Ziel des Gesetzes ist eine Verbesserung der IT-Sicherheit der Bundesverwaltung durch die Stärkung der Rolle des Bundesamt für Sicherheit in der Informationstechnik (BSI). Außerdem ist die Ausweitung von Pflichten für die Betreiber „Kritischer Infrastrukturen“ (KRITIS) sowie von „Unternehmen von besonderem öffentlichen Interesse“ vorgesehen. Auch Verbraucher sollen von den Neuregelungen profitieren.
Nach einer Diskussion, die bis in den März 2019 zurückreicht, wurde am 24. April 2021 das IT-Sicherheitsgesetz 2.0 im Bundestag verabschiedet, am 7.5.2021 stimmte der Bundesrats zu. Das Artikelgesetz bringt insbesondere Änderungen am Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und am Telekommunikationsgesetz. Mit Veröffentlichung im Bundesgesetzblatt werden Teile des Gesetzes in Kürze in Kraft treten. 
Als Reaktion auf vermehrte Hackerangriffe auf Bundesbehörde in den vergangenen Jahren wird dem BSI die Befugnis eingeräumt, die Sicherheit der Kommunikationstechnik des Bundes zu kontrollieren. Für die Kontrollen erhält es auch Zugang zu Grundstücken und Betriebsräumen der Kommunikationstechnik des Bundes (§ 4a BSIG n.F.). Außerdem wird das BSI zur zentralen Meldestelle für Informationen von Dritten über IT-Sicherheitsrisiken (§ 4b BSIG n.F.).
Zusätzlich wird die Position des BSI dadurch gestärkt, dass das BSI gleichzeitig als nationale Behörde für die Cybersicherheitszertifizierung fungieren soll. Die Einrichtung der Behörde wird von der europäischen VO (EU) 2019/881 gefordert.
Die Betreiber kritischer Infrastrukturen werden künftig dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen, um Bedrohungen kontinuierlich zu erfassen und auszuwerten (§ 8 a BSIG n.F.). Neu ist, dass auch für „Unternehmen im besonderen öffentlichen Interesse“ (§ 2 Nr. 17 BSIG n.F.) strengere Maßstäbe gelten. Diese haben nunmehr eine Selbsterklärung zur IT-Sicherheit vorzulegen, sich beim Bundesamt zu registrieren und eine erreichbare Stelle zu benennen (§ 8f Abs. 1 und 5 BSIG n.F.).
Um seiner Schutzpflicht gegenüber Bürgerinnen und Bürgern nachzukommen, darf das BSI IT-Produkte und IT-Systeme, die auf dem Markt bereitgestellt werden, untersuchen und hierfür auch von Herstellern Auskünfte zu technischen Details verlangen (§ 7a Abs. 1 und 2 BSIG n.F.). Kommt ein Hersteller der Aufforderung durch das BSI nicht nach, darf das BSI künftig die Öffentlichkeit hierüber informieren (§ 7a Abs. 5 BSIG n.F.).
Nach dem neuen § 7b BSIG soll das BSI auch Portscans durchführen und Sinkholes sowie Honeypots einsetzen, um Sicherheitsrisiken aufzudecken und Unternehmen hierüber zu informieren. Dabei handelt es sich um Maßnahmen an den Schnittstellen bestimmter öffentlich erreichbarer IT-Systeme von öffentlichen Telekommunikationsnetzen.
Eine wichtige Neuregelung im IT-Sicherheitsgesetz 2.0 betrifft die Befugnis, im öffentlichen Interesse künftig Verbraucher in Fragen der Sicherheit in der Informationstechnik zu warnen und zu beraten (§ 3 Abs. 1 S. 2 Nr. 14 a BSIG n.F.). Die Warnungen und Verbraucherinformationen sollen insbesondere mögliche Auswirkungen fehlender oder unzureichender Sicherheitsvorkehrungen betreffen.
Außerdem soll ein freiwilliges IT-Sicherheitskennzeichen eingeführt werden (§ 9c BSIG n.F.). Zweck des Kennzeichens ist es, für bestimmte Produktkategorien einheitlich und verständlich Informationen über die IT-Sicherheit darzustellen. Das IT-Sicherheitskennzeichen besteht aus einer Herstellererklärung und einer Sicherheitsinformation des BSI. Die Sicherheitsanforderungen, die einzuhalten sein werden, sollen in einer Technischen Richtlinie des BSI veröffentlicht werden (§ 9c Abs. 6 BSIG n.F.). Ob das freiwillige Kennzeichen auf dem Markt genutzt wird, bleibt abzuwarten.
Einzug in das BSI-Gesetz erhält eine neue Regelung über „kritische Komponenten“. Hierbei handelt es sich laut Definition (§ 2 Abs. 13 BSIG n.F.) um IT-Produkte, die in kritischen Infrastrukturen eingesetzt werden, eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben und die entweder durch Gesetz als kritische Komponente bestimmt werden oder eine bestimmte kritische Funktion realisieren. Die Regelung wird insbesondere für den Ausbau der 5G-Mobilfunktechnik interessant und war heftig umstritten. Laut dem neuen § 9b Abs. 2 BSIG dürfen kritische Infrastrukturen nur eingesetzt werden, wenn der Hersteller eine Garantieerklärung in Form einer Erklärung über seine Vertrauenswürdigkeit abgegeben hat.
Aus der Garantieerklärung soll sich ergeben, ob und wie der Hersteller sicherstellt, dass über die kritische Komponente keine Zwecke der Sabotage, Spionage oder Terrorismus verfolgt werden können. Außerdem können vom Bundesministerium des Innern, für Bau und Heimat auch Untersagungen ausgesprochen werden, wenn die Vertrauenswürdigkeit nicht gewährleistet ist.
Das Bundesministerium (BMI) verspricht sich von der gesetzlichen Neufassung mehr Verbraucherschutz und eine bessere IT-Sicherheit in Unternehmen. Die Entwürfe, das organisatorische Vorgehen und das verabschiedete Gesetz wurden von Experten aus dem Bereich der IT-Sicherheit heftig kritisiert. Die Diskussionen um ein IT-Sicherheitsgesetz 3.0 werden nicht lange auf sich warten lassen.
Weitere News zum Thema:
Massenklagen: Datenschutzverstöße können künftig Sammelklagen nach sich ziehen
DEKRA bietet kostenlosen Selbsttest zur Bewertung der IT-Sicherheit an
Schutz vor gefährlicher Schadsoftware BSI gibt Tipps zur sicheren Office-Konfiguration

