IT-Sicherheitsgesetz 2.0: BSI wird gestärkt

Public Governance Frühjahr 2021

Am 16.12.2020 hat die Bundesregierung den Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) beschlossen. Es schreibt das IT-Sicherheitsgesetz von 2015 fort und regelt unter anderem den Schutz der Bundesverwaltung, von kritischen Infrastrukturen (KRITIS) und von Unternehmen im besonderen öffentlichen Interesse sowie den Verbraucherschutz.

So stärkt das neue Gesetz die Kompetenzen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Das BSI wird unter anderem befugt, Kontroll- und Prüfbefugnisse gegenüber der Bundesverwaltung auszuüben. Bei wesentlichen Digitalisierungsvorhaben des Bundes soll das BSI beteiligt werden. Die Dauer zur Speicherung von Protokolldaten zum Zwecke der Abwehr von Gefahren für die Kommunikationstechnik des Bundes wird von drei auf zwölf Monate verlängert. Das BSI darf diese Daten zur Abwehr von Gefahren verarbeiten. Darüber hinaus wird das BSI befugt, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen zu detektieren sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen. Laut Medieninformationen sollen für die erweiterten Aufgaben im BSI rund 800 neue Stellen geschaffen werden.

Betreiber kritischer Infrastrukturen werden nach dem neuen Gesetz verpflichtet, Systeme zur Angriffserkennung einzusetzen. Über eine Änderung im Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsgesetz – EnWG) gilt diese Pflicht auch für Betreiber von Energieversorgungsnetzen und Energieanlagen. Auch Unternehmen der Abfallwirtschaft zählen zukünftig zu den kritischen Infrastrukturen und müssen sich an die Regeln des IT-Sicherheitsgesetzes 2.0 halten. Darüber hinaus enthält der Gesetzentwurf Regelungen zur Stärkung des Verbraucherschutzes. So ist etwa die Einführung eines IT-Sicherheitskennzeichens für IT-Produkte vorgesehen, wofür ebenfalls das BSI zuständig sein soll. Außerdem sollen künftig auch Unternehmen, die von besonderem öffentlichen Interesse sind (zum Beispiel Unternehmen der Rüstungsindustrie), den Meldepflichten kritischer Infrastrukturen unterliegen. Schließlich enthält das Gesetz auch Regelungen, nach denen das Bundesinnenministerium den Einsatz kritischer Komponenten, für die eine Zertifizierungspflicht besteht, untersagen kann. Dieser Aspekt erzielte mediale Aufmerksamkeit vor allem vor dem Hintergrund des Ausbaus der 5G-Mobilfunknetze.