Das IT-Sicherheitsgesetz wurde trotz vielfacher Kritik am 23.04.2021 in der Version 2.0 beschlossen. Welche neuen Pflichten auf Betreiber kritischer Infrastrukturen zukommen und was beispielsweise UNBÖFI sind, haben wir in Kürze für euch zusammengefasst.

• Zusätzliche Pflichten für Betreiber kritischer Infrastrukturen sowie Hersteller von „kritischen Komponenten“ + neuer Sektor „Entsorgung“
  • Zu den bestehenden Sektoren der kritischen Infrastrukturen gesellt sich der Sektor  Siedlungsabfallentsorgung, für den Stand heute noch keine offiziellen Schwellenwerte definiert wurden.
  • Zu den neuen Pflichten, die spätestens nach zwei Jahren verpflichtend werden, gehören nun Systeme (inklusive unterstützender Prozesse!) zur Angriffserkennung, die eine kontinuierliche Überwachung des Betriebes gewährleisten müssen.
  • Einführung einer Meldepflicht für den Einsatz von kritischen Komponenten. Hierzu gehören Komponenten, die „in Kritischen Infrastrukturen eingesetzt werden und die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit Kritischer Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können“. Eine detailliertere Ausführung, was darunter zu verstehen ist, soll folgen.
  • Hieraus ergeben sich weiterhin Pflichten für die Hersteller kritischer Komponenten, die im Rahmen einer Garantieerklärung gewährleisten müssen, dass die Komponenten „über keine technischen Eigenschaften verfügen, die geeignet sind, missbräuchlich, insbesondere zum Zwecke von Sabotage, Spionage oder Terrorismus auf die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur einwirken zu können“.

• Senkung der Schwellenwerte + Erhöhung der Bußgelder
  • Für viele Bereiche der kritischen Infrastrukturen wurden neue Schwellwerte definiert sowie bereits bekannte Schwellwerte geändert. So wurden beispielsweise die Schwellwerte für Erzeugungsanlagen im Sektor Energie von 420 MW auf 36 MW reduziert.
  • In §14 sind Geldbußen definiert, die für konkrete Fälle bis zu 2.000.000 EUR vorsehen.

• Einführung der UNBÖFI
  • Neu zu den Bereichen, die zur Umsetzung von Security Maßnahmen verpflichtet werden, gehören nun die UNBÖFI – die Unternehmen im besonderen öffentlichen Interesse
  • Welche Unternehmen werden hierunter gefasst? Stand heute lassen sich folgende Gruppen festhalten:
    • Hersteller von Rüstung, Waffen und Produkten für staatliche Verschlusssachen (VS), da deren Ausfall Sicherheitsinteressen Deutschland gefährden würde.
    • Unternehmen von erheblicher volkswirtschaftlicher Bedeutung, weil Störungen gesamtgesellschaftliche Bedeutung hätten und Zulieferer von wesentlicher Bedeutung mit Alleinstellungsmerkmal für diese.
    • Betreiber von Betriebsbereichen der oberen Klasse mit gefährlichen Stoffen im Sinne der Störfall-Verordnung.

• Mehr Befugnisse für das BSI (Bundesamt für Sicherheit in der Informationstechnik)
  • Dem BSI werden nun deutlich mehr Befugnisse sowie Aufgabenbereiche zugeteilt – hierfür wurden 800 neuen Stellen ausgeschrieben. Darunter fallen beispielsweise Aufgaben im Bereich des Verbraucherschutzes, erweitere Beratungsfunktionen staatlicher Stellen oder die Erweiterung als zentrale Stelle für KRITIS-Betreiber und UNBÖFI. Weiterhin darf das BSI Daten zu Schadprogrammen, Lücken und Angriffen sammeln und diese analysieren. Hierzu können beispielsweise auch Auskünfte von Herstellern verlangt werden. Ebenfalls soll durch Erweiterung vielfältiger Befugnisse der Schutz der Bundesnetze gestärkt werden.

• IT-Sicherheitskennzeichen für IT-Produkte
  • Hersteller von IT-Produkten haben gemäß §9c die Möglichkeit beim BSI eine freiwillige IT-Sicherheitskennzeichnung zu beantragen. Dazu gehört einerseits die Erklärung durch den Hersteller, der Eigenschaften zusichert und anderseits eine Sicherheitsinformation des BSI. Weitere Details werden künftig vom BSI veröffentlicht.

Weitere Details findet Ihr beispielsweise unter:

KRITIS-Informationen für Betreiber Kritischer Infrastrukturen (openkritis.de)

IT-Sicherheitsgesetz 2.0 verabschiedet: Alle relevanten Hintergründe und Kernpunkte des neuen Gesetzes und wie die Entwicklung weitergeht – Sichere Industrie (sichere-industrie.de)