IT-Sicherheitsgesetz 2.0 – Gesetzlich geregelte IT-Sicherheit ?
Am 28.05.2021 ist das sogenannte IT-Sicherheitsgesetz 2.0 weitgehend in Kraft getreten. Teile davon treten zum 01.12.2021 in Kraft. Es löst das IT-Sicherheitsgesetz aus dem Jahre 2015 nicht vollständig ab, sondern beinhaltet -wiederum als Artikelgesetz- Erweiterungen und Modifikationen in mehreren Gesetzen, insbesondere dem BSI-Gesetz.
Wie bereits beim ersten IT-Sicherheitsgesetz ist die Bezeichnung des Gesetzes leicht irreführend. Es regelt nämlich nicht allgemeinverbindlich die IT-Sicherheit.
Allerdings soll nun erstmals ein ganzheitlicher Ansatz der IT-Sicherheit erfolgen, was sich insbesondere an der ausführlicheren Begriffsbestimmung der Sicherheit in der Informationstechnik im BSI-Gesetz und einer Befugnis des BSI Anordnungen gegen Anbieter von Telemediendiensten zu treffen, zeigt.
Überhaupt werden die Befugnisse des BSI deutlich ausgeweitet und dessen Zuständigkeiten erhöht. Bereits beim ersten IT-Sicherheitsgesetz waren hauptsächlich betroffen, sogenannte „Betreiber Kritischer Infrastrukturen“ (KRITIS-Betreiber), deren Ausfall oder Beeinträchtigung ernsthafte Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere schwerwiegende Folgen für das Allgemeinwohl haben würden.
Dies sind insbesondere die Bereiche
• Energie
• Informationstechnik und Telekommunikation,
• Transport und Verkehr,
• Gesundheit
• Wasser
• Ernährung,
• Finanz- und Versicherungswesen.
Mit dem IT-Sicherheitsgesetz 2.0 ist nun der Sektor der „Siedlungsabfallentsorgung“ hinzugekommen.
Welche Unternehmen letztendlich dazu zählen, wird durch Rechtsverordnung bestimmt (BSI-Kritisverordnung).
Ausgenommen sind lediglich Kleinunternehmen.
Die „Betreiber Kritischer Infrastrukturen“ treffen zahlreiche Sicherungspflichten. Bei Sicherheitsverstößen bestehen auch gesonderte Meldepflichten an die Aufsichtsbehörden.
Hinzugekommen ist mit dem IT-Sicherheitsgesetz 2.0 ab dem 1.5.2023 eine Pflicht „Systeme zur Angriffserkennung“ einzusetzen.
Eine weitere Verpflichtung bezieht sich auf sogenannte Kritische Komponenten, das sind IT-Produkte, die in KRITIS eingesetzt werden und bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Funktionsfähigkeit der Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können.
Neben den Betreibern Kritischer Infrastrukturen werden nun Unternehmen im besonderen öffentlichen Interesse in den Anwendungsbereich samt Meldepflichten und Mindestanforderungen einbezogen.
Unternehmen im besonderen öffentlichen Interesse sind solche, die - ohne Betreiber Kritischer Infrastrukturen zu sein - große Bedeutung in Bezug auf die IT-Sicherheit in Deutschland haben und folgenden Gruppen zuzuordnen sind:
1.) Rüstung und IT-Produkte für staatliche Verschlusssachen
Herstellung von Rüstungsgütern (Waffen, Munition, Rüstungsmaterial und Wehrtechnik), sowie IT-Produkte für staatliche Verschlusssachen.
2.) Erhebliche volkswirtschaftliche Bedeutung
Unternehmen, die aufgrund ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland zählen und deshalb von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind, sowie deren Zulieferer, wenn sie aufgrund ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind.
3.) Gefahrstoffe der oberen Klasse
Betreiber von Betriebsbereichen der oberen Klasse mit gefährlichen Stoffen im Sinne der Störfall-Verordnung oder diesen gleichgestellten Betreibern.
Eine Konkretisierung der Unternehmen soll durch Verordnung bestimmt werden.
Autor und Ansprechpartner:
Mathias Lang, LL.M.
Rechtsanwalt
Fachanwalt für Informationstechnologierecht (IT-Recht)
Master of Laws (LL.M.) Informationsrecht
T +49 (0)711 255404-60
F +49 (0)711 255404-70
E mathias.lang@jordan-ra.com