IT-Sicherheitsgesetz 2.0

Nationale Regelung

Adressat: Das IT-SiG 2.0 ist als Artikelgesetz die geplante Weiterentwicklung und Anpassung des existierenden BSIG. Zielsetzung des Gesetzgebers war die Gewährleistung der Cyber- und Informationssicherheit. Als Reaktion auf das anhaltend hohe Gefahrenpotential der qualitativ immer ausgefeilteren und für alle Betroffenen gefährlichen Cyber-Angriffe und der zunehmenden Verbreitung von IoT-Geräten soll die IT-Sicherheit für die Gesellschaft, die Wirtschaft und den Staat ausgeweitet werden. Zum Schutz der Bürger sieht das IT-SiG 2.0 die Einführung eines einheitlichen IT-Sicherheitskennzeichens vor, welches IT-Sicherheit für Bürger bereits beim Kauf sichtbar macht und wodurch der Verbraucherschutz in den Blickwinkel des BSI gerät. Internetdiensteanbietern wiederum wird die Pflicht auferlegt, im Falle von Cybercrimevorfällen Inhalte zu löschen, zu melden und Bestandsauskünfte zu erteilen. Die bisher für Betreiber Kritischer Infrastrukturen bestehenden Meldepflichten und die Verpflichtung zur Einhaltung von Mindeststandards werden auf weite Teile der Wirtschaft ausgeweitet.

Relevante Normen: Art. 1 Nr. 1 lit. e), Nr. 13 lit. a), Nr. 13 lit. b), Art. 1 Nr. 16; Art. 1 Nr. 18

Regelungsgehalt:

Art. 1 Nr. 1 lit. e): § 2 BSIG soll dahingehend geändert werden, dass explizit Kernkomponenten für Kritische Infrastrukturen definiert werden. Dabei handelt es sich um IT-Produkte, die dem Betrieb von Kritischen Infrastrukturen dienen und für diesen Zweck besonders entwickelt oder geändert werden. Hierbei werden IT-Systeme in den  Sektoren Energie, Wasser, Informationstechnik und Telekommunikation, Ernährung, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr sowie Entsorgung aufgenommen.

Art. 1 Nr. 13 lit. a): § 8a Abs. 1a BSIG erweitert die Pflichten für Betreiber Kritischer Infrastrukturen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Systeme, um in Zukunft explizit auch Systeme zur Angriffserkennung vorzuhalten.

Art. 1 Nr. 13 lit. b): Bei der Beschaffung von Kernkomponenten haben die Betreiber von Kritischen Infrastrukturen in Zukunft darauf zu achten, dass § 8a Abs. 6 BSIG vorsieht, dass diese nur von solchen Herstellern bezogen werden dürfen, die vor dem erstmaligen Einsatz der Komponenten eine Erklärung über ihre Vertrauenswürdigkeit gegenüber dem Betreiber der Kritischen Infrastruktur abgegeben haben.

Art. 1 Nr. 16: Hersteller von IT-Produkten haben in Zukunft voraussichtlich gem. § 8h Abs. 1 S. 1 BSIG erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Produkte unverzüglich dem BSI zu melden, wenn die Anwendung des IT-Produkts zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit von nach dem BSIG besonders beschützten Betrieben führen kann. Dabei hat die Meldung insbesondere Angaben zur Natur der Störung, zu grenzüberschreitenden Auswirkungen sowie den technischen Rahmenbedingungen enthalten, § 8h Abs. 1 S. 2 BSIG.

Art. 1 Nr. 18: Die mitunter bedeutendste Änderung stellt die Einführung eines freiwilligen IT-Sicherheitskennzeichens, geregelt in §9a BSIG, dar. Dieses soll gem. § 9a Abs. 2 BSIG aus zwei Kernkomponenten bestehen:

  • eine Erklärung des Herstellers der jeweiligen Produkte, in welcher dieser das Vorliegen bestimmter IT-Sicherheitseigenschaften des Produkts für zutreffend erklärt (sog. Herstellererklärung)
  • eine Information des BSI über Sicherheitslücken oder sonstige Informationen über sicherheitsrelevante IT-Eigenschaften (BSI-Sicherheitsinformation)

Ähnliche Einträge