I. Einführung – Das IT-SiG 2.0[1]
Eine zuverlässig funktionierende Informationstechnik[2] basierend auf einer sicheren Infrastruktur ist längst zur elementaren Voraussetzung der Funktionsweise aller gesellschaftlichen Gruppen, des Staates und der Wirtschaft geworden. Cyber-Angriffe und einhergehende Verluste persönlicher Daten betreffen sowohl Kollektiv- als auch Individualinteressen. Besonders Cyber-Sicherheit ist dabei niemals statisch, weshalb ein heute zwar möglicherweise ausreichendes Schutzniveau jedenfalls kein Garant für eine erfolgreiche Abwehr der Angriffe von morgen ist.[3] Dies macht eine stetige Anpassung sowie Weiterentwicklung der Schutzmechanismen und Abwehrstrategien erforderlich.[4]
Hinter dem derzeit medial viel zitierten Schlagwort „IT-Sicherheitsgesetz 2.0“ verbirgt sich der Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme – kurz: IT-Sicherheitsgesetz 2.0, auch IT-SiG 2.0 – des Bundesministeriums des Innern, für Bau und Heimat (BMI), welcher Anfang April 2019 „öffentlich“ wurde.[5]
Entsprechend des im Koalitionsvertrag zwischen CDU, CSU und SPD normierten Auftrages[6] soll durch das IT-SiG 2.0 der mit dem geltenden Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme[7] – kurz: IT-Sicherheitsgesetz, auch IT-SiG 1.0 –geschaffene Ordnungsrahmen durch ein IT-Sicherheitsgesetz 2.0 weiterentwickelt sowie ausgebaut werden.
Etwas über vier Jahre sind seit Inkrafttreten des IT-SiG 1.0 vergangen. Ein Zeitraum, innerhalb dessen das am 12. Juli 2015 seitens der Bundesregierung abschließend beratene Gesetz[8] intendierte, sowohl sämtlichen nationalen IT-Systemen also auch den digitalen Infrastrukturen Deutschlands zu maximalem, im weltweiten Vergleich führendem Sicherheitsniveau zu verhelfen. Pointiert dargestellt, befasst sich das IT-SiG 1.0 mit der Verbesserung der IT-Sicherheit bei Unternehmen sowie in der Bundesverwaltung, auch sollen Bürgerinnen und Bürger[9] im Internet besser geschützt werden.[10] Um dies zu erreichen, werden vor allem Telekommunikationsunternehmen sowie Betreiber von Webangeboten (etwa Online-Shops) und solche sogenannter Kritischer Infrastrukturen adressiert. Wenngleich letztere Zielgruppe vorwiegend fokussiert wird, so nehmen vereinzelte Reglungen des Gesetzes auch Betreiber kommerzieller Webangebote in die Pflicht, höhere Anforderungen betreffs ihrer IT-Systeme zu erfüllen.
Erwähnenswert in diesem Zusammenhang ist gleichfalls die am 08.08.2016 in Kraft getretene Richtlinie 2016/11481 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union – sog. NIS-RL[11]. Mit dem am 29.06.2017 verkündeten Umsetzungsgesetz wurde selbige fristgerecht durch den deutschen Gesetzgeber in nationales Recht umgesetzt. Nachdem mit dem IT-Sicherheitsgesetz 1.0 in Deutschland bereits eine gute Ausgangsposition bestand, mussten insoweit lediglich einzelne ergänzende Regelungen geschaffen werden.
