Das Gesetzgebungsverfahren zum zweiten IT-SiG dauert nun schon über eineinhalb Jahre und wurde immer wieder verzögert, unter anderem auch wegen den rechtlichen Anforderungen an technische Produkte, die aus Drittländern stammen und Einsatz in Kritischen Infrastrukturen erfahren. Der erste Referentenentwurf für das IT-SiG 2.0 wurde im April 2019 veröffentlicht, der zweite Entwurf folgte im Mai 2020. Der dritte Referentenentwurf soll nun in die Ressortabstimmung gehen, wobei der genaue Verabschiedungszeitpunkt gegenwärtig noch unklar ist – gerechnet werden kann bei dem gegenwärtigen Zeitplan aber durchaus mit einer Verabschiedung des Gesetzes im Frühjahr 2021.
Inhaltlich adressiert der neue Referentenentwurf die Bedrohungen für die Cybersicherheit, die sich für Staat, Wirtschaft und Gesellschaft gleichermaßen ergeben. Hierzu schlägt das insgesamt 92-seitige Dokument vor, als Einzelvorschriften das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG), das Gesetz über die Elektrizitäts- und Gasversorgung (EnWG), die Außenwirtschaftsverordnung sowie das Zehnte Buch Sozialgesetzbuch (SGB X) zu ändern. Der Schwerpunkt der Änderungsvorschläge liegt wie zu erwarten und wie auch bereits für die Entwürfe zuvor im BSIG.
Folgende Änderungsvorschläge im BSIG sind im Einzelnen hervorzuheben
- Änderung und Erweiterung von Begriffsdefinitionen: Diese betreffen die „Kommunikationstechnik des Bundes“, „Protokollierungsdaten“, „IT-Produkte“, „Systeme zur Angriffserkennung“ und die zentrale Definition von „Kritischen Komponenten“, die entweder durch den Katalog von Sicherheitsanforderungen nach TKG oder gesetzlich festgelegt werden. „Kritische Komponenten“ sind solche, die entweder durch den Katalog von Sicherheitsanforderungen gemäß § 109 Abs. 6 TKG oder im Übrigen gesetzlich bestimmt werden – gerade letztgenannte Änderung ist zu begrüßen, schafft sie doch ein deutliches Mehr an Rechtssicherheit. Auch der dritte Referentenentwurf enthält darüber hinaus eine Definition der „Unternehmen im besonderen öffentlichen Interesse“, die sich gegenüber der Fassung aus Mai 2020 geändert hat. Interessant ist dabei vor allem die Definition nach § 2 Abs. 14 Nr. 1 und Nr. 2 BSIG-E. Demnach sind Unternehmen im besonderen öffentlichen Interesse solche, die Güter nach § 60 Abs. 1 Nr. 1-5 der Außenwirtschaftsverordnung herstellen oder entwickeln (zum Beispiel Güter mit militärischem Bezug, staatlich relevante IT), sowie solche Unternehmen, „die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung sind“. Auch Betreiber eines Betriebsbereichs der oberen Klassen im Sinne der Störfall-Verordnung sollen nunmehr in den Kreis der Unternehmen im besonderen öffentlichen Interesse aufgenommen werden. Die Regelung zur Bestimmung der Unternehmen im besonderen öffentlichen Interesse erfährt überdies dadurch eine Konkretisierung, indem bestimmt wird, dass die Unternehmen nach Nr. 2 (größte Unternehmen in Deutschland) nicht mehr nur abstrakt durch Rechtsverordnung bestimmt werden, sondern dass dabei auch berücksichtigt und dargelegt wird, welche wirtschaftlichen Kennzahlen bei der Berechnung der inländischen Wertschöpfung heranzuziehen sind, mit welcher Methodik die Berechnung zu erfolgen hat und welche Schwellenwerte dafür maßgeblich sind, dass ein Unternehmen zu den größten Unternehmen in Deutschland gehört. Damit wurde einiges an der im Vorfeld geäußerten Kritik aufgegriffen.
