Mit einiger Verspätung infolge der Debatte um die Beteiligung des chinesischen Netzausrüster Huawei am 5G-Ausbau sowie der Corona-Krise wurde Anfang Mai 2020 der neue Referentenentwurf für das IT-Sicherheitsgesetz 2.0 vorgelegt. Mit der Verabschiedung ist frühestens nach der parlamentarischen Sommerpause zum Herbst hin zu rechnen.
Das IT-Sicherheitsgesetz (IT-SiG), das seit 2015 die Anforderungen an die IT-Sicherheit von kritischen Infrastrukturen regelt, soll besser an aktuelle Entwicklungen angepasst werden. Von Anfang an war vorgesehen, die Regelungen nach vier Jahren auf den Prüfstand zu stellen. Jetzt liegt ein weiterer, überarbeiteter Entwurf für ein umfassendes Update, das IT-Sicherheitsgesetz 2.0, vor. Hier ein Ausblick auf die Neuerungen, welche auf die Unternehmen zukommen können:
Neue Adressaten
Bislang gehörten Dienstleister ab einer gewissen Größe zu den KRITIS-Unternehmen, wenn sie zu den sieben Sektoren Energie, ITK, Ernährung, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr und Wasser gehören. Künftig soll auch der Bereich Abfallwirtschaft zu den kritischen Infrastrukturen zählen.
Neben den KRITIS-Betreibern soll künftig eine neue Kategorie von Unternehmen ebenfalls den Anforderungen des IT-SiG unterliegen, nämlich Unternehmen „im besonderem öffentlichen Interesse”, deren Ausfall oder Beschädigung zu großen volkswirtschaftlichen Schäden, zur Gefährdung der öffentlichen Sicherheit oder zur Beeinträchtigung wichtiger staatlicher Sicherheitsinteressen führen kann. Darunter sollen beispielsweise Rüstungs- und Chemiekonzerne oder auch Hersteller sehr spezieller IT-Produkte für staatliche Behörden fallen. Welche Unternehmen und Branchen betroffen sein werden, sollen Rechtsverordnungen regeln. Die betroffenen Unternehmen sollen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ein IT-Sicherheitskonzept vorlegen, mit Angaben zu den wertschöpfungsrelevanten IT-Komponenten und der Vermeidung von Störungen.
Neue Pflichten
Betreiber kritischer Infrastrukturen erhalten durch den Gesetzentwurf neue Pflichten. So sollen künftig kritische Komponenten eines vom BSI herausgegebenen Katalog von Mindeststandards erfüllen. KRITIS-Betreiber dürfen zudem nur solche kritischen Komponenten einbauen, die von vertrauenswürdigen Herstellern stammen. Diese müssen dafür dem KRITIS-Betreiber gegenüber eine Garantieerklärung abgeben mit dem Inhalt, dass die Verwendung der Komponenten die kritische Infrastruktur nicht schädigen oder beeinträchtigen.
Neue Aufgaben
Das BSI soll mit deutlich mehr Aufgaben, insbesondere im Bereich des Verbraucherschutzes, und Befugnissen als bisher ausgestattet werden und dafür auch mehr Geld und mehr Personal erhalten. Es soll unter anderem berechtigt sein, aktiv nach ungeschützten Netzen und unsicheren Geräten und Systemen zu suchen. Außerdem soll es berechtigt sein, Betreiber von Kommunikationsdiensten zu verpflichten, mit Schadsoftware infizierte Systeme zu bereinigen.
Neue Bußgelder
Dass das IT-Sicherheitsgesetz 2.0 ernst gemeint ist, zeigt sich auch an der Höhe der Bußgelder bei Verstößen. Der Bußgeldrahmen soll auf das Niveau der DSGVO angehoben werden, also mit Höchststrafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens.