Mitgliederbereich

Bitte geben Sie Ihre E-Mail-Adresse und Ihr Passwort ein um sich im Mitgliederbereich anzumelden.
 

neues IT-Sicherheitsgesetz verabschiedet

konkreter Anwendungsbereich ist noch nicht definiert

30. April 2021

Wir hatten im Juli 2020 über den neuen Entwurf des

IT-Sicherheitsgesetzes

berichtet. Es wurde nun am

23.04.2021 vom Bundestag verabschiedet und hat den Bundesrat passiert.

ES schreibt das IT Sicherheitsgesetz von 2015 fort.

Die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden ausgedehnt.

Das BSI wird 799 neue Stellen erhalten und bspw. proaktiv im Netz nach Sicherheitslücken suchen (Botnetze, Internet-of-Things-Geräte, Verbreiter von Schadsoftware) und Köder für Cyberkriminelle auslegen. Konkret wurden mögliche Portscans durch das BSI in öffentlichen Netzen benannt. Überwacht werden soll dies durch die Bundesdatenschutzbehörde.

Das BSI kann gegenüber Telekommunikationsdiensteanbietern mit mehr als 100.000 Nutzern „technische Befehle zur Bereinigung von einem konkreten benannten Schadprogramm“ anordnen, wenn dies zur Abwehr konkreter erheblicher Gefahren erforderlich ist.

Der Verbraucherschutz im digitalen Bereich soll von nun an zum Aufgabenbereich des BSI gehören. Zertifikate im Sinne von IT-Sicherheitskennzeichen (§ 9c IT-SiG) sollen Verbrauchern helfen. Das BSI ist für die Beschwerden der Verbraucher zuständig.

Eine strengere Handhabung ist bei dem

Einsatz von sicherheitsrelevanten Komponenten durch mögliche Verbote des Bundesinnenministeriums

geregelt, bspw. wenn der Hersteller von der Regierung eines anderen Landes kontrolliert wird oder gefährliche Handlungen begangen haben soll. Dies führt zu einer Erweiterung der unternehmerischen Kontrollpflichten (Zertifizierungspflicht, Garantieerklärung Hersteller, Huawei-Passus).

In den

Anwendungsbereich fallen nicht nur Unternehmen der KRITIS-Sektoren,

wie bspw. Wasserversorger oder Energieversorger. Wie schon im Artikel vom 27.07.2020 beschrieben, wird neben den kritischen Infrastrukturen nun auch von Einrichtungen und Unternehmen mit wichtiger Bedeutung gesprochen (Unternehmen mit großer volkswirtschaftlicher Bedeutung, großes öffentliches Interesse). Die genaue Rechtsverordnung zur Konkretisierung des Anwendungsbereichs wird noch erlassen.

Die Wohnungswirtschaft wird diese Verordnung noch abwarten müssen, um Gewissheit darüber zu erhalten, ob sie in den Regulierungsbereich des neuen IT-Sicherheitsgesetzes fällt.

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)