IT-Sicherheitsgesetz 2.0: Was Betreiber kritischer Infrastrukturen jetzt wissen müssen

Der Referentenentwurf zum IT-Sicherheitsgesetz (IT-SiG 2.0) liegt seit dem 27. März 2019 vor. Nun hat das Bundesinnenministerium (BMI) noch einmal nachgelegt und das Gesetzesvorhaben am 7. Mai 2020 in Form eines zweiten Referentenentwurfs weiter konkretisiert. Auch bei diesem Entwurf dürfte allerdings noch im Detail nachgebessert werden. Das neue IT-Sicherheitsgesetz fokussiert sich vor allem auf das Bundesamt für Sicherheit in der Informationstechnik (BSI). Demnach sollen die Befugnisse des BSI künftig massiv ausgeweitet werden. Die Behörde soll stärker die Rolle eines Verbraucherschützers wahrnehmen

und beispielsweise ein IT-Sicherheitskennzeichen einführen, welches die IT-Sicherheit von Produkten sichtbar machen. Außerdem soll das BSI künftig stärker mit Sicherheitsbehörden wie dem Bundeskriminalamt oder dem Verfassungsschutz zusammenarbeiten. Veränderungen soll es auch im Zusammenhang mit dem Schutz kritischer Infrastrukturen (KRITIS) geben. Für KRITIS-Unternehmen besteht aktuell eine große Unsicherheit bezüglich möglicher künftiger Auflagen, die Investitionen in Technik, Personal oder Dienstleistereinbindung nach sich ziehen könnten.

Das IT-Sicherheitsgesetz in der Praxis

Das erste IT-Sicherheitsgesetz erschien bereits im Jahre 2015. Darin wurden kritische Versorgungsbereiche definiert. Unternehmen, die in diesen Bereichen tätig waren, fielen somit in den Regelungsbereich dieses Gesetzes. Mit den zwei konkretisierenden Rechtsverordnungen aus den Jahren 2016 und 2017 wurden Definitionen veröffentlicht, die die Einstufung von Anlagen als kritische Infrastruktur festlegten und den betroffenen Unternehmen Kriterien (sog. „Schwellenwerte“) zur Bewertung ihrer Anlagen zur Verfügung stellten. Anhand dieser Kenngrößen konnten Unternehmen ermitteln, ob ihre Anlagen unter die KRITIS-Verordnung fallen.

Die beiden Rechtsverordnungen gruppierten die kritischen Sektoren in zwei Tranchen. Die im Gesetz festgeschriebene zweijährige Umsetzungsfrist lief für die erste Tranche im Juni 2018 und für die zweite Tranche im Juni 2019 aus. Bis dahin mussten alle betroffenen Unternehmen die Umsetzung der vorgeschriebenen Maßnahmen nachgewiesen haben. Inzwischen nähert sich für die Unternehmen der ersten Tranche bereits die zweijährliche Wiederholungsfrist ihrem Ende.

Die Praxis hat gezeigt, dass das Gesetz, u. a. durch die singuläre Anlagenfokussierung, deutlichen Nachbesserungsbedarf hat und der im Gesetz prognostizierte Erfüllungsaufwand für die betroffenen Unternehmen an der Wirklichkeit deutlich vorbeigeht.

Mit dem IT-Sicherheitsgesetz 2.0 verfolgt der Gesetzgeber nun offensichtlich einen ganzheitlicheren Ansatz, was im Sinne der IT-Sicherheit grundsätzlich zu begrüßen ist.

Da es sich bei dem vorliegenden Dokument um den zweiten Referentenentwurf handelt, ist die Veröffentlichung des Gesetzes in seiner abschließenden Form nicht vor Ende 2020 zu erwarten. Die konkreten Regelungen bedürfen außerdem einer Rechtsverordnung – wiederum mit zweijähriger Frist zur Umsetzung. Unter Zugrundelegung der Zeitspannen der jeweiligen Veröffentlichungen des ersten Gesetzes und seiner Rechtsverordnungen darf davon ausgegangen werden, dass die erste Frist zur Umsetzung frühestens im Jahre 2023 abläuft.

Ihr Experte für Fragen

Derk Fischer

Derk Fischer
Partner, Cyber Security bei PwC Deutschland
Tel.: +49 211 981-2192
E-Mail

Die Neuerungen des zweiten Referentenentwurfs im Überblick

Der zweite Referentenentwurf zum IT-SiG 2.0 konkretisiert den bereits im ersten Entwurf vorgestellten ganzheitlichen Ansatz und enthält Maßnahmen zum Schutz der Bürger, zur Stärkung des Staates, zum Schutz der öffentlichen Informationstechnik und für eine informationstechnisch robuste Wirtschaft.

