IT-Sicherheitsgesetz vom Bundestag verabschiedet

Das von der Bundesregierung vorgelegte Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) wurde vom Bundestag am 12. Juni 2015 verabschiedet und vom Bundesrat am 10. Juli 2015 gebilligt. Das Gesetz wird nun dem Bundespräsidenten zur Unterschrift vorgelegt. Am Tag nach der Verkündung tritt es zu großen Teilen in Kraft.
Das Gesetz soll dazu beitragen, Defizite von Unternehmen im Bereich der IT-Sicherheit abzubauen und die Sicherheit informationstechnischer Systeme, insbesondere von Betreibern Kritischer Infrastrukturen, zu verbessern. Weiterhin soll ein verstärkter Schutz der Bürgerinnen und Bürger im Internet erreicht werden.

Betreiber Kritischer Infrastrukturen
Das IT-Sicherheitsgesetz verpflichtet Betreiber Kritischer Infrastrukturen ein Mindestniveau an IT-Sicherheit einzuhalten (§ 8a Abs. 1 BSI), regelmäßig den Nachweis der Erfüllung durch IT-Sicherheitsaudits zu erbringen (§ 8a Abs. 3 BSI) und IT-Sicherheitsvorfälle unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden (§ 8b Abs. 4 BSI. Zur Erfüllung dieser Auflagen haben die betroffenen Unternehmen eine Kontaktstelle einzurichten (§ 8b Abs. 3 BSI) und Verfahren zum Nachweis von Sicherheitsaudits/ Zertifizierungen und zur Meldung von Sicherheitsvorfällen zu etablieren.

Gemäß § 2 Abs. 10 BSI-Gesetz (neue Fassung) sind … Kritische Infrastrukturen im Sinne dieses Gesetzes Einrichtungen, Anlagen oder Teile davon,

  1. die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
  2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

In dem vom Bundestag vorgelegten Gesetzentwurf (Drucksache 18/4096) wird die Zahl der meldepflichtigen Betreiber Kritischer Infrastrukturen auf maximal 2.000 Betreiber geschätzt.

Stärkung der Rolle des BSI
Der Aufgabenbereich des BSI wird durch das  IT-Sicherheitsgesetz noch einmal erweitert. Das BSI übernimmt die Rolle der zentralen Meldestelle in Angelegenheiten der Sicherheit der informationstechnischen Systeme, Komponenten oder Prozesse. Das Gesetz legt Mitwirkungspflichten für Unternehmen fest. Demnach sind Betreiber Kritischer Infrastrukturen verpflichtet, IT-Sicherheitsvorfälle an das BSI zu melden. Die Unterlassung ist bußgeldbewährt.
Außerdem werden Hard- und Software-Hersteller verpflichtet, an der Beseitigung von Sicherheitslücken mitzuwirken.

Weitergehende Gesetzesänderungen
Das IT-Sicherheitsgesetz führt zu Änderungen des BSI-Gesetzes (Artikel 1 und 8), des Atomgesetzes (Artikel 2), des Energiewirtschaftsgesetzes (Artikel 3), des Telemediengesetzes(Artikel 4), des Telekommunikationsgesetzes (Artikel 5), des Bundesbesoldungsgesetzes (Artikel 6) und des Bundeskriminalamtgesetzes (Artikel 7). Die Änderungen treten (bis auf Artikel 8) am Tag nach der Verkündung des Gesetzes in Kraft.

Quellen:

Bundestag – Drucksache 18/4096

Bundesrat – Länder billigen IT-Sicherheitsgesetz