Viel Feinschliff und einige beachtenswerte Änderungen für KRITIS-Betreiber: Der Dritte Referentenentwurf zum IT-Sicherheitsgesetz 2.0 liegt vor
25 November, 2020
Am 19. November 2020 wurde der nunmehr dritte Referentenentwurf zum IT-Sicherheitsgesetz 2.0 durch das Bundesministerium des Innern, für Bau und Heimat vorgelegt. Kurz vor Beginn der Ressortabstimmungen und der späteren Vorlage im Kabinett wurden im nun vorliegenden Referentenentwurf noch einmal deutliche redaktionelle und teilweise auch inhaltliche Anpassungen vorgenommen. Wir stellen die relevanten Aspekte für KRITIS-Betreiber vor.
Um es vorweg zu nehmen: Allein die gesteigerte Anzahl der vorgesehenen Planstellen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) −
angefordert zur Bewältigung der auferlegten Aufgaben durch das neue IT-Sicherheitsgesetz − ist ein deutlicher Indikator dafür, welche Rolle dem BSI bei der Steuerung und Überwachung der Umsetzung zentraler Sicherheitsanforderungen bei Behörden und Unternehmen mit Kritischer Infrastruktur zukünftig beigemessen wird. Waren im zweiten Referentenentwurf vom Mai 2020 noch 583 zusätzliche Planstellen für das BSI vorgesehen, sollen es nunmehr schon 799 Planstellen sein – eine Steigerung um mehr als ein Drittel innerhalb nur weniger Monate.
Ihr Experte für Fragen
Derk Fischer
Partner, Cyber Security bei PwC Deutschland
Tel.: +49 211 981-2192
E-Mail
Wichtige zentrale Neuerungen des vorherigen Referentenentwurfs bleiben bestehen
Einige zentrale Regelungsinhalte, die bereits im zweiten Referentenentwurf vom Mai 2020 enthalten waren, bleiben praktisch unverändert bestehen. Dazu gehören im Wesentlichen die folgenden Bestimmungen:
- Das BSI wird zentrale Stelle für die wesentlichen Aspekte Sicherheit in der Informationstechnik, sowohl für die Bundesbehörden als auch für die Betreiber Kritischer Infrastrukturen.
- Definition des Stands der Technik durch das BSI bei sicherheitstechnischen Anforderungen für IT-Produktkategorien und Dienste im Verbraucherbereich.
Demgegenüber wurden wichtige zentrale Regelungsinhalte neu gefasst:
- Neuer KRITIS-Sektor ist nunmehr der Bereich der „Siedlungsabfallentsorgung“ (§ 2 Absatz 10 BSIG). Der Gesetzgeber hat den bisher vorgesehenen, recht allgemein gefassten, KRITIS-Sektor „Entsorgung“ jetzt präziser gefasst.
- KRITIS-Betreiber und auch Betreiber von Energieversorgungsnetzen werden verpflichtet, Systeme zur Angriffserkennung (SIEM) einzuführen. Das ist nicht neu. Neu hingegen ist, dass diese Anforderung spätestens ein Jahr nach Inkrafttreten dieses Gesetzes umgesetzt worden sein muss.
Außerdem müssen Betreiber Kritischer Infrastrukturen für die Angriffserkennung und -nachverfolgung relevante nicht-personenbezogene Daten, die beim Betrieb einer Kritischen Infrastruktur anfallen, mindestens vier Jahre speichern – sie haben die für die Aufklärung und Strafverfolgung eines Angriffs erforderlichen Daten jedoch nicht mehr den dafür zuständigen Behörden automatisch zu übermitteln. - Neu ist auch, dass das BSI während einer erheblichen Störung sowohl von den betroffenen Betreibern Kritischer Infrastrukturen als auch von Unternehmen im besonderen öffentlichen Interesse die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen darf.
- Präzisierung der Definition von IT-Produkten im Sinne dieses Gesetzes als „Softwareprodukte sowie alle einzelnen oder miteinander verbundenen Hardwareprodukte“ (§ 2 Absatz 9a BSIG).
Die Definition für Unternehmen im besonderen öffentlichen Interesse wurde konkretisiert
Der Gesetzgeber hat den Kreis von Unternehmen erweitert, die den Regelungen des IT-Sicherheitsgesetzes unterworfen sein sollen. Das sind neben den Betreibern von Kritischer Infrastruktur zukünftig auch Unternehmen, die der Gesetzgeber als „Unternehmen im besonderen öffentlichen Interesse“ bezeichnet.
Zu den Unternehmen im besonderen öffentlichen Interesse gehören demnach zukünftig Unternehmen,
- die Güter nach § 60 Absatz 1 Nummer 1 bis 5 der Außenwirtschaftsverordnung herstellen oder entwickeln (z. B. Unternehmen der Rüstungsindustrie, Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen).
- die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören (die Kriterien für diese Unternehmen sollen sich dabei an dem Gutachten der Monopolkommission nach § 44 Absatz 1 GWB orientieren).
- Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung sind. Da betroffene Unternehmen nach der Störfallverordnung ohnehin bereits nach § 9 der Störfall-Verordnung einen Sicherheitsbericht vorlegen müssen, sieht das neue IT-Sicherheitsgesetz für diese Unternehmen noch weniger Verpflichtungen vor als für die in den beiden oberen Punkten genannten Unternehmen im besonderen öffentlichen Interesse.
Die Anforderungen an diese Unternehmen im besonderen öffentlichen Interesse liegen allerdings weit hinter den Pflichten zurück, denen Betreiber Kritischer Infrastrukturen nach diesem Gesetz unterliegen.
