3 Minuten Lesezeit 24 Mai 2022
Laptop

IT-SiG 2.0: Praxisrelevante Neuerungen im BSIG

Von Sina Biermann

Associate | Rechtsanwältin | Ernst & Young Law GmbH | Deutschland

Sina Biermann ist Rechtsanwältin bei EY Law und im Bereich IP/IT/Datenschutzrecht tätig.

3 Minuten Lesezeit 24 Mai 2022

Das IT-Sicherheitsgesetz 2.0 als Antwort auf zunehmende Cyberattacken auf Behörden und private Unternehmen.

Überblick
  • Ein Nebeneffekt der fortschreitenden Digitalisierung sind die zunehmenden Cyberattacken auf Behörden und auf private Unternehmen.
  • Das IT-Sicherheitsgesetz 2.0. wurde erlassen, um diesen Gefahren für die öffentliche Sicherheit angemessen zu begegnen und eine funktionierende Informations- und Kommunikationstechnik zu gewährleisten.
  • Den Betreibern kritischer Infrastrukturen und Unternehmen im besonderen öffentlichen Interesse werden entsprechend auch bußgeldbewährter Pflichten auferlegt.

Cyberattacken auf die öffentliche Hand und private Unternehmen nehmen stetig zu (s. die kleine Anfrage der FDP-Fraktion an die Bundesregierung. Die Cyberangriffe auf KRITIS-Betreiber haben sich innerhalb von 4 Jahren teilweise verzwanzigfacht (vgl. BT-Drs. 19/24247, S. 3 f.). Um dem entgegenzuwirken hat der Bundesgesetzgeber durch das „Zweite[n] Gesetz[es] zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-SiG 2.0) die Initiative ergriffen: Nach einem langen Abstimmungsprozess hat er im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) neben den „Betreibern Kritischer Infrastrukturen“ (KRITIS-Betreiber) nun auch „Unternehmen im besonderen öffentlichen Interesse“ (UBI) neue IT-Sicherheitspflichten auferlegt. Letztere bleiben allerdings deutlich hinter KRITIS-Pflichten zurück. Viele dieser gesetzlichen Anforderungen, wie z.B. die Registrierung beim „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) sowie die unverzügliche Meldung von Störungen, gelten ab sofort und sind bußgeldbewehrt. Außerdem wurden dem BSI weitreichende Kompetenzen eingeräumt, sodass es nun zur führenden Cybersicherheitsbehörde des Bundes berufen ist. Ferner erhöht der Bund die Anforderungen an die Sicherheit seiner Kommunikationstechnik.

Für Unternehmen hat die Einhaltung der gesetzlichen Anforderungen rechtliche, organisatorische und technische Maßnahmen zur Folge.

Neuerungen und deren Praxisrelevanz

Das IT-SiG 2.0 ist in weiten Teilen am 28.5.2021 in Kraft getreten (§§ 4a, 4b, 5a, 8 BSIG sind am 1.12.2021 in Kraft getreten). Es konkretisiert die durch das „Erste Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-SiG 1.0) geschaffenen Anforderungen an die IT-Sicherheit von Unternehmen. Dabei erweitert es sowohl den Kreis der Verpflichteten als auch die einzelnen Pflichten, und erhöht zugleich die Bußgeldobergrenze: Bei Verstößen gegen die oben genannten Pflichten, können die Ordnungswidrigkeiten in Bezug auf UBI von bis zu 500.000 EUR und bei KRITIS-Betreiber mit Geldbußen von bis zu 20. Mio. EUR, geahndet werden (§ 14 Abs. 5 BSIG ggf. iVm. § 30 Abs. 2 Satz 3 OWiG).

KRITIS-Betreiber

KRITIS-Betreiber sind Unternehmen,

  1. die einem der Sektoren Energie, Informationstechnik/Telekommunikation, Transport/Verkehr, Gesundheit, Wasser, Ernährung, Siedlungsabfallversorgung oder Finanz-/Versicherungswesen angehören und
  2. zusätzlich von hoher Bedeutung für das Funktionieren des Gemeinwesens sind (§ 2 Abs. 10 BSIG).

Als neuer Sektor wurde mit dem IT-SiG 2.0 die Siedlungsabfallversorgung aufgenommen, wegen der Seuchen- und Umweltgefahren im Falle eines Ausfalls oder einer Beeinträchtigung.

Die für die Einordnung als KRITIS-Betreiber maßgeblichen – und zum Teil abgesenkten - Schwellenwerte finden sich in der BSI-KritisV. Der Regelschwellenwert liegt bei mindestens 500.000 zu versorgenden Personen.

