Das Bundesministerium des Innern, für Bau und Heimat (BMI) hat Ende März 2019 einen Referentenentwurf unter dem Titel „Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0)“ in die Ressortabstimmung eingebracht.
Ausgangspunkt für die Regulierung sogenannter „kritischer Infrastrukturen“ sind zunächst die EU-NIS-Richtlinie 2016/1148 und deren Umsetzung durch das im Juni 2015 in Kraft getretene IT-Sicherheitsgesetz (IT-SiG). Mit zwei konkretisierenden Rechtsverordnungen aus den Jahren 2016 und 2017 wurden zuvor erstmals Schwellenwerte definiert, welche die Einstufung einer Anlage als „kritische Infrastruktur“ festlegen. Die im ersten IT-SiG festgeschriebene zweijährige Umsetzungsfrist läuft für die Sektoren des „zweiten Korbs“ nunmehr am 30. Juni 2019 aus. Bis dahin müssen alle Betroffenen die Umsetzung der vorgeschriebenen Maßnahmen nachgewiesen haben.
Beeinflusst von der steigenden Abhängigkeit und Gefährdung informationstechnischer Systeme im Zeitalter der Digitalisierung soll das Schutzniveau nun angepasst und weiter verbessert werden. Der vorliegende Entwurf verfolgt dabei einen „ganzheitlichen Ansatz“ und enthält (neue) Maßnahmen und Änderungsvorschriften zum Schutz der Bürger, zur Stärkung des Staates, zum Schutz der öffentlichen Informationstechnik und für eine informationstechnisch robuste Wirtschaft.
Die Umsetzung soll durch Anpassungen von BSIG (BSI-Gesetz), TMG (Telemediengesetz) und TKG (Telekommunikationsgesetz) sowie die Schaffung neuer Straftatbestände mit Bezug zur IT-Sicherheit erfolgen. Wiederum handelt es sich dabei also um ein sogenanntes „Artikelgesetz“, d.h. um ein Bündel von Änderungen bzw. Ergänzungen an vorhandenen Gesetzeswerken.
Adressatenkreise, IT-Sicherheitsvorgaben und Meldepflichten
Der Referentenentwurf sieht eine erhebliche Ausweitung der Pflichten zur Einhaltung eines Mindeststandards an IT-Sicherheit und zur Meldung von IT-Sicherheitsvorfällen vor und definiert dazu weitere KRITIS-Sektoren. Neu ist die Definition sogenannter „Infrastrukturen im besonderen öffentlichen Interesse“. Dabei handelt es sich zwar nicht um unmittelbar kritische Infrastrukturen wie z.B. die Betreiber von Kraftwerken bestimmter Größen; diese Infrastrukturen werden aber nun ebenso behandelt. Dazu zählen v.a. Rüstungsindustrie, Kultur und Medien sowie Unternehmen von erheblicher volkswirtschaftlicher Bedeutung. Eine Konkretisierung dürfte einer nachfolgenden Rechtsverordnung vorbehalten sein.
Während beim ersten IT-SiG noch umstritten war, ob Zulieferer von KRITIS-Betreibern erfasst und zur Einhaltung der Vorgaben zumindest mittelbar verpflichtet sind, ist dies nun definiert. Zugleich sollen die Anforderungen an die Maßnahmen zum Schutz der Informationstechnik verschärft werden, etwa durch eine Pflicht zum Einsatz von Systemen zur Angriffserkennung. Dies bedeutet in der Praxis die Einrichtung und den Betrieb eines SIEM-Systems (Security Information and Event Management) im Rahmen eines bestehenden ISMS (Information Security Management Systems) nach den Vorgaben des BSI.
Hersteller von IT-Produkten
Neu sind die vom BSI aufzustellenden Mindeststandards für die bisher bekannten „KRITIS-Kernkomponenten“ (Assets der kritischen Infrastrukturen): Es dürfen z.B. nur noch solche Anlagen/Komponenten verbaut werden, die eine „Vertrauenswürdigkeitserklärung“ durch das BSI erhalten haben. Dies betrifft die komplette Zulieferungskette kritischer Infrastrukturen. Was „KRITIS-Kernkomponenten“ sind, soll wiederum durch eine Rechtsverordnung spezifiziert werden.