Weitere Produkte zum Thema:  
Sie müssen JavaScript aktivieren, um einen Kommentar schreiben zu können.
Um Unternehmen vor wirtschaftlichen Schäden zu bewahren, rückt heute auch der Schutz vertraulicher Daten immer mehr in den Fokus.  Mitarbeiter einen Überblick zu geben über die wichtigsten organisatorischen und technischen Sicherheitsmaßnahmen zum Schutz der Informationen spielt dabei eine entscheidende Rolle.

Rechtssicher handeln in außergewöhnlichen Zeiten

IT-Sicherheit ist aufwändig und kompliziert und gerade Rechtsanwälte haben oft nicht die nötigen Ressourcen und das Know-how. Dank G DATA 365 Essentials können sich die Kanzleien vollkommen und sicher auf ihre Arbeit konzentrieren. Die IT-Sicherheit übernehmen die Profis von G DATA CyberDefense.  
Neben 150 Fachbüchern, Zeitschriften und einer Entscheidungsdatenbank bietet diese Fachbibliothek nützliche Umsetzungshilfen für die tägliche Fallbearbeitung sowie ein umfassendes Fortbildungsangebot.
(1) 1Das Bundesamt führt zur Information von Verbrauchern über die IT-Sicherheit von Produkten bestimmter vom Bundesamt festgelegter Produktkategorien ein einheitliches IT-Sicherheitskennzeichen ein. 2Das IT-Sicherheitskennzeichen trifft keine Aussage über …
30-Minuten testen

Aktuelle Informationen aus dem Bereich Wirtschaftsrecht frei Haus – abonnieren Sie unseren Newsletter:

Weitere Produkte zum Thema:

source