Mit dem IT-SiG 2.0 sind KRITIS-Betreiber verpflichtet, sich beim BSI zu registrieren (§ 8b Abs. 3 BSIG). Wenn das Unternehmen seiner Pflicht zur Registrierung nicht nachkommt, kann das BSI die Registrierung auch selbst vornehmen, und das Unternehmen dazu verpflichten, die erforderlichen Unterlagen vorzulegen (§ 8b Abs. 3a BSIG).

Zu beachten ist, dass Direktinvestitionen eines Investors aus dem Nicht-EU-Ausland in Form eines schuldrechtlichen Vertrages über den Erwerb eines Anteils von mehr als 10% an einem KRITIS-Unternehmen dem Bundesministerium für Wirtschaft und Energie (BMWi) schriftlich oder elektronisch zu melden sind (§ 56 Abs. 1 Nr. 1 AWV iVm. § 55a Abs. 1 Nr. 1, Abs. 5 AWV).

Ab dem 01.05.2023 haben KRITIS-Betreiber zudem „Systeme zur Angriffserkennung“ einzusetzen, welche dem Stand der Technik (den das BSI festlegt) entsprechen (§ 8a Abs. 1a BSIG). Diese Systeme sind dadurch gekennzeichnet, dass sie durch technische Werkzeuge und organisatorische Prozesse Angriffe auf IT-Systeme erkennen (§ 2 Abs. 9b BSIG). Außerdem ist dem BSI die Einhaltung standardisierter Sicherheitsanforderungen (z.B. ISO 27001 oder B3S) all zwei Jahre nachzuweisen (§ 8a Abs. 3 BSIG). Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen, die von einer extern prüfenden Stelle vorgenommen werden.

KRITIS-Betreiber melden Störungen ihrer IT-Systeme, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben oder führen können unverzüglich an das BSI (§ 8b Abs. 4 BSIG). In der Meldung sind Angaben enthalten über die Störung, zu möglichen grenzübergreifenden Auswirkungen sowie zu den technischen Rahmenbedingungen. Im Falle einer Störung kann das BSI BSIG eine umfassende Herausgabe von Informationen – u.a. personenbezogene Daten – verlangen (§ 8b Abs. 4a). Die Störungsmeldung kann grundsätzlich anonym erfolgen. Das ist allerdings dann nicht der Fall, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der KRTIS geführt hat. Eigens dafür hat das BSI ein Meldeportal eingerichtet.

„Unternehmen im besonderen öffentlichen Interesse“ (UBI)

Neu eingeführt wird mit dem IT-SiG 2.0. zudem die Kategorie der „Unternehmen im besonderen öffentlichen Interesse“ (UBI), die aber nicht KRITIS-Betreiber sind (§ 2 Abs. 14 BSIG). Wer KRITIS-Betreiber ist, kann nicht zugleich UBI sein. Betrachtet wird jede juristische Person separat. Die daraus resultierende Subsidiarität zwischen KRITIS und UBI kann in der Anwendungspraxis zu Unsicherheiten führen, da sich häufig Überschneidungen zeigen. Es ist zu erwarten, dass der Gesetzgeber hier noch einmal nachjustieren wird.

UBI 1 erfasst Rüstungs- und IT-Sicherheitsunternehmen (§ 2 Abs. 14 Nr. 1 BSIG). Dabei handelt es sich um Unternehmen die einerseits Waffen, Munition und Rüstungsmaterial und andererseits IT-Sicherheitsprodukte für die Verarbeitung staatlicher Verschlusssachen herstellen (§ 60 Abs. 1 Nr. 1, 3 AWV iVm. Anlage 1 zur Außenwirtschaftsverordnung (AWV), Teil 1, Abschnitt A). Es ist nicht eindeutig bestimmt, ob damit nur Produktion und Entwicklung in Deutschland oder ob auch solche Güter erfasst sind, die modifiziert („veredelt“) oder aus dem Ausland zum Verkauf in Deutschland angeboten werden. Es ist davon auszugehen, dass bereits die bloße Modifizierung bzw. der Verkauf von Gütern der Anlage 1 zur AWV relevant ist, und die „tatsächliche Gewalt“ über die Güter insoweit ausreicht.

Zur zweiten UBI-Kategorie gehören Unternehmen, die nach ihrer inländischen Wertschöpfung die größten Unternehmen Deutschlands darstellen und daher von erheblicher volkswirtschaftlicher Bedeutung sind (§ 2 Abs. 14 Nr. 2 BSIG). Die genauen Schwellenwerte zur Einordnung, welches Unternehmen unter die Kategorie UBI 2 fällt, sind noch in einer Anfang 2022 erwarteten Rechtsverordnung festzulegen (§ 10 Abs. 5 BSIG). Umfasst werden sollen solche Unternehmen, bei denen ein durch Cyberangriffe ausgelöster Ausfall oder eine Störung der Geschäftstätigkeit von gesamtwirtschaftlicher Bedeutung wäre (BT-Drs. 19 26106, S. 58).

