Das IT-Sicherheitsgesetz – oder eigentlich Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – ist am 25. Juli 2015 in Kraft getreten. Es ist ein sogenanntes Artikelgesetz und ändert damit bereits bestehende Gesetze. In diesem Fall das BSI-Gesetz (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), das EnWG (Energiewirtschaftsgesetz), das TMG (Telemediengesetz) und das TKG (Telekommunikationsgesetz).
Das IT-Sicherheitsgesetz ist ein konkretes Ergebnis der Digital-Agenda der Bundesregierung. Das Kernziel war die Verbesserung der Sicherheit und des Schutzes von IT-Systemen und IT-Diensten. Insbesondere im Bereich der kritischen Infrastruktur – zum Beispiel Strom- und Wasserversorgung.
Ziel ist aber auch die Verbesserung der IT-Sicherheit in Unternehmen und in der Verwaltung. Außerdem der bessere Schutz der Bürgerinnen und Bürger. Die Zielgruppen des IT-Sicherheitsgesetzes sind die Betreiber kritischer Infrastrukturen, die Betreiber von Internet-Angeboten, Telekommunikationsunternehmen und das BSI selbst.
Was regelt das Gesetz für die einzelnen Zielgruppen?
Die Betreiber kritischer Infrastrukturen müssen ihre IT nach dem aktuellen Stand der Technik absichern. Das muss alle 2 Jahre überprüft werden. Wenn Sicherheitsmängel aufgedeckt werden, so darf das BSI im Einvernehmen mit den zuständigen Aufsichtsbehörden die Beseitigung dieser anordnen. Die Betreiber der kritischen Infrastrukturen können die konkrete Absicherung selbst gestalten, solange sie dem aktuellen Stand der Technik entsprechen. Erhebliche Störungen der eigenen (kritischen Infrastruktur-) IT müssen dem BSI sofort gemeldet werden.
Für die Betreiber von Webangeboten gelten erhöhte Anforderungen an die sogenannten technischen und organisatorischen Maßnahmen zum Schutz der Kundendaten und der genutzten IT-Systeme.
Telekommunikationsunternehmen sind dazu verpflichtet, ihre Kunden zu warnen, wenn der Anschluss des Kunden missbraucht wird. Auch hier ist die Absicherung der personenbezogenen Daten und der Schutz vor unerlaubten Eingriffen Dritter zu gewährleisten. Sicherheitsvorfälle sind dem BSI zu melden.
Das Bundessamt für Sicherheit in der Informationstechnik erhält erweiterte Befugnisse für die Untersuchung der Sicherheit von IT-Produkten. Es hat mit dem Gesetz erweiterte Kompetenzen im Bereich der IT-Sicherheit der Bundesverwaltung erhalten. Es hat sämtliche für die Abwehr von Gefahren für die IT-Sicherheit kritischer Infrastrukturen relevanten Infos zu sammeln, zu bewerten und an die Betreiber sowie die Aufsichtsbehörden weiterzuleiten. Jährlich informiert das BSI die Öffentlichkeit über die Gefahren in einem Lagebericht.
Im April 2019 kam der Referentenentwurf zum IT-Sicherheitsgesetz 2.0. Die Inhalte sind an die aktuelle Cyber-Sicherheitsstrategie der Bundesregierung angepasst.
Die dortigen Handlungsfelder sind:
- Sicheres und selbstbestimmtes Handeln in einer digitalen Umgebung
- Gemeinsamer Auftrag von Staat und Wirtschaft
- Leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur
- Aktive Positionierung Deutschlands in der europäischen und internationalen Cyber-Sicherheitspolitik
Mit dem IT-Sicherheitsgesetz erhält das BSI neue Aufgaben und Befugnisse. Die Betreiber der kritischen Infrastrukturen erhalten erweiterte Pflichten. Das wirkt sich in der Energiewirtschaft vor allem im Bereich der Stromnetze, Smart Meter Gateways und beispielsweise im Redispatch 2.0 aus. Dazu in einem späteren Beitrag mehr.