IT-Sicherheitsgesetz 2.0 – Was ändert sich für Unternehmen?

IT-Sicherheitsgesetz 2.0

Die Bundesregierung hat Ende vergangenen Jahres den vom Bundesinnenministerium vorgelegten Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) beschlossen. Das Gesetz regelt unter anderem den Schutz der Bundesverwaltung, kritischer Infrastrukturen (KRITIS), von Unternehmen im besonderen öffentlichen Interesse und den Verbraucherschutz.

Laut Innenminister Horst Seehofer setze die Regierung mit dem IT-Sicherheitsgesetz 2.0 „neue Maßstäbe bei der Abwehr von Angriffen im Cyberraum“. (Quelle) Der Staat, die Wirtschaft und die Gesellschaft seien im digitalen Zeitalter auf funktionierende Informations- und Kommunikationstechnik angewiesen. Es bedürfe einer kontinuierlichen Weiterentwicklung der Sicherheitsvorkehrungen.

Auswirkungen des IT-Sicherheitsgesetz 2.0 auf Unternehmen

Betreiber Kritischer Infrastrukturen werden noch mehr als bislang schon verpflichtet, Systeme zur Angriffserkennung einzusetzen und einer umfangreichen Dokumentations- und Berichtspflicht nachzukommen. „Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ (Quelle) Diese Pflicht gilt nun auch für den Bereich „Entsorgung“.  Kritische Infrastrukturen finden sich bislang unter anderem in den Branchen Energie, Ernährung, Finanz- und Versicherungswesen, Gesundheit, Informationstechnik und Telekommunikation, Wasser, Staat und Verwaltung sowie Transport und Verkehr.

Der TÜV Nord informiert zudem: „Das IT-Sicherheitsgesetz 2.0 enthält die neue Kategorie „Infrastrukturen im besonderen öffentlichen Interesse“. Diese zählen zwar nicht direkt zu den Kritischen Infrastrukturen, werden aber als solche behandelt und gehen mit den gleichen rechtlichen Verpflichtungen einher. Hierunter fallen:

  • die Rüstungsindustrie
  • der Bereich Kultur und Medien sowie
  • Anlagen und Systeme, deren Ausfall oder Beeinträchtigung zu Schäden bei Unternehmen aus dem Bereich der Prime Standards der Frankfurter Börse führen würden.

In der Gesetzesbegründung werden zudem auch Infrastrukturen aus den Bereichen Chemie und Automobilherstellung aufgelistet. Diese finden sich allerdings nicht im eigentlichen Gesetzesentwurf wieder.“

„Die bereits für Betreiber Kritischer Infrastrukturen geltenden Meldepflichten gelten künftig auch für Unternehmen, die von besonderem öffentlichen Interesse sind wie Unternehmen der Rüstungsindustrie und Verschlusssachen-IT, Unternehmen, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben sowie Unternehmen, die der Regulierung durch die Störfallverordnung unterfallen“, heißt es in einer Pressemitteilung des Bundesinnenministeriums vom 16.12.2020.

Unternehmen mit „erheblicher volkswirtschaftlicher Bedeutung“ müssen vor dem BSI nachweisen, wie sie ihre IT-Sicherheit zu verbessern gedenken. Erscheinen diese Maßnahmen dem Amt nicht geeignet oder ausreichend, kann es weitere anordnen. Betroffene Unter­nehmen müssen dem Bundesamt künftig Cyberangriffe sofort mel­den. Kritische Infrastrukturen dürfen künftig ausschließlich IT-Komponenten verbauen, die ein BSI-Sicherheitskennzeichen haben.

Stärkung des Verbraucherschutzes

„Der Verbraucherschutz wird in den Aufgabenkatalog des BSI aufgenommen. Die Grundlage für ein einheitliches IT-Sicherheitskennzeichen wird eingeführt, das die IT-Sicherheitsfunktionen insbesondere von Produkten im Verbrauchersegment erstmals für Bürgerinnen und Bürger sichtbar und nachvollziehbar macht. Zum Schutz von Betroffenen und zum Zweck ihrer Benachrichtigung wird das BSI befugt, bei Anbietern von Telekommunikationsdiensten Bestandsdatenauskünfte zu verlangen. Die Befugnis des BSI zur Untersuchung von IT-Produkten wird neu gefasst. Hersteller werden zur Auskunft über ihre Produkte verpflichtet“, schreibt das Bundesinnenministerium in seiner Information.

Bußgelder

„Verstöße gegen die gesetzlichen Forderungen werden nach dem IT-Sicherheitsgesetz 2.0 zukünftig mit Geldbußen im Stil der DSGVO geahndet. Betrug die maximale Geldstrafe bisher 100.000 Euro, können nach dem Gesetzesentwurf im Falle eines Verstoßes bis zu 20.000.000 Euro oder bis zu vier Prozent des gesamten, weltweiten Umsatzes fällig werden.“ (Quelle: TÜV Nord Group)