Der als Artikelgesetz geplante Entwurf des IT-SiG 2.0 beabsichtigt nunmehr die (erstmalige bzw. ergänzende) Änderung der folgenden zehn Gesetze: BSIG, TKG, TMG, StGB, StPO, IRG, JVEG, G 10, BKAG und AWV.[12] Insoweit stellt das IT-SiG 2.0 den wesentlichen rechtlichen Rahmen der Tätigkeiten der Bundesregierung auf dem Gebiet der IT-Sicherheit in dieser 19. Legislaturperiode dar. Es basiert auf Erfahrungen aus dem ersten IT-Sicherheitsgesetz sowie weiteren Erkenntnissen, etwa Cyber-Angriffen oder Sicherheitsvorfällen.[13]
Handlungsbedarf hinsichtlich der beitragsgegenständlicheVersion 2.0 besteht ausweislich des Referentenentwurfs insbesondere deshalb, weil sich die Bedrohungslage durch die zunehmende Verbreitung von Internet of Things (IoT)-Geräten verschärft – diese Geräte aber regelmäßig nicht unter Sicherheitsaspekten entwickelt würden und daher besonders geeignet seien, als Teil eines Bot-Netzes missbraucht zu werden.[14]
Eine Veröffentlichung des Gesetzes in seiner abschließenden Form ist nicht vor Ende 2019 zu erwarten.
II. Hintergrund: Das IT-Sicherheitsgesetz 1.0[15]
Am 25. Juli 2015 trat das IT-SiG 1.0 (in der Fassung vom 17. Juli 2015, ausgenommen Art. 8 IT-SiG) in Kraft. „Kritische Infrastrukturen schützen“ titelt insoweit die Infobroschüre[16] des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Beschlossen wurde das IT-Sicherheitsgesetz als Artikelgesetz. Folglich handelt es sich nicht um ein eigenständiges Gesetz, sondern um ein solches, das gleichzeitig mehrere bereits vorhandene Gesetze ändert. Änderungen und Erweiterungen erfuhren insoweit unter anderem das BSI-Gesetz (BSIG)[17] , das Energiewirtschaftsgesetz (EnWG) sowie das Telemedien- und Telekommunikationsgesetz (TMG bzw. TKG).
Namentlich Betreiber Kritischer Infrastrukturen[18] (KRITIS) sind Teil der seitens des Gesetzes fokussierten Adressaten. Umfasst sind dabei speziell die Bereiche der Strom- sowie Wasserversorgung, der Finanzen oder Ernährung.[19] Aufgrund der Relevanz entsprechender Versorgungsdienstleistungen würden Ausfälle oder Beeinträchtigung derselben Wirtschaft, Staat und Gesellschaft deutschlandweit gleichermaßen einschneidend tangieren. Gerade IT-Systeme im Sektor der Kritischen Infrastrukturen bedürfen demzufolge eines besonders hohen IT-Sicherheitsstandards, mithin müssen die Vertraulichkeit, Integrität, Authentizität sowie Verfügbarkeit von Daten bzw. IT-Systemen gegenwärtig sowie zukünftig verlässlich gewährleistet sein.
Während für Betreiber von Webangeboten erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme gelten, § 13 Abs. 7 TMG (geändert durch Art. 4 Nr. 1 IT-SiG in der Fassung vom 17. Juli 2015), werden Telekommunikationsunternehmen verpflichtet, ihre Kunden nicht nur zu warnen, sobald sich missbräuchliches Verhalten hinsichtlich des jeweiligen Kundenanschlusses zeigt, sondern sie müssen den Betroffenen zudem – soweit möglich – Lösungsansätze an die Hand geben, mittels derer die Störung beseitigt werden kann, § 109a Abs. 4 TMG (geändert durch Art. 5 Nr. 4 a) und b) IT-SiG in der Fassung vom 17. Juli 2015).
Ergänzend brachte das Inkrafttreten des IT-SiG 1.0 eine Erweiterung der Befugnisse und Kompetenzen des BSI mit sich, vgl. § 3 BSIG (geändert durch Art. 1 Nr. 3 IT-SiG in der Fassung vom 17. Juli 2015).
III. Entwurf des IT-Sicherheitsgesetzes 2.0: Wesentliche Neuerungen[20]
Spätestens Anfang des Jahres 2018 machte der Angriff auf das Auswärtige Amt[21] deutlich, dass der Staat seine Schutzmaßnahmen bzgl. von Cyber-Sicherheitsvorfällen betroffener Regierungsnetze anpassen müsse. Nebst der Beachtung dieses Aspektes verfolgt der Referentenentwurf insgesamt einen ganzheitlichen Ansatz. So enthält das IT-SiG 2.0 Maßnahmen zum Schutz der Gesellschaft und der Bürger, zur Stärkung des Staates bzw. zum Schutz der öffentlichen Informationstechnik und für eine resiliente Wirtschaft.[22]
Im Folgenden werden ausgewählte, besonders wesentliche Inhalte des IT-SIG 2.0 aufgegriffen und erläutert.