Das Gesetz stärkt vor allem die Rolle des BSI als zentrale Behörde mit sehr weitreichenden Befugnissen. Neu ist die Übertragung von Verbraucherschutzaufgaben an das BSI, das zukünftig mit „IT-Sicherheitskennzeichen“ die IT-Sicherheit von Produkten sichtbar machen soll. Hinzugekommen ist auch, dass das BSI künftig Providern Verpflichtungen zum Löschen, zum Melden und zu Bestandsauskünften bei Cybercrime-Vorfällen auferlegen kann. Zwar ist der im ersten Entwurf vorgesehene Eingriff in das Straf- und das Strafverfahrensrecht im zweiten Referentenentwurf nicht mehr enthalten, allerdings dürfte die stärkere Zusammenarbeit des BSI mit Sicherheitsbehörden wie dem Bundeskriminalamt oder dem Verfassungsschutz nicht unbedingt für das Vertrauen der Industrie in das BSI förderlich sein. Insgesamt werden beim BSI für die Umsetzung des Gesetzes knapp 600 Planstellen geschaffen.

Der Teufel steckt aber wie immer im Detail. Im Folgenden fokussieren wir uns deshalb auf die wesentlichen Neuerungen in Bezug auf kritische Infrastrukturen.

Neuerungen für die Betreiber kritischer Infrastrukturen

Geldbußen steigen drastisch

Hat der Gesetzgeber im ersten IT-Sicherheitsgesetz noch einen Strafrahmen von 100.000 Euro je Verstoß vorgesehen, so wurde dieser nun an die Regelungen der EU-DSGVO angeglichen. Zukünftig sieht der Gesetzgeber für Verstöße maximal „Geldbußen von bis zu 20.000.000 Euro oder von bis zu 4 Prozent des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist“ vor.

Abfallwirtschaft wird kritischer Sektor

In die Liste der bestehenden kritischen Sektoren wurde die „Entsorgung von Siedlungsabfällen“ aufgenommen. Zu den konkreten Bestimmungen bleibt die kommende Rechtsverordnung abzuwarten.

Weitere Infrastrukturen sind betroffen

Neu ist auch die Definition sogenannter „Infrastrukturen im besonderen öffentlichen Interesse“. Das sind zwar nicht unmittelbar kritische Infrastrukturen, dennoch werden sie als solche behandelt. Dazu zählen die Rüstungsindustrie und Unternehmen von erheblicher volkswirtschaftlicher Bedeutung.

Im zweiten Referentenentwurf wurden ferner Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen sowie Unternehmen, die einer Regulierung durch die Verordnung zum Schutz vor Gefahrstoffen unterliegen, in diese Gruppe aufgenommen, wohin gegen der im ersten Referentenentwurf genannte Bereich „Kultur und Medien“ nicht mehr enthalten ist.

Da diese Begrifflichkeiten sehr weit gefasst werden können, sind auch hier die Konkretisierungen der Rechtsverordnung abzuwarten.

Kernkomponenten bekommen Standards

KRITIS-Kernkomponenten gab es bisher auch schon. Dazu zählten alle diejenigen Assets, die unmittelbar für den Betrieb einer kritischen Anlage notwendig waren oder deren Störung umgekehrt eine Störung einer kritischen Dienstleistung bewirkt hätte. Neu ist, dass das BSI für diese KRITIS-Kernkomponenten zukünftig explizit Mindeststandards definiert. Auch dürfen dafür künftig nur noch solche Komponenten von Herstellern verbaut werden, für die eine „Vertrauenswürdigkeitserklärung“ abgegeben wurde, die also demnach über ein BSI-Sicherheitskennzeichen verfügen. Diese Anforderung schließt die gesamte Zulieferkette des Herstellers ausdrücklich ein.

Ganzheitliche Ansätze werden wichtiger

Das BSI erweitert den Betrachtungsfokus zukünftig auch auf allgemein vernetzte Systeme, z. B. Industrial Control Systems (ICS-Geräte) oder Internet of Things Systeme (IoT-Geräte), die offene Dienste (Ports) und diverse andere Schwachstellen aufweisen können. Im Kontext mit den o. g. KRITIS-Kernkomponenten wird damit die ganzheitliche Sicht für Betreiber kritischer Infrastrukturen zukünftig in den Fokus rücken müssen.

SIEM wird explizit verpflichtend

Die Notwendigkeit zur Einrichtung von Systemen zur Angriffserkennung (sog. Security Incident & Event Management Systeme, kurz „SIEM“) und -bewältigung hat sich bisher implizit ergeben, um ein Informationssicherheitsmanagementsystem (ISMS) wirksam betreiben zu können. Im neuen IT-SiG ist diese Anforderung ausdrücklich festgeschrieben. Mehr noch, das BSI macht künftig konkrete Vorgaben zur Ausgestaltung solcher Systeme. Unter anderem wird die Pflicht zur Aufbewahrung von anonymisierten Protokolldaten von drei auf 18 Monate erhöht.

BSI entwickelt Krisenreaktionspläne

Das BSI stellt zukünftig im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sowie der zuständigen Aufsichtsbehörde des Bundes und in Abstimmung mit den jeweiligen Betreibern kritischer Infrastrukturen Krisenreaktionspläne auf. Diese sollen beteiligten Behörden, Betreiber kritischer Infrastrukturen und Betreiber weiterer Anlagen im besonderen öffentlichen Interesse in die Lage versetzen, im Notfall unverzüglich abgestimmte Entscheidungen zu treffen und angemessene Maßnahmen rechtzeitig durchzuführen.

