IT-Sicherheitsgesetz 2.0: Was Unter­nehmen zum "Lex Huawei" beachten sollten

Cyber-Angriffe auf IT-Infrastrukturen gehören zu unserem Alltag. Insbesondere die Corona-Pandemie und das Arbeiten aus dem Home-Office verschärfen die Gefährdungslage. So meldete das Bundesamt für Sicherheit in der Informationstechnik (BSI) für das letzte Jahr einen durchschnittlichen Zuwachs von rund 322.000 neuen Computervirus-Varianten pro Tag. Die neulich gemeldeten Cyber-Angriffe auf ein Medien- und auf ein Lebensmittelunternehmen machen die Gefährdungslage deutlich.

Der Gesetzgeber will nun mit dem IT-Sicherheitsgesetz 2.0 dieser Gefährdungslage entgegentreten. Dieses sieht unter anderem Änderungen im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) vor. Die neue Fassung des BSIG erweitert die Pflichten von Unternehmen, die kritische Infrastruktur betreiben (KRITIS-Betreiber), also Einrichtungen in besonders wichtigen Sektoren wie Energie oder Telekommunikation.

Außerdem nimmt das IT-Sicherheitsgesetz 2.0 sogenannte "Unternehmen im besonderen öffentlichen Interesse" (UNBÖFI), also Unternehmen mit erheblicher volkswirtschaftlicher Bedeutung, in die Pflicht (§ 2 Abs. 14 BSIG n.F.). Ihr Ausfall oder bereits die Störung der Geschäftstätigkeit kann erhebliche Auswirkungen auf die Gesellschaft haben: So könnte etwa ein Cyber-Angriff bei einem Automobilkonzern dazu führen, dass dieser seine Produktion dauerhaft nicht fortsetzen kann und hierdurch Mitarbeiter nicht beschäftigt werden können.

Zu den UNBÖFIs zählen auch Unternehmen aus den Bereichen Rüstungsindustrie und Chemie. Auch Zulieferer, die UNBÖFIs beliefern, können in den Anwendungsbereich des BSIG fallen. Eine Rechtsverordnung wird einheitliche Grenzen festlegen. Vor dem Hintergrund, dass das BSIG auch den Bußgeldrahmen auf 2 Millionen Euro angehoben hat, sollten Unternehmen die Gesetzesänderungen genau prüfen.

Selbsterklärung innerhalb von zwei Jahren – sonst drohen Bußgelder

UNBÖFIs müssen beim BSI eine Selbsterklärung vorlegen (§ 8f Abs. 1 BSIG n.F.). Aus dieser muss unter anderem hervorgehen, welche Vorkehrungen zur IT-Sicherheit das Unternehmen in den letzten zwei Jahren getroffen hat.

Es besteht nun auch eine Pflicht zur Registrierung beim BSI sowie zur Benennung einer erreichbaren Stelle im Unternehmen (§ 8f Abs. 5 S.1 BSIG n.F.). Schließlich sollen diese Unternehmen Störungen ihrer IT-Systeme unverzüglich an das BSI melden.

Für diese Pflichten gilt zwar eine Frist von zwei Jahren nach Verkündung des IT-Sicherheitsgesetzes 2.0. Allerdings sollte vor dem Hintergrund eines Bußgeldes von bis zu 50.000 Euro nicht zu lange mit der Umsetzung gewartet werden.

Registrierungs- und Anzeigepflichten für KRITIS-Betreiber

Der Begriff des KRITIS-Betreibers wird erweitert. So sollen künftig auch Unternehmen aus dem Sektor "Siedlungsabfallentsorgung" unter den Begriff fallen (§ 2 Abs. 10 S. 1 Nr. 1 BSIG n.F.). Für KRITIS-Betreiber sieht das BSIG neue Pflichten vor. Sie müssen zukünftig Programme zur Erkennung von Angriffen auf IT-Systeme verwenden (§ 8a Abs. 1a BSIG n.F.) sowie den Einsatz bestimmter IT-Produkte anzeigen.

Außerdem müssen sie die von ihnen betriebene Infrastruktur beim BSI registrieren (§ 8b Abs. 3 BSIG n.F.).

Letztlich müssen im Falle einer Störung von IT-Systemen sowohl KRITIS Betreiber als auch UNBÖFIs Informationen einschließlich personenbezogener Daten an das BSI herausgeben, wenn dies zur Bewältigung der Störung erforderlich ist (§8b Abs. 4a BSIG n.F.).

"Lex Huawei": Der Umgang mit kritischen Komponenten

Politisch besonders brisant ist nun die Möglichkeit, die Verwendung sogenannter kritischer Komponenten zu verbieten. Darunter versteht man IT-Produkte, die in KRITIS eingesetzt werden und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Hintergrund ist die Debatte um die Beauftragung des chinesischen Softwareunternehmens "Huawei" beim Ausbau des deutschen 5G-Netzes.

Der Gesetzgeber bestimmt, welche IT-Produkte als "kritisch" einzuordnen sind (§ 2 Abs. 13 BSIG n.F.). Aktuell hat er nur im Telekommunikationsgesetz (TKG) beim Betreiben von Telekommunikations- und Datenverarbeitungssystemen solche Komponenten festgelegt (§ 109 Abs. 6 Nr. 2 TKG n.F.). Unternehmen, die derartige Systeme betreiben, müssen besondere Pflichten erfüllen.