1. Stärkung des cybersicherheitsbezogenen Endverbraucherschutzes: Einführung eines IT-Sicherheitskennzeichens
Sowohl verbessert als auch als zusätzliche Aufgabe des BSI gesetzlich etabliert werden sollen die Aspekte des Verbraucherschutzes sowie der Verbrauchertransparenz. Zum Schutz der Verbraucher sieht der Gesetzesentwurf diesbezüglich vor, die Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen zu schaffen, welches die IT-Sicherheit der Produkte erstmals für Bürger sichtbar macht, vgl. § 9a des Entwurfs zur Änderung des BSIG (BSIG-E).[23] Ziel dessen ist es, eine fundierte Kaufentscheidung zu ermöglichen, das heißt Verbraucher sollen in die Lage versetzt werden, den Aspekt der IT-Sicherheit bei der Auswahl ihrer IT-Produkte in einfacher Form berücksichtigen zu können.
Problematisch hierbei ist jedoch, dass einer verpflichtenden Einführung eines derartigen rein national normierten IT-Sicherheitskennzeichens die seitens der EU bestehende Vollharmonisierung des Marktzugangs von Produkten entgegensteht, mithin eine gesetzliche Verwendungspflicht gegen geltendes, vorrangig anzuwendendes EU-Recht verstößt. Infolgedessen bedarf es der ausdrücklichen Normierung des freiwilligen Einsatzes eines solchen Kennzeichens, dessen Anreiz damit mutmaßlich vordergründig in der händlerseitig erstrebenswerten Abgrenzung zu sicherheitsschwächeren Produkten läge. Dies berücksichtigend, sieht der Entwurf in § 9a Abs. 1 BSIG-E vor, dass das BSI nach Maßgabe einer Rechtsverordnung gem. § 10 Abs. 2a BSIG-E (RVO IT-Sicherheitskennzeichen) für verschiedene Produktkategorien auf Antrag ein einheitliches IT-Sicherheitskennzeichen erteilt.
2. Kompetenz- und Aufgabenerweiterung des BSI[24]
Cyber-Sicherheitsvorfällen soll zukünftig gesamtheitlicher begegnet werden können. Hierzu werden die Befugnisse des BSI (das dem BMI untergeordnet ist[25]) sowie der Strafverfolgungs- und Sicherheitsbehörden zum Schutz der Bundesverwaltung und der Gesellschaft ausgeweitet werden. Aufgrund der Tatsache, dass Bedrohungen des Cyber-Raums unabhängig der Ländergrenzen bestehen, schlägt der Entwurf auch die Erweiterung der Möglichkeiten zur Unterstützung der Länder von Seiten des BSI vor.[26]
Wie bereits erwähnt, soll das BSI zukünftig mehr Verantwortung im Bereich des digitalen Verbraucherschutzes übernehmen. Auch wird es als zentrale Zertifizierungs- und Standardisierungsstelle fungieren. Gemäß der Überschrift des neu eingefügten § 4b BSIG-E wird das BSI darüber hinaus zentrale Meldestelle für die Sicherheit in der Informationstechnik sein.