Demnach müssen diese Unternehmen − erstmalig zwei Jahre nach Inkrafttreten dieses Gesetzes und danach mindestens alle zwei Jahre − eine Selbsterklärung zur IT-Sicherheit beim BSI vorlegen, eine zu den üblichen Geschäftszeiten erreichbare Stelle beim BSI benennen und registrieren sowie Störungen an das BSI melden.
Für Telekommunikationsdienstleister gelten weitere Anforderungen
Für Telekommunikationsdienstleister sieht der Gesetzentwurf einige zusätzliche Auflagen vor. Zu diesen besonderen Anforderungen zählen u. a.:
Bestimmung kritischer Komponenten
Neu hinzugekommen ist, dass die Bestimmungen für „Kritische Komponenten“ wie folgt geregelt werden: „…Kritische Komponenten nach § 8d Absatz 2 Nummer 1 durch den „Katalog von Sicherheitsanforderungen“ nach § 109 Absatz 6 des Telekommunikationsgesetzes näher bestimmt. Alle übrigen kritischen Komponenten werden gesetzlich festgelegt.“ (§ 2 Abs. 13 BSIG).
Der Einsatz von kritischen Komponenten, für die auf Grund einer gesetzlichen Regelung eine Zertifizierungspflicht durch das BSI besteht, ist durch den Betreiber einer Kritischen Infrastruktur dem Bundesministerium des Innern, für Bau und Heimat (BMI) vor deren Einbau anzuzeigen. In der Anzeige ist die kritische Komponente und die Art ihres Einsatzes anzugeben.
Wichtig ist, dass das BMI den Einsatz einer kritischen Komponente bis zum Ablauf von einem Monat nach Eingang der Anzeige untersagen kann. Vor Ablauf der Frist von einem Monat nach Anzeige ist der Einsatz nicht gestattet (sog. „Untersagungsvorbehalt für Betreiber“). Interessant ist hierbei, dass diese Rolle ausdrücklich dem BMI zugedacht ist.
Bestandsdatenauskunft
Das Bundesamt für Sicherheit in der Informationstechnik „darf von demjenigen, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, über die nach den §§ 95 und 111 des Telekommunikationsgesetzes erhobenen Daten Auskunft verlangen.“ Die zur Auskunftserteilung erforderlichen Daten müssen dann auch unverzüglich an das BSI übermittelt werden.
Das BSI kann gegenüber einem Diensteanbieter mit mehr als 100.000 Kunden auch anordnen, dass er
- die in § 109a Absätze 5 oder 6 des Telekommunikationsgesetzes bezeichneten Maßnahmen trifft, oder
- technische Befehle zur Bereinigung von einem konkret benannten Schadprogramm an betroffene informationstechnische Systeme verteilt, sofern und soweit der Diensteanbieter dazu technisch in der Lage ist und es ihm wirtschaftlich zumutbar ist.
Ordnet das BSI eine Maßnahme an, so kann es gegenüber dem Diensteanbieter auch veranlassen, den Datenverkehr an eine vom BSI benannte Anschlusskennung umzuleiten. Das Gesetz sieht auch dafür passende Aufbewahrungs- und Löschfristen vor. Darüber hinaus regelt das Gesetz die fallbezogene Unterrichtung des Bundeskriminalamtes durch den Diensteanbieter.
Fazit
Mit dem nun vorliegenden dritten Referentenentwurf zum IT-Sicherheitsgesetz 2.0 steht ein weitgehend ausgereiftes Dokument zur Diskussion, das nur noch wenige weitere Änderungen bis zur Verabschiedung des Gesetzes erwarten lässt. Da dieses Gesetz noch in der laufenden Legislaturperiode verabschiedet werden soll, werden sich Betreiber Kritischer Infrastrukturen in unterschiedlicher Weise auf die Regelungen einstellen müssen:
- Die Gruppe der Betreiber, die bereits als KRITIS-Unternehmen geprüft wurden, müssen sich insbesondere im technischen Bereich auf die o.g. Neuerungen einstellen.
- Diejenigen Unternehmen, die bisher nicht den Pflichten unterlagen, nun jedoch in den Regelungsbereich des Gesetzes fallen, werden erhebliche Anstrengungen zur Umsetzung der Anforderungen unternehmen müssen. Zu dieser Gruppe gehören die Unternehmen des neuen Kritischen Sektors „Siedlungsabfallentsorgung“, Unternehmen eines kritischen Sektors, die rückwirkend vom 1. April des Vorjahres bis zum 31. März des laufenden Jahres erstmalig einen der kritischen Schwellenwerte erreicht oder überschritten haben sowie in differenzierter Weise die Unternehmen im besonderen öffentlichen Interesse.
Selbstverständlich enthält der dritte Referentenentwurf noch eine Vielzahl weiterer konkreter Änderungen. Die in unserem Beitrag vorgestellten Neuerungen stellen einen wesentlichen Ausschnitt aus dem Gesamtpaket der Veränderungen dar, der insbesondere auf die für Betreiber kritischer Infrastrukturen relevanten Bestimmungen abzielt. Deswegen sollten diese Unternehmen die formulierten Anforderungen bereits heute in ihren Sicherheitsstrategien berücksichtigen.
Auch interessant
Contact us
Hendrik Gollnisch
Kritische Infrastruktur und Sicherheitsmanagement, PwC Germany
Tel.: +49 30 2636-1500
Follow us
