T-SiG, IT-SiG 2.0, EU NIS-RL, EU Cybersecurity Act

Mehr als vier Jahre ist es her, dass das „erste“ IT-Sicherheitsgesetz (IT-SiG) für Furore sorgte, nachdem es am 12. Juni 2015 vom Bundestag beschlossen wurde. Vieles war damals neu, und fast alles damit auch unklar. Klar war nur: Die Betreiber von sog. „Kritischen Infrastrukturen“ müssen aktiv Maßnahmen zur Cyberabwehr ergreifen. Dabei gab es nicht nur teils hitzige Diskussionen über den Anwendungsbereich der Regelungen – u.a. war strittig, ob auch eine kleine Arztpraxis, die aber das einzige medizinische Angebot in einem erheblichen Umkreis darstellt, kritisch ist – sondern auch im Hinblick auf die sanktionsbewehrten Maßnahmen, die von den Betreibern ebenjener Kritischen Infrastrukturen umzusetzen waren. Der Begriff „Stand der Technik“ entwickelte sich zu jener Zeit zum geflügelten Wort und war in aller Munde. Mittlerweile gibt es einen Konsens darüber, dass der Stand der Technik zumindest die Umsetzung eines betrieblichen IT-Sicherheit-Managementsystems (ISMS) erfordert (TeleTrusT).

Kurz nach Einführung des IT-SiG folgte im Jahr 2016 die europäische Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen. Diese sog. NIS-Richtlinie enthält analoge Regelungen wie das IT-SiG, bezieht aber auch explizit die Anbieter von „digitalen Diensten“ ein, die von hoher Bedeutung für den digitalen Binnenmarkt sind, also etwa Online-Marktplätze, Suchmaschinen und Cloud-Computing-Provider. Zwischenzeitlich wurde durch die BSI-Kritisverordnung (BSI-Kritis) dann auch der Anwendungsbereich des IT-SiG zahlenmäßig festgelegt – und damit war klar, dass die „kleine Arztpraxis“ nicht von den entsprechenden IT-Sicherheitspflichten betroffen ist.

Nachdem man in den Betrieben dann erst einmal eine Weile mit der Implementierung der neuen gesetzlichen Pflichten befasst war, nutzten EU- und Bundesgesetzgeber die Gelegenheit, weitere rechtliche Regelungen zur Cybersecurity auf den Weg zu bringen. So wurde im April 2019 der Referentenentwurf des BMI für ein „IT-Sicherheitsgesetz 2.0“ veröffentlicht. Dieser Entwurf des zweiten Gesetzes enthält umfassende Neuerungen: Das BSI darf demnach aktiv Sicherheitsrisiken und Angriffsmethoden detektieren, kann Informationen über sicherheitsrelevante Eigenschaften von Produkten (z.B Router, SmartTV) sammeln, Hersteller müssen für KRITIS-Kernkomponenten die Lieferketten nachweisen können und der Adressatenkreis der ursprünglichen Regelungen wird ausgedehnt. In eine ganz ähnliche Richtung geht auch die EU mit ihrem jüngst in Kraft getretenen „Cybersecurity Act“, der nicht nur die Befugnisse der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) aufstockt, sondern auch den Grundstein für ein EU-weit geltendes System der Zertifizierung von Cybersicherheit legt (europa.eu).

Die Independent Audit Proffessionals beraten Sie gerne bei der Implementation eines ISMS und unterstützt bei der Abbildung der BSI-KRITIS Anforderungen im Unternehmen.