Entwurf eines „IT-Sicherheitsgesetzes 2.0“ vorgelegt

Berlin: (hib/STO) Die Bundesregierung hat den Entwurf eines „IT-Sicherheitsgesetzes 2.0“ vorgelegt, das am Donnerstag dieser Woche erstmals auf der Tagesordnung des Bundestagsplenums steht. Mit diesem „Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (19/26106) soll der mit dem IT-Sicherheitsgesetz vom Juli 2015 geschaffene Ordnungsrahmen „entsprechend dem Auftrag aus dem Koalitionsvertrag für die 19. Legislaturperiode“ erweitert werden.

In der Vorlage verweist die Bundesregierung darauf, dass die Gewährleistung der Cyber- und Informationssicherheit ein Schlüsselthema für Staat, Wirtschaft und Gesellschaft sei, die gerade mit Blick auf die zunehmende Digitalisierung aller Lebensbereiche auf funktionierende Informations- und Kommunikationstechnik angewiesen seien. Cyber-Angriffe stellten für Staat, Wirtschaft und Gesellschaft daher ein großes Gefahrenpotential dar, wobei die Angriffe qualitativ immer ausgefeilter und somit für alle Betroffenen auch gefährlicher würden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachte einen stetigen Anstieg von Schadprogrammen; jährlich kämen mehr als 100 Millionen neue Varianten hinzu. Die zunehmende Verbreitung von Internet of Things (IoT)-Geräten verschärfe die Situation zusätzlich.

Insgesamt sei „Cyber-Sicherheit nicht statisch“ und ein aktuelles Schutzniveau „daher kein Garant für eine erfolgreiche Abwehr der Angriffe von morgen“, führt die Bundesregierung weiter aus. Daher bedürfe es einer ständigen Anpassung und Weiterentwicklung der Schutzmechanismen und der Abwehrstrategien.

Zu den mit dem Gesetz geplanten Änderung zählt den Angaben zufolge eine Verbesserung des Schutzes der IT der Bundesverwaltung unter anderem durch weitere Prüf- und Kontrollbefugnisse des BSI und Festlegung von Mindeststandards durch das Bundesamt. Auch sollen Befugnisse zur Detektion von Schadprogrammen zum Schutz der Regierungsnetze geschaffen werden. Vorgesehen ist zudem die Abfrage von Bestandsdaten bei Anbietern von Telekommunikationsdiensten, um Betroffene über Sicherheitslücken und Angriffe zu informieren. Ebenso soll das BSI die Befugnis erhalten, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen zu detektieren sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen.

Ferner soll mit dem Gesetz eine Anordnungsbefugnis des BSI gegenüber Telekommunikations- und Telemedienanbietern zur Abwehr spezifischer Gefahren für die Informationssicherheit geschaffen und die Pflichten für Betreiber Kritischer Infrastrukturen und weiterer Unternehmen im besonderen öffentlichen Interesse ausgeweitet werden. Weitere Änderungen betreffen die Schaffung von Eingriffsbefugnissen für den Einsatz und Betrieb von kritischen Komponenten sowie die Etablierung von Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des BSI. Darüber hinaus sollen die Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen geschaffen werden, das die IT-Sicherheit der Produkte sichtbar macht, und das Bußgeldregime überarbeitet werden.