Sie haben Fragen?
„Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ - so ist der Gesetzentwurf der Bundesregierung betitelt. Auf 118 Seiten befasst sich die Kabinettfassung mit Problemen, Zielen und Lösungen der IT-Sicherheit. Die zweite Version des Gesetzes konkretisiert einige Punkte der ersten Fassung und konzentriert sich auf ganzheitliche Sicherheitsstrategien.
Wichtige Neuerungen im Überblick
Geregelt wird im IT-Sicherheitsgesetz 2.0 unter anderem die Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Im Rahmen des Gesetzes erhält das BSI neue Kompetenzen, nämlich die Kontroll- und Prüfbefugnisse gegenüber der Bundesverwaltung. Plant der Bund also ein größeres Digitalisierungsvorhaben, so wird künftig das BSI frühzeitig beteiligt.
Zudem ist das BSI befugt, Schwachstellen-Management (inkl. Port-Scans) an Schnittstellen von IT-Systemen zu öffentlichen Netzwerken zu betreiben. Bei Gefahren für die Informationssicherheit kann das BSI künftig außerdem Maßnahmen gegenüber Telekommunikations- und Telemedienunternehmen anordnen.
Zur Aufgabe des BSI zählt künftig auch die Stärkung des Verbraucherschutzes. Ziel ist ein einheitliches IT-Sicherheitskennzeichen, das Verbraucher dabei unterstützt, die IT-Sicherheit von Produkten zu bewerten und so eine fundierte Kaufentscheidung zu treffen. Dazu muss das Kennzeichen Auskunft über sicherheitsrelevante Eigenschaften des Produkts geben und gewährleisten, dass Sicherheitsanforderungen wie regelmäßige Updates für einen festgelegten Zeitraum erfüllt werden.
Besonders relevant für Unternehmen und Behörden ist die Stärkung ihrer Vorsorgepflichten. Insbesondere Betreiber von kritischen Infrastrukturen, also beispielsweise Versorger und Telekommunikationsunternehmen, werden mit der neuen Gesetzesversion verpflichtet, Systeme zur Angriffserkennung einzusetzen (siehe § 8a Abs. 1a bis 1c BSIG-E). Gleiches gilt auch für Unternehmen, denen eine besondere volkswirtschaftliche Bedeutung zukommt sowie jene Unternehmen, die unter die Störfallverordnung fallen (siehe § 2 Abs. 14 BSIG-E). Nach Inkrafttreten des Gesetzes haben die Unternehmen ein Jahr Zeit, um die entsprechenden Systeme zu implementieren. Außerdem besteht für Unternehmen im besonderen öffentlichen Interesse eine Pflicht zum Nachweis der getroffenen IT-Sicherheitsmaßnahmen, der sie alle zwei Jahre durch eine Selbsterklärung nachkommen müssen.
Des Weiteren umfasst das IT-Sicherheitsgesetz 2.0 die Stärkung der staatlichen Schutzfunktion. Elementar ist hier, dass es erstmals eine Zertifizierungspflicht für kritische Komponenten in Telekommunikationsnetzen geben wird. In Zuge dessen werden übrigens auch die Bußgeldvorschriften erneuert: Im Falle eines Verstoßes können bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes fällig werden.
Der wohl strittigste Punkt bei den Neuerungen im Gesetz ist die Ausweitung der Speicherdauer von Protokolldaten auf 12 Monate. Hiergegen hat sich bereits zwei Tage nach dem Beschluss des Gesetzes der Bundesbeauftragte für Datenschutz in einer Stellungnahme geäußert. Er sieht die Gefahr einer unverhältnismäßigen Vorratsdatenspeicherung.
Fazit
Zusammenfassend ist zu sagen, dass ganzheitliche IT-Sicherheitskonzepte stärker in den Fokus gerückt werden. Da zu viele Unternehmen und Institutionen in puncto Cyber Security nachhinken, während sich die Gefahrenlage immer weiter zuspitzt, steuert die Bundesregierung nun gegen.
Präventive und detektive Maßnahmen zur frühzeitigen Erkennung von Cyberattacken, und damit die Möglichkeit, diese ebenso frühzeitig abzuwehren, sind erforderlich, um in unserer zunehmend digitalen Welt geschützt zu bleiben.
Bild (c) Pete Linforth / Pixabay
