Das IT-Sicherheitsgesetz 2.0
In eigener Sache IT-Security, KRITIS, Sicherheitsgesetz
Das IT-Sicherheitsgesetz in Deutschland verpflichtet Betreiber kritischer Infrastrukturen zur Einhaltung der KRITIS-Verordnung zur Gewährleistung der Cybersicherheit innerhalb der KRITIS-Systeme. Diese Maßnahme zielt darauf ab, die Versorgung von Wirtschaft und Gesellschaft innerhalb der KRITIS-Sektoren durch erweiterte Cybersicherheitsprotokolle sicherzustellen.
2021 brachten das IT-Sicherheitsgesetz 2.0 und die KRITIS-Verordnung 1.5 eine deutliche Ausweitung der Regulierung. Die EU NIS2 und RCE werden die Regulierung in Europa weiterentwickeln, während das deutsche KRITIS-Dachgesetz und das IT-Sicherheitsgesetz 3.0 sowie neue Rechtsverordnungen ab 2023 für weitere Aktualisierungen sorgen werden.
Ab 2023 und 2024 wird der Geltungsbereich der KRITIS-Verordnung erheblich erweitert. Diese Erweiterung wird zweifach sein; Die Breite seiner Abdeckung wird zunehmen, da viel mehr Unternehmen in seinen Zuständigkeitsbereich fallen (NIS2). Darüber hinaus wird die Tiefe mit der Einführung spezifischer Maßnahmen (NIS2) sowie mehr Resilienz (RCE, Dachgesetz) zusätzlich zum bestehenden Fokus auf Cybersicherheit zunehmen.
Wer ist betroffen?
Die KRITIS-Verordnung definiert acht KRITIS-Sektoren der deutschen Wirtschaft, in denen KRITIS-Betreiber wesentliche Dienstleistungen der öffentlichen Versorgung erbringen:
Kategorie |
Sektoren |
Grundversorgung |
Energie, Wasser, Ernährung, Gesundheit |
Versorgung |
Transport & Verkehr, Entsorgung (2.0) |
Dienstleistungen |
IT und TK |
Erweiterung 2023-2024
Die EU-Verordnung NIS 2 erweitert Schlüsselsektoren in der EU und wird bis Oktober 2024 für die nationale deutsche KRITIS-Verordnung relevant sein:
Kategorie |
Sektoren |
Annex 1 |
Energie, Transport, Banken, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, ICT Service Management, Öffentliche Verwaltung, Raumfahrt |
Annex 2 |
Post und Kurier, Abfallwirtschaft, Chemikalien, Ernährung, Industrie, Digitale Dienste, Forschung |
Ein mögliches KRITIS-Schutzgesetz im Jahr 2023 wird weitere Unternehmen umfassen, die über KRITIS-Betreiber hinausgehen und auf EU-RCEs (CERs) basieren:
Kategorie |
Sektoren |
KRITIS-Dach |
Energie, Verkehr, Banken, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser, Ernährung, Digitale Infrastruktur, Öffentliche Verwaltung, Raumfahrt |
Neue Pflichten für KRITIS-Betreiber
Angriffserkennung
KRITIS-Betreiber sind nun verpflichtet, Angriffserkennungssysteme in ihre technischen und organisatorischen Sicherheitsmaßnahmen zu integrieren. §8a (1a) schreibt vor, dass diese Systeme im Betrieb in der Lage sein müssen, Bedrohungen durch Mustererkennung zu erkennen und zu verhindern. Ab dem 1. Mai 2023 wird diese Anforderung verpflichtend, und der Nachweis der Einhaltung muss während der KRITIS-Prüfungen erbracht werden.
Entsprechend der Definition in §2 (9b) werden technische Hilfsmittel und unterstützende Prozesse genannt. Der 2022 erschienene OH SZA-Leitfaden skizziert die Anforderungen an Betreiber aus Sicht des BSI ab 2023.
Meldepflichten
Störungen
KRITIS-Betreiber und UBI sind gemäß §8b (4a) neu verpflichtet, dem BSI wesentliche Angaben, einschließlich personenbezogener Daten, zu übermitteln, die zur Behebung erheblicher Störungen erforderlich sind.
Darüber hinaus besteht nun eine Pflicht zur Offenlegung der Verwendung wesentlicher Bestandteile nach §9b.
Unmittelbare Registrierung.
Nach dem geänderten §8b (3) müssen sich Betreiber nach Identifizierung zeitnah als KRITIS-Betreiber beim BSI registrieren und eine Anlaufstelle angeben. Das kürzlich eingeführte IT-SiG 2.0 ermächtigt das BSI zudem, Betreiber eigenständig als Kritische Infrastruktur zu registrieren. Mit der Hinzufügung von §8b (3a) kann das BSI unter bestimmten Umständen Zugang zu Betreiberdokumenten verlangen, wenn Registrierungspflichten nicht erfüllt sind.