Überdies wird dem BSI zukünftig ein offensiveres Vorgehen ermöglicht, allem voran zur Abwehr von erheblichen Gefahren für die Kommunikationstechnik des Bundes oder von unerlaubten Zugriffen auf eine Vielzahl von Telekommunikations- und Datenverarbeitungssystemen, vgl. § 109a Abs. 8 TKG-E. Zu nennen sind hier etwa die präventive Abwehr bzw. Bekämpfung von Botnetzen sowie Gefährdungspotentialen im Zusammenhang mit dem Internet der Dinge.[27] Weitere Befugnisse des BSI finden sich in § 4a BSIG-E, der den bereits bestehenden § 4 BSIG ergänzt. Des Weiteren enthält der Gesetzesentwurf Regelungsvorschläge zu den §§ 5, 5a, 5b, 5c und 5d BSIG.[28]
3. Erweiterung der klassischen KRITIS-Sektoren – Infrastrukturen im besonderen öffentlichen Interesse
Bereits bestehende, die Betreiber Kritischer Infrastrukturen betreffende Meldepflichten und Verpflichtungen zur Einhaltung der Mindeststandards sollen auf weitere Teile der Wirtschaft ausgeweitet werden.
So sieht § 2 Abs. 10 BSIG-E vor, dass die im Jahre 2015 festgelegten Sektoren Kritischer Infrastrukturen um den Bereich der Entsorgung erweitert werden. Hierbei handelt es sich um die Entsorgung von Siedlungsabfällen.[29]
Neu in diesem Zusammenhang ist ferner der Begriff der Infrastrukturen im besonderen öffentlichen Interesse. Selbiger stellt eine Ausdehnung des bisherigen Adressatenkreises dar. Gemeint sind diejenigen Anlagen oder Teile davon, an welchen ein besonderes öffentliches Interesse besteht, etwa weil deren Beeinträchtigung eine Gefährdung des Grundinteresses der Gesellschaft bewirken würde. Wenngleich es sich bei dieser neuen Kategorie von Infrastrukturen nicht unmittelbar um Kritische Infrastrukturen im engeren Sinne des § 2 Abs. 10 BSIG handelt, so werden die entsprechenden Infrastrukturen gesetzlich doch als solche behandelt, denn ihre Funktionsfähigkeit ist aus anderen gewichtigen Gründen von erheblichem gesellschaftlichem Interesse.[30]
Infrastrukturen im besonderen öffentlichen Interesse sind insoweit beispielsweise solche aus den Bereichen der Rüstungsindustrie, der Chemie, der Automobilherstellung sowie aus Kultur und Medien, vgl. § 2 Abs. 14 BSIG-E. Während an dem Sektor Rüstung bereits „kraft Natur der Sache“[31] ein besonderes öffentliches Interesse besteht, vgl. etwa auch § 5 AWG, kommt dem Sektor Kultur und Medien – insbesondere mit Blick auf dessen Grundrechtsrelevanz – eine „besondere Bedeutung“[32] zu. Die Pressefreiheit, die Freiheit der Berichterstattung sowie die Pluralität der Medien bilden das Fundament der freiheitlich demokratischen Grundordnung der Bundesrepublik Deutschland und genießen dementsprechend hohen Grundrechtsschutz.[33] Der Sektor Chemie, dessen Zuordnung im Vorfeld Gegenstand von Diskussionen war, unterfällt entsprechend der vorliegend in Bezug genommenen Entwurfsbegründung nicht den Kritischen Infrastrukturen, sondern wird als Infrastruktur im besonderen öffentlichen Interesse klassifiziert.[34]
Vergleichbar der Kritischen Infrastrukturen wird ausweislich des Referentenentwurfs zukünftig eine Rechtsverordnung die weiteren Infrastrukturen im besonderen öffentlichen Interesse konkretisieren. Selbige soll gem. § 10 Abs. 5 BSIG-E federführend durch das BMI bestimmt werden.
4. Cyberkritikalität: Der neue Tatbestand des § 8g BSIG-E
8g BSIG-E ermächtigt das Bundesamt, genauer das BSI, die Pflichten nach §§ 8a und 8b BSIG im gerechtfertigten Einzelfall auch einem der in Absatz 1 und 2 der Norm genannten Adressaten aufzuerlegen.
Eine Legaldefinition des Begriffs der Cyberkritikalität enthält § 8g Abs. 1 BSIG-E, dessen Voraussetzung das kumulative Vorliegen der in den Nrn. 1 und 2 der Norm genannten Merkmale ist.
