Cyber Security: Das IT-Sicherheitsgesetz 2.0

Digitalisierung, Datenschutz und Cyber-Sicherheit sind untrennbar miteinander verbunden. Unter diesem Leitsatz hat das Bundesministerium des Inneren, für Bau und Heimat (BMI) am 27.03.2019 den Referentenentwurf eines „Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0)“ vorgelegt. Vier Jahre nach dem Inkrafttreten des ersten IT-Sicherheitsgesetzes will die Bundesregierung den Schutz von Staat, Wirtschaft, Gesellschaft und Privatpersonen vor Cyber-Angriffen verbessern, insbesondere vor Hackerangriffen, Ransomware, Schwachstellen in IT-Produkten und Datenleaks. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bekommt als nationale Cyber-Sicherheitsbehörde weitere Aufgaben und Befugnisse.

Betreiber kritischer Infrastrukturen (KRITIS) in Sektoren wie Energie, Informationstechnik oder Versorgung mit hoher Bedeutung für das Funktionieren des Gemeinwesens müssen Systeme zur Erkennung von Cyber-Angriffen einsetzen und Störungen dem BSI melden. Als Neuerung müssen auch Hersteller von IT-Produkten und KRITIS-Kernkomponenten Störungen in der Integrität ihrer Produkte melden, soweit sie für die kritischen Infrastrukturen relevant sind.

Außerhalb des KRITIS-Bereichs müssen die Anbieter von Telekommunikations- und Telemediendiensten ebenfalls Systeme zur Angriffserkennung verwenden und das Bundeskriminalamt (BKA) über Sicherheitsvorfälle in eigenen Systemen oder die Benutzung ihrer Dienste für rechtswidrige Zwecke informieren.

Der Gesetzentwurf will den Wirkungskreis des BSI erheblich erweitern. Das Bundesamt soll beispielsweise nach Schadsoftware und Sicherheitslücken in IT-Produkten suchen, mögliche Risiken in öffentlichen IT-Systemen aufspüren sowie Hersteller und die Öffentlichkeit über Sicherheitslücken, Schadprogramme und unerlaubte Datenzugriffe informieren. Zum Verbraucherschutz soll ein IT-Sicherheitskennzeichen eingeführt werden, damit Verbraucher einfach überprüfen können, ob IT-Produkte und Hersteller die aktuellen Sicherheitsstandards ausreichend berücksichtigen.

Für Verstöße eines Unternehmens gegen seine IT-Sicherheitsplichten können nach der bestehenden Rechtslage Bußgelder bis EUR 100.000 verhängt werden. Nach dem Vorbild der Datenschutzgrundverordnung sieht der Gesetzentwurf erheblich schärfere Sanktionen mit einem Bußgeldrahmen bis EUR 10.000.000 oder 2% des Unternehmensumsatzes vor. Sogar bis zu EUR 20.000.000 oder 4% des Unternehmensumsatzes können verhängt werden, wenn ein Unternehmen einer vollziehbaren Anordnung des BSI zur IT-Sicherheit nicht nachkommt.

Im Strafrecht werden Straftatbestände gegen die unbefugte Nutzung von IT-Systemen geschaffen, der Strafrahmen für Datenstraftaten wird drastisch erhöht und die Befugnisse der Strafverfolgungsbehörden werden erweitert.

Das IT-SiG 2.0 ist die vorrangige Tätigkeit der Bundesregierung auf dem Gebiet der IT-Sicherheit in der laufenden Legislaturperiode. Der vorliegende Referentenentwurf steht am Anfang des Gesetzgebungsverfahrens, angesichts der Bedeutung wird die Bundesregierung die Initiative voraussichtlich mit Dringlichkeit betreiben. In jedem Fall zeigt der Entwurf, welche Bedeutung der Staat der IT-Sicherheit zumisst und dass er, wie bereits bei der Datenschutzgrundverordnung, Unternehmen in die Pflicht nimmt.