Vorschriften betreffend Dienste der Informationsgesellschaft (insbesondere Änderung des Telekommunikationsgesetzes (TKG)), des Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), des Gesetzes über die Elektrizitäts- und Gasversorgung (EnWG), die Außenwirtschaftsverordnung und des Zehntes Buches Sozialgesetzbuch (SGB X).
Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme
Inhaltlich sieht das Gesetz Regelungen zum Schutz der Bundesverwaltung, zum Schutz der Kritischen Infrastrukturen, zum Schutz weiterer Unternehmen im besonderen öffentlichen Interesse sowie zum Verbraucherschutz vor:
-
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird
befugt, Kontroll- und Prüfbefugnisse gegenüber der Bundesverwaltung
auszuüben. Zudem wird die mögliche Dauer zur Speicherung von
Protokolldaten zum Zwecke der Abwehr von Gefahren für die
Kommunikationstechnik des Bundes auf 12 Monate verlängert.
Protokollierungsdaten werden neu in das BSI-Gesetz aufgenommen, und das
BSI wird befugt, diese zur Abwehr von Gefahren für die
Kommunikationstechnik des Bundes zu verarbeiten.
- Das BSI soll im
Einvernehmen mit den Ressorts der Bundesregierung Mindeststandards für
die Bundesverwaltung, Einrichtungen des öffentlichen Rechts sowie
öffentliche Unternehmen, die mehrheitlich im Eigentum des Bundes stehen,
festlegen können. Bei wesentlichen Digitalisierungsvorhaben der
Bundesverwaltung soll das BSI frühzeitig beteiligt werden.
-
Zusätzlich wird Verbraucherschutz in den Aufgabenkatalog des BSI
aufgenommen. Es wird die Grundlage für ein freiwilliges
IT-Sicherheitskennzeichen eingeführt, das die IT-Sicherheitsfunktionen
insbesondere von Produkten im Verbrauchersegment erstmals für
Bürgerinnen und Bürger sichtbar und nachvollziehbar macht. Zum Schutz
von Betroffenen und zum Zweck ihrer Benachrichtigung wird das BSI
befugt, bei Anbietern von Telekommunikationsdiensten
Bestandsdatenauskünfte zu verlangen.
- Die Befugnis des BSI zur
Untersuchung von IT-Produkten wird neu gefasst. Hersteller werden zur
notwendigen Auskunft über ihre Produkte verpflichtet.
- Das BSI wird
zudem befugt, Sicherheitslücken an den Schnittstellen
informationstechnischer Systeme des Bundes, Kritischer Infrastrukturen,
digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse
zu öffentlichen Telekommunikations-Netzen zu detektieren (Portscans)
sowie Systeme und Verfahren zur Analyse von Schadprogrammen und
Angriffsmethoden einzusetzen (Honeypots).
- Das BSI wird befugt, zur
Abwehr konkreter erheblicher Gefahren Maßnahmen gegenüber
Telekommunikationsdiensten im Sinne des TKG bestimmte Maßnahmen zur
Störungsbeseitigung anzuordnen.
- Das BSI wird befugt, in begründeten
Einzelfällen zur Abwehr konkreter, erheblicher Gefahren für
informationstechnische Systeme einer Vielzahl von Nutzern, die von
Telemedienangeboten im Sinne des Telemediengesetzes (TMG) ausgehen,
gegenüber dem Diensteanbieter anzuordnen, dass die erforderlichen
technischen und organisatorischen Maßnahmen ergriffen werden.
- Betreiber Kritischer Infrastrukturen werden verpflichtet, Systeme zur Angriffserkennung einzusetzen.
-
Das BSIwird als nationale Behörde für die
Cybersicherheitszertifizierung im Sinne des Artikels 58 Absatz 1 der
Verordnung (EU) 2019/881 bestimmt. Zudem ergänzen weitere Regeln die
Anwendung der Verordnung (EU) 2019/881 in der Bundesrepublik
Deutschland, einschließlich Vorschriften und Sanktionen, die nach
Artikel 65 der Verordnung durch die Mitgliedsstaaten zu erlassen sind.
-
Über eine Änderung im Gesetz über die Elektrizitäts- und Gasversorgung
gilt die Pflicht auch für Betreiber von Energieversorgungsnetzen und
Energieanlagen, die Kritische Infrastrukturen sind.
- Meldepflichten
gelten künftig auch für Unternehmen, die von besonderem öffentlichen
Interesse sind wie Unternehmen der Rüstungsindustrie und
Verschlusssachen-IT, Unternehmen, die wegen ihrer hohen Wertschöpfung
eine besondere volkswirtschaftliche Bedeutung haben sowie Unternehmen,
die der Regulierung durch die Störfallverordnung unterfallen.
- Das
Gesetz enthalt eine Regelung zur Untersagung des Einsatzes kritischer
Komponenten, für die eine Zertifizierungspflicht besteht. Zudem werden
die Bußgeldvorschriften neu gefasst.
- Im Telekommunikationsgesetz
wird erstmals eine Zertifizierungspflicht für kritische Komponenten in
Telekommunikationsnetzen eingefügt.
- Die Änderung der Außenwirtschaftsverordnung trägt der Einführung der kritischen Komponenten im BSI-Gesetz Rechnung
-
Die Änderung im SGB X stellt klar, dass das BSI zur Wahrung sowie unter
Umständen zur Wiederherstellung der Sicherheit und Funktionsfähigkeit
eines informationstechnischen Systems Sozialdaten verarbeiten darf.