auskunftsersuche und etwaige Tranparenzvorgaben keine potenziellen Sicherheitsrisiken für KRITIS entstehen. Im Zuge der NIS-Umsetzung sollten daher weitergehende Einschränkungen der verpflichtenden Informationsweitergabe vorgesehen werden.
§ 10 Abs. 1 BSIG: Ermächtigung des BSI zum Erlass von Rechtsverordnungen	Konkrete Änderungswünsche am Verfahren wurden nicht genannt. Es soll daher auch zukünftig im Zuge der NIS2-Umsetzung in vergleichbarer Form beibehalten werden. Insbesondere soll hier aus Sicht des BMI sichergestellt werden, dass die Umsetzungen der CER- und der NIS2-Richtlinie möglichst einheitlich erfolgt.

Eine weitere lesenswerte Stellungnahme des Normenkontrollrats ist in der Bundestagsfassung 19/26106 vom IT-Sicherheitsgesetz 2.0 ab Seite 100 zu lesen.

Weitere Informationen

Literatur

Webinar IT-Sicherheitsgesetz 2.0 und KRITIS-Neuerungen, virtueller OpenKRITIS-Austausch zu den Auswirkungen vom IT-SiG 2.0, 17 Juni 2021, online
EN German IT security act 2.0 – IT-Sicherheitsgesetz 2.0, English, PDF
IT-Sicherheitsgesetz 2.0, Foliensatz mit den wichtigsten Änderungen auf Deutsch, 12 Folien, PDF
KRITIS-Verordnung 2.0 auf OpenKRITIS
KRITIS-Anlagen 2021 auf OpenKRITIS
Fragen und Antworten zur 2. Änderungsverordnung der BSI-Kritisverordnung, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
Fragen und Antworten zum Einsatz von Systemen zur Angriffserkennung, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
Fragen und Antworten zur Registrierung (§8b Absatz 3a BSIG), Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
Bundesrat kritisiert mangelnde Einbindung der Länder bei IT-Sicherheit, Beschluss Bundesrat, 7.5.2021
Stellungnahme des Bundesrates und Gegenäußerung der Bundesregierung zum Entwurf vom 25.01.2021 (Drucksache 19/26106 ), Deutscher Bundestag, Drucksache 19/26921 24.02.2021
Notbremse für den Entwurf! - Stellungnahme der AG KRITIS zum 3. Entwurf des IT-SiG 2.0, AG KRITIS 03.12.2020
IT-Sicherheitsgesetz 2.0: Dritter Referentenentwurf veröffentlicht, Dr. Dennis-Kenji Kipker, Beck-Community, 21.11.2020
Wenig Beifall für das geplante IT-Sicherheitsgesetz 2.0, Anhörung des Ausschusses für Inneres und Heimat im Bundestag, 01.03.2021
ENISA-Report National Capabilities Assessment Framework, European Union Agency for Cybersecurity, December 2020

Quellen

Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, IT-Sicherheitsgesetz 2.0, Bundesgesetzblatt, 2021 Nr. 25, 27. Mai 2021
Beschluss des Bundesrates - Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, Bundesrat, Drucksache 324/21 (Beschluss), 07.05.21
BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
Anlage 1: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung mit Vorblatt und Begründung, Intrapol.org, 26.4.2021
Anlage 2: Inoffizielle Lesefassung der Änderungsverordnung, Intrapol.org, 26.4.2021
Gesetz zur Erhöhung der IT-Sicherheit mit Koalitionsmehrheit beschlossen, Bundestag 23.04.2021
Beschlussempfehlung und Bericht zu dem Gesetzentwurf der Bundesregierung Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme, Deutscher Bundestag, Drucksache 19/28844, 21.4.2021
Ausschuss gibt grünes Licht für IT-Sicherheitsgesetz 2.0, Bundestag Inneres und Heimat/Ausschuss - 21.04.2021 (hib 527/2021)
Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0), Pressemitteilung Innenministerium 16.12.2020
Kabinett beschließt Entwurf für IT-Sicherheitsgesetz 2.0, Pressemitteilung Innenministerium 16.12.2020
IT-Sicherheitsgesetz 2.0 - alle verfügbaren Versionen, AG KRITIS, 21. April 2021
BMI-Bericht zur Evaluierung des IT-Sicherheitsgesetzes 2.0, Intrapol.org, 03.05.2023

Das IT-Sicherheits­gesetz 2.0