- Neue Aufgaben und Befugnisse des BSI: Wie im zweiten Entwurf auch soll das BSI die Aufgaben und Befugnisse gemäß EU Cybersecurity Act (VO EU 2019/881) wahrnehmen und als nationale Cybersicherheitszertifizierungsbehörde fungieren. Neu hinzu tritt bei der Aufgabenbeschreibung die Nr. 14a, die Verbraucherschutz und Verbraucherinformation noch stärker als bisher in den Aufgabenkreis des BSI einbezieht. Außerdem werden die neuen Nummern 19 und 20 ergänzt: das Aussprechen von Empfehlungen für Identifizierungs- und Authentisierungsverfahren und die Bewertung dieser Verfahren im Hinblick auf die Informationssicherheit, sowie die Entwicklung und Veröffentlichung eines Stands der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte. Gerade letztgenannte Nr. 20 dürfte auch im aktuellen Entwurf als Möglichkeit des nationalen Alleingangs im europäischen und internationalen Kontext wieder auf Kritik stoßen.
- Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte: § 4a BSIG-E legt umfassende Kontrollbefugnisse des BSI für Kommunikationstechnik des Bundes und entsprechende Drittbetreiber fest, zu denen auch Betretensrechte zu den üblichen Betriebszeiten gehören.
- Allgemeine Meldestelle für Sicherheit in der Informationstechnik: Nach wie vor wird das BSI als allgemeine Meldestelle für Sicherheit in der Informationstechnik gem. § 4b BSIG-E bestimmt.
- Verarbeitung von Protokolldaten und Bestandsdatenauskunft: Festgesetzt wird gemäß §§ 5, 5a, 5c BSIG-E eine Speicherdauer von Protokolldaten für 12 Monate, jedoch nur bei Bestehen tatsächlicher Anhaltspunkte, dass diese zur Gefahrenerkennung und Gefahrenabwehr erforderlich sein können. Die Daten sind zu pseudonymisieren. § 5a BSIG-E regelt die Verarbeitung behördeninterner Protokollierungsdaten, die beim Betrieb der Kommunikationstechnik des Bundes anfallen. Die Regelung zur Bestandsdatenauskunft des BSI in § 5c BSIG-E bei TK-Anbietern betrifft Maßnahmen, um weitergehende Angriffe auf die Sicherheit oder Funktionsfähigkeit von KRITIS IT-Systemen, digitalen Diensten oder von Unternehmen im besonderen öffentlichen Interesse zu verhindern oder sonstige erhebliche Schäden vom „betroffenen Dritten“ abzuwenden. In diesem Zusammenhang findet ergänzend eine Erforderlichkeitsklausel Verwendung. Die Auskunft kann auch IP-Adressen betreffen, der BfDI ist aufgrund des Personenbezugs jährlich zu unterrichten.
- Warnungen und Untersuchung der Sicherheit in der Informationstechnik: §§ 7 und 7a BSIG erfahren ebenfalls Änderungen. Die Hersteller sind im Rahmen der Warnbefugnis rechtzeitig vor Veröffentlichung über die Warnungen zu informieren, Ausnahmen bestehen bei einer Zweckgefährdung im Falle der Warnung oder bei mutmaßlich mangelndem Interesse des Herstellers, sowie gesetzt den Fall, dass entdeckte Sicherheitslücken nicht allgemein bekannt werden sollen. Falls ein Hersteller im Rahmen der Untersuchung der Sicherheit in der Informationstechnik nicht mitwirkt, kann das BSI hierüber die Öffentlichkeit unterrichten.
- Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden: Auch der sogenannte „Hackerparagraph“ ist in der jüngsten Entwurfsfassung in § 7b BSIG-E erhalten geblieben, demgemäß nach wie vor aktive Detektionsmaßnahmen zu den ausgebauten Befugnissen des BSI gehören sollen. Die Maßnahmen, die sich auf die IT des Bundes oder von Kritischen Infrastrukturen, digitalen Diensten oder Unternehmen im besonderen öffentlichen Interesse beziehen können, müssen sich auf das Notwendige beschränken. Eingegriffen werden kann in ungeschützte IT-Systeme. Dies sind solche, auf denen öffentlich bekannte Sicherheitslücken bestehen oder bei denen aufgrund sonstiger offensichtlich unzureichender Sicherheitsvorkehrungen unbefugt von Dritten auf das System zugegriffen werden kann. Die zuvor in verschiedenen Stellungnahmen immer wieder geforderte Vorankündigung der Detektionsmaßnahmen findet sich jedoch nicht wieder.