Hersteller von IT-Produkten sollen zudem verpflichtet werden, erhebliche Störungen ihrer IT-Produkte an das BSI zu melden, wenn diese zu Beeinträchtigungen von KRITIS-Anlagen oder von Anlagen führen können, die für „Infrastrukturen im besonderen öffentlichen Interesse“ genutzt werden.
Weitere Kompetenzen des BSI
Das Gesetz stärkt vor allem die Rolle des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als zentrale Behörde mit sehr weitreichenden Befugnissen. So soll das BSI in Zukunft die Länder verstärkt unterstützen dürfen und seinen Betrachtungsrahmen auf allgemein vernetzte Systeme, z.B. Produktionsanlagen-ICS (Industrial Control Systems) und IoT-Systeme (Internet of Things) erweitern.
Auch die Kompetenzen und Aufgaben des BSI sollen weiter ausgebaut werden. So enthält der Referentenentwurf weitere Befugnisse des BSI, etwa zur Prüfung „öffentlich erreichbarer informationstechnischer Systeme“ auf Schadprogramme und Sicherheitslücken. Das BSI soll zukünftig Providern Verpflichtungen zum Löschen, zum Melden und zu Bestandsauskünften bei Cybercrime-Vorfällen auferlegen können. Damit würde das BSI erstmals polizeiliche, ermittelnde Aufgaben erhalten. Kritiker fragen, ob sich das BSI dadurch nicht von der präventiv agierenden Cybersicherheitsbehörde zu einem „IT-Inlandsgeheimdienst“ wandelt.
„Gütesiegel“ für IT-Produkte
Der Entwurf sieht die Einführung eines IT-Sicherheitskennzeichens vor, dessen Nutzung das BSI Herstellern von IT-Produkten gestatten kann. Das IT-Sicherheitskennzeichnen soll Verbrauchern relevante Informationen zur Sicherheit eines IT-Produkts verschaffen. Als Produktkategorien kommen hier z.B. Router oder Smart-Home-Komponenten für Privathaushalte in Betracht, die bisher oftmals (zu) niedrige Sicherheitsstandards aufweisen und für Angriffe missbraucht werden können.
Bußgelder nach Vorbild der DSGVO
Schließlich soll der Bußgeldrahmen für Verstöße von IT-Sicherheitspflichten substanziell angehoben werden. Insbesondere wenn Unternehmen vollziehbaren Anordnungen des BSI zur IT-Sicherheit nicht nachkommen, sieht der Referentenentwurf – in Anlehnung an den Bußgeldrahmen der DSGVO – eine Geldbuße bis zu 20 Millionen Euro oder 4 % des jährlichen Unternehmensumsatzes vor. Andere Verstöße sollen im Höchstmaß immerhin noch mit bis zu 10 Millionen Euro oder 2 % des Unternehmensumsatzes geahndet werden können.
Zum Vergleich: Der bisherige Bußgeldrahmen sieht 100.000 Euro als Obergrenze vor (§ 14 Abs. 2 BSIG).
Fazit
Mit dem IT-Sicherheitsgesetz 2.0 verfolgt der Gesetzgeber einen ganzheitlicheren Ansatz. Die Anforderungen sind nicht mehr ausschließlich fokussiert auf kritische Infrastrukturen, sondern beziehen sich allgemein auf die Sicherstellung bzw. Hebung der Informationssicherheit in Deutschland.
Der Referentenentwurf befindet sich in einem frühen Stadium, und die Diskussion in Gremien und Branchenverbänden hat gerade erst begonnen. Ob und in welcher Form der Entwurf einem formalen Gesetzgebungsverfahren zugeleitet wird, wird maßgeblich auch von deren Kommentierungen und Stellungnahmen abhängen. Unklar ist aktuell außerdem, wie sich der Entwurf in die durch den Cyber Security Act im März beschlossene Regelungskompetenz der ENISA einfügen wird.
Bis zum finalen Gesetzestext sind daher inhaltliche Anpassungen möglich und zu erwarten. Der Referentenentwurf gibt aber bereits eine Zielvorgabe vor. Absehbar ist schon jetzt, dass der Erfüllungsaufwand für Verwaltung und Wirtschaft signifikant sein und sich der in der Branche bestehende Fachkräftemangel nochmals verschärfen wird.
Autor: Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München