Kabinett beschließt Entwurf für IT-Sicherheitsgesetz 2.0
Pressemitteilung 16.12.2020
Seehofer: "Durchbruch für Deutschlands Cybersicherheit"
Die Bundesregierung hat heute den von Bundesinnenminister Horst Seehofer vorgelegten Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) beschlossen. Damit unterstreicht sie die hohe Bedeutung der Informations- und Cybersicherheit in Deutschland. Das Gesetz regelt unter anderem den Schutz der Bundesverwaltung, kritischer Infrastrukturen (KRITIS), von Unternehmen im besonderen öffentlichen Interesse und den Verbraucherschutz.
Bundesinnenminister Horst Seehofer: "Wir haben in den letzten Jahren viel gegen den Terror getan. Wir müssen genauso viel dafür tun, dass Hacker und Spione nicht die Schaltzentralen unserer Krankenhäuser oder Energieversorger kapern. Mit dem IT-Sicherheitsgesetz 2.0 setzen wir neue Maßstäbe bei der Abwehr von Angriffen im Cyberraum. Das Gesetz ist ein Durchbruch für
Deutschlands Cybersicherheit."
Der Staat, die Wirtschaft und die Gesellschaft sind im digitalen Zeitalter auf funktionierende Informations- und Kommunikationstechnik angewiesen. Es bedarf einer kontinuierlichen Weiterentwicklung der Sicherheitsvorkehrungen. Mit der Fortschreibung des IT-Sicherheitsgesetzes wird ein Auftrag aus dem Koalitionsvertrag für die 19. Legislaturperiode umgesetzt.
Das IT-Sicherheitsgesetzes 2.0 enthält unter anderem folgende Regelungen:
Stärkung des BSI:
- Das BSI wird befugt, Kontroll- und Prüfbefugnisse gegenüber der Bundesverwaltung auszuüben. Bei wesentlichen Digitalisierungsvorhaben des Bundes soll das BSI frühzeitig beteiligt werden. Zudem wird die Dauer zur Speicherung von Protokolldaten zum Zwecke der Abwehr von Gefahren für die Kommunikationstechnik des Bundes auf 12 Monate verlängert. Protokollierungsdaten werden neu in das BSI-Gesetz aufgenommen und das BSI wird befugt, diese Daten zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes zu verarbeiten.
- Das BSI wird befugt, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikations-Netzen zu detektieren (Port-scans) sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen (Honeypots). Das BSI kann zudem Maßnahmen gegenüber Telekommunikations- und Telemedienunternehmen bei bestimmten Gefahren für die Informationssicherheit anordnen.
Stärkung des Verbraucherschutzes:
- Der Verbraucherschutz wird in den Aufgabenkatalog des BSI aufgenommen. Die Grundlage für ein einheitliches IT-Sicherheitskennzeichen wird eingeführt, das die IT-Sicherheitsfunktionen insbesondere von Produkten im Verbrauchersegment erstmals für Bürgerinnen und Bürger sichtbar und nachvollziehbar macht. Zum Schutz von Betroffenen und zum Zweck ihrer Benachrichtigung wird das BSI befugt, bei Anbietern von Telekommunikationsdiensten Bestandsdatenauskünfte zu verlangen. Die Befugnis des BSI zur Untersuchung von IT-Produkten wird neu gefasst. Hersteller werden zur Auskunft über ihre Produkte verpflichtet.
Stärkung der unternehmerischen Vorsorgepflichten
- Betreiber Kritischer Infrastrukturen werden verpflichtet, Systeme zur Angriffserkennung einzusetzen. Über eine Änderung im Gesetz über die Elektrizitäts- und Gasversorgung gilt diese Pflicht auch für Betreiber von Energieversorgungsnetzen und Energieanlagen.
- Die bereits für Betreiber Kritischer Infrastrukturen geltenden Meldepflichten gelten künftig auch für Unternehmen, die von besonderem öffentlichen Interesse sind wie Unternehmen der Rüstungsindustrie und Verschlusssachen-IT, Unternehmen, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben sowie Unternehmen, die der Regulierung durch die Störfallverordnung unterfallen.
Stärkung der staatlichen Schutzfunktion
- Das Gesetz enthält eine Regelung zur Untersagung des Einsatzes kritischer Komponenten, für die eine Zertifizierungspflicht besteht. Zudem werden die Bußgeldvorschriften neu gefasst. Im Telekommunikationsgesetz wird erstmals eine Zertifizierungspflicht für kritische Komponenten in Telekommunikationsnetzen eingefügt.
- Die Änderung der Außenwirtschaftsverordnung trägt der Einführung der kritischen Komponenten im BSI-Gesetz Rechnung.
Letzte Änderungen am Gesetzentwurf wurden nach der Länder- und Verbändeanhörung vorgenommen, so etwa bei den Regelungen zur Detektion von Sicherheitslücken. Außerdem wurden die ursprünglich vorgesehenen Speicherpflichten für Systeme zur Angriffserkennung gestrichen.