Laut Gesetzesentwurf dient die Regelung des § 8g Abs. 2 BSIG-E als Auffangtatbestand und stellt sicher, dass im Einzelfall auch Unternehmen adressiert werden können, die aufgrund ihrer Größe grundsätzlich nicht adressierbar wären (etwa weil sie unter den KRITIS-Schwellenwerten liegen), allerdings aus anderen Gründen von besonderer gesellschaftlicher Relevanz sind.[35] Im Ergebnis können die technisch-organisatorischen Pflichten aus §§ 8a, 8b BSIG somit auch Anlagenbetreibern auferlegt werden, die gesetzlich weder als Kritische Infrastruktur gelten noch die Eigenschaften einer Infrastruktur im besonderen öffentlichen Interesse aufweisen. Denn folglich der Festlegung von konkreten Schwellenwerten gibt es Fälle, in denen eine Anlage oder Teile davon den entsprechenden Wert zwar nicht erreichen – der Regelung mithin prinzipiell nicht unterfielen – die Störung der IT-Sicherheit eines informationstechnischen Systems, von Komponenten oder Prozessen aber dennoch zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Erbringung der betroffenen Dienstleistung führen kann.
8g Abs. 3 BSIG-E sieht das Erfordernis einer Fristsetzung von mindestens einem Jahr vor, wodurch gewährleistet werden soll, dass den Adressaten die Umsetzung überhaupt möglich ist.
5. Meldepflicht des § 8h BSIG-E
Nach § 8h Abs. 1 BSIG-E haben Hersteller von IT-Produkten erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Produkte unverzüglich dem Bundesamt zu melden, wenn die Anwendung des IT-Produkts zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit von Anlagen nach § 2 Abs. 10 oder Abs. 14 BSIG führen kann. Diesbezüglich normiert Abs. 1 ausdrücklich, dass die Meldung Angaben zu der Störung des betroffenen IT-Produkts, zu möglichen grenzüberschreitenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache sowie zu den Auswirkungen der Störung enthalten muss. § 8h Abs. 2 BSIG-E hingegen betrifft Hersteller von KRITIS-Kernkomponenten.
Grundgedanke dieser Meldepflicht ist, dass Hersteller zumeist bereits vor den Kunden Kenntnis von Sicherheitslücken erlangen, weshalb zum Schutze der Allgemeinheit auch von den Herstellern zu fordern ist, dass Sicherheitslücken kurzfristig gemeldet werden, wodurch Schutzmaßnahmen rechtzeitig ergriffen werden können.[36]
6. Erhöhung der Bußgelder: Geldbußen im Stile der DSGVO
Nachdruck verliehen wird der Bedeutsamkeit des IT-SiG 2.0 nicht zuletzt durch die drastische Ausweitung der Möglichkeit zur Verhängung von Geldbußen. Der Katalog der Bußgeldvorschriften wurde insgesamt überarbeitet. Dabei erfolgte eine Systematisierung und Ergänzung der Bußgeldtatbestände sowie die Erhöhung der Bußgelder selbst.
Während der Gesetzgeber im IT-SiG 1.0 einen maximalen Strafrahmen von 100.000 Euro je Verstoß normierte, orientiert sich der Gesetzesentwurf zum IT-SiG 2.0 an den Sanktionsmöglichkeiten der europäischen Datenschutzgrundverordnung (DSGVO). Ziel ist es, Wertungswidersprüche der Bußgeldhöhen zu Verstößen gegen die DSGVO zu vermeiden.[37] Fortan können schwerwiegende Verstöße mit Geldbußen von bis zu 20 Millionen Euro oder 4 % des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahres geahndet werden, vgl. § 14 Abs. 2 BSGI-E.
Begründet wird dies damit, dass nur auf diese Weise Sanktionen wirksam, angemessen und abschreckend seien, da andernfalls die Gefahr bestünde, dass sich einzelne Unternehmen wegen der geringen Bußgelder aus finanziellen Gründen nicht gesetzeskonform verhielten.[38] Die bisherigen Bußgelder wären verglichen zur Wirtschaftskraft der adressierten Unternehmen zu gering, um eine lenkende Wirkung zu erzielen.[39]
7. Änderungsvorschläge das materielle Strafrecht betreffend[40]
Gegenstand entsprechender Änderungsvorschläge sind bestehende Straftaten mit IT-Bezug: §§ 202a, 202b, 202c, 202d, 303a, 303b StGB. Insoweit sieht das IT-SiG 2.0 eine Erhöhung des Strafmaßes vor. Ergänzend sollen neue Straftatbestände geschaffen werden, z.B. § 126a Abs. 1 StGB-E (Zugänglichmachen von Leistungen zur Begehung von Straftaten) oder § 200e StGB-E (Unbefugte Nutzung informationstechnischer Systeme).
8. Weiterführende Informationen
Die notwendige Gesetzgebungskompetenz des Bundes für das IT-SiG 2.0 ergibt sich aus Art. 73 Abs. 1 Nr. 7 (Telekommunikation), 74 Abs. 1 Nr. 11 (Recht der Wirtschaft) in Verbindung mit Art. 72 Abs. 2 GG. Gemäß Art. 73 Abs. 1 Nr. 8 GG hat der Bund ferner die ausschließliche Gesetzgebungskompetenz für die Rechtsverhältnisse der im Dienst des Bundes und der bundesunmittelbaren Körperschaften des öffentlichen Rechts stehenden Personen. Für den Bereich des Strafrechts ist Art. 74 Abs. 1 Nr. 1 GG einschlägig. Ausweislich des Referentenentwurfs ist, soweit die Regelungen auf Art. 74 Abs. 1 Nr. 11 GG beruhen (vgl. Art. 72 Abs. 2 GG), eine bundesgesetzliche Regelung zur Wahrung der Wirtschaftseinheit im Bundesgebiet im gesamtstaatlichen Interesse erforderlich, denn eine Regelung durch den Landesgesetzgeber würde zu erheblichen Nachteilen für die Gesamtwirtschaft führen, die sowohl im Interesse des Bundes als auch der Länder nicht tragbar wäre.[41] Begründung hierfür sei unter anderem, dass internationale Abkommen zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten voraussetzen, dass in jedem Staat nur eine einzige hoheitliche Zertifizierungsstelle existiert.[42]
Auskunft hinsichtlich der Gesetzesfolgen gibt Seite 34 des Gesetzesentwurfs. Das geplante Regelungsvorhaben der Bundesregierung bewirke danach in der Wirtschaft eine Veränderung des jährlichen Erfüllungsaufwands von rund 45,09 Milliarden Euro, wobei rund 31,20 Milliarden Euro davon aus neuen oder geänderten Informationspflichten entstünden. Darüber hinaus würde die die Wirtschaft einmalig mit rund 16,71 Milliarden Euro belastet.