Auch Zulieferer („key supplier“) der größten Unternehmen, die „wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind“, werden unter UBI 2 gefasst (siehe zur näheren Begründung BT-Drs. 19/28844, S. 39). Durch separate Rechtsverordnung wird noch festzulegen sein, wie sich die „Alleinstellungsmerkmale“, „Wesentlichkeit“ und ggf. auch Substituierbarkeit konkret bestimmen. Daher sind die UBI 2 Pflichten der Zulieferer erst zu einem späteren Zeitpunkt zu erfüllen.

Die letzte Kategorie erfasst Unternehmen, die der Störfall-Verordnung unterliegen, als sie einen Betriebsbereich der oberen Klasse im Sinne der StörfallVO betreiben oder diesen gleichgestellt sind (§ 2 Abs. 14 Nr. 3 BSIG). Es handelt sich um das Betreiben von Bereichen, in denen gefährliche Stoffe in Mengen vorhanden sind, die bestimmte Schwellwerte nach der StörfallVO erreichen oder überschreiten.
Die Pflichten für UBI reichen von Registrierungen beim BSI und Selbsterklärungen zur IT-Sicherheit bis zu Meldepflichten bei Störungen (§ 8f BSIG). Die Kategorien UBI 1 und 2 treffen dabei umfangreichere Pflichten als UBI 3.

UBI 1 und 2 haben alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit beim BSI vorzulegen (§ 8f Abs.1 BSIG). Dies wird sehr aufwändig sein, denn es muss hervorgehen, dass und wie die IT-Sicherheit des Unternehmens dem Stand der Technik entspricht und zudem welche Zertifizierungen zur IT-Sicherheit, Sicherheitsaudits oder Prüfungen durchgeführt wurden. Im Gegensatz zu KRITIS-Betreibern sind allerdings keine externen Sicherheitsaudits vorzulegen. Zudem gilt eine Registrierungspflicht.

Dagegen ist für UBI 3 eine Selbsterklärung nicht vorgesehen und auch die Registrierung ist nicht verpflichtend, sondern freiwillig.

Die Meldepflicht im Falle von Störungen trifft sie aber alle, UBI 1, 2 und 3. Im Interesse der Allgemeinheit an deren Funktionsfähigkeit (BT-Drs. 10/2844, S. 44), sind Störungen, die zu einem Ausfall oder einer erheblichen Beeinträchtigung, oder einem Störfall führen können „unverzüglich“, d.h. „ohne schuldhaftes Zögern“ dem BSI zu melden. Die Meldung darf gerade nicht anonym erfolgen.

Umsetzungsfristen UBI (§§ 8f Abs. 4, 8, 10 Abs. 5 BSIG):

UBI 3: 01.11.2021 (§ 8f Abs. 8 BSIG)
UBI 1: 01.05.2023 (§ 8f Abs. 4 S. 1 BSIG)
UBI 2: 2 Jahre nach Inkrafttreten der Rechtsverordnung (Anfang 2024)

Fazit

Das BSIG befördert die Cybersicherheit und wird mit dem IT-SiG 2.0 das Niveau der Sicherheit erhöhen an Schlüsselstellen von Versorgung und Schutz der Allgemeinheit und der Wirtschaft. Die Praxis der Umsetzung der gesetzlichen Anforderungen offenbart allerdings auch – und trotz der Veröffentlichungen („FAQs“) des BSI – eine Vielzahl offener Fragen. Zudem ist Konkretisierung durch die neue BSI-KritisV angekündigt, wann diese kommt ist jedoch unklar.

Unternehmen ist dringend geraten sich jetzt mit dem Anwendungsbereich und den möglichen Pflichten zu befassen. Die entsprechenden Meldeprozesse sind jedenfalls zu etablieren. Insbesondere aber, wenn es um Erklärungen zu IT-Sicherheit des Unternehmens nach dem Stand der Technik und Zertifizierungen geht, sind bis zum Stichtag noch umfangreiche IT-Governance-Projekte umzusetzen.

Im Regelungsbereich der IT-Sicherheit ist das IT-SiG 2.0 ohnehin bloß das Ende vom Anfang: Die erwartete "Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union" (NIS 2.0.-Richtlinie) wird die gesamte EU betreffen. Sie wird voraussichtlich einen noch breiteren fachlichen Anwendungsbereich haben. Somit dürften wesentlich mehr Unternehmen zu regulierter IT-Sicherheit verpflichtet werden, dazu gehören dann sicherlich viele, die dies bislang nicht erwarten (beispielsweise „key supplier“).

Über diesen Artikel

Von Sina Biermann

Associate | Rechtsanwältin | Ernst & Young Law GmbH | Deutschland

Sina Biermann ist Rechtsanwältin bei EY Law und im Bereich IP/IT/Datenschutzrecht tätig.