Der zweite Referentenentwurf des BMI zum IT-Sicherheitsgesetz 2.0 sorgt für neuen Wind und Diskussionspotenzial im Bereich des Vergaberechts sowie der Informationssicherheit und Telekommunikation.
Der Gesetzgeber erweitert mit dem IT-Sicherheitsgesetz 2.0 den IT-rechtlichen Ordnungsrahmen ganzheitlich, um auf die dynamischen Entwicklungen der digitalen Transformation zu reagieren. Das IT-SiG 2.0 reformiert als Artikelgesetz daher neben dem Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) als Schwerpunkt vor allem das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-G).
IT-Sicherheit ist vor dem Hintergrund jüngster Cyber-Angriffe und sonstigen IT-Sicherheitsvorfällen künftig nicht mehr bloß ein Thema für kritische Infrastrukturen (KRITIS), sondern in zunehmendem Maße ein allgemeines Compliance- und Verbraucherschutz-Thema.
Mehr Befugnisse für das BSI
Um Cyber-Sicherheitsvorfälle abzuwehren werden die Befugnisse des Bundesamtes für Informations-sicherheit (BSI) zum Schutz der Bundesverwaltung und ausgeweitet. Das BSI erhält zudem mehr Möglichkeiten, die Bundesländer zu unterstützen, weil die Gefahren des Cyber-Raums über die Ländergrenzen hinaus bestehen.
Kritische Infrastrukturen bestehen zukünftig nicht mehr ausschließlich in den Sektoren Energie, IT, TK, Transport und Verkehr, Gesundheit, Wasser und Ernährung. Auch Einrichtungen und Anlagen der Entsorgungswirtschaft – insbes. Dienstleistungen im Zusammenhang mit Siedlungsabfällen – sind zukünftig geschützt, soweit sie von besonderer Relevanz für das Gemeinwohl sind.
Neue Pflichten für KRITIS-Betreiber
KRITIS-Betreiber müssen den Einsatz kritischer Komponenten künftig anzeigen und dürfen nur Komponenten von Herstellern verwenden, die eine Garantierklärung abgegeben haben. Die Hersteller müssen garantieren, dass ihre Komponenten nicht wegen technischer Schwachstellen oder Hintertüren dazu geeignet sind, im Wege der Sabotage, Spionage oder Terrorismus auf die kritische Infrastruktur einzuwirken. Das Bundesministerium des Innern, für Bau und Heimat kann dem KRITIS-Betreiber den Einsatz untersagen, wenn der Hersteller nicht vertrauenswürdig ist.
Zum Schutz der Wirtschaft hat der Gesetzgeber die für Betreiber kritischer Infrastrukturen bestehen-den Meldepflichten bei Störungen gegenüber dem BSI, Pflichten zum Erstellen von Sicherheitskonzepten, zum Einrichten einer Meldestelle und zum Einhalten von Mindeststandards auf weitere Teile der Wirtschaft ausgeweitet. Zukünftig sind neben Rüstungs-, IT-, und Chemieunternehmen auch Unternehmen mit volkswirtschaftlicher Bedeutung als sog. „Unternehmen im besonderen öffentlichen Interesse“ einzuordnen.
Rechtsfolgen bei Verstößen gegen das BSI-G
Den Bedeutungszuwachs für die Themen IT-Sicherheit und IT-Compliance unterstreicht der Gesetzgeber, indem er die von den Bußgeldvor-schriften ausgehende Sanktionskulisse verschärft. Den Bußgeldrahmen erhöht er von max. EUR 100.000 auf eine zukünftig geltende Maximalgrenze von EUR 20. Mio. oder bis zu 4 Prozent des zuletzt erzielten, weltweiten Jahresumsatzes. Verstöße gegen Auskunfts- und Nachweispflichten sind künftig ebenfalls bußgeldbewehrt.
Dr. Benjamin Wübbelt ist Rechtsanwalt und Counsel bei der Kanzlei Bird & Bird LLP, Düsseldorf.