Das IT-SIG 2.0 ergänzt die Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ist mithin namentlich mit dem EU-Recht sowie völkerrechtlichen Verträgen vereinbar.[43]
IV. Fazit und Ausblick
Abzuwarten bleibt, wie sich die Debatte um das IT-SIG 2.0 (weiter-)entwickelt. Kritiker äußern derzeit etwa Bedenken dahingehend, dass der Aufwand des IT-Sicherheitsgesetzes 2.0 größer sei als sein Nutzen.[44] Der Bundesverband der Energie- und Wasserwirtschaft (BDEW) fordert in seiner Stellungnahme vom 02. September 2019[45] unter anderem, „den Unternehmen für die Umsetzung und Branchendurchdringung des IT-SiG 2.0 Unterstützung seitens des BSI sowie Gestaltungsspielräume unter Maßgabe der Wirtschaftlichkeit einzuräumen“. Darüber hinaus kritisiert der BDEW, dass „zahlreiche ungenaue Formulierungen, sprachliche Inkonsistenzen sowie die Einführung von Doppelregulierungen innerhalb des Referentenentwurfs […] unmittelbar erhebliche Rechtsunsicherheit auf Seiten der Unternehmen der Energie- und Wasserwirtschaft verursachen [würden].“[46] Darüber hinaus bedürfe es einer Minimierung der Erfüllungskosten die infolge der Umsetzung der Vorschriften des IT-SIG 2.0 auf Seiten der Wirtschaft anfielen.[47]
Mit Blick auf den Rechtsakt zur Cybersicherheit des EU-Gesetzgebers vom 12. März 2019[48] gehen der nationale und der europäische Gesetzgeber jedenfalls im Hinblick auf das jeweils (wenn auch unabhängig voneinander) verfolgte Ziel der „Stärkung der Cybersicherheit“ konform. Der europäische Cybersecurity Act ist Teil eines umfangreichen Maßnahmenpakets zur Bekämpfung von Cyberangriffen und zum Aufbau einer starken Cybersicherheit in der EU, zudem schafft er einen EU-weit geltenden europäischen Zertifizierungsrahmen für die Cybersicherheit von Produkten, Verfahren und Diensten.[49] Dabei soll die Zertifizierung künftig durch die nationalen Cybersicherheits-Zertifizierungsbehörden oder durch entsprechende Konformitätsbewertungsstellen erfolgen.[50]
Resümierend ist die Gewährleistung der Cyber- und Informationssicherheit als das zentrale Schlüsselthema[51] sowohl national als auch auf Europaebene von einer ganzheitlichen Perspektive aus zu betrachten. Eine Perspektive, die der deutsche Gesetzgeber mit dem IT-SiG 2.0 zweifelsfrei einnimmt.
[1] Referentenentwurf des Bundesministeriums des Inneren, für Bau und Heimat vom 27.03.2019 – Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0 RefE)
[2] § 2 Abs. 2 Nr. 1 und Nr. 2 BSIG definieren Sicherheit in der Informationstechnik als die Einhaltung bestimmter Sicherheitsstandards durch Sicherheitsvorkehrungen 1. in informationstechnischen Systemen, Komponenten oder Prozessen oder 2. bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen.
[3] IT-SiG 2.0 RefE S. 1.
[4] IT-SiG 2.0 RefE S. 1.
[5] Volltext des RefE vom 27.03.2019 (PDF), zuletzt abgerufen am: 23.09.2019.
[6] Volltext des Koalitionsvertrages (PDF), Zeile 5872 f., zuletzt abgerufen am: 23.09.2019.
[7] BGBl. 2015, Teil I Nr. 31, S. 1324.
[8] Weidenhammer, Entwurf zum IT-Sicherheitsgesetz 2.0, 22.07.2019, zuletzt abgerufen am: 23.09.2019.
[9] Aus Gründen der Lesbarkeit wurde im Folgenden auf geschlechtsspezifische Formulierungen verzichtet.
[10] BSI, Das IT-Sicherheitsgesetz, zuletzt abgerufen am: 23.09.2019.
[11] Vgl. ABl. der Europäischen Union Nr. L 194/1 vom 19.07.2016; vertiefend hierzu vgl. BayWiDI, NIS-Richtlinie, zuletzt abgerufen am: 23.09.2019; ferner vgl. BSI, Gesetz zur Umsetzung der NIS-Richtlinie, zuletzt abgerufen am: 23.09.2019.
[12] Kipker/Scholz, MMR 2019, 431.
[13] IT-SiG 2.0 RefE S. 35.
[14] Vertiefend hierzu BSI, Botnetze, zuletzt abgerufen am: 23.09.2019.
[15] Vgl. hierzu BSI, Fragen und Antworten zum Inkrafttreten des IT-Sicherheitsgesetzes, zuletzt abgerufen am: 23.09.2019.
[16] BSI, Das IT-Sicherheitsgesetz (PDF), zuletzt abgerufen am: 23.09.2019.
[17] Hierbei handelt es sich um das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, vgl. hinsichtlich weiterer Informationen BSI, Das BSI, zuletzt abgerufen am: 23.09.2019.
