Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (2. ITSiG)

Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (2. ITSiG)


Adressatenkreis: Betreiber von kritischen Infrastrukturen (gemäß BSI-Kritisverordnung), Anbieter von Telekommunikationsdiensten bzw. Datenverarbeitungssystemen, Anbieter von Telemediendiensten und Unternehmen von besonderem öffentlichen Interesse (nach § 2 Abs. 14 BSIG).

Der nach zahlreichen vorhergegangen Referentenentwürfen am 16. Dezember 2020 beschlossene „Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ ist am 28. Mai 2021 in Kraft getreten. Damit einhergehend kommt es zu Änderungen in verschiedenen Gesetzen. Betroffen sind das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Telekommunikationsgesetz (TGK), das Energiewirtschaftsgesetz (EnWG), die Außenwirtschaftsverordnung (AWV) sowie das Zehnte Buch Sozialgesetzbuch (SGB X). Mit dem 2. ITSiG soll die Informationssicherheit optimiert und neue Maßstäbe bezüglich der Abwehr von Cyberangriffen gesetzt werden.

Hintergrund: Richtungsweisend für das 2. ITSiG ist die 2014 vom Bundeskabinett beschlossene „Digitale Agenda der Bundesregierung“ und die „Neue Cyber-Sicherheitsstrategie für Deutschland“ aus dem Jahre 2016. Erstere bildete die Grundlage für das erste ITSiG von 2015, betont erstmals die Notwendigkeit des Schutzes und der Sicherheit von VerbraucherInnen und Unternehmen und definiert Leitlinien und Anforderungen zur Erhöhung der Sicherheit informationstechnischer Systeme. Aufgrund zunehmender Bedrohung auf Informationstechnischer Ebene, bspw. durch Hackerangriffe, legte Horst Seehofer Ende 2020 die Novellierung des ITSiG vor, welche zur Verbesserung der Cybersicherheit beschlossen wurde.

Innerhalb des BSIG kommt es zu den meisten Änderungen, welche schwerpunktmäßig die Aufgaben und Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) umfassen. Es kommt zur beträchtlichen Erweiterung des Kompetenzbereichs und zur Einführung neuer Regelungsbereiche. Das BSI kann bspw. durch den neu eingefügten § 5c BSIG in bestimmten Situationen eine Bestandsdatenauskunft (gemäß §§ 95 und 111 BSIG) von geschäftsmäßigen Erbringern und Mitwirkenden von Telekommunikationsdiensten einfordern, um Angriffe auf IT-Systeme herausragender Infrastrukturen und Unternehmen zu verhindern, die aufgrund ihrer gesellschaftlichen Bedeutung besonders schutzwürdig sind. Darüber hinaus erlaubt § 7a Abs. 1 und 2 BSIG dem BSI auf dem Markt bereitgestellte oder geplante informationstechnische Produkte und Systeme zu untersuchen und dafür relevante Auskünfte (bes. technische Details) von IT-Herstellern einzufordern. Die Anordnungsbefugnis des BSI gegenüber Anbietern von Telekommunikations- und Telemediendiensten wird ebenfalls ausgedehnt. Bei Dienstanbietern mit mehr als 100.000 Kunden können Schutzziele zur Abwehr konkreter erheblicher Gefahren angeordnet werden (§ 7c BSIG). Zudem befugt § 7d BSIG das BSI zur Anordnung technischer und organisatorischer Maßnahmen bei unzureichend gesicherten, durch äußere Angriffe gefährdeten Telemedienangeboten.

Erstmals oder nach Wiederinbetriebnahme sind Betreiber kritischer Infrastrukturen (KRITIS) im Sinne des § 10 Abs. 1 BSI-Kritisverordnung u. a. dazu verpflichtet, spätestens bis zum ersten Werktag angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme zu treffen (§ 8a BSIG). Ab dem 1. Mai 2023 umfasst dies auch den Einsatz von Systemen zur Angriffserkennung. Die Erfüllung der Verpflichtung muss dem BSI alle zwei Jahre nachgewiesen werden. Des Weiteren kommt es zu einer unmittelbaren Pflicht zur Registrierung einer KRITIS beim BSI (§ 8b BSIG).

Die Sicherheitsanforderungen und Eingriffsbefugnisse des BSIG werden auf Unternehmen im besonderen öffentlichen Interesse gemäß § 2 Abs. 14 BSIG ausgeweitet. Der neue § 8f BSIG regelt Pflichten dieser Unternehmen, welche jedoch nicht auf Kleinst- und kleine Unternehmen anzuwenden sind und erst nach einer angemessenen Übergangsfrist geltend werden. Dazu gehören bspw. die Vorlage einer Selbsterklärung zur IT-Sicherheit alle zwei Jahre beim BSI und sich bei erster Vorlage dort zu registrieren.