Sie müssen den Einsatz kritischer Komponenten anzeigen (§ 9b Abs. 1 S. 1 BSIG n.F.) und eine Garantieerklärung abgeben. Darin muss der Hersteller zusichern, dass die Komponente keine missbräuchlichen technischen Eigenschaften hat (etwa zur Sabotage, Spionage oder für terroristische Zwecke).

Der erstmalige Einsatz von kritischen Komponenten kann auch verboten werden (§ 9b Abs. 2 und 4 BSIG n.F.). Voraussetzung hierfür ist, dass ihre Verwendung voraussichtlich die öffentliche Ordnung oder Sicherheit Deutschlands beeinträchtigt. Dies soll etwa der Fall sein, wenn die Regierung eines Drittstaates den Hersteller der kritischen Komponente kontrolliert.

Auch wenn der Einsatz kritischer Komponenten zunächst gestattet worden ist, kann diese Entscheidung für die Zukunft revidiert werden. Dies gilt insbesondere, wenn der Hersteller nicht vertrauenswürdig ist und die Gefahr besteht, dass er missbräuchlich zu Spionagezwecken handelt (§ 9b Abs. 5 BSIG n.F.).

Handlungsempfehlungen für Unternehmen, die "kritische Komponenten" einsetzen

Unternehmen sollten sich bereits jetzt auf die Änderungen im BSIG einstellen. Für solche aus dem Sektor Telekommunikation dürfte die Entscheidung der Bundesnetzagentur von Interesse sein. Diese wird festlegen, welche Funktionen als "kritisch" eingestuft werden. Betroffene Unternehmen müssen dann von den Herstellern der kritischen Komponente die Garantieerklärung einholen. Voraussichtlich wird das Bundesministerium des Innern (BMI) ein Muster zu einer solchen Erklärung veröffentlichen. Die ausgefüllte Erklärung ist dann mit der Anzeige des beabsichtigen Einsatzes der kritischen Komponente dem BMI vorzulegen.

Unternehmen dürfen kritische Komponenten nicht vor Ablauf von zwei Monaten nach dieser Anzeige beim BMI einsetzen.

Verwendet ein Unternehmen ein IT-Produkt, das nachträglich als "kritische Komponente" bestimmt wird, so kann auch dann noch der weitere Einsatz verboten werden. Unternehmen sollten also generell ihre IT-Produkte dahingehend prüfen, ob ein Verbot droht und unter Umständen den Einsatz von Produkten anderer Hersteller in Betracht ziehen.

Was andere Unternehmen beachten müssen

KRITIS-Betreiber müssen sicherstellen, dass ihre Systeme zur Angriffserkennung den neuen technischen Anforderungen genügen. Hierzu sollten sie die Branchenverbände kontaktieren und prüfen, ob es bereits branchenspezifische Sicherheitsstands gibt. Diese Prüfung müssen sie innerhalb der nächsten zwei Jahre vornehmen. Andernfalls droht ein Bußgeld von bis zu einer Millionen Euro.

Auf Unternehmen aus dem Sektor "Siedlungsabfallentsorgung" kommen nun umfassende Pflichten zu, da sie nach alter Rechtslage nicht in den Anwendungsbereich des BSIG fielen. Diese Unternehmen müssen nun die Vorgaben des BSIG erfüllen (§ 8a BSIG n.F.). Hierzu gehören insbesondere die Pflicht zum Einsatz von Vorkehrungen zur Vermeidung von Störungen ihrer IT- Systeme sowie bestimmte Nachweispflichten.

Alle anderen Unternehmen können dann in den Anwendungsbereich des BSIG fallen, wenn sie als UNBÖFI qualifiziert werden. Hierzu sollten sie den Erlass der Rechtsverordnung abwarten, die diese Unternehmen konkretisiert.

Schon jetzt können sie das Gutachten der Monopolkommission nach § 44 Absatz 1 GWB (sog. Hauptgutachten) einsehen, das die 100 größten Unternehmen nach inländischer Wertschöpfung aufzählt. Die Rechtsverordnung wird sich an diesem Hauptgutachten orientieren und kann daher als grober Indikator für die Einschätzung genutzt werden. Außerdem sollten UNBÖFIS sich beim BSI registrieren und mit ihren IT-Abteilungen Prozesse zur Meldung von Störungen implementieren.

Wie es weitergeht

Der Bundesrat hat am 7. Mai 2021 über das IT-Sicherheitsgesetz 2.0 entschieden und keinen Einspruch eingelegt.

Es wird nun vom Bundespräsidenten ausgefertigt und schließlich im Bundesgesetzblatt veröffentlicht. Einen Tag später tritt es in Kraft. Dies wird wahrscheinlich Ende Mai oder Anfang Juni sein.

Dr. Werner Thienemann ist als Rechtsanwalt (Syndikusrechtsanwalt) bei Siemens Healthineers im Bereich IT- und Datenschutzrecht tätig. Darüber hinaus unterrichtet er als Dozent an der Universität Erlangen-Nürnberg allgemeines Zivil- und Vertragsrecht.