Zum einen werden durch das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) die Befugnisse von Behörden bei der IT-Sicherheit generell ausgeweitet: Hierzu gehören nicht nur die Kompetenzen des BSI, sondern auch die Befugnisse der Strafverfolgungs- und Sicherheitsbehörden. So kann das BSI in Zukunft die Länder stärker unterstützen. Zudem anderen werden das Straf- und das Strafverfahrensrecht auf die geänderte Bedrohungslage zugeschnitten: Der Strafrahmen wird angepasst, Strafbarkeitslücken werden geschlossen und Qualifikationstatbestände für Computerstraftaten eingeführt. Durch die Anpassungen im Strafverfahrensrecht erhalten die Ermittlungsbehörden neue Möglichkeiten zur Bekämpfung von Cyberkriminalität.
Aber auch für Provider gibt es Neuerungen. Schließlich sind sie es, die eine zentrale Rolle bei der Verbreitung rechtswidriger Daten spielen. Provider können deshalb in Zukunft dazu verpflichtet werden, entsprechende Datenbestände zu löschen, zu melden sowie Bestandsauskünfte zu Cybercrime-Vorfällen zu geben.
Um die grenzüberschreitende Zusammenarbeit der Behörden bei Cybersicherheitsvorfällen zu verbessern, schafft das IT-SiG 2.0 eine Regelung zur Vorabsicherung von Daten. Und nicht zuletzt werden die für die Betreiber von Kritischen Infrastrukturen bestehenden Meldepflichten und Verpflichtungen zur Gewährleistung eines Mindeststandards für IT-Sicherheit auf weitere Teile der Wirtschaft ausgeweitet. Das betrifft Unternehmen, an deren Funktionsfähigkeit ein besonderes öffentliches Interesse besteht und bei deren Beeinträchtigung ein Grundinteresse der Gesellschaft gefährdet wäre.
Durch das geplante Regelungsvorhaben soll es in der Wirtschaft zu einer Veränderung des jährlichen Erfüllungsaufwands von rund 45,09 Millionen Euro kommen. 31,20 Millionen Euro davon entstehen aus den neuen oder geänderten Informationspflichten. Einmalig wird die Wirtschaft zudem mit geschätzt 16,71 Millionen Euro belastet. Auch auf die öffentliche Verwaltung kommt durch die Gesetzesänderungen eine erhebliche wirtschaftliche Mehrbelastung zu. In diesem Rahmen wird auch das BSI personell weiter aufgestockt werden.
Im Einzelnen werden durch das IT-SiG 2.0 als Artikelgesetz folgende Vorschriften teils umfassend überarbeitet und ergänzt:
- das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG)
- das Telekommunikationsgesetz (TKG)
- das Telemediengesetz (TMG)
- das Strafgesetzbuch
- die Strafprozessordnung
- das Gesetz über die internationale Rechtshilfe in Strafsachen
- das Justizvergütungs- und -entschädigungsgesetz
- das Artikel 10-Gesetz
- das Bundeskriminalamtsgesetz
- die Außenwirtschaftsverordnung.
Da es sich bei der vorliegenden Fassung des Gesetzes um einen Referentenentwurf handelt, ist davon auszugehen, dass dieser in den kommenden Wochen und Monaten noch umfassend durch die Fachöffentlichkeit diskutiert wird. Die vorliegenden Regelungsvorschläge sind somit keinesfalls als final zu betrachten. Vor allem werden neben der Frage der Verhältnismäßigkeit mancher Regelungen, die eine erhebliche wirtschaftliche Mehrbelastung für Unternehmen und Betreiber verursachen, auch datenschutzrechtliche Fragestellungen zu bewerten sein. Diese ergeben sich mit dem IT-SiG 2.0 für das IT-Sicherheitsrecht noch stärker als bisher, zum Beispiel bei der neu geplanten Bestandsdatenauskunft gemäß § 5d BSIG-E.