Die Weiterentwicklung des IT-Sicherheitsgesetzes E-Book

ISBN: 978-3-8005-1777-0

© 2022 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main www.ruw.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Druck: WIRmachenDRUCK GmbH, Backnang

Printed in Germany

Vorwort

Das IT-SiG 2.0 wurde nach fast vier Jahren Arbeit noch rechtzeitig vor Ablauf der 19. Legislaturperiode verabschiedet. Es stellt einen weiteren Meilenstein in der IT-Sicherheitsgesetzgebung Deutschlands und der EU dar. Leider ist das sukzessiv wachsende IT-Sicherheitsrecht schon aufgrund seiner fehlenden Systematik und der Verteilung auf unzählige Gesetze kaum noch nachvollziehbar.*

Das vorliegende Werk soll daher zumindest dabei helfen, die Regelungen des IT-SiG 2.0 und ihre Einordnung in die bisherige Historie des IT-Sicherheitsgesetzes zu verstehen. Zu diesem Zweck werden zunächst das IT-SiG 1.0 und das NIS-RL-Umsetzungsgesetz kursorisch nachgezeichnet. Anschließend werden die vom IT-SiG 2.0 vorgenommenen Änderungen einzeln kommentiert. Dazu werden die geänderten Gesetzestexte sowie die vom RegE für das IT-SiG 2.0 abweichenden Beschlussempfehlungen des Innenausschusses dargestellt und die jeweiligen Begründungen wiedergegeben. Da wo es zum Verständnis der Normen und der Erläuterungen des Werkes sinnvoll schien, werden nicht nur die geänderten Absätze wiedergegeben, sondern auch unveränderte Teile der Paragrafen.

Um die Änderungen auf einen Blick nachvollziehen zu können, findet sich nach dem Kommentierungsteil eine Synopse der Regelungen vor und nach dem IT-SiG 2.0. Für die vertiefte Befassung mit dem Gesetz schließt das Werk mit einer Sammlung von Verweisen auf die Gesetzesmaterialien (z.B. RegE, Ausschussempfehlungen, Sachverständigenstellungnahmen).

Eines steht schon jetzt fest: Das IT-SiG 2.0 wird nicht die letzte Änderung des deutschen IT-Sicherheitsrechts gewesen sein. Die Europäische Kommission hat bereits einen Entwurf für eine zweite NIS-RL (NIS-RL 2.0) vorgelegt, der bereits rege diskutiert wird und bei seiner Verabschiedung deutlichen Änderungsbedarf im deutschen Recht – insbesondere dem BSIG – auslösen würde.

Mein Dank gilt Prof. Dr. Anne Paschke, Dr. Laura Schulte und Dr. Lutz Keppeler für ihren Einsatz, ohne den das Werk nicht so zeitnah zum finalen IT-Sicherheitsgesetz hätte erscheinen können. Ganz besonderer Dank gebührt meiner Frau Julia Ritter. Sie war mir bei der Erstellung des Werkes nicht nur eine persönliche Stütze, sondern hat mit ihrer redaktionellen Arbeit wesentlich zum rechtzeitigen Erscheinen beigetragen.

Dem Team des Deutschen Fachverlages, namentlich Herrn Torsten Kutschke, Herrn Patrick Orth und Frau Nadine Grüttner danke ich für die gute und angenehme Zusammenarbeit.

September 2021

Steve Ritter

*

Vgl. auch

Raabe/Schallbruch/Steinbrück

, CR 2018, 706, 714.

Inhaltsverzeichnis

Vorwort

Abkürzungsverzeichnis

Teil 1 Die bisherige Entwicklung

A. Das IT-Sicherheitsgesetz 1.0

I. Stärkung der IT-Sicherheit Kritischer Infrastrukturen

1. Was sind Kritische Infrastrukturen?

2. Staatliche Maßnahmen zum Schutz Kritischer Infrastrukturen

3. Verpflichtungen für Betreiber Kritischer Infrastrukturen

a) Absicherungs- und Nachweispflichten des § 8a BSIG

b) Meldepflichten des § 8b BSIG

c) Bußgeldbefugnis – § 14 BSIG

d) Absicherungspflichten des § 109 TKG

e) Meldepflichten des § 109 TKG

f) Absicherungspflichten des § 11 EnWG

g) Meldepflichten des § 11 EnWG

h) Meldepflichten nach § 44b AtG

II. Stärkung der IT-Sicherheit der Bundesverwaltung

III. Stärkung der IT-Sicherheit für die Allgemeinheit

1. Verpflichtung der Telemediendiensteanbieter zur Absicherung der IT – § 13 Abs. 7 TMG

2. Angriffsdetektion in TK-Netzen – § 100 TKG

3. Verpflichtung der TK-Anbieter zur Warnung der Nutzer – § 109a TKG

4. Klarstellung zu Umfang und Rahmen der Warnbefugnis – § 7 BSIG

5. Befugnis des BSI für Reverse-Engineering – § 7a BSIG

B. Das NIS-RL-Umsetzungsgesetz

I. Neue Aufgaben für das BSI

1. Unterstützung des MAD

2. Unterstützung bestimmter Stellen der Länder

3. Neue Berichts- und Konsultationsaufgaben

II. Neue Befugnisse des BSI

1. Mobile Incident Response Teams – § 5a BSIG

2. Anordnung ggü. Herstellern bei MIRT-Einsätzen

3. Erweiterte Weitergabemöglichkeiten für § 5-Daten

III. Änderungen für KRITIS

1. Absicherungs- und Nachweispflichten in § 8a BSIG

2. Meldepflichten in § 8b BSIG

3. Meldepflichten in AtG, TKG und EnWG

4. Neue Pflichten und Befugnisse im Bereich der Telematikinfrastruktur nach § 291b Abs. 8 SGB

IV. Anbieter digitaler Dienste – § 8c BSIG

V. Weitere Regelungen zur Erhöhung der IT-Sicherheit

1. Erweiterung der Analysemöglichkeiten für TK-Anbieter – § 100 Abs. 1 TKG

2. Neue Befugnisse für Walled Gardens – § 109a Abs. 4 TKG

3. Neue Befugnisse zur Beschränkung der Nutzung – § 109a Abs. 5 TKG

4. Neue Befugnis zur Einschränkung des Datenverkehrs – § 109a Abs. 6 TKG

Teil 2 Kommentierung der durch das IT-Sicherheitsgesetz 2.0 betroffenen Gesetzestexte

Art. 1 Änderungen im BSI-Gesetz (BSIG)

§ 1 Bundesamt für Sicherheit in der Informationstechnik

I. Gesetzesbegründung (BT-Drs. 19/28844, 39)

II. Kommentierung

1. Kurzzusammenfassung

2. Einzelerläuterungen

§ 2 Begriffsbestimmungen

I. Gesetzesbegründung

1. Regierungsentwurf (BT-Drs. 19/26106, 56ff.)

2. Beschlussempfehlungen des Innenausschusses (BT-Drs. 19/28844, 39)

II. Kommentierung

1. Hintergrund der Norm

2. Einzelerläuterungen

a) Absatz 2 – Sicherheit der Informationstechnik

b) Absatz 3 – Kommunikationstechnik des Bundes

c) Absatz 8a – Protokollierungsdaten

d) Absatz 9a – IT-Produkte

e) Absatz 9b – Systeme zur Angriffserkennung

aa) Zielrichtung

bb) Prozesshaftigkeit

cc) Technische Werkzeuge und organisatorische Einbindung

f) Absatz 10 – Kritische Infrastrukturen

g) Absatz 13 – Kritische Komponenten

aa) Bedeutung von Abs. 13 Nr. 1 und 2

bb) Kontext der „lex Huawei“

cc) Das „Potenzial“ der Auswirkung einer Störung genügt

dd) Vorläufig nur kritische Komponenten im Telekommunikationssektor

ee) Rechtsklarheit durch Satz 2 und Zitiergebot

h) Absatz 14 – Unternehmen im besonderen öffentlichen Interesse

aa) Allgemeines

bb) Rüstungsindustrie und Verschlusssachen (§ 2 Abs. 14 S. 1 Nr. 1)

cc) Unternehmen von erheblicher volkswirtschaftlicher Bedeutung (§ 2 Abs. 14 S. 1 Nr. 2)

dd) Betreiber eines Betriebsbereichs der oberen Klasse der Störfall-Verordnung (§ 2 Abs. 14 S. 1 Nr. 3)

§ 3 Aufgaben des Bundesamtes

I. Gesetzesbegründung

1. RegE (BT-Drs. 19/26106, 58ff.)

2. Begründung der Beschlussempfehlungen des Innenausschusses (BT-Drs. 19/28844, 39f.)

II. Kommentierung

1. Kurzzusammenfassung

2. Zweck und Hintergrund der Norm

3. Systematik

4. Einzelerläuterungen

§ 4a Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte

I. Gesetzesbegründung

1. RegE (BT-Drs. 19/26106, 60f.)

2. Beschlussempfehlungen des Innenausschusses (BT-Drs. 19/28844, 40)

II. Kommentierung

1. Zusammenfassung

2. Hintergrund der Norm

3. Systematik

4. Einzelerläuterungen

a) Absatz 1 – Kontrollbefugnisse

b) Absatz 2 – Vor-Ort-Kontrollen

c) Absatz 3 – Schnittstellenkontrolle

d) Absatz 4 – Untersuchungsergebnisse

e) Absatz 5 und 6 – Ausnahmen

5. Praxisempfehlungen und Rechtsschutz

§ 4b Allgemeine Meldestelle für die Sicherheit in der Informationstechnik

I. Gesetzesbegründung

1. RegE (BT-Drs. 19/26106, 62f.)

2. Begründung der Beschlussempfehlung des Innenausschusses (BT-Drs. 19/28844, 40)

II. Kommentierung

1. Kurzzusammenfassung

2. Zweck und Hintergrund der Norm

3. Einzelerläuterungen

a) Das BSI als allgemeine Meldestelle (Abs. 1)

b) Sicherheitsrisiken der Informationstechnik; Das BSI wird keine allgemeine Beschwerdestelle

c) Geeignete und anonyme Meldemöglichkeiten

d) Datenschutz für Meldende (Abs. 2)

e) Verwendung und Weitergabe der gemeldeten Informationen (Abs. 3)

f) Ermessen oder Verpflichtung?

g) Mitteilung an die Öffentlichkeit nur nach Abstimmung mit der zuständigen Aufsichtsbehörde

h) Datenschutzrechtlicher Erlaubnistatbestand

i) Ausnahmen zur Informationsweitergabe nach Absatz 3 (Abs. 4)

j) Klarstellung, dass andere Vorschriften unberührt bleiben (Abs. 5)

§ 5 Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes

I. Gesetzesbegründung

1. Regierungsentwurf (BT-Drs. 19/26106, 62ff.)

2. Beschlussempfehlungen des Innenausschusses (BT-Drs. 19/28844, 40f.)

II. Kommentierung

1. Zusammenfassung

2. Hintergrund der Norm

3. Systematik

4. Einzelerläuterungen

§ 5a Verarbeitung behördeninterner Protokollierungsdaten

I. Gesetzesbegründung (BT-Drs. 19/26106, 64ff.)

II. Kommentierung

1. Zusammenfassung

2. Hintergrund der Norm

3. Systematik

4. Einzelerläuterungen

a) Schutzgüter- und Gefahrenbegriff

b) Daten, die verarbeitet werden dürfen

c) Zweckbindung

d) Ausnahme Geheimschutzinteressen

e) Unterstützungspflicht der Bundesbehörden (Satz 2)

f) Befugnis zur Übermittlung von Protokollierungsdaten (Satz 3)

g) Entsprechend anzuwendende Vorschriften (Satz 4)

§ 5b Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen

I. Gesetzesbegründung

1. RegE (BT-Drs. 19/26106, 64)

2. Begründung der Beschlussempfehlung des Innenausschusses (BT-Drs. 19/28844, 41)

II. Kommentierung

1. Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme (Abs. 1)

2. Definition des herausgehobenen Falls (Abs. 2)

3. Verarbeitung personenbezogener oder dem Fernmeldegeheimnis unterliegender Daten (Abs. 3)

4. Weitergabe von Informationen (Abs. 4)

5. Hilfe durch qualifizierte Dritte (Abs. 5)

6. Mitwirkungspflichten (Abs. 6)

7. Tätigkeitsersuchen anderer Einrichtungen, insbesondere Stellen des Landes (Abs. 7)

8. Anlagen und Tätigkeiten, die einer Genehmigung nach dem Atomgesetz bedürfen (Abs. 8)

§ 5c Bestandsdatenauskunft

I. Gesetzesbegründungen

1. RegE (BT-Drs. 19/26106, 64ff.)

2. Änderungsempfehlungen des Ausschusses für Inneres und Heimat (BT-Drs. 19/28844, 41)

II. Kommentierung

1. Zusammenfassung

2. Einzelerläuterungen

a) Bestandsdatenauskunft (Abs. 1)

b) Auskunft auf Grundlage von IP-Adressen (Abs. 2)

c) Auskunftserteilung (Abs. 3)

d) Inkenntnissetzung von betroffenen Stellen (Abs. 4)

e) Datenschutzrechtliche Übermittlungsermächtigung (Abs. 5)

f) Benachrichtigung betroffener Personen (Abs. 6)

g) Berichtspflicht gegenüber dem BfDI (Abs. 7)

h) Entschädigung für Auskünfte (Abs. 8)

§ 7 Warnungen

I. Gesetzesbegründungen

1. RegE (BT-Drs. 19/26106, 67)

2. Änderungsempfehlungen des Ausschusses für Inneres und Heimat (BT-Drs. 19/28844, 41)

II. Kommentierung

1. Zusammenfassung

2. Hintergrund

3. Systematik

4. Einzelerläuterungen

a) Allgemeine Warnungen und Informationen (Abs. 1)

b) Informationspflichten und Ausnahmen (Abs. 1a)

c) Warnung unter Nennung der Bezeichnung und des Herstellers betroffener Produkte und Dienste (Abs. 2)

5. Praktische Hinweise

§ 7a Untersuchung der Sicherheit in der Informationstechnik

I. Gesetzesbegründung

1. RegE (BT-Drs. 19/26106, 67f.)

2. Begründung der Beschlussempfehlung des Innenausschusses (BT-Drs. 19/28844, 41)

II. Kommentierung

1. Kurzzusammenfassung

2. Untersuchungsbefugnis und Privilegierung des BSI (Abs. 1)

3. Auskunftsverlangen (Abs. 2)

4. Weitergabe der Informationen (Abs. 3)

5. Zweckbindung (Abs. 4)

6. Information der Öffentlichkeit (Abs. 5)

7. Sicherheitslücken als „Mangel“ und Kooperation des BSI mit Verbänden als Ansatzpunkt für eine Stärkung der IT-Sicherheit

§ 7b Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden

I. Gesetzesbegründung

1. RegE (BT-Drs. 19/26106, 60ff.)

2. Begründung der Beschlussempfehlung des Innenausschusses (BT-Drs. 19/28844, 41)

II. Kommentierung

1. Einleitung

a) Zusammenfassung

b) Warum die umstrittene Regelung in der Praxis kaum eine Rolle spielen wird

2. Befugnis zur Durchführung von Portscans (Abs. 1)

a) Abgrenzung zu § 7a BSIG

b) An welchen „Schnittstellen“ dürfen Maßnahmen durchgeführt werden.

c) Welche „Maßnahmen“ darf der Portscan umfassen

d) Das Konzept der Whitelist

e) Behandlung ungewollt übermittelter Daten

3. Vorliegen eines ungeschützten Systems und einer Gefahr (Abs. 1 S. 1 und Abs. 2)

4. Information des Verantwortlichen (Abs. 3)

5. Befugnis zum Einsatz „aktiver Honeypots“ (Abs. 4)

6. Privilegierungswirkung

§ 7c Anordnungen des Bundesamtes gegenüber Diensteanbietern

I. Gesetzesbegründung RegE (BT-Drs. 19/26106, 71ff.)

II. Kommentierung

1. Kurzzusammenfassung und Bedeutung

2. Anordnungssubjekt: Telekommunikationsdienstleister (Abgrenzung zu § 7d)

a) Definition im TKG

b) Streitfälle zur Definition

d) Hinweis auf TKG-Reform (Wirkung zum 1.12.2021)

e) Streitfall: Sind Arbeitgeber TK-Anbieter?

f) Schwellenwert von 100.000 Teilnehmern für KRITIS-Anbieter im TