IT-Sicherheitsgesetz 2.0

Worum geht es?

Hinter dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) steht die Zielsetzung der Bundesregierung, die IT-Sicherheit zum Schutz von sogenannten Kritischen Infrastrukturen, der Bundesverwaltung und von Verbrauchern zu gewährleisten. Das Vorgängergesetz dazu ist seit 2015 in Kraft. Die Verabschiedung des neu überarbeiteten Gesetzes im Bundestag war am 23.04.2021. Es gilt seit dem 28.05.2021. Das Inkrafttreten von Version 2.0 sollte das bereits bestehende Gesetz erweitern und Ungenauigkeiten nachbessern.

Wer muss das IT-Sicherheitsgesetz 2.0 beachten?

  • Das Gesetz betrifft auch in der angepassten Form die bereits bisher betroffenen Unternehmen der sogenannten Kritischen Infrastruktur (KRITIS), also z.B. Unternehmen aus den folgenden Sektoren:
    • Energie
    • Informationstechnik und Telekommunikation
    • Transport und Verkehr
    • Gesundheit, Wasser & Ernährung sowie
    • Finanz- und Versicherungswesen
  • Auch Zulieferer, also Hersteller von kritischen Komponenten, müssen damit bestimmte Pflichten erfüllen. Ziel ist eine Absicherung der gesamten Lieferkette. Betroffen sind damit z.B. IT-Produkthersteller für Kritische Infrastrukturen.
  • Neu ist die Kategorie Unternehmen im besonderen öffentlichen Interesse. Diese sind zusätzlich zu Kritischen Infrastrukturen ausgewiesen. Dazu gehören Unternehmen, die zwar nicht unter die oben genannten Kategorien fallen, jedoch wegen ihrer Tätigkeit als relevant eingestuft werden. Darunter fallen z.B. Rüstungshersteller oder Unternehmen, die von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind.
  • Auch Unternehmen aus dem Entsorgungs-Sektor können mit der Gesetzesänderung unter den Anwendungsbereich fallen.
  • Für Organisationen und Einrichtungen der evangelischen Kirche gilt die IT-Sicherheitsverordnung der EKD.

Welche Neuerungen ergeben sich durch das IT-Sicherheitsgesetzt 2.0?

Betreiber von Kritischen Infrastrukturen erhalten folgende neue Pflichten: 

  • Die Registrierung von Kritischen Infrastrukturen beim Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Es müssen Unterlagen vorgelegt werden, die für eine Bewertung der Infrastruktur aus Sicht des BSI erforderlichen sind. Zudem besteht die Pflicht zur Erteilung einer entsprechenden Auskunft. Auch Informationen zur Bewältigung von Störungen müssen entsprechend offengelegt werden.
  • Systeme zur Angriffserkennung müssen eingesetzt werden
  • Vor dem erstmaligen Einsatz einer kritischen Komponente muss
    • eine sogenannte Garantieerklärung über die Vertrauenswürdigkeit beim Hersteller der Komponente eingeholt werden.
    • der Einsatz dieser Komponente muss dem Bundesministerium des Innern, für Bau und Heimat (BMI) gemeinsam mit der Garantieerklärung mitgeteilt werden.
    • Das BMI hat die Befugnis, den Einsatz entsprechend zu prüfen. Je nach Ergebnis der Prüfung kann es dazu kommen, dass es den Einsatz ggf. zu untersagt oder Anordnungen dazu zu erlässt.

Die auch davor bereits geltenden Pflichten werden in abgewandelter Form auf oben genannte weitere Wirtschaftsbereiche ausgeweitet. Deren Pflichten unterscheiden sich dabei je nach Einordnung und Relevanz.

Ihr Nutzen bei der Einhaltung des IT-Sicherheitsgesetz

Sollten Sie zu den Unternehmen gehören, die das neue IT-Sicherheitsgesetz beachten müssen, empfehlen wir dringend eine rasche Umsetzung. Denn auch der Bußgeldtatbestand wurde im Zuge der Gesetzesanpassung korrigiert. Dazu gehört auch eine drastische Erhöhung der Bußgelder. Bereits das Ausbleiben einer Selbsterklärung kann nach diesem Gesetz eine Ordnungswidrigkeit des Betreibers darstellen.

Sie haben Fragen zur praktischen Umsetzung des IT-Sicherheitsgesetzes oder zu dessen datenschutzrechtlicher Relevanz in Ihrem Unternehmen? Dann freuen wir uns über Ihre Nachricht oder Ihren Anruf!

Hilfreiche Links:

Dieser Artikel stellt keine Rechtsberatung dar, sondern spiegelt nur unsere Erfahrungen als Informationssicherheits- und Datenschutzbeauftragte wieder.

Verfasser: Mareike Fischer, 02.07.2021

Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!