Praxishinweise von Mathias Lang, LL.M., Fachanwalt für Informationstechnologierecht (IT-Recht), Master of Laws (LL.M.) Informationsrecht

Am 28.05.2021 ist das sogenannte IT-Sicherheitsgesetz 2.0 weitgehend in Kraft getreten. Teile davon treten zum 01.12.2021 in Kraft. Es löst das IT-Sicherheitsgesetz aus dem Jahre 2015 nicht vollständig ab, sondern beinhaltet -wiederum als Artikelgesetz- Erweiterungen und Modifikationen in mehreren Gesetzen, insbesondere dem BSI-Gesetz.

Wie bereits beim ersten IT-Sicherheitsgesetz ist die Bezeichnung des Gesetzes leicht irreführend. Es regelt nämlich nicht allgemeinverbindlich die IT-Sicherheit.  Allerdings soll nun erstmals ein ganzheitlicher Ansatz der IT-Sicherheit erfolgen, was sich insbesondere an der ausführlicheren Begriffsbestimmung der Sicherheit in der Informationstechnik im BSI-Gesetz und einer Befugnis des BSI Anordnungen gegen Anbieter von Telemediendiensten zu treffen, zeigt.

Überhaupt werden die Befugnisse des BSI deutlich ausgeweitet und dessen Zuständigkeiten erhöht. Bereits beim ersten IT-Sicherheitsgesetz waren hauptsächlich betroffen, sogenannte „Betreiber Kritischer Infrastrukturen“ (KRITIS-Betreiber), deren Ausfall oder Beeinträchtigung ernsthafte Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere schwerwiegende Folgen für das Allgemeinwohl haben würden.
Dies sind insbesondere die Bereiche
• Energie
• Informationstechnik und Telekommunikation,
• Transport und Verkehr,
• Gesundheit
• Wasser
• Ernährung,
• Finanz- und Versicherungswesen.

Mit dem IT-Sicherheitsgesetz 2.0 ist nun der Sektor der „Siedlungsabfallentsorgung“ hinzugekommen.
Welche Unternehmen letztendlich dazu zählen, wird durch Rechtsverordnung bestimmt (BSI-Kritisverordnung).
Ausgenommen sind lediglich Kleinunternehmen.

Die „Betreiber Kritischer Infrastrukturen“ treffen zahlreiche Sicherungspflichten. Bei Sicherheitsverstößen bestehen auch gesonderte Meldepflichten an die Aufsichtsbehörden.

Hinzugekommen ist mit dem IT-Sicherheitsgesetz 2.0 ab dem 1.5.2023 eine Pflicht „Systeme zur Angriffserkennung“ einzusetzen.
Eine weitere Verpflichtung bezieht sich auf sogenannte Kritische Komponenten, das sind IT-Produkte, die in KRITIS eingesetzt werden und bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Funktionsfähigkeit der Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können.

Neben den Betreibern Kritischer Infrastrukturen werden nun Unternehmen im besonderen öffentlichen Interesse in den Anwendungsbereich samt Meldepflichten und Mindestanforderungen einbezogen.
Unternehmen im besonderen öffentlichen Interesse sind solche, die - ohne Betreiber Kritischer Infrastrukturen zu sein - große Bedeutung in Bezug auf die IT-Sicherheit in Deutschland haben und folgenden Gruppen zuzuordnen sind:
1.) Rüstung und IT-Produkte für staatliche Verschlusssachen
Herstellung von Rüstungsgütern (Waffen, Munition, Rüstungsmaterial und Wehrtechnik), sowie IT-Produkte für staatliche Verschlusssachen.
2.) Erhebliche volkswirtschaftliche Bedeutung
Unternehmen, die aufgrund ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland zählen und deshalb von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind, sowie deren Zulieferer, wenn sie aufgrund ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind.
3.) Gefahrstoffe der oberen Klasse
Betreiber von Betriebsbereichen der oberen Klasse mit gefährlichen Stoffen im Sinne der Störfall-Verordnung oder diesen gleichgestellten Betreibern.
Eine Konkretisierung der Unternehmen soll durch Verordnung bestimmt werden.