BSI und IDW haben die Anforderungen an KRITIS-Betreiber konkretisiert

„Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“

Die bisherigen Regelungen zur Umsetzung der KRITIS-Anforderungen waren uneinheitlich. Ein allgemeingültiger, für alle KRITIS-Betreiber anwendbarer Anforderungskatalog existierte bisher nicht. Einzelne Sektoren haben daher – gemeinsam mit dem BSI – eigene branchenspezifische Sicherheitsstandards (B3S) entwickelt, um Rahmenwerke zur Auswahl, Umsetzung und Prüfung der Sicherheitsvorkehrungen zu erstellen und damit auch die Anforderungen zu konkretisieren. Solche branchenspezifischen Standards gibt es unter anderem für Einrichtungen im Gesundheitswesen (z. B. Krankenhäuser oder Labore), die Fernwärmeversorgung oder auch für die Wasserversorgung sowie Abwasserentsorgung.

Unternehmen, die nicht in den Geltungsbereich eines B3S fallen, mussten sich bislang selbst behelfen. Das war ein großer Nachteil und wegen der qualitativen und quantitativen Interpretationsspielräume naturgemäß mit gewissen Unsicherheiten verbunden.

Um dem zu begegnen, hat das BSI am 28. Februar 2020 mit der „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“ einen exzellenten, in sich schlüssigen und einheitlichen Rahmen veröffentlicht. Dieser Anforderungskatalog wurde in enger Zusammenarbeit mit dem Fachausschuss für Informationstechnologie (FAIT) des Instituts der Wirtschaftsprüfer (IDW) entwickelt und lehnt sich inhaltlich an den bereits existierenden BSI-C5-Katalog an. 

Mit diesem Anforderungskatalog gibt das BSI den KRITIS-Betreibern einen konkreten Rahmen zur Auswahl, Umsetzung und Prüfung der von ihnen gemäß § 8a Absatz 1 BSI-Gesetz (BSIG) umzusetzenden IT-Sicherheitsvorkehrungen an die Hand. Im Zusammenspiel mit dem neuen IT-Sicherheitsgesetz gewinnen die KRITIS-Betreiber damit mehr Planungssicherheit.

PwC hat bei KRITIS-Betreibern bisher bereits einen vergleichbaren Anforderungskatalog herangezogen, sodass diese Betreiber den neuen Anforderungskatalog des BSI bereits jetzt vollumfänglich erfüllen dürften.

Prüfungen rücken zukünftig auch die Wirksamkeitsbetrachtung in den Mittelpunkt

IDW PH 9.860.2 „Prüfung bei Betreibern kritischer Infrastrukturen“

Die bisher verwendeten Prüfleitfäden zur Durchführung von § 8a-Auditierungen haben gezeigt, dass die durchgeführten Auditierungen nur eine bedingte Aussagekraft hinsichtlich der dauerhaften Wirksamkeit der eingerichteten Schutzmaßnahmen hatten.

Daher hat das IDW im Mai 2020 und passend zu dem im vorherigen Abschnitt benannten neuen Anforderungskatalog des BSI mit dem Prüfungshinweis IDW PH 9.860.2 „Prüfung bei Betreibern kritischer Infrastrukturen“ einen Prüfleitfaden herausgegeben, der den §8a-Prüfern eine klare und einheitliche Prüfmethodik an die Hand gibt.

Die Wechselwirkung zwischen dem neuen Anforderungskatalog des BSI und dem IDW-Prüfungshinweis dürfte nach unserer Auffassung zu einem insgesamt einheitlicheren und qualitativ höherwertigen Sicherheits- und Prüfungsniveau für die KRITIS-Betreiber führen.

Fazit

Selbstverständlich enthält der zweite Referentenentwurf noch eine Vielzahl weiterer konkreter Änderungen. Die in unserem Beitrag vorgestellten Neuerungen stellen einen wesentlichen Ausschnitt aus dem Gesamtpaket der Veränderungen dar, der insbesondere auf die für Betreiber kritischer Infrastrukturen relevanten Bestimmungen abzielt.

Die Erfahrung aus dem ersten IT-Sicherheitsgesetz lehrt, dass bis zum finalen Gesetzestext durchaus noch inhaltliche Anpassungen möglich sind. Dennoch gibt dieser zweite Referentenentwurf eine klare Richtung vor – auch und vor allem für Betreiber kritischer Infrastrukturen. Deswegen sollten diese Unternehmen die formulierten Anforderungen bereits heute in ihren Sicherheitsstrategien berücksichtigen.

Über künftige Entwicklungen werden wir Sie auf dem Laufenden halten.

Contact us

Derk Fischer

Derk Fischer

Partner, Cyber Security & Privacy, PwC Germany

Tel.: +49 170 79 46 797

Follow us