- Anordnungen des BSI gegenüber TK-Diensteanbietern: Gemäß § 8c BSIG-E darf das BSI gegenüber TK-Diensteanbietern mit mehr als 100.000 Kunden anordnen, dass diese Maßnahmen der Daten- und Informationssicherheit zu treffen haben, und das BSI kann technische Befehle zur Bereinigung von einem konkret benannten Schadprogramm an betroffene IT-Systeme verteilen, soweit dies technisch machbar und wirtschaftlich zumutbar ist. Angeordnet werden kann ebenfalls, dass der Dienstebetreiber den Datenverkehr an eine vom BSI bestimmte Anschlusskennung umleitet. Entsprechende Daten dürfen für maximal drei Monate gespeichert werden.
- Anordnungen des BSI gegenüber TM-Diensteanbietern: Neu ist die Regelung nach § 7d BSIG-E, wonach das BSI auch Anordnungen gegenüber Telemediendiensten treffen kann. Diese sind auf begründete Einzelfälle beschränkt und betreffen die Herstellung eines „ordnungsgemäßen Zustands“ der Telemedienangebote, soweit diese keinen hinreichenden Schutz bieten vor unerlaubten Zugriffen und Störungen.
- Vorgaben des BSI für Mindeststandards in der Informationstechnik des Bundes: Der bereits vorhandene § 8 BSIG wird neu gefasst. Das BSI legt demgemäß Mindeststandards für die Informationstechnik von Stellen des Bundes, von Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie ihrer Vereinigungen, sowie von öffentlichen Unternehmen, die mehrheitlich im Eigentum des Bundes stehen und die IT-Dienstleistungen für die Bundesverwaltung erbringen, fest. Hierbei gelten umfassende Abstimmungsvorschriften mit dem BMI und den jeweiligen Ressorts.
- TOM für Kritische Infrastrukturen: § 8 BSIG hat mit dem ersten IT-SiG die Pflicht zu TOM für Kritische Infrastrukturen geschaffen. Wie auch schon in den Referentenentwürfen zuvor sind die Betreiber verpflichtet, spätestens ein Jahr nach Inkrafttreten des IT-SiG 2.0 Systeme zur Angriffserkennung einzusetzen. Anfallende nicht-personenbezogene Daten sind für mindestens vier Jahre zu speichern. Diese neue Anforderung für Systeme zur Angriffserkennung ist alle zwei Jahre laufend nachzuweisen.
- Meldestellenregelung für Kritische Infrastruktur: Gemäß § 8b BSIG ist das BSI schon jetzt zentrale Meldestelle für die Betreiber von Kritischen Infrastrukturen. In diese Funktion werden nun auch die Unternehmen im besonderen öffentlichen Interesse einbezogen. Ein neu gefasster Absatz 3 regelt über die betreiberseitige Einrichtung einer Kontaktstelle hinausgehend die Registrierungspflicht beim BSI. Auch dies ist jedoch grundsätzlich nicht neu, sondern war bereits Gegenstand vorangegangener Entwürfe. Falls das BSI der Auffassung ist, dass ein Betreiber seiner Registrierungspflicht nicht angemessen nachkommt, kann es von ihm die Herausgabe des aus Sicht des BSI relevanten Dokumente verlangen. Zur Behebung einer erheblichen Störung kann das BSI die zur Bewältigung der Störung notwendigen Informationen einschließlich von personenbezogenen Daten herausverlangen. Im Zusammenhang mit der Zentralstellenfunktion des BSI regelt § 8e BSIG-E auch die Auskunftserteilung neu.
- Sicherheitsanforderungen für Unternehmen im besonderen öffentlichen Interesse: Der Vorschlag für einen neuen § 8f BSIG enthält umfassende Anforderungen an die IT-Sicherheit für Unternehmen im besonderen öffentlichen Interesse. Zuvorderst gehört dazu gem. Abs. 1 die Vorlage einer Selbsterklärung beim BSI. Aus dieser muss hervorgehen, welche Zertifizierungen in der IT-Sicherheit in den letzten zwei Jahren durchgeführt wurden, welche sonstigen Sicherheitsaudits oder Prüfungen zur IT-Sicherheit in den letzten zwei Jahren durchgeführt wurden, und wie sichergestellt wird, dass die für das Unternehmen besonders schützenswerten IT-Systeme, Komponenten und Prozesse angemessen geschützt werden und ob dabei der Stand der Technik eingehalten wird. Basierend auf der Selbsterklärung kann das BSI Hinweise zu angemessenen TOM geben. Die Pflicht gilt für die Unternehmen im besonderen öffentlichen Interesse zwei Jahre nach Inkrafttreten der Änderungen durch das IT-SiG 2.0 bzw. der Rechtsverordnung in Abhängigkeit davon, welcher Kategorie die Unternehmen im besonderen öffentlichen Interesse unterfallen (die Konkretisierung durch Rechtsverordnung gilt für Unternehmen gemäß § 2 Abs. 14 Nr. 2 BSIG-E, sogenannte „größte Unternehmen in Deutschland“). Auch die Unternehmen im besonderen öffentlichen Interesse trifft eine Registrierungspflicht innerhalb von sechs Monaten. Überdies ist eine Stelle zu benennen, die zu den üblichen Geschäftszeiten erreichbar ist. Unternehmen, die gemäß der Störfall-Verordnung definiert wurden, können freiwillig eine Registrierung vornehmen. Für die Unternehmen im öffentlichen Interesse gem. § 2 Abs. 14 Nr. 1 und Nr. 2 BSIG-E (Herstellung und Entwicklung von Gütern gem. § 60 Abs. 1 Nr. 1-5 Außenwirtschaftsverordnung und größte Unternehmen in Deutschland) gelten sechs Monate nach Inkrafttreten des IT-SiG 2.0 mit den Betreibern für Kritische Infrastrukturen vergleichbare Meldepflichten. Für Betreiber nach § 2 Abs. 14 Nr. 3 BSIG-E gelten an die Störfall-Verordnung angepasste Meldepflichten. Interessant ist der Regelungsvorschlag in § 8f Abs. 9 BSIG-E, da scheinbar vermutet wird, dass sich Unternehmen im besonderen öffentlichen Interesse/Kategorie größte Unternehmen in Deutschland ihren IT-Sicherheitspflichten entziehen könnten: Falls Tatsachen die Annahme rechtfertigen, dass sich ein solches Unternehmen nicht beim BSI registriert, kann das BSI eine rechnerische Darlegung verlangen, wie hoch die vom Unternehmen erbrachte inländische Wertschöpfung ist, und kann eine Bestätigung von einer anerkannten Wirtschaftsprüfungsgesellschaft darüber verlangen, dass es sich bei dem Unternehmen gemäß der zugrunde gelegten Berechnungsgrundlage nicht um ein Unternehmen im besonderen öffentlichen Interesse handelt.
- Zertifizierung durch das BSI: Schon jetzt ist das BSI gemäß § 9 BSIG nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit und kann dementsprechend Produkt- oder Leistungszertifizierungen vergeben. In diesem Zusammenhang sollen durch den dritten RefE des IT-SiG 2.0 nun auch die Bedingungen zur Erteilung von Sicherheitszertifikaten angepasst werden, zentral ist hier die Einfügung einer Untersagungsregelung des Sicherheitszertifikats, soweit das BMI festgestellt hat, dass im Einzelfall überwiegende öffentliche Interessen, wozu insbesondere sicherheitspolitische Belange gehören können, einer Erteilung entgegenstehen.
- Nationale Behörde für die EU-Cybersicherheitszertifizierung: Neu eingefügt wird § 9a BSIG, der die Bestimmungen der Aufgabe des BSI konkretisiert, als nationale Behörde für die Cybersicherheitszertifizierung gem. EU CSA tätig zu werden. So soll das BSI die Befugnis für das Tätigwerden von Konformitätsbewertungsstellen erteilen, und enthält verschiedene Überprüfungs- und Widerrufsbefugnisse, die mit der Vergabe und Überprüfung von Cybersicherheitszertifizierungen einhergehen.
- Untersagung des Einsatzes kritischer Komponenten: Eine zentrale Regelung des neuen Entwurfs enthält § 9b BSIG-E und betrifft den Einsatz der kritischen Komponenten, die in § 2 Abs. 13 BSIG-E definiert werden (siehe dazu schon zuvor). Der Einsatz solcher Komponenten, für die aufgrund einer gesetzlichen Regelung eine Zertifizierungspflicht besteht, sind durch den Betreiber einer Kritischen Infrastruktur gegenüber dem BMI vor dem Einsatz anzuzeigen. Die schon aus den anderen Entwurfsfassungen bekannte Garantieerklärung inkl. des Lieferkettennachweises des Herstellers von kritischen Komponenten wurde auch im dritten RefE beibehalten. Das BMI legt federführend die Mindestanforderungen an die Garantieerklärung durch Allgemeinverfügung fest. Außerdem soll das BMI nach wie vor die Befugnis erhalten, den Einsatz einer kritischen Komponente gegenüber dem Betreiber einer Kritischen Infrastruktur zu untersagen, wenn dem überwiegende öffentliche Interessen – insbesondere sicherheitspolitische Interessen – entgegenstehen. Die Untersagungsbefugnis betrifft nicht nur die Entscheidung über den Einsatz, sondern auch über den weiteren Betrieb der kritischen Komponente. § 9b Abs. 5 BSIG-E nennt verschiedene alternative Anforderungen, wann der Hersteller einer kritischen Komponente nicht vertrauenswürdig ist: Verstoß gegen die Inhalte der Garantieerklärung, Angabe unwahrer Tatsachen in der Garantieerklärung, nicht ausreichende Unterstützung von Sicherheitsüberprüfungen und Penetrationsanalysen, keine Meldung und Beseitigung von bekannt gewordenen Schwachstellen, und falls die kritische Komponente über technische Eigenschaften verfügt, die die IT-Schutzziele beeinträchtigen können bzw. die Funktionsfähigkeit der Kritischen Infrastruktur negativ beeinflussen. Die Untersagung des BMI kann sich auch auf weitere kritische Komponenten des Herstellers beziehen (§ 9b Abs. 6 BSIG-E) und bis zum völligen Verbot des Einsatzes aller kritischen Komponenten eines Herstellers reichen (§ 9b Abs. 7 BSIG-E).
- Freiwilliges IT-Sicherheitskennzeichen: Die schon bisher umstrittene Regelung des freiwilligen IT-Sicherheitskennzeichens ist im jüngst vorgelegten Entwurf ebenfalls erhalten geblieben, nunmehr in § 9c BSIG-E befindlich. Das BSI führt dabei ein einheitliches IT-Sicherheitskennzeichen für festgelegte Produktkategorien ein. Eine deutliche Abgrenzung wird zum Datenschutz getroffen, über den das Kennzeichen keine Aussage trifft. Wie bisher auch soll das IT-Sicherheitskennzeichen aus einer Herstellererklärung und der BSI-Sicherheitsinformation bestehen. In diesem Zusammenhang erhält das BSI die Befugnis zur Definition der Anforderungen in einer Technischen Richtlinie (TR). Wie bisher auch ist das BSI für die Prüfung der Einhaltung der Anforderungen des IT-Sicherheitskennzeichens zuständig. Der Prüfprozess ist in § 9c Abs. 4 und Abs. 5 BSIG-E geregelt. Verschiedene Dokumente sind durch den Hersteller beizubringen. Wie bisher auch kann das IT-Sicherheitskennzeichen auf Produkt oder Verpackung auch mittels elektronischen Verweises angebracht werden. Verfahren und Gestaltung werden durch Rechtsverordnung bestimmt. Nach Erteilung des IT-Sicherheitskennzeichens besitzt das BSI die Prüfbefugnis, ob die erklärten Anforderungen auch fortlaufend eingehalten werden.
- Bußgeldvorschriften: Die Bußgeldvorschriften des BSIG werden in § 14 BSIG-E neu geregelt. Der zweite RefE sah hier einen Gleichlauf mit der EU DS-GVO vor, der jedoch für die dritte Entwurfsfassung nicht mehr gegeben ist – gleichwohl sind die vorgeschlagenen Sanktionen erheblich und gehen über das bisherige Maß deutlich hinaus, so sind für bestimmte Fälle Geldbußen bis zu 2 Millionen Euro möglich. Weitere Abstufungen sind 1 Million Euro und 100.000 Euro. Eine Anknüpfung an Jahresumsätze findet hingegen nicht mehr statt. Gegen Körperschaften gem. § 29 des SGB IV, Arbeitsgemeinschaften gem. § 94 SGB X sowie gegen die Deutsche Post AG, soweit sie mit der Berechnung oder Auszahlungen von Sozialleistungen betraut ist, werden keine Geldbußen verhängt. Hier findet anstelle dessen eine Abstimmung des BSI mit den jeweils zuständigen Aufsichtsbehörden statt, falls es zu IT-Sicherheitsverstößen gekommen ist.