Die Bundesregierung hat am 27. Mai 2021 das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz 2.0, IT-SiG 2.0) veröffentlicht. Dadurch werden zukünftig die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) massiv ausgebaut, Rechte und Pflichten von Betreibern Kritischer Infrastrukturen erweitert sowie weitere Teile der Wirtschaft zusätzlich reguliert.
Der BDEW hat in den letzten zwei Jahren den gesamten Gesetzgebungsprozess eng begleitet und einige wesentliche Anpassungen aus Sicht der Energie- und Wasserwirtschaft erwirkt. Das Gesetz tritt am ersten Tag nach Veröffentlichung in Kraft, d.h. am heutigen 28. Mai 20201.
Energie- und Wasserver- bzw. -entsorgung aufrecht erhalten
Sichere informationstechnische Systeme sind für die Aufrechterhaltung der Energie- und Wasserver- bzw. -entsorgung von zentraler Bedeutung. Bedrohungen durch Erpressungssoftware (Ransomware) - mitunter durch staatsnahe Akteursgruppen - und die Risiken entlang der Lieferkette von IKT-Produkten und -Diensten wie Solarwinds nehmen drastisch zu. Der Fokus liegt hier in den letzten Jahren vermehrt auf dem Energie- und Wassersektor. In den letzten zwei Jahren hat die Bundesregierung einen Vorschlag zur Fortschreibung des Ordnungsrahmens für den Schutz Kritischer Infrastrukturen ausgearbeitet.
Seit Beginn des Gesetzgebungsverfahrens hat der BDEW die Interessen der Energie- und Wasserwirtschaft intensiv mit gezielten Vorschlägen und Kritik eingebracht, die in Teilen Einzug in das Gesetz gefunden haben. Die Diskussionen über die konkreten Inhalte des IT-Sicherheitsgesetzes 2.0 wurden teilweise sehr kontrovers geführt. Insbesondere der Umgang mit Herstellern aus Drittstaaten, deren Produkte und Dienstleistungen unerlässlich für den Betrieb von Anlagen der Kritischen Infrastrukturen sind, wurde ausgiebig debattiert.
Neben einigen inhaltlichen Uneinigkeiten geriet das federführende Bundesministerium des Innern, für Bau und Heimat erheblich in die Kritik, da das Gesetzgebungsverfahren laut Normenkontrollrat der Bundesregierung den Grundsätzen besserer Rechtsetzung in mehrfacher Hinsicht nicht gerecht wurde.
IT-Sicherheitsgesetz 2.0 in Kraft
Das IT-Sicherheitsgesetz 2.0 wurde am 27. Mai 2021 im Bundesgesetzblatt veröffentlicht. Somit tritt das Gesetz am heutigen 28. Mai 2021 in Kraft. Aus Sicht der Energie- und Wasserwirtschaft lassen sich das Gesetz und die dazugehörigen Neuerungen im Kern in drei Säulen unterteilen (nicht abschließend):
1. Ausweitung der Befugnisse des BSI
Die Befugnisse des BSI als zentrale Meldestelle für die Informationssicherheit von Staat und Wirtschaft sollen in den nächsten Jahren insbesondere durch Erweiterungen der §§ 3, 4, 5, 7, 8 und 9 BSIG-E ausgebaut werden. Zukünftig ist das BSI dazu aufgefordert, seine behördlichen Aktivitäten stärker an informationstechnischen Grundwerten und Schutzzielen auszurichten (siehe dazu § 7c Abs. 2). Auf diesem Weg wird der politische Einfluss durch das Bundesministerium des Innern, für Bau und Heimat, in dessen Geschäftsbereich das BSI und auch Sicherheitsdienste liegen, verringert.
Der BDEW hatte hierfür mehrfach geworben, um das Vertrauen der Wirtschaft in das BSI weiter zu stärken. Zu den Neuerungen zählt weiterhin die Befugnis, Maßnahmen zur Detektion von Sicherheitslücken und -risiken in Netzwerken von Betreibern Kritischer Infrastrukturen durchzuführen (§ 7b Abs. 1 Satz 1 BSIG), dabei ist speziell die Rede von „Portscans“. Das BSI wird zukünftig befugt, einen Stand der Technik bei sicherheitstechnischen Anforderungen von IT-Produkten zu entwickeln und zu veröffentlichen (§ 3 Abs. 1 Nr. 20 BSIG), sofern diese auf internationalen und europäischen Normen und Standards basieren (§ 9c Abs. 3 BSIG).
Der BDEW hat auf einige Anpassungen der Vorschläge eingewirkt, um u.a. potenziellen Schäden durch die behördlichen Aktivitäten in IT-Netzwerken von Betreibern vorzubeugen. Zur Bewältigung der neuen Aufgaben sind 799 zusätzliche Stellen für das BSI vorgesehen.
2. Ausweitung der Rechte & Pflichten von KRITIS-Betreibern
Des Weiteren sollen die Rechte und Pflichten von Betreibern Kritischer Infrastrukturen erweitert werden. Der größte Umsetzungsaufwand wird hierbei in der Einführung von Systemen zur Angriffserkennung liegen, deren Einsatz von Betreibern spätestens zwei Jahre nach Inkrafttreten des Gesetzes, also bis zum also 26. Mai 2023, nachgewiesen werden muss (§ 8a Abs. 3 BSIG).
Durch die Nutzung technischer Werkzeuge und die Einbindung organisatorischer Maßnahmen in kritische Prozesse sollen Angriffe auf informationstechnische Systeme frühzeitig automatisch erkannt und darauf aufsetzend risikomindernd behandelt werden (§ 2 Abs. 9b BSIG). Der BDEW hatte bis zuletzt versucht, diese neue Auflage streichen zu lassen, da es fragwürdig ist, ob derlei Systeme in der Breite bereits verlässlich eingesetzt werden können.
Die hohe Komplexität und die Notwendigkeit der exakten Ausrichtung auf die Einsatzumgebung machen sie anfällig für Fehlmeldungen, die oftmals personelle Kapazitäten binden. Die ursprünglich vorgesehene Pflicht zur Speicherung der Daten aus dem Betrieb derlei Systeme für mindestens vier Jahre wurde im Verlauf des Gesetzgebungsverfahren gestrichen. Hierfür hatte sich der BDEW mit Nachdruck ausgesprochen.
Die besonders strittige Neuerung zur Einführung einer Garantieerklärung über die Vertrauenswürdigkeit von Herstellern in Verbindung mit der Möglichkeit, den Einsatz von gewissen IT-Produkten (wörtlich: „kritische Komponente“) zu untersagen, wird zum Zeitpunkt des Inkrafttretens ausschließlich den Telekommunikationssektor betreffen. Diese Regelung würde erst im Energie- und Wassersektor Anwendung finden können, wenn eine diesbezügliche spezialgesetzliche Vorgabe beispielsweise im Energiewirtschaftsgesetz eingeführt würde (§ 9b Abs.1, 2, 4 BSIG).
Die Hürde für einen Ausschluss einzelner Hersteller von IT-Komponenten bleibt vergleichsweise hoch, ist jedoch im Falle von „voraussichtlichen Beeinträchtigungen der öffentlichen Sicherheit und Ordnung“ durchaus eine Option, die sich die Bundesregierung damit offen lässt. Eine gesetzliche Verschärfung gibt es auch in den Bußgeldvorschriften. Demnach wird der Bußgeldrahmen für große Unternehmen nun auch anhand der Wirtschaftskraft differenziert. Dadurch kann es bei fahrlässig oder vorsätzlich begangenen Verstößen gegen das IT-Sicherheitsgesetz zu Bußgeldern i.H.v. bis zu 20 Millionen Euro kommen (§ 14 Abs. 5 BSIG).
3. Ausweitung auf weitere Teile der Wirtschaft
Weitere Teile der Wirtschaft werden in Zukunft zum Schutz ihrer informationstechnischen Systeme gesetzlich verpflichtet. Neben der Aufnahme der „Entsorgung von Siedlungsabfällen“ als kritische Dienstleistung (gemäß § 2 Abs. 10 BSIG) werden unter anderem sogenannte „Unternehmen im besonderen öffentlichen Interesse“ (siehe § 2 Abs. 14 BSIG-E) zur Vorlage einer Selbsterklärung zur IT-Sicherheit verpflichtet (§ 8f Abs. 1 Satz 1 BSIG).
Unter dieser Kategorie sollen Rüstungsunternehmen, Unternehmen, die der Störfallverordnung (obere Klasse) unterliegen und Unternehmen von erheblicher volkswirtschaftlicher Bedeutung zusammengefasst werden (§ 2 Abs. 14 BSIG). Der genaue Adressatenkreis muss noch in Form einer eigenständigen Rechtsverordnung bestimmt werden, allerdings könnten hiervon auch Konzerne der Energiewirtschaft betroffen sein.
Letztlich ist es erfreulich, dass im Zuge des IT-Sicherheitsgesetzes 2.0 verstärkt Hersteller zur Kooperation und Behebung von Sicherheitsrisiken in ihren IT-Produkten und -Diensten verpflichtet werden sollen (§ 9b Abs. 1, 2 BSIG). Das ist aus Sicht des BDEW ein großer Schritt in die richtige Richtung. Denn nur durch eine vertrauensvolle Kooperation zwischen Herstellern und Betreibern kann die Informationssicherheit von in der Energie- und Wasserwirtschaft eingesetzten Komponenten, Systemen und Prozessen gewährleistet und akute Bedrohungen zügig behoben werden. Neben neuen Kooperationspflichten wird sich der BDEW weiterhin dafür einsetzen, die europäischen Produkthaftungsregelungen um Aspekte der Informationssicherheit zu erweitern.
Eine letzte Neuerung betrifft die parlamentarische Kontrolle zu den Vorgaben des IT-Sicherheitsgesetzes 2.0 (§ 5 Abs. 10 BSIG). Festgeschrieben wird die Pflicht des Bundesministeriums des Innern, für Bau und Heimat, kalenderjährlich dem Bundestag Bericht über die Anwendung des Gesetzes zu erstatten. Auf diesem Weg soll das Mitspracherecht des deutschen Bundestags zum Schutz informationstechnischer Systeme von Kritischen Infrastrukturen in einem strukturierten und regelmäßigen Verfahren sichergestellt werden. Im Sinne der Transparenz der Entscheidungsgrundlagen für das Regierungshandeln ist diese Neuerung aus Sicht des BDEW positiv.
Der BDEW wird auch im weiteren Verlauf die Ausarbeitungen der assoziierten Rechtsverordnungen eng begleiten, um eine potenzielle Doppelregulierung von Unternehmen der Energie- und Wasserwirtschaft zu verhindern und größtmögliche Rechtssicherheit für alle Betroffenen sicherzustellen. Der BDEW wird in den nächsten Monaten die Anwendungshilfe zur BSI-Kritisverordnung einer Aktualisierung unterziehen, um alle Neuerungen sowie die Rechte und Pflichten für die BDEW-Mitgliedsunternehmen übersichtlich darzustellen.