Kritische Komponenten
Nach dem neuen §9b müssen KRITIS-Betreiber den Einsatz sogenannter kritischer Komponenten, bestimmter IT-Produkte §2(13) dem Innenministerium anzeigen. Wichtige Komponenten und Funktionen müssen im Gesetz geregelt werden, das derzeit im Telekommunikationsbereich nur bis TKG 2021 gilt.
Garantieerklärung
Kritische Komponenten können nur in KRITIS-Systemen mit (Neu-)Herstellergarantie verwendet werden. Die Erklärung muss den vom Innenministerium festgelegten Mindestanforderungen genügen und ist vom KRITIS-Betreiber bei der Meldung der Nutzung im KRITIS-System dem Innenministerium vorzulegen. Die Nutzung kann untersagt werden
Einsatz darf untersagt werden
Das Innenministerium kann die Verwendung kritischer Inhaltsstoffe in folgenden Fällen verbieten:
- Verstoß gegen die öffentliche Ordnung und Sicherheit - wenn a) der Hersteller unter der Kontrolle einer Regierung, Behörde oder Streitkräfte eines Drittstaates steht, b) der Hersteller Aktivitäten durchgeführt hat, die die öffentliche Ordnung und Sicherheit in Deutschland, der EU beeinträchtigen, EFTA oder NATO, oder c) der Einsatz entspricht nicht den sicherheitspolitischen Zielen Deutschlands, der EU oder der NATO.
- Mangelndes Vertrauen aufgrund von Gewährleistungsansprüchen des Herstellers, Sicherheits- und Schwachstellentests und Fälschung verwandter Produkte. Liste
Inventarisierung
Um dem BSI den Einsatz kritischer Komponenten in KRITIS-Systemen nach § 9b melden zu können, müssen Betreiber dieser Branchen eine Bestandsaufnahme von IT-Produkten in KRITIS-Systemen durchführen – mit aktuellen Angaben zu Typen etc. Bisher gilt dies nur für den KRITIS Telecom-Sektor.
Weitere Änderungen bei Verstößen
Stärkere Sanktionen
Ordnungswidrigkeiten und Bußgelder werden im Informationssicherheitsgesetz 2.0 spürbar erhöht.
Ordnungswidrigkeiten
- §14 (1-4) identifiziert mehr vorsätzliche oder fahrlässige Verstöße gegen KRITIS-Spezifikationen als administrative Verstöße, einschließlich:
Verstöße |
BSIG-E |
Fehlende Nachweise |
§8a(3) |
Fehlende Störungsmeldungen, mangelnde Zusammenarbeit |
§5b(6) §7c(1) §8a(3) §8b(6) §8b(4) §8c(3) §8f(7) |
Fehlende Maßnahmen |
§8a(1) §8c(1) §8f(1) |
Fehlende Registrierung und Kontaktstelle |
§8b(3) §8f(5) |
Mangelnde Informationen |
§7a(2) §8c(4) §8a(4) §8b(3a) |
Fehler bei Zertifizierungen |
§9a(2) §9c(4) Art. 55 und 56 (EU) 2019/881 |
Bußgelder
- §14 (5) definiert dazu deutlich höhere Bußgelder für diese Ordnungswidrigkeiten. Es gibt nun Geldbußen bis zu 2 Mio. EUR, mit Verweis auf §30 Abs. 2 OWiG bis zu 20 Mio. EUR als juristische Person (Organ).
Weitere detaillierte Informationen finden Sie unter folgenden Quellen:
- Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, IT-Sicherheitsgesetz 2.0, Bundesgesetzblatt, 2021 Nr. 25, 27. Mai 2021
- Beschluss des Bundesrates - Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, Bundesrat, Drucksache 324/21 (Beschluss), 07.05.21
- BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
- Anlage 1: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung mit Vorblatt und Begründung, Intrapol.org, 26.4.2021
- Anlage 2: Inoffizielle Lesefassung der Änderungsverordnung, Intrapol.org, 26.4.2021
- Gesetz zur Erhöhung der IT-Sicherheit mit Koalitionsmehrheit beschlossen, Bundestag 23.04.2021
- Beschlussempfehlung und Bericht zu dem Gesetzentwurf der Bundesregierung Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme, Deutscher Bundestag, Drucksache 19/28844, 21.4.2021
- Ausschuss gibt grünes Licht für IT-Sicherheitsgesetz 2.0, Bundestag Inneres und Heimat/Ausschuss - 21.04.2021 (hib 527/2021)
- Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
- Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0), Pressemitteilung Innenministerium 16.12.2020
- Kabinett beschließt Entwurf für IT-Sicherheitsgesetz 2.0, Pressemitteilung Innenministerium 16.12.2020
- IT-Sicherheitsgesetz 2.0 - alle verfügbaren Versionen, AG KRITIS, 21. April 2021