neues IT-Sicherheitsgesetz verabschiedet
30. April 2021

Wir hatten im Juli 2020 über den neuen Entwurf des
IT-Sicherheitsgesetzes
berichtet. Es wurde nun am
23.04.2021 vom Bundestag verabschiedet und hat den Bundesrat passiert.
ES schreibt das IT Sicherheitsgesetz von 2015 fort.
Die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden ausgedehnt.
Das BSI wird 799 neue Stellen erhalten und bspw. proaktiv im Netz nach Sicherheitslücken suchen (Botnetze, Internet-of-Things-Geräte, Verbreiter von Schadsoftware) und Köder für Cyberkriminelle auslegen. Konkret wurden mögliche Portscans durch das BSI in öffentlichen Netzen benannt. Überwacht werden soll dies durch die Bundesdatenschutzbehörde.
Das BSI kann gegenüber Telekommunikationsdiensteanbietern mit mehr als 100.000 Nutzern “technische Befehle zur Bereinigung von einem konkreten benannten Schadprogramm” anordnen, wenn dies zur Abwehr konkreter erheblicher Gefahren erforderlich ist.
Der Verbraucherschutz im digitalen Bereich soll von nun an zum Aufgabenbereich des BSI gehören. Zertifikate im Sinne von IT-Sicherheitskennzeichen (§ 9c IT-SiG) sollen Verbrauchern helfen. Das BSI ist für die Beschwerden der Verbraucher zuständig.
Eine strengere Handhabung ist bei dem
Einsatz von sicherheitsrelevanten Komponenten durch mögliche Verbote des Bundesinnenministeriums
geregelt, bspw. wenn der Hersteller von der Regierung eines anderen Landes kontrolliert wird oder gefährliche Handlungen begangen haben soll. Dies führt zu einer Erweiterung der unternehmerischen Kontrollpflichten (Zertifizierungspflicht, Garantieerklärung Hersteller, Huawei-Passus).
In den
Anwendungsbereich fallen nicht nur Unternehmen der KRITIS-Sektoren,
wie bspw. Wasserversorger oder Energieversorger. Wie schon im Artikel vom 27.07.2020 beschrieben, wird neben den kritischen Infrastrukturen nun auch von Einrichtungen und Unternehmen mit wichtiger Bedeutung gesprochen (Unternehmen mit großer volkswirtschaftlicher Bedeutung, großes öffentliches Interesse). Die genaue Rechtsverordnung zur Konkretisierung des Anwendungsbereichs wird noch erlassen.
Die Wohnungswirtschaft wird diese Verordnung noch abwarten müssen, um Gewissheit darüber zu erhalten, ob sie in den Regulierungsbereich des neuen IT-Sicherheitsgesetzes fällt.
Thilo Zachow
Referent für Datenschutz beim vdw Sachsen
Rechtsanwalt
Fachanwalt für Informationstechnologierecht
Fachanwalt für Urheber- und Medienrecht
Datenschutzbeauftragter (TÜV zertifiziert)
Informationssicherheitsbeauftragter (bitkom zertifiziert)