Im aktuellen Referentenentwurf des IT-Sicherheitsgesetzes 2.0 werden Entsorgungsbetriebe explizit mit aufgenommen als kritische Infrastruktur. Zudem wird der Verbraucherschutz adressiert und gestärkt, die Kompetenzen des BSI aber deutlich erweitert.
Wenn dies im finalen IT-Sicherheitsgesetz bestehen bleibt, dann werden größere Entsorgungsbetriebe nicht mehr darum herumkommen Ihre IT-Systeme zu überprüfen und eventuell auf den Stand der Technik zu aktualisieren. Außerdem werden für Verbraucher transparentere Regelungen und Zertifikate vorgesehen.
Was ist neu beim IT-Sicherheitsgesetz?
Das IT-Sicherheitsgesetz trat 2015 erstmalig in Kraft. Innerhalb dieses Gesetzes wurden kritische Versorgungsbereiche definiert und es wurden klare Regelungen geschaffen, was diese im Bereich IT-Sicherheit zu leisten haben. Konkretisiert wurde dieses Gesetz durch zwei Rechtsverordnungen aus dem Jahr 2016 und 2017.
Hier wurden beispielsweise Schwellenwerte definiert, die eine Einordnung erlaubten, ob eine Anlage oder ein Unternehmen unter die Definition einer kritischen Infrastruktur fällt. Es gab immer wieder Kritik an diesem Gesetz, insbesondere in Bezug auf die Anwendung des Gesetzes in der Realität. Das IT-Sicherheitsgesetz in seiner zweiten Auflage soll IT-Sicherheit deutlich ganzheitlicher erfassen.
Das Gesetz stärkt die Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) als zentrale Behörde für IT-Sicherheit. Es werden dem BSI unter anderem auch Aufgaben des Verbraucherschutzes zuteil. Zudem wird über ein Siegel diskutiert, welches die IT-Sicherheit von Produkten für Verbraucher transparent machen soll.
Ein Kritikpunkt von vielen Stimmen ist, dass dem BSI auch offensive Aufgaben zuteil werden. Das heißt im aktuellen Entwurf, dass Geräte gezielt aufgespürt werden sollen die mit Schadsoftware infiziert sind. Dies soll beispielsweise durch Portscans oder das Ausprobieren schwacher Passwörter wie “Admin” oder “root” geschehen.
Wie bereits erwähnt wird der Sektor “Entsorgung” zu den klassischen KRITIS Sektoren hinzugefügt. Dies umfasst die Entsorgung von Siedlungsabfällen. Diese müssen so beseitigt oder verwertet werden, dass keine Gefährdung für Umwelt oder Bevölkerung entsteht.
Ein Ausfall dieser Dienstleistung führt, analog zur Wasserentsorgung, zu einem Anstieg der Seuchengefahr, sowie Umweltverschmutzung. Insbesondere in Metropolregion ist ein verstärktes Auftreten dieser Ausfalleffekte zu erwarten.
Besonders empfindlich trifft die Unternehmen die Änderung der Bußgelder. Hier passt sich das IT-Sicherheitsgesetz an die DSGVO an. Die Bußgelder sollen sich an der Wirtschaftskraft des Unternehmens orientieren und bis zu vier Prozent des Umsatzes eines Unternehmens betragen.
Die Argumentation ist ähnlich wie bei der DSGVO, eine solche Sanktion soll “generalpräventiv” wirken. Die aktuellen Bußgelder in Höhe von maximal 100.000 € sind verglichen mit der Wirtschaftskraft zu gering, um lenkende Wirkung zu entfalten.
Infrastruktur im besonderen öffentlichen Interesse
Zusätzlich zu kritischen Infrastrukturen werden “Infrastrukturen im besonderen öffentlichen Interesse” definiert. Dies sind nicht unmittelbar kritische Infrastrukturen, Sie werden dennoch so behandelt, da Sie eine spezielle öffentliche Wirkung haben.
Die erste Definition dieser neuen Infrastrukturen ist dabei recht klar definiert und angelehnt an den §60 der Außenwirtschaftsverordnung. Hier geht es speziell um Unternehmen aus dem Rüstungssektor, beispielsweise fallen darunter Unternehmen die “besonders konstruierte Motoren oder Getriebe zum Antrieb von Kampfpanzern oder anderen gepanzerten militärischen Kettenfahrzeugen herstellt oder entwickelt”.
Darüber hinaus werden dann Infrastrukturen als von besonderem öffentlichen Interesse definiert die von volkswirtschaftlicher Bedeutung sind und aufgrund Ihrer Wertschöpfung besonders im öffentlichen Interesse stehen, sowie Infrastrukturen mit Bezug zu Kultur und Medien. Diese Begrifflichkeiten sind noch relativ weit gefasst und werden durch eine Rechtsverordnung konkretisiert werden.
Was bedeutet das neue IT-Sicherheitsgesetz?
Viele Änderungen die im aktuellen Gesetzesentwurf stehen werden vermutlich wieder gestrichen oder es kommen neue Punkte hinzu. Jedoch weist dieser Referentenentwurf eine Richtung vor, zumal es bereits der zweite an die Öffentlichkeit gekommene Referentenentwurf zum IT-Sicherheitsgesetz ist.
Deutschlands IT-Sicherheitspolitik wird um viele sinnvolle Punkte ergänzt, beispielsweise die Informationspflichten für gestohlene Identitäten oder einen erhöhten Verbraucherschutz. Allerdings wird vom defensiven Standpunkt weiter abgerückt und die nationale IT-Sicherheitspolitik wird offensiver. Dies reiht sich in die aktuellen Diskussionen rund um “Hack Backs” und “Staatliches Hacking” ein.
Es herrscht immer noch viel Unsicherheit in neuen und alten KRITIS Sektoren. So sind beispielsweise auch im Gesundheitssektor noch Diskussionen zu führen, ob Kliniken mit weniger 30.000 vollstationären Betten ebenfalls in die Verordnung aufgenommen werden. Diese Diskussionen befinden sich allerdings noch in Ressortabstimmungen.
Für die vermutlich neu aufgenommenen, größeren Entsorgungsbetriebe kann festgehalten werden: Auf jeden Fall sollte jetzt begonnen werden sich mit den Anforderungen vertraut zu machen und eventuell den Grundschutz nach BSI bereits umzusetzen.
Wenn Sie Hilfe benötigen bei der Umsetzung oder Konzeptionierung Ihrer IT-Sicherheit im Rahmen des neuen IT-Sicherheitsgesetzes kontaktieren Sie uns gern. Wir unterstützen Unternehmen beispielsweise im Rahmen von Zertifizierungen oder ISMS-Prozessen im Bereich Penetrationstest und Awareness.