Vorschriften betreffend Dienste der Informationsgesellschaft (insbesondere Änderung des Telekommunikationsgesetzes (TKG)), des Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), des Gesetzes über die Elektrizitäts- und Gasversorgung (EnWG), die Außenwirtschaftsverordnung und des Zehntes Buches Sozialgesetzbuch (SGB X).

Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme

Inhaltlich sieht das Gesetz Regelungen zum Schutz der Bundesverwaltung, zum Schutz der Kritischen Infrastrukturen, zum Schutz weiterer Unternehmen im besonderen öffentlichen Interesse sowie zum Verbraucherschutz vor:

- Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird befugt, Kontroll- und Prüfbefugnisse gegenüber der Bundesverwaltung auszuüben. Zudem wird die mögliche Dauer zur Speicherung von Protokolldaten zum Zwecke der Abwehr von Gefahren für die Kommunikationstechnik des Bundes auf 12 Monate verlängert. Protokollierungsdaten werden neu in das BSI-Gesetz aufgenommen, und das BSI wird befugt, diese zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes zu verarbeiten.
- Das BSI soll im Einvernehmen mit den Ressorts der Bundesregierung Mindeststandards für die Bundesverwaltung, Einrichtungen des öffentlichen Rechts sowie öffentliche Unternehmen, die mehrheitlich im Eigentum des Bundes stehen, festlegen können. Bei wesentlichen Digitalisierungsvorhaben der Bundesverwaltung soll das BSI frühzeitig beteiligt werden.
- Zusätzlich wird Verbraucherschutz in den Aufgabenkatalog des BSI aufgenommen. Es wird die Grundlage für ein freiwilliges IT-Sicherheitskennzeichen eingeführt, das die IT-Sicherheitsfunktionen insbesondere von Produkten im Verbrauchersegment erstmals für Bürgerinnen und Bürger sichtbar und nachvollziehbar macht. Zum Schutz von Betroffenen und zum Zweck ihrer Benachrichtigung wird das BSI befugt, bei Anbietern von Telekommunikationsdiensten Bestandsdatenauskünfte zu verlangen.
- Die Befugnis des BSI zur Untersuchung von IT-Produkten wird neu gefasst. Hersteller werden zur notwendigen Auskunft über ihre Produkte verpflichtet.
- Das BSI wird zudem befugt, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme des Bundes, Kritischer Infrastrukturen, digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse zu öffentlichen Telekommunikations-Netzen zu detektieren (Portscans) sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen (Honeypots).
- Das BSI wird befugt, zur Abwehr konkreter erheblicher Gefahren Maßnahmen gegenüber Telekommunikationsdiensten im Sinne des TKG bestimmte Maßnahmen zur Störungsbeseitigung anzuordnen.
- Das BSI wird befugt, in begründeten Einzelfällen zur Abwehr konkreter, erheblicher Gefahren für informationstechnische Systeme einer Vielzahl von Nutzern, die von Telemedienangeboten im Sinne des Telemediengesetzes (TMG) ausgehen, gegenüber dem Diensteanbieter anzuordnen, dass die erforderlichen technischen und organisatorischen Maßnahmen ergriffen werden.
- Betreiber Kritischer Infrastrukturen werden verpflichtet, Systeme zur Angriffserkennung einzusetzen.
- Das BSIwird als nationale Behörde für die Cybersicherheitszertifizierung im Sinne des Artikels 58 Absatz 1 der Verordnung (EU) 2019/881 bestimmt. Zudem ergänzen weitere Regeln die Anwendung der Verordnung (EU) 2019/881 in der Bundesrepublik Deutschland, einschließlich Vorschriften und Sanktionen, die nach Artikel 65 der Verordnung durch die Mitgliedsstaaten zu erlassen sind.
- Über eine Änderung im Gesetz über die Elektrizitäts- und Gasversorgung gilt die Pflicht auch für Betreiber von Energieversorgungsnetzen und Energieanlagen, die Kritische Infrastrukturen sind.
- Meldepflichten gelten künftig auch für Unternehmen, die von besonderem öffentlichen Interesse sind wie Unternehmen der Rüstungsindustrie und Verschlusssachen-IT, Unternehmen, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben sowie Unternehmen, die der Regulierung durch die Störfallverordnung unterfallen.
- Das Gesetz enthalt eine Regelung zur Untersagung des Einsatzes kritischer Komponenten, für die eine Zertifizierungspflicht besteht. Zudem werden die Bußgeldvorschriften neu gefasst.
- Im Telekommunikationsgesetz wird erstmals eine Zertifizierungspflicht für kritische Komponenten in Telekommunikationsnetzen eingefügt.
- Die Änderung der Außenwirtschaftsverordnung trägt der Einführung der kritischen Komponenten im BSI-Gesetz Rechnung - Die Änderung im SGB X stellt klar, dass das BSI zur Wahrung sowie unter Umständen zur Wiederherstellung der Sicherheit und Funktionsfähigkeit eines informationstechnischen Systems Sozialdaten verarbeiten darf.