IT-Sicherheitsgesetz 2.0 – Massive Ausweitung

Am 29.3.2019 hat das Bundesinnenministerium einen Referentenentwurf zum geplanten IT-Sicherheitsgesetz 2.0 in die Ressortabstimmung eingebracht.

Neue KRITIS-Sektoren und Bereiche

Eine zentrale Änderung ist die Ausweitung der Unternehmen, die als Kritische Infrastruktur betrachtet werden. So wird der Bereich der Abfallentsorgung neu in die Liste der Sektoren aufgenommen.

Die bisher schon bestehende Kategorie „Unternehmen mit hoher Bedeutung für das Funktionieren des Gemeinwesens“ wird präzisiert und beinhaltet im Entwurf nun neben der Rüstungsindustrie auch den Bereich von Kultur und Medien. Weiterhin werden auch Anlagen und Systeme aufgenommen, deren Ausfall zu Schäden bei Unternehmen aus dem Bereich der Prime Standards der Frankfurter Börse (§ 48  Börsenordnung der Frankfurter Wertpapierbörse, das sind u. a. Dax- oder Xetra-Unternehmen) führen können. Dabei müssen diese Anlagen nicht aus den eigentlichen KRITIS-Sektoren stammen, es reicht, dass durch ihren Ausfall ein entsprechender Schaden bei dem Prime-Standard-Unternehmen entstehen kann und so eine volkswirtschaftliche Auswirkung auftritt. Denkbar ist auch, dass dadurch entsprechende Dienstleister in den Geltungsbereich der Regelung fallen, wenn sie ein entsprechendes System für ein relevantes Unternehmen betreiben.

Die Gesetzesbegründung nennt weiterhin auch „Infrastrukturen aus den Bereichen Chemie [und] Automobilherstellung“ als Unternehmen mit hoher Bedeutung für das Funktionieren des Gemeinwesens.

Zuletzt kann das BSI einzelnen Unternehmen die Pflichten dieses Gesetzes auferlegen, wenn eine Störung der IT-Sicherheit dieses Unternehmens zu einer Gefährdung der Gesellschaft führen würde.

Dienstleister

Auch Dienstleister von KRITIS-Unternehmen werden im IT-Sicherheitsgesetz 2.0 stärker eingebunden. Die Hersteller von Komponenten, die im KRITIS-Bereich eingesetzt werden sollen, müssen zukünftig die Vertrauenswürdigkeit ihre gesamte Lieferkette sicherstellen und eine Vertrauenswürdigkeitserklärung abgeben. Die Art und der Umfang dieser Erklärung werden noch definiert.

Sie unterliegen, ebenso wie allgemein alle Hersteller von IT-Produkten, einer Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bei Sicherheitsvorfällen.

Neue Bußgelder im Stil der DSGVO

Die bisherigen Bußgelder von maximal 100.000 € werden im Entwurf als zu gering angesehen, um eine lenkende Wirkung zu haben. Daher ist nun vorgesehen sich an der DSGVO zu orientieren und Bußgelder bis maximal 20.000.000 Euro oder von bis zu 4% des gesamten, weltweiten Umsatzes zu verhängen.