Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (2. ITSiG)

Adressatenkreis: Betreiber von kritischen Infrastrukturen (gemäß BSI-Kritisverordnung), Anbieter von Telekommunikationsdiensten bzw. Datenverarbeitungssystemen, Anbieter von Telemediendiensten und Unternehmen von besonderem öffentlichen Interesse (nach § 2 Abs. 14 BSIG).

Der nach zahlreichen vorhergegangen Referentenentwürfen am 16. Dezember 2020 beschlossene „Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ ist am 28. Mai 2021 in Kraft getreten. Damit einhergehend kommt es zu Änderungen in verschiedenen Gesetzen. Betroffen sind das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Telekommunikationsgesetz (TGK), das Energiewirtschaftsgesetz (EnWG), die Außenwirtschaftsverordnung (AWV) sowie das Zehnte Buch Sozialgesetzbuch (SGB X). Mit dem 2. ITSiG soll die Informationssicherheit optimiert und neue Maßstäbe bezüglich der Abwehr von Cyberangriffen gesetzt werden.

Hintergrund: Richtungsweisend für das 2. ITSiG ist die 2014 vom Bundeskabinett beschlossene „Digitale Agenda der Bundesregierung“ und die „Neue Cyber-Sicherheitsstrategie für Deutschland“ aus dem Jahre 2016. Erstere bildete die Grundlage für das erste ITSiG von 2015, betont erstmals die Notwendigkeit des Schutzes und der Sicherheit von VerbraucherInnen und Unternehmen und definiert Leitlinien und Anforderungen zur Erhöhung der Sicherheit informationstechnischer Systeme. Aufgrund zunehmender Bedrohung auf Informationstechnischer Ebene, bspw. durch Hackerangriffe, legte Horst Seehofer Ende 2020 die Novellierung des ITSiG vor, welche zur Verbesserung der Cybersicherheit beschlossen wurde.

Innerhalb des BSIG kommt es zu den meisten Änderungen, welche schwerpunktmäßig die Aufgaben und Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) umfassen. Es kommt zur beträchtlichen Erweiterung des Kompetenzbereichs und zur Einführung neuer Regelungsbereiche. Das BSI kann bspw. durch den neu eingefügten § 5c BSIG in bestimmten Situationen eine Bestandsdatenauskunft (gemäß §§ 95 und 111 BSIG) von geschäftsmäßigen Erbringern und Mitwirkenden von Telekommunikationsdiensten einfordern, um Angriffe auf IT-Systeme herausragender Infrastrukturen und Unternehmen zu verhindern, die aufgrund ihrer gesellschaftlichen Bedeutung besonders schutzwürdig sind. Darüber hinaus erlaubt § 7a Abs. 1 und 2 BSIG dem BSI auf dem Markt bereitgestellte oder geplante informationstechnische Produkte und Systeme zu untersuchen und dafür relevante Auskünfte (bes. technische Details) von IT-Herstellern einzufordern. Die Anordnungsbefugnis des BSI gegenüber Anbietern von Telekommunikations- und Telemediendiensten wird ebenfalls ausgedehnt. Bei Dienstanbietern mit mehr als 100.000 Kunden können Schutzziele zur Abwehr konkreter erheblicher Gefahren angeordnet werden (§ 7c BSIG). Zudem befugt § 7d BSIG das BSI zur Anordnung technischer und organisatorischer Maßnahmen bei unzureichend gesicherten, durch äußere Angriffe gefährdeten Telemedienangeboten.

Erstmals oder nach Wiederinbetriebnahme sind Betreiber kritischer Infrastrukturen (KRITIS) im Sinne des § 10 Abs. 1 BSI-Kritisverordnung u. a. dazu verpflichtet, spätestens bis zum ersten Werktag angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme zu treffen (§ 8a BSIG). Ab dem 1. Mai 2023 umfasst dies auch den Einsatz von Systemen zur Angriffserkennung. Die Erfüllung der Verpflichtung muss dem BSI alle zwei Jahre nachgewiesen werden. Des Weiteren kommt es zu einer unmittelbaren Pflicht zur Registrierung einer KRITIS beim BSI (§ 8b BSIG).

Die Sicherheitsanforderungen und Eingriffsbefugnisse des BSIG werden auf Unternehmen im besonderen öffentlichen Interesse gemäß § 2 Abs. 14 BSIG ausgeweitet. Der neue § 8f BSIG regelt Pflichten dieser Unternehmen, welche jedoch nicht auf Kleinst- und kleine Unternehmen anzuwenden sind und erst nach einer angemessenen Übergangsfrist geltend werden. Dazu gehören bspw. die Vorlage einer Selbsterklärung zur IT-Sicherheit alle zwei Jahre beim BSI und sich bei erster Vorlage dort zu registrieren.

Damit einhergehend wird das EnWG dahingehend geändert, dass die Absätze 1d und 1e in § 11 EnWG eingefügt werden und die neue Pflicht gegenüber Betreibern von KRITIS, Systeme zur Angriffserkennung einzusetzen, ebenfalls für Betreiber von Energieversorgungsnetzen und -anlagen gelten, die gemäß § 10 Abs. 1 BSI-Kritisverordnung als KRITIS eingestuft wurden. Sie werden auch dazu verpflichtet, ab dem 1. Mai 2023 dem BSI alle zwei Jahre einen Nachweis über die Anforderungen nach § 11 Abs. 1e zu erbringen.

Im TKG wird § 109 geändert, welcher die zentrale Vorschrift bezüglich technischer und organisatorischer Schutzmaßnahmen, die von Netzbetreibern und Diensterbringern zu ergreifen sind, darstellt. Maßnahmen verpflichteter Unternehmen hinsichtlich der Auswirkungen von Sicherheitsverletzungen für Nutzer und zusammengeschaltete Netze, umfassen nun auch die Auswirkungen von Sicherheitsverletzungen von Diensten und es besteht künftig eine Zertifizierungsverpflichtung, betreffend kritische Komponenten nach § 2 Abs. 13 BSIG, für Betreiber von öffentlichen Kommunikationsnetzen mit erhöhtem Gefährdungspotenzial gemäß § 109 Abs. 2. Überdies werden Inhalt und Erstellung des Sicherheitskonzepts konkretisiert und ein Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten erstellt. Die Vorgaben des Sicherheitskatalogs treten am 23. Dezember 2021 in Kraft.

Mit dem 2. ITSiG kommt es zu einer erheblichen Stärkung des BSI, was eine deutliche Anhebung der staatlichen Schutzfunktion mit sich bringt sowie zu einer Verschärfung der unternehmerischen Vorsorgepflichten und somit zur Verbesserung des Verbraucherschutzes.

Sie wollen vollständig über das 2. ITSiG und über weitere Rechtsänderungen informiert werden und praxisbezogene Erläuterungen erhalten? Dann nutzen Sie unser Online Rechtsinformations-System CertLex. Von unseren Beratern wird Ihnen zunächst ein individualisiertes Rechtskataster erstellt. Anschließend werden Sie monatlich über Änderungen informiert.

Klicken Sie hier, wenn Sie Interesse haben, CertLex kostenlos zu testen.