Definitionen Was ist bzw. was bezweckt das IT-Sicherheitsgesetz 2.0?

Redakteur: Julia Mutzbauer

Das IT-Sicherheitsgesetz 2.0 wurde Ende 2020 beschlossen. Das Gesetz sieht vor, dass nicht nur Unternehmen und Organisationen, die zu den kritischen Infrastrukturen (KRITIS) gehören, für die Sicherheit ihrer IT-Systeme sorgen müssen, sondern auch Unternehmen im besonderen öffentlichen Interesse.

Firma zum Thema

Das IT-Sicherheitsgesetz 2.0 regelt den Schutz der Bundesverwaltung, kritischer Infrastrukturen (KRITIS), von Unternehmen im besonderen öffentlichen Interesse und den Verbraucherschutz
Das IT-Sicherheitsgesetz 2.0 regelt den Schutz der Bundesverwaltung, kritischer Infrastrukturen (KRITIS), von Unternehmen im besonderen öffentlichen Interesse und den Verbraucherschutz
(© aga7ta – Fotolia)

Das IT-Sicherheitsgesetz 2.0 ist die Erweiterung des zuvor im Jahr 2015 beschlossenen IT-Sicherheitsgesetzes. Durch die Änderung soll die Abwehr von Cyber-Angriffen deutlich gestärkt werden. „Die Angriffe werden qualitativ immer ausgefeilter und somit für alle Betroffenen auch gefährlicher. Die zunehmende Verbreitung von Internet of Things (IoT)-Geräten verschärft die Situation zusätzlich“, erläutert die Bundesregierung im Gesetzentwurf.

Die erweiterte Auflage enthält unter anderem folgende Regelungen:

Stärkung des BSI

Das BSI wird befugt, Kontroll- und Prüfbefugnisse gegenüber der Bundesverwaltung auszuüben. Bei wesentlichen Digitalisierungsvorhaben des Bundes soll das BSI frühzeitig beteiligt werden.

Zudem wird die Dauer zur Speicherung von Protokolldaten zum Zwecke der Abwehr von Gefahren für die Kommunikationstechnik des Bundes auf 12 Monate verlängert. Protokollierungsdaten werden neu in das BSI-Gesetz aufgenommen und das BSI wird befugt, diese Daten zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes zu verarbeiten.

Das BSI wird befugt, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikations-Netzen zu detektieren (Port-scans) sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen (Honeypots). Das BSI kann zudem Maßnahmen gegenüber Telekommunikations- und Telemedienunternehmen bei bestimmten Gefahren für die Informationssicherheit anordnen.

Stärkung des Verbraucherschutzes

Der Verbraucherschutz wird in den Aufgabenkatalog des BSI aufgenommen. Die Grundlage für ein einheitliches IT-Sicherheitskennzeichen wird eingeführt, das die IT-Sicherheitsfunktionen insbesondere von Produkten im Verbrauchersegment erstmals für Bürgerinnen und Bürger sichtbar und nachvollziehbar macht. Zum Schutz von Betroffenen und zum Zweck ihrer Benachrichtigung wird das BSI befugt, bei Anbietern von Telekommunikationsdiensten Bestandsdatenauskünfte zu verlangen. Die Befugnis des BSI zur Untersuchung von IT-Produkten wird neu gefasst. Hersteller werden zur Auskunft über ihre Produkte verpflichtet.

Stärkung der unternehmerischen Vorsorgepflichten

Betreiber Kritischer Infrastrukturen werden verpflichtet, Systeme zur Angriffserkennung einzusetzen. Über eine Änderung im Gesetz über die Elektrizitäts- und Gasversorgung gilt diese Pflicht auch für Betreiber von Energieversorgungsnetzen und Energieanlagen.

Die bereits für Betreiber Kritischer Infrastrukturen geltenden Meldepflichten gelten künftig auch für Unternehmen, die von besonderem öffentlichen Interesse sind wie Unternehmen der Rüstungsindustrie und Verschlusssachen-IT, Unternehmen, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben sowie Unternehmen, die der Regulierung durch die Störfallverordnung unterfallen.

Stärkung der staatlichen Schutzfunktion

Das Gesetz enthält eine Regelung zur Untersagung des Einsatzes kritischer Komponenten, für die eine Zertifizierungspflicht besteht. Zudem werden die Bußgeldvorschriften neu gefasst. Im Telekommunikationsgesetz wird erstmals eine Zertifizierungspflicht für kritische Komponenten in Telekommunikationsnetzen eingefügt.

Die Änderung der Außenwirtschaftsverordnung trägt der Einführung der kritischen Komponenten im BSI-Gesetz Rechnung.

(ID:47484621)