Zum Inhalt springen
PKF News / Blog

Sie sind hier:

Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – IT-Sicherheitsgesetz 2.0

Nach Verabschiedung des Gesetzes im Bundestag am 23. April 2021 und Billigung am 7. Mai 2021 durch den Bundesrat trat das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) am 28. Mai 2021 durch Veröffentlichung im BGBl. I 2021, Nr. 25, 27. Mai 2021, S. 1122 in Kraft.

Der Ordnungsrahmen, der bereits am 17. Juli 2015 durch das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 1.0) in Kraft getreten ist, soll erweitert werden, um insbesondere den Anforderungen der Cyber- und Informationssicherheit, die ein Schlüsselthema für den Staat, die Wirtschaft und die Gesellschaft darstellen, zu entsprechen.

Die vorgenommenen Anpassungen betreffen als wesentliche Kernpunkte vor allem:

  • Die Erweiterung des Kreises der betroffenen Unternehmen

    Neben den bereits im IT-Sicherheitsgesetz 1.0 betroffenen Sektoren (Energie, Informationstechnik, Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen) gehört nun auch die Siedlungsabfallentsorgung zu dem Kreis der Betreiber Kritischer Infrastrukturen. Kritische Infrastrukturen sind für das Funktionieren des Gemeinwesens und die Sicherung der Grundbedürfnisse der Bevölkerung von hoher Bedeutung und sind deshalb nach der gesetzgeberischen Wertung besonders schutzwürdig.

    Für die Vorbereitung der erforderlichen Maßnahmen wird den Betreibern im neuen Sektor Siedlungsabfallentsorgung eine angemessene, erweiterte Übergangsfrist in der noch anzupassenden BSI-KRITIS-Verordnung gewährt werden.

  • Die zusätzlichen Pflichten für KRITIS-Betreiber

    Das IT-Sicherheitsgesetz 2.0 ergänzt die Verpflichtung der Betreiber Kritischer Infrastrukturen, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, nun auch ausdrücklich um Systeme zur Angriffserkennung. Diese Systeme stellen eine effektive Maßnahme zur Begegnung von Cyber-Angriffen dar und unterstützen insbesondere die Schadensreduktion.

    Für Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die als Kritische Infrastruktur bestimmt wurden, gilt ab dem 1. Mai 2023 die Verpflichtung, in ihren informationstechnischen Systemen, Komponenten oder Prozessen, die für die Funktionsfähigkeit der von ihnen betriebenen Energieversorgungsnetze oder Energieanlagen maßgeblich sind, in angemessener Weise Systeme zur Angriffserkennung einzusetzen. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen.

  • Den Verbraucherschutz

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird die unabhängige und neutrale Beratungsstelle für den Verbraucherschutz in Fragen IT-Sicherheit auf Bundesebene. Durch die Einführung eines einheitlichen IT-Sicherheitskennzeichens soll in Zukunft die IT-Sicherheit transparenter werden und klar verdeutlichen, welche Produkte bereits die IT-Sicherheitsstandards einhalten.

  • Kontrolle der Kommunikationstechnik des Bundes

    Das BSI erhält die Befugnis, die Sicherheit der Kommunikationstechnik des Bundes und ihrer Komponenten, einschließlich technischer Infrastrukturen, die zum Betrieb der Kommunikationstechnik des Bundes erforderlich sind, zu kontrollieren.

  • Allgemeine Meldestelle für die Sicherheit in der Informationstechnik

    Das BSI wird eine Stelle sowie Kommunikationsmöglichkeiten einrichten, um Informationen zu Sicherheitslücken, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweisen entgegenzunehmen. Die Informationen werden vom BSI genutzt, um diese zielgruppenorientiert an Bundesbehörden, Betreiber kritischer Infrastrukturen oder betroffene bzw. gefährdete Dritte weiterzugeben sowie gegebenenfalls in Abstimmung mit Aufsichtsbehörden die Öffentlichkeit zu warnen.

  • Neue Kompetenzen für das BSI zur Erfüllung seiner Aufgaben

    Dem BSI wird eine Vielzahl neuer Kompetenzen gewährt, welche die Erfüllung seiner Aufgaben ermöglichen sollen, gleichzeitig allerdings auf diesen Zweck begrenzt sind.

Zurück zur Übersicht
Zurück zum Seitenanfang