Im Zusammenhang mit den IT-Sicherheitsgesetzen muss man das Gesetz zur Umsetzung der NIS-Richtlinie (EU) 2016/1148 sehen.
Zwar handelt es sich im Verhältnis zu den IT-Sicherheitsgesetzen um ein eigenständiges Gesetz, gleichwohl ist es ebenfalls ein Artikelgesetz und ergänzt sowie erweitert zumindest teilweise das IT-Sicherheitsgesetz, insbesondere im BSI-Gesetz.
In diesem Gesetz werden die Meldepflichtpflichten auf Digitale Dienste wie Online-Marktplätze, Suchmaschinen und Cloud-Computing-Dienste erweitert und die Mindestanforderungen für deren IT-Sicherheit definiert.
Hinsichtlich der Digitalen Dienste sind die Vorschriften seit dem 10. Mai 2018 anwendbar.
Es handelt sich dabei somit um die dritte Gruppe innerhalb des BSI-Gesetzes, die Meldepflichten und Mindestanforderungen für deren IT-Sicherheit unterliegt.

Allerdings sind auch Telekommunikationsunternehmen und Webseitenbetreibe seit Inkrafttreten des 1. IT-Sicherheitsgesetzes unmittelbar betroffen.
Webseitenbetreiber –also Anbieter geschäftsmäßig erbrachter Telemediendienste - müssen seit Inkrafttreten des Gesetzes technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern. Davon ist jedes Unternehmen mit eigener Website betroffen.
Die entsprechenden Regelungen, die derzeit in § 13 (7) TMG ihre konkrete Ausprägung haben, sind ab 01.12.2021 in § 19 (1) u. (4) TTDSG zu finden.

Mit dem IT-Sicherheitsgesetz 2.0 werden dem BSI Befugnisse eingeräumt Anordnungen gegen Telekommunikationsunternehmen und Webseitenbetreiber zu treffen, womit hinsichtlich der Website jedes Unternehmen betroffen sein kann.

Des Weiteren werden Zertifizierung und IT-Sicherheitskennzeichen eingeführt für das dem BSI die Zuständigkeit obliegt.
Der Rahmen für Bußgelder ist mit jeweiligen Höchstbeträgen (je nach Tatbestand) von 100.000 EUR bis 2 Millionen Euro festgelegt, wobei unter Umständen eine Verzehnfachung des Maximalbetrages bis somit 20 Millionen EUR in Betracht kommen kann.

Fazit: Das IT-Sicherheitsgesetz 2.0 setzt in Kenntnis der großen Bedeutung der IT-Sicherheit weitere zeitgemäße Anforderungen um.
Es regelt hingegen nicht allgemeinverbindlich die IT-Sicherheit, wenn auch erste Ansätze in diese Richtung enthalten sind.
Unternehmen als Webseitenbetreiber, KRITIS-Betreiber, Unternehmen im besonderen öffentlichen Interesse und Erbringer Digitaler Dienste, sowie TK-Unternehmen ab einer gewissen Größenordnung, werden über das IT-Sicherheitsgesetz 2.0, bzw. das erste IT-Sicherheitsgesetz oder das Gesetz zur Umsetzung der NIS-Richtlinie (EU) 2016/1148 zu bestimmten Verhaltensweisen und Anforderungen im Rahmen der IT-Sicherheit verpflichtet.
Unternehmen außerhalb dieser Bereiche müssen ihre IT-Sicherheit selbst justieren.
Denn selbst wenn sich aus den IT-Sicherheitsgesetzen nur ansatzweise Vorgaben finden, leiten sich aus anderen Normen, wie beispielsweise dem KonTraG Verpflichtungen zur IT-Sicherheit für die Unternehmensführung her.
Allerdings ist IT-Sicherheit nicht nur aufgrund regulatorischer Anforderungen für Unternehmen wichtig, die Medien berichten ständig von Sicherheitspannen im IT-Sektor, wie beispielweise Datenverluste durch Hackerattacken, die für die betroffenen Unternehmen mit hohen Reputationsschäden verbunden sind und die sich entsprechend wirtschaftlich auswirken.
IT-Sicherheit ist damit gleichermaßen auch Reputationsschutz und eine Investition zur Abwehr von unkalkulierbaren Folgeschäden.
Insbesondere kann die Digitalisierung ohne IT-Sicherheit nicht erfolgreich umgesetzt werden.

Jedes Unternehmen sollte sich hinsichtlich der rechtlichen Anforderungen an die IT-Sicherheit spezialisiert beraten lassen.

Autor und Ansprechpartner:
Mathias Lang, LL.M.
Rechtsanwalt
Fachanwalt für Informationstechnologierecht (IT-Recht)
Master of Laws (LL.M.) Informationsrecht
T +49 (0)711 255404-60
F +49 (0)711 255404-70
E   mathias.lang@jordan-ra.com