Das Leben ohne funktionierende Informations- und Kommunikationstechnik ist heute kaum noch vorstellbar. Die Gefährdungen durch Angriffe im Cyberraum nehmen allerdings seit Jahren zu und sie werden immer ausgefeilter. Daher reagierte Die Bundesregierung mit dem neuen Gesetz.

Der Deutsche Bundestag hat am Freitag, den 23.04.2021 das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme beschlossen. Dieses löst das alte IT-Sicherheitsgesetz aus Juli 2015 ab. Zweck des Gesetzes ist die Gewährleistung der Cyber- und Informationssicherheit, welche mit der zunehmenden Digitalisierung immer mehr Bedeutung erlangt.

Das neue IT-Sicherheitsgesetz wird Änderungen in verschiedenen Gesetzen zur Folge haben. Betroffen sind das BSIG, das TKG und das TMG, das SGB X und das Gesetz über die Elektrizitäts- und Gasversorgung, sowie die Außenwirtschaftsverordnung.

Wichtige Neuerungen sind:

  • Es wurden neue Begriffsbestimmungen definiert. Die gibt es jetzt für die Kommunikation des Bundes, Protokollierungsdaten, IT-Produkte, Systeme zur Angriffserkennung und kritische Komponenten.
  • Einbeziehung von Unternehmen im besonderen öffentlichen Interesse, welche in drei Kategorien geclustert werden. Die Anforderungen sind teilweise unterschiedlich.
  • Betreiber kritischer Infrastruktur müssen innerhalb eines Jahres nach Inkrafttreten des Gesetzes Angriffserkennungssysteme implementieren.
  • Betreiber von Unternehmen im besonderen öffentlichen Interesse müssen alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit vorlegen. Damit liegt eine Augenmerk auf Zertifizierungen, Sicherheitsaudits und ähnlichen Schutzmaßnahmen.
  • Der Einbau kritischer Komponenten bedarf einer Garantie-Erklärung des Herstellers. Liegt diese nicht vor, kann das BSI den Einsatz bei Betreibern der kritischen Infrastruktur verbieten.
  • Es werden Voraussetzungen für ein nationales IT-Sicherheitskennzeichen geschaffen, das ist allerdings freiwillig. Gemeint ist damit nicht die CSA-Zertifizierung der EU.
  • Die Gesetzesverabschiedung stärkt die Rolle des BSI, dieser nähert sich immer mehr der Rolle als oberste Bundesbehörde. Für Unternehmen im besonderen öffentlichen Interesse und teilweise auch für Betreiber kritischer Infrastruktur wird die Umsetzung mit erheblichen Anpassungen verbunden sein.