Beschlussfassung über das IT-Sicherheitsgesetz 2.0
Im Frühjahr 2019 hat das Bundesministerium des Innern, für Bau und Heimat (BMI) den ersten Referentenentwurf des IG-Sicherheitsgesetz 2.0 (IT-SiG 2.0) veröffentlicht. Nach mehreren Folgeentwürfen stand nun die Beschlussfassung im Bundeskabinett an. Ziel des IT-SiG 2.0 ist es, den akuten und drohenden Gefahren für die Cyber- und Informationssicherheit für Staat und Wirtschaft entgegenzutreten. So soll etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit neuen Kompetenzen ausgestattet werden und verschiedene Gesetze, wie etwa das Telekommunikationsgesetz oder das Gesetz über Elektrizitäts- und Gasversorgung geändert werden. Für Unternehmen zeichnen sich bereits Neuerungen ab, die ein Handeln nötig werden lassen.
Neue Pflichten für „Unternehmen im besonderen öffentlichen Interesse“
Dabei steht vor allem der neue § 8f des BSIG-E im Fokus, mit dem das BMI die besonderen Pflichten, die de lege lata nur für Kritische Infrastrukturen gelten, auch auf weitere Teile der Wirtschaft ausweiten möchte. Diese Pflichten gelten nunmehr auch für „Unternehmen im besonderen öffentlichen Interesse“, wie sie in § 2 Abs. 14 BSIG-E definiert sind. Darunter fallen Unternehmen,
- „die Güter nach § 60 Absatz 1 Nummer 1 und 3 der Außenwirtschaftsverordnung in der jeweils geltenden Fassung herstellen oder entwickeln“
(Rüstungsunternehmen und IT-Hersteller für staatliche Verschlusssachen), - „die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind“
(hiervon dürften vor allem börsennotierte und andere große Unternehmen betroffen sein), - „die Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung in der jeweils geltenden Fassung sind, oder nach § 1 Absatz 2 der Störfall-Verordnung diesen gleichgestellt sind“
(im Regelfall Chemieunternehmen).
Ein IT-Sicherheitsvorfall bei einem Rüstungshersteller könnte die Sicherheitsinteressen der Bundesrepublik gefährden. Ebenso könnte ein Ausfall bei einem Top-Unternehmen darin liegen, dass dieses seiner Geschäftstätigkeit nicht nachgehen könnte und somit die inländische Wertschöpfung negativ beeinflusst. Wer als eines der „größten Unternehmen in Deutschland“ gilt, lässt das Gesetz offen – die maßgeblichen wirtschaftlichen Kennzahlen soll künftig durch eine Rechtsverordnungen bestimmt werden.
Denkbar ist, dass auf zentrale wirtschaftliche Kennzahlen wie Marktkapitalisierung, Umsatz und Mitarbeiteranzahl abgestellt wird. In jedem Fall wird aus dem BSIG, das sich ursprünglich nur an Betreiber kritischer Infrastrukturen richtete, ein allgemeines Gesetz für eine Vielzahl größerer Unternehmen.
Pflichten der Unternehmen: IT-Sicherheitskonzept & Co.
Auf diese Unternehmen kommt künftig ein ganzer Pflichtenkatalog zu. An vorderster Stelle steht dabei die Pflicht, innerhalb von sechs Monaten nach Verkündung des Gesetzes (für Unternehmen nach Nr. 1) bzw. zwei Jahren (für Unternehmen nach Nr. 2) eine Selbsterklärung gegenüber dem BSI abzugeben, aus welcher insbesondere hervorgeht, welche Zertifizierungen in der IT-Sicherheit in den letzten zwei Jahren durchgeführt wurden, welche sonstigen Sicherheitsaudits oder Prüfungen durchgeführt wurden, und wie sichergestellt wird, dass die für das Unternehmen besonders schützenswerten IT-Systeme, Komponenten und Prozesse angemessen geschützt werden. Dieses IT-Sicherheitskonzept ist mindestens alle zwei Jahre zu aktualisieren und erneut vorzulegen.
Darüber hinaus sind diese Unternehmen verpflichtet, sich spätestens mit der Abgabe der Selbsterklärung beim BSI zu registrieren und eine zu den üblichen Geschäftszeiten erreichbare Stelle zu benennen, die als Ansprechpartner für die Behörde fungiert. Die betroffenen Unternehmen haben zudem Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Erbringung der Wertschöpfung geführt haben, unverzüglich dem BSI anzuzeigen. Ähnlich wie bei der
Bei Verstößen gegen die neuen Pflichten drohen Bußgelder von bis zu 2 Millionen Euro. Zur Durchführung seiner neuen Aufgaben, einschließlich der Überwachung der neuen Pflichten für Unternehmen, erhält das BMI fast 900 neue Stellen – beim BSI ist eine Erhöhung der Mitarbeiterzahl um mehr als 50% zu erwarten.
Empfehlung: Strukturen und Konzepte bereits jetzt vorbereiten
Die Beschlussfassung über das IT-SiG 2.0 erfolgte durch das Bundeskabinett am 16. Dezember 2020; die erste Lesung des Gesetzes im Bundestag erfolgt Ende Januar. Einige Normen treten bereits am Tag nach Verkündung in Kraft, andere Normen erst ein halbes Jahr später. Ungeachtet der Zeit, die bis zum Inkrafttreten verbleibt, steht bereits jetzt fest, dass sich Unternehmen bereits jetzt mit der Umsetzung der Regelungen befassen müssen:
- Zunächst bietet sich als der zu benennende Ansprechpartner für das BSI der IT-Sicherheitsbeauftragte an. Sofern das Unternehmen nicht bzw. noch nicht über einen solchen IT-Sicherheitsbeauftragten verfügt, sollte ein solcher bestellt werden oder der Datenschutzbeauftragte (vorläufig) benannt werden.
- Insbesondere das vorzulegende IT-Sicherheitskonzept sollte sorgfältig unter Einbeziehung von IT und Fachabteilungen erarbeitet werden. In diesem Rahmen sollte dargelegt werden können, dass die Systeme und Komponenten den Anforderungen an IT- und Datensicherheit dem aktuellen Stand der Technik genügen. Es sollte sichergestellt werden, dass das IT-Sicherheitskonzept laufend aktuell gehalten wird, um den Aufwand bei der periodischen Wiedervorlage gering zu halten.
- Zuletzt sollte sich das Incident-Management auch auf IT-Sicherheitsvorfälle erstreckt werden. Hierzu kann auf dem bestehenden Incident-Management für Datenschutzvorfälle („Data Breaches“) und den zugehörigen Meldeprozesse an Datenschutzaufsichtsbehörden nach Art. 33 DSGVO aufgesetzt werden.