IT-Sicherheitsgesetz 2.0 verabschiedet Update für das IT-Sicherheitsrecht

Hackerangriffe auf die IT-Infrastruktur von Versorgungsunternehmen nehmen immer weiter zu. Der jüngste Hackerangriff auf die größte US-Benzin-Pipeline ist ein drastisches Beispiel für die immer weiter steigende Bedrohungslage im Bereich der IT-Sicherheit. Vor diesem Hintergrund haben der Bundestag und Bundesrat kürzlich das neue IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) verabschiedet.

Mit dem neuen IT-SiG 2.0 wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) deutlich an Zuständigkeiten gewinnen. Ferner wird die Siedlungsabfallentsorgung zukünftig als Kritis-Sektor definiert. Der Aufbau von Systemen zur Angriffserkennung wird verpflichtend und der Einsatz von kritischen Komponenten (insbesondere im Sektor Telekommunikation) streng reglementiert. Ferner wird der Bußgeldrahmen deutlich angehoben. Bei Verstößen drohen zukünftig Bußgelder von bis zu 20 Millionen Euro.

Das IT-SiG 2.0 wurden im Rahmen des Gesetzgebungsprozesses äußerst kontrovers diskutiert. Während der Beratungen im Bundestag konnten noch deutliche Verbesserungen im Gesetz erreicht werden. So wird der „Stand der Technik“ für IT-Systeme zukünftig weiterhin im Markt bestimmt. Außerdem muss das BSI ihm in Unternehmen bekannte Sicherheitslücken diesen Unternehmen mitteilen. Zudem wird die Übergangsfrist zum Aufbau von Systemen zur Angriffserkennung auf 24 Monate verlängert.

Ferner hat das Bundesministerium des Innern, für Bau und Heimat (BMI) einen Referentenentwurf zur Änderung der BSI-Kritisverordnung veröffentlicht. In der BSI-Kritisverordnung wird festgelegt, welche Anlagen ab welchen Schwellenwerten als Kritische Infrastrukturen angesehen werden und damit den Anforderungen des IT-SiG 2.0 unterliegen. Der VKU hat hierzu seine Stellungnahme beim BMI eingereicht. Der neue Sektor der Siedlungsabfallentsorgung ist hierbei noch nicht berücksichtigt worden. Die BSI-Kritisverordnung wird deshalb noch ein weiteres Mal überarbeitet werden müssen.