[18] Gemäß § 2 Abs. 10 BSIG sind Kritische Infrastrukturen im Sinne dieses Gesetzes Einrichtungen, Anlagen oder Teile davon, die 1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und 2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden; Änderung basierend auf Art. 1 Nr. 2 IT-SiG in der Fassung vom 17. Juli 2015.
[19] BSI, Das IT-Sicherheitsgesetz, zuletzt abgerufen am: 23.09.2019.
[20] Vgl. hierzu II., Lösungen des Referentenentwurfs (PDF), zuletzt abgerufen am: 23.09.2019.
[21] Ausführlich hierzu Mascolo/Steinke/Tanriverdi, Die Geschichte eines Cyber-Angriffs, SZ vom 22.03.2018, zuletzt abgerufen am: 23.09.2019.
[22] IT-SiG 2.0 RefE S. 2.
[23] Vertiefend hierzu Kipker/Scholz, Das IT-Sicherheitsgesetz 2.0, MMR 2019, 431, 435.
[24] Vertiefend hierzu Kipker/Scholz, Das IT-Sicherheitsgesetz 2.0, MMR 2019, 431, 431 ff.
[25] Vgl. BMI, Unsere Behörden und Einrichtungen, zuletzt abgerufen am: 23.09.2019.
[26] Vgl. IT-SiG 2.0 RefE S. 2.
[27] Vgl. zur Begründung: IT-SiG 2.0 RefE S. 69 f.
[28] Vgl. IT-SiG 2.0 RefE S. 11 ff.
[29] IT-SiG 2.0 RefE S. 42; entsprechend des Gesetzesentwurfes ist Aufgabe der Entsorgung von Siedlungsabfällen, die anfallenden Abfälle zu sammeln und anschließend so zu beseitigen oder zu verwerten, sodass es dabei nicht zu einer Gefährdung der Bevölkerung und Umwelt kommt.
[30] Vgl. IT-SiG 2.0 RefE S. 43.
[31] IT-SiG 2.0 RefE S. 43.
[32] IT-SiG 2.0 RefE S. 43.
[33] Vertiefend hierzu IT-SiG 2.0 RefE S. 43.
[34] IT-SiG 2.0 RefE S. 43.
[35] IT-SiG 2.0 RefE S. 62.
[36] IT-SiG 2.0 RefE S. 63.
[37] IT-SiG 2.0 RefE S. 66 f.
[38] Vgl. IT-SiG 2.0 RefE S. 67.
[39] IT-SiG 2.0 RefE S. 67.
[40] Vgl. hinsichtlich des Inhaltes des Entwurfs den Überblick bei Greier/Hartmann, jurisPR-StrafR 13/2019 Anm. 1.
[41] IT-SiG 2.0 RefE S. 36.
[42] IT-SiG 2.0 RefE S. 36.
[43] IT-SiG 2.0 RefE S. 37.
[44] Krempl, Kritik am IT-Sicherheitsgesetz: Aufwand ist größer als der Nutzen, 04.09.2019, heise.de, zuletzt abgerufen am: 23.09.2019.
[45] BDWE, Stellungnahme zum Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 27. März 2019, Berlin, 02.09.2019, S. 2, zuletzt abgerufen am: 23.09.2019.
[46] BDWE, Stellungnahme zum Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 27. März 2019, Berlin, 02.09.2019, S. 2, zuletzt abgerufen am: 23.09.2019.
[47] BDWE, Stellungnahme zum Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 27. März 2019, Berlin, 02.09.2019, S. 2, zuletzt abgerufen am: 23.09.2019.
[48] Weiterführend hierzu Kipker/Scholz, EU-Parlament verabschiedet EU Cybersecurity Act, MMR-Aktuell 2019, 414986.
[49] Europäische Kommission, Rechtsakt zur Cybersicherheit, Brüssel, 11.12.2018, zuletzt abgerufen am: 23.09.2019; im Volltext zuletzt abgerufen am: 23.09.2019.
[50] Kipker/Scholz, MMR-Aktuell 2019, 414986.
[51] IT-SiG 2.0 RefE S. 1.
