Übersicht über die Neuerungen des sich im Referentenstatus befindlichen IT-Sicherheitsgesetzes 2.0

24. April 2019

Erweiterung der kritische Infrastrukturen

Im Rahmen des IT-Sicherheitsgesetzes 2.0 wird es zu Erweiterungen der Kategorisierung der kritischen Infrastrukturen kommen. Zum einen die Schaffung eines Sektors „Entsorgung“, zum anderen die Schaffung eines Sektors „Infrastruktur von besonderem öffentlichen Interesse“. Wobei dieser unbestimmte Begriff zumindest auf die Bereiche Rüstung und Infrastrukturen mit kritischer Bedeutung für die Geschäftstätigkeit von Unternehmen des Prime Standard an der Frankfurter Wertpapierbörse anzuwenden sein wird.

Zusätzliche Pflichten von bestehenden KRITIS-Betreibern

Der Einsatz von Systemen der Angriffserkennung wird Pflicht. Die Ausgestaltung des Einsatzes von Systemen zur Angriffserkennung legt das BSI in einer Technischen Richtlinie fest.

KRITIS-Kernkomponenten dürfen nur von solchen Herstellern bezogen werden, die vor dem erstmaligen Einsatz der Komponenten eine Erklärung über ihre Vertrauenswürdigkeit gegenüber dem Betreiber der Kritischen Infrastruktur abgeben haben (Vertrauenswürdigkeitserklärung). Diese Verpflichtung erstreckt sich auf die gesamte Lieferkette des Herstellers. Das Bundesministerium des Innern, für Bau und Heimat erlässt die Mindestanforderungen für die Vertrauenswürdigkeitserklärung durch Allgemeinverfügung, die im Bundesanzeiger bekannt zu machen ist.
Im Bereich der Kritis-Sektors Energie fallen hierunter: IT-Produkte für die    Kraftwerksleittechnik,  für     die    Netzleittechnik   oder für     die Steuerungstechnik   zum   Betrieb   von   Anlagen   oder Systemen   zur Stromversorgung, Gasversorgung, Kraftstoff- oder Heizölversorgung oder Fernwärmeversorgung,  Darüberhinaus   müssen Hersteller   von KRITIS-Kernkomponenten   alle   Störungen   bzgl. Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer Software unverzüglich dem Bundesamt melden, wenn die Anwendung dieser Software zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit von Kritischen Infrastrukturen führen kann.

Sanktionierungen im Rahmen des neuen IT-Sicherheitsgesetzes 2.0

Der Bußgeldrahmen für Verstöße von IT-Sicherheitspflichten soll substantiell angehoben werden. Für den Fall, dass Unternehmen vollziehbare Anordnungen des BSI zur IT-Sicherheit nicht nachkommen, sieht der Referentenentwurf einen Bußgeldrahmen von bis zu EUR 20.000.000,00 oder 4 % des jährlichen Unternehmensumsatzes vor. Darüberhinaus können andere Verstöße im Höchstmaß immerhin noch mit EUR 10.000.000,00 bzw. 2 % des Unternehmensumsatzes geahndet werden können.

Stefan Loubichi, 24.04.2019