Damit einhergehend wird das EnWG dahingehend geändert, dass die Absätze 1d und 1e in § 11 EnWG eingefügt werden und die neue Pflicht gegenüber Betreibern von KRITIS, Systeme zur Angriffserkennung einzusetzen, ebenfalls für Betreiber von Energieversorgungsnetzen und -anlagen gelten, die gemäß § 10 Abs. 1 BSI-Kritisverordnung als KRITIS eingestuft wurden. Sie werden auch dazu verpflichtet, ab dem 1. Mai 2023 dem BSI alle zwei Jahre einen Nachweis über die Anforderungen nach § 11 Abs. 1e zu erbringen.

Im TKG wird § 109 geändert, welcher die zentrale Vorschrift bezüglich technischer und organisatorischer Schutzmaßnahmen, die von Netzbetreibern und Diensterbringern zu ergreifen sind, darstellt. Maßnahmen verpflichteter Unternehmen hinsichtlich der Auswirkungen von Sicherheitsverletzungen für Nutzer und zusammengeschaltete Netze, umfassen nun auch die Auswirkungen von Sicherheitsverletzungen von Diensten und es besteht künftig eine Zertifizierungsverpflichtung, betreffend kritische Komponenten nach § 2 Abs. 13 BSIG, für Betreiber von öffentlichen Kommunikationsnetzen mit erhöhtem Gefährdungspotenzial gemäß § 109 Abs. 2. Überdies werden Inhalt und Erstellung des Sicherheitskonzepts konkretisiert und ein Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten erstellt. Die Vorgaben des Sicherheitskatalogs treten am 23. Dezember 2021 in Kraft.

Mit dem 2. ITSiG kommt es zu einer erheblichen Stärkung des BSI, was eine deutliche Anhebung der staatlichen Schutzfunktion mit sich bringt sowie zu einer Verschärfung der unternehmerischen Vorsorgepflichten und somit zur Verbesserung des Verbraucherschutzes.

Sie wollen vollständig über das 2. ITSiG und über weitere Rechtsänderungen informiert werden und praxisbezogene Erläuterungen erhalten? Dann nutzen Sie unser Online Rechtsinformations-System CertLex. Von unseren Beratern wird Ihnen zunächst ein individualisiertes Rechtskataster erstellt. Anschließend werden Sie monatlich über Änderungen informiert.

Klicken Sie hier, wenn Sie Interesse haben, CertLex kostenlos zu testen.

Das könnte Sie auch interessieren

Änderung sechs abfallrechtlicher Verordnungen Adressatenkreis: Entsorgungsträger, Erzeuger, Behandler und Besitzer von (verpackten) Bioabfällen, Gemischhersteller, Hersteller von biologisch abbaubaren Kunststoff-Sammelbeuteln; Zertifizierte ... Weiterlesen
Das Gasspeichergesetz – Einführung von Füllstandsvorgaben von Gasspeicheranlagen im EnWG Adressatenkreis: Betreiber von Gasspeicheranlagen und Marktgebietsverantwortliche gem. § 3 Nr ... Weiterlesen
Die Erste Beobachtungsliste der für Wasser für den menschlichen Gebrauch bedenklichen Stoffe und Verbindungen Adressaten: Mitgliedsstaaten und Wasserversorger gem. Art ... Weiterlesen
EU-Taxonomie – Definition nachhaltiger Wirtschaftstätigkeiten Auf Grundlage des „Green Deal“ der EU aus dem Jahr 2019, ist am 12. Juli ... Weiterlesen

Wichtige Neuerungen, interessante News, informative Artikel – mit unserem Newsletter bleiben Sie immer auf dem Laufenden!

Letzte News

Arbeitsschutz

/
Im Rahmen der Umsetzung der „Arbeitsbedingungenrichtlinie“ (Richtlinie (EU) 2019/1152) ist am 1 ... mehr
/
Adressatenkreis: Unternehmen der handels- und energieintensiven Branchen nach Anhang 1 KUEBLL und ... mehr
/
Adressatenkreis: Entsorgungsträger, Erzeuger, Behandler und Besitzer von (verpackten) Bioabfällen, Gemischhersteller, Hersteller von biologisch ... mehr
/
Adressatenkreis: Betreiber von Gasspeicheranlagen und Marktgebietsverantwortliche gem. § 3 Nr. 26a EnWG ... mehr
Summary
Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (2. ITSiG)
Article Name
Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (2. ITSiG)
Description
Der nach zahlreichen vorhergegangen Referentenentwürfen am 16. Dezember 2020 beschlossene „Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ ist am 28. Mai 2021 in Kraft getreten. Damit einhergehend kommt es zu Änderungen in verschiedenen Gesetzen. Betroffen sind das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Telekommunikationsgesetz (TGK), das Energiewirtschaftsgesetz (EnWG), die Außenwirtschaftsverordnung (AWV) sowie das Zehnte Buch Sozialgesetzbuch (SGB X). Mit dem 2. ITSiG soll die Informationssicherheit optimiert und neue Maßstäbe bezüglich der Abwehr von Cyberangriffen gesetzt werden.
Author
Publisher Name
CertLex.Rechtskataster ganz einfach.
Publisher Logo
Suche

© 2021 CertLex AG

Login