Gang in einem Rechenzentrum
Tomasz Zajda / Fotolia
04.04.2019 Kurzinformation

IT-Sicherheitsgesetz 2.0: Die wichtigsten Änderungen des Referentenentwurfs im Schnellüberblick

Lange wurde das IT-Sicherheitsgesetz 2.0 erwartet und angekündigt. Mittlerweile liegt ein erster Referentenentwurf in der Fassung vom 27. März 2019 vor. Er verfolgt das Ziel, die IT-Sicherheit für Gesellschaft, Wirtschaft und Staat ganzheitlich auszuweiten. Eines der Kernelemente: Die Schaffung eines IT-Sicherheitskennzeichens für Bürger. Dieses soll die IT-Sicherheit von Handelswaren transparent machen. Diese Maßnahme fällt gleichzeitig auch in den Aufgabenbereich des Bundesamts für Sicherheit in der Informationstechnik (BSI). Denn das BSI soll den IT-bezogenen Verbraucherschutz verstärkt wahrnehmen.

Kontakt
Prof. Dr. jur. Dennis-Kenji Kipker

Zum einen werden durch das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) die Befugnisse von Behörden bei der IT-Sicherheit generell ausgeweitet: Hierzu gehören nicht nur die Kompetenzen des BSI, sondern auch die Befugnisse der Strafverfolgungs- und Sicherheitsbehörden. So kann das BSI in Zukunft die Länder stärker unterstützen. Zudem anderen werden das Straf- und das Strafverfahrensrecht auf die geänderte Bedrohungslage zugeschnitten: Der Strafrahmen wird angepasst, Strafbarkeitslücken werden geschlossen und Qualifikationstatbestände für Computerstraftaten eingeführt. Durch die Anpassungen im Strafverfahrensrecht erhalten die Ermittlungsbehörden neue Möglichkeiten zur Bekämpfung von Cyberkriminalität.

Aber auch für Provider gibt es Neuerungen. Schließlich sind sie es, die eine zentrale Rolle bei der Verbreitung rechtswidriger Daten spielen. Provider können deshalb in Zukunft dazu verpflichtet werden, entsprechende Datenbestände zu löschen, zu melden sowie Bestandsauskünfte zu Cybercrime-Vorfällen zu geben.

Um die grenzüberschreitende Zusammenarbeit der Behörden bei Cybersicherheitsvorfällen zu verbessern, schafft das IT-SiG 2.0 eine Regelung zur Vorabsicherung von Daten. Und nicht zuletzt werden die für die Betreiber von Kritischen Infrastrukturen bestehenden Meldepflichten und Verpflichtungen zur Gewährleistung eines Mindeststandards für IT-Sicherheit auf weitere Teile der Wirtschaft ausgeweitet. Das betrifft Unternehmen, an deren Funktionsfähigkeit ein besonderes öffentliches Interesse besteht und bei deren Beeinträchtigung ein Grundinteresse der Gesellschaft gefährdet wäre.

Durch das geplante Regelungsvorhaben soll es in der Wirtschaft zu einer Veränderung des jährlichen Erfüllungsaufwands von rund 45,09 Millionen Euro kommen. 31,20 Millionen Euro davon entstehen aus den neuen oder geänderten Informationspflichten. Einmalig wird die Wirtschaft zudem mit geschätzt 16,71 Millionen Euro belastet. Auch auf die öffentliche Verwaltung kommt durch die Gesetzesänderungen eine erhebliche wirtschaftliche Mehrbelastung zu. In diesem Rahmen wird auch das BSI personell weiter aufgestockt werden.

Im Einzelnen werden durch das IT-SiG 2.0 als Artikelgesetz folgende Vorschriften teils umfassend überarbeitet und ergänzt:

  • das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG)
  • das Telekommunikationsgesetz (TKG)
  • das Telemediengesetz (TMG)
  • das Strafgesetzbuch
  • die Strafprozessordnung
  • das Gesetz über die internationale Rechtshilfe in Strafsachen
  • das Justizvergütungs- und -entschädigungsgesetz
  • das Artikel 10-Gesetz
  • das Bundeskriminalamtsgesetz
  • die Außenwirtschaftsverordnung.

Da es sich bei der vorliegenden Fassung des Gesetzes um einen Referentenentwurf handelt, ist davon auszugehen, dass dieser in den kommenden Wochen und Monaten noch umfassend durch die Fachöffentlichkeit diskutiert wird. Die vorliegenden Regelungsvorschläge sind somit keinesfalls als final zu betrachten. Vor allem werden neben der Frage der Verhältnismäßigkeit mancher Regelungen, die eine erhebliche wirtschaftliche Mehrbelastung für Unternehmen und Betreiber verursachen, auch datenschutzrechtliche Fragestellungen zu bewerten sein. Diese ergeben sich mit dem IT-SiG 2.0 für das IT-Sicherheitsrecht noch stärker als bisher, zum Beispiel bei der neu geplanten Bestandsdatenauskunft gemäß § 5d BSIG-E.