Was ist das IT-Sicherheitsgesetz?
Ursprünge des IT-Sicherheitsgesetzes
Das sogenannte IT-Sicherheitsgesetz dient der Erhöhung der Sicherheit informationstechnischer Systeme und trat am 25 Juli 2015 in Kraft. Es handelt sich hierbei um ein Gesetz der deutschen Bundesregierung, welches sich aus der Cyber-Sicherheitsstrategie vom Februar 2011 zusammensetzt, so die Angaben des Bundesministeriums.
Dank diesem Schriftstück gibt es nun eine gesetzliche Vorschrift zur Handhabung der Sicherheit im Internet.
Zuvor gab es zwar schon ein Verfahren, das IT-Sicherheitsvorfälle in der Wirtschaft regelte, die sogenannte Allianz für Cyber-Sicherheit, jedoch beruhte dies auf freiwilliger Basis.
Es werden nun über den Verwaltungs-CERT-Verbund (VCV) bestimmte Sicherheitsinformationen zwischen Bund und den Ländern ausgetauscht. Diese entsprechen der IT-Sicherheitsleitlinie des IT-Planungsrates.
Mittlerweile besteht bezüglich der Meldung ein standardisiertes Verfahren.
Was besagt das IT-Sicherheitsgesetz?
Das Gesetz verpflichtet Betreiber kritischer Infrastrukturen zu einem besseren Schutz ihrer Netze vor Hackerangriffen.
Kritische Infrastrukturen sind Infrastrukturen, die besonders gefährdet sind, also Energie, Wasser, Gesundheit oder Telekommunikation.
Allerdings werden nicht nur IT-Sicherheitsvorfälle gemeldet. Es wurden mittels dieses Gesetzes auch branchenweite Mindeststandards für die Einhaltung der IT-Sicherheit bei Betreibern der KRITIS festgelegt.
KRITIS-Branchen sollten diese Standards selbst entwickeln. Die Aufgabe des BSI ist es, diese Standards zu überprüfen und bei Zufriedenheit zu genehmigen. Das Unternehmen muss dann alle zwei Jahre die Erfüllung der dort festgelegten Anforderungen nachweisen.
Welche Strukturen gelten als kritische Infrastrukturen?
Welche Strukturen konkret als kritische Infrastrukturen im Sinne des Gesetzes gelten wird leider nicht klar formuliert, sondern lediglich abstrakt definiert.
Um diese Frage zu klären, sollen für jede relevante Branche aus den betroffenen Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Wasser, Gesundheit, Ernährung und das Finanz- und Versicherungswesen eigene Rechtsverordnungen erstellt werden.
Diese Rechtsverordnung liegt nun im Sinne der BSI-Kritis-Verordnung vor und umfasst alle Sektoren.
Die Überarbeitete Version des IT-Sicherheitsgesetzes
Aufgrund der im Juli 2016 in Kraft getretenen EU-Richtlinie zur Netz- und Informationssicherheit, kurz NIS-Direktive, musste das Gesetz allerdings überarbeitet, beziehungsweise ergänzt werden.
Der Grund dafür war, dass in dem ursprünglichen IT-Sicherheitsgesetz allgemeine größere Online-Plattformen nicht erfasst wurden.
Die Umsetzung der NIS-Direktive in nationales Recht musste daher erfolgen. Für diesen Prozess wurden Deutschland zwei Jahre Zeit gewährt.
- Anpassungen anstelle einer Generalüberholung
Im Dezember 2016 legte das BMI diesbezüglich einen Referentenentwurf, das NIS-RL-Umsetzungsgesetz vor. Laut diesem Entwurf sollte das ursprünglich in Kraft getretene IT-Sicherheitsgesetz nicht komplett überholt werden. Es sollten lediglich Anpassungen vorgenommen werden, die der NIS-Richtlinie entsprechen.
In Artikel 1 wurden die wesentlichen Veränderungen vorgenommen.
Zunächst wurden die Aufsichtsbefugnisse des BSI an die Vorgaben der NIS- Richtlinie angepasst.
Anschließend wurden die MIRTs, also die Mobile Incident Response Teams neu geregelt, um sie als Waffe gegen Cyber-Angriffe verwenden zu können.
Auch die Regelungen von Berichtspflichten und Pflichten zur Konsultation anderer Mitgliedsstaaten bei grenzüberschreitendem Bezug wurden überholt.
Ebenso die Meldepflichten der Betreiber wurden konkretisiert.
Zudem wurden Mindestanforderungen, Meldepflichten, Aufsichtsbefugnisse und Sanktionen für die in der NIS-RL konkret aufgeführten digitalen Dienste eingeführt.
Artikel zwei, drei und vier werden hinsichtlich spezialgesetzlicher Regelungen des AtG, EnWG und SGB V geändert. Das Inkrafttreten wird in Artikel fünf behandelt.
Das Bundeskabinett hat am 25.01.2017 das NIS-RL Umsetzungsgesetz beschlossen. Mitte 2017 wurde das neue Gesetz zusammen mit der BSI-Kritis-Verordnung eingeführt.
- Weiterentwicklung zum IT-Sicherheitsgesetz 2.0
Laut BMI soll das IT-Sicherheitsgesetz als IT-Sicherheitsgesetz 2.0 fortgeschrieben werden, es liegt auch schon ein Referentenentwurf im BMI vor.
Im ursprünglichen Gesetz war der Anwendungsbereich klar definiert, das soll sich bei der Version 2.0 ändern. Diese Version soll nämlich zusätzliche Erweiterungen mit sich bringen. In die Liste der KRITIS-Sektoren sollen einige neue Bereiche aufgenommen werden.
Beispiele hierfür wären Teile der produzierten Groß- oder Chemieindustrie, die Abfallentsorgung und Unternehmen im besonderen öffentlichen Interesse. Wenn bestimmte KRITIS-Anlagen von IT-Produkten, die im Gesetz definiert wurden, betroffen sind, sollen nach den Änderungen verstärkte Meldepflichten gelten.
Zudem müssen sich unter anderem auch Hersteller von KRITIS-Kernkomponenten der Meldepflicht unterziehen. Das bedeutet, dass nicht mehr nur die kritischen Infrastrukturen, sondern nun auch deren Zulieferer von der Einhaltung des Gesetzes betroffen sind.
Falls die Gefährdung der Gesellschaft durch die Störung der IT-Sicherheit eines solchen Unternehmens droht, ist die BSI befugt, diese Unternehmen die Einhaltung dieser Gesetze aufzuerlegen.
Auch die Bußgeldregelungen wurden in dem neuen Entwurf verschärft.
Dadurch müssen Unternehmen ihr Risikomanagement neu ausrichten. Zudem werden die Strafvorschriften erweitert: der bestehende Hacker-Paragraf im StGB wird deutlich schwerer bestraft.
Für das Betreiben illegaler Darknet-Handelsplätze soll zudem ein Straftatbestand geschaffen werden.
Die Verarbeitung rechtswidrig eingeholter Daten soll verhindert werden, indem Providern zusätzliche Pflichten auferlegt werden. Diese soll eine unverzügliche Löschung dieser Daten veranlassen.
Bei Bundesservern soll die Protokollierungsdauer auf 18 Monate verlängert werden.
Um noch mehr Sicherheit zu generieren, soll das BSI außerdem die Sicherheit der Kommunikationstechnik des Bundes sowie die Schnittstellen zu Dritten überprüfen dürfen.
