Welche Änderungen und Aufgaben ergeben sich aus dem aktualisierten IT-Sicherheitsgesetz 2.0 – und welche Unternehmen sind davon betroffen? Ferdinand Grieger, Chief Legal Counsel der DGC Switzerland AG, stellt die wichtigen Neuerungen vor: Diesmal geht es um die Frage, welche Rolle das BSI bei der Umsetzung des IT-SiG 2.0 spielt und welche Auswirkungen dies auf die IT-Sicherheit vieler Unternehmen haben kann.
Ferdinand Grieger, Chief Legal Counsel der DGC Switzerland AG, kommentiert in diesem zweiteiligen Blogbeitrag das aktualisierte IT-Sicherheitsgesetz 2.0 und erklärt, wie die DGC Unternehmen bei der Umsetzung des IT-Sicherheitsgesetzes unterstützen kann. Während es im ersten Teil primär um die Neuerungen durch das aktualisierte Gesetz ging, beschäftigt sich dieser zweite Teil mit den veränderten Befugnissen des BSI (Bundesamt für Sicherheit in der Informationstechnik) und dem Ausblick auf die gesetzlich geregelte IT-Sicherheit in Deutschland.
Was ist das BSI-Gesetz (BSIG)?
Im Jahr 1991 trat das Gesetz zur Errichtung des Bundesamtes für Sicherheit und Informationstechnik in Kraft. Im August 2009 wurde das Errichtungsgesetz durch ein Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes ergänzt. Dieses wiederum ist die Grundlage für das aktuell gültige BSI-Gesetz.
Die Informationstechnik hat sich seitdem rasant weiterentwickelt – und damit auch das Vorgehen von Cyberkriminellen. Entsprechend wurden das Gesetz und die Befugnisse des BSI im Laufe der Zeit immer wieder angepasst und erweitert. Im April 2021 hat der Bundestag das IT-Sicherheitsgesetz 2.0 verabschiedet. Das BSI erhält dadurch eine Vielzahl neuer Kompetenzen, um effektiv auf aktuelle Sicherheitsrisiken im IT-Bereich reagieren zu können.
BSIG: Die erweiterte Rolle des BSI durch das IT-SIG 2.0
Das aktualisierte IT-Sicherheitsgesetz 2.0 definiert das BSI als zentrale Stelle für Informationssicherheit im nationalen Kontext. Es soll zukünftig als Informationsknotenpunkt für die Abwehr von IT-Gefahren dienen. Als solcher wird das BSI auch zur Meldestelle für die Betreiber kritischer Infrastrukturen (KRITIS-Betreiber) in allen Sicherheitsangelegenheiten mit IT-Bezug. Das Aufgabenspektrum der BSI ist dadurch deutlich komplexer geworden.
So wird das BSI im Rahmen des neuen Aufgabenkatalogs unter anderem zur nationalen Behörde für Cyberzertifizierungen. Das Amt ist außerdem für die Entwicklung von Vorgaben und die abschließende Bewertung von Identifizierungs- und Authentisierungsverfahren unter dem Gesichtspunkt der IT-Sicherheit verantwortlich.
Ergänzung des BSIG: Zahlreiche neue Befugnisse für das BSI
Nach dem geänderten Bundessicherheitsinformations-Gesetz (BSIG) hat das BSI nun die Befugnis zur Ermittlung von Sicherheitsrisiken, Portscans bei Einrichtungen des Bundes, KRITIS-Unternehmen, Anbietern digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse. Darüber hinaus ist das BSI befugt, Systeme und Verfahren einzusetzen, die einem Angreifer einen erfolgreichen Angriff vortäuschen, um den Einsatz von Schadprogrammen oder andere Angriffsmethoden – sogenannte Honeypots – zu erheben und auszuwerten.
Das BSI als zentrale Institution für IT-Sicherheit
Nach dem aktualisierten Gesetz ist das BSI ermächtigt, Bestandsdaten bei Anbietern von Telekommunikationsdiensten abzufragen, um Betroffene über Sicherheitslücken und Angriffe zu informieren. Ferner gibt es eine Anordnungsbefugnis des BSI gegenüber Telekommunikations- und Telemedienanbietern zur Abwehr spezifischer Gefahren für die Informationssicherheit. Die Umsetzung des IT-Sicherheitsgesetz 2.0 zeigt deutlich, dass Unternehmen die „neue Rolle“ des BSI als zentrale Institution für Sicherheit in der Informationstechnik, Ansprechpartner und Prüfer interpretieren müssen.
Wer gehört zur kritischen Infrastruktur?
Das Bewusstsein für Cybersicherheit wächst
Ungeachtet der Wirksamkeit von Einzelpflichten und erhöhten Bußgeldern ist es gut, dass dem Thema Cybersicherheit gesetzgeberisch mehr Priorität gegeben wird – schließlich wächst die Anzahl von Cyberangriffen von Jahr zu Jahr massiv. Nach Angaben des BKA hat die Anzahl der erfassten Cyber-Straftaten auch 2021 einen neuen Höchstwert erreicht. Und doch: Aktuell besteht die größte Hürde der deutschen Unternehmenslandschaft, wenn es um Cybersicherheit geht, im mangelnden Gefahrenbewusstsein.
Auswirkungen des IT-SIG 2.0 auf die IT-Branche
Eine umfassende Beurteilung aller Effekte auf die IT-Branche ist derzeit nicht möglich. Ausgehend vom Arbeitsaufkommen sind die IT- bzw. Cybersicherheitsdienstleister, die von der Umsetzung des IT-Sicherheitsgesetzes betroffene Unternehmen betreuen, derzeit sowohl mit der stetig zunehmenden Zahl von Cyberattacken sowie der Umsetzung der mit dem IT-Sicherheitsgesetz 2.0 neu aufgekommenen Verpflichtungen gleichsam ausgelastet. Das gilt insbesondere für die Betreiber kritischer Infrastrukturen.
Ausblick: Darauf sollten Unternehmen sich einstellen
Mit einiger Wahrscheinlichkeit werden die gesetzlichen Standards zur Cybersicherheit für KRITIS-Unternehmen, wenn auch zunächst in abgeschwächter Form, auf weitere Sektoren ausgeweitet. Das soll zu einem einheitlichen Sicherheitsniveau beitragen. Das lässt sich zumindest aus den Diskussionen rund um die überarbeitete Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS 2) der Europäischen Kommission schließen.
Zunächst wird jedoch eine Anpassung der BSI-KRITIS-Verordnung dafür sorgen, dass mehr Unternehmen als KRITIS-Unternehmen eingestuft werden. Darüber hinaus sind zudem auch gesetzlich festgelegte Sicherheitsstandards für Unternehmen abseits der KRITIS-Verordnung zu erwarten. In Sachen Cybersicherheit spielen sich zurzeit viele Entwicklungen ab. In welchem Umfang sich das auf die Gesetzgebung oder den Unternehmensalltag auswirken wird, bleibt abzuwarten.
Schon jetzt steht fest: Das IT-Sicherheitsgesetz 2.0 ist nicht die letzte Änderung des deutschen IT-Sicherheitsrechts. Ein Entwurf der zweiten NIS-Richtlinie der europäischen Kommission liegt bereits vor. Nach deren Erlass werden sich weitere Änderungen, insbesondere des BSI-Gesetzes, nicht vermeiden lassen. Inwieweit sich der Pflichtenkatalog für Unternehmen dadurch ändern wird, ist momentan noch nicht absehbar.
Wie die DGC Ihr Unternehmen bei der Umsetzung des IT-SiG 2.0 unterstützen kann? Das erfahren Sie in unserem ersten Blogbeitrag „IT-Sicherheitsgesetz 2.0: Das ändert sich für Unternehmen“ oder über den direkten Kontakt.