Im FokusSicherheit - Schutz und Zuverlässigkeit

Thema im Fokus: IT-Sicherheitsgesetze

IT-SiG, IT-SiG 2.0, EU NIS-RL, EU Cybersecurity Act. Fast genau vier Jahre ist es her, dass das „erste“ IT-Sicherheitsgesetz (IT-SiG) für Furore sorgte, nachdem es am 12. Juni 2015 vom Bundestag beschlossen wurde (Computerwoche). Vieles war damals neu, und fast alles damit auch unklar. Klar war nur: Die Betreiber von sog. „Kritischen Infrastrukturen“ müssen aktiv Maßnahmen zur Cyberabwehr ergreifen. Dabei gab es nicht nur teils hitzige Diskussionen über den Anwendungsbereich der Regelungen – u.a. war streitig, ob auch eine kleine Landarztpraxis, die aber das einzige medizinische Angebot in einem erheblichen Umkreis darstellt, kritisch ist – sondern auch im Hinblick auf die sanktionsbewehrten Maßnahmen, die von den Betreibern ebenjener Kritischen Infrastrukturen umzusetzen waren „Stand der Technik“ entwickelte sich zu jener Zeit fast schon zum geflügelten Wort und war in aller Munde. Mittlerweile gibt es einen Konsens darüber, dass der Stand der Technik zumindest die Umsetzung eines betrieblichen IT-Sicherheit-Managementsystems (ISMS) erfordert (TeleTrusT).

Kurz nach Einführung des IT-SiG folgte im Jahr 2016 die europäische Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen. Diese sog. NIS-Richtlinie enthält analoge Regelungen wie das IT-SiG, bezieht aber auch explizit die Anbieter von „digitalen Diensten“ ein, die von hoher Bedeutung für den digitalen Binnenmarkt sind, also etwa Online-Marktplätze, Suchmaschinen und Cloud-Computing-Provider. Zwischenzeitlich wurde durch die BSI-Kritisverordnung (BSI-KritisV) dann auch der Anwendungsbereich des IT-SiG zahlenmäßig festgelegt – und damit war klar, dass die „kleine Landarztpraxis“ nicht von den entsprechenden IT-Sicherheitspflichten betroffen ist.

Nachdem man in den Betrieben dann erst einmal eine Weile mit der Implementierung der neuen gesetzlichen Pflichten befasst war, nutzten EU- und Bundesgesetzgeber die Gelegenheit, weitere rechtliche Regelungen zur Cybersecurity auf den Weg zu bringen. So wurde im April 2019 der Referentenentwurf des BMI für ein „IT-Sicherheitsgesetz 2.0“ veröffentlicht (Netzpolitik). Die Frage ist natürlich, wofür wir ein zweites IT-SiG benötigen. Tatsächlich enthält der Entwurf des zweiten Gesetzes umfassende Neuerungen: Das BSI darf demnach aktiv Sicherheitsrisiken und Angriffsmethoden detektieren, kann Informationen über sicherheitsrelevante Eigenschaften von Produkten (z.B. IoT, Router, SmartTV) sammeln, Hersteller müssen für KRITIS-Kernkomponenten die Lieferketten nachweisen können und der Adressatenkreis der ursprünglichen Regelungen wird ausgedehnt. Darüber hinaus soll ein zunächst noch freiwilliges IT-Sicherheitskennzeichen eingeführt werden, das zur Verbraucherinformation in Produktbeschreibungen oder auf Verpackungen abgedruckt werden darf. In eine ganz ähnliche Richtung geht auch die EU mit ihrem jüngst in Kraft getretenen „Cybersecurity Act“, der nicht nur die Befugnisse der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) aufstockt, sondern auch den Grundstein für ein EU-weit geltendes System der Zertifizierung von Cybersicherheit legt (europa.eu).

 

Alle zwei Wochen erscheint der GI-Radar mit Neuigkeiten aus dem Informatik-Kosmos. In der Rubrik "Thema im Fokus" widmen sich Autorinnen und Autoren darin immer einem aktuellen IT-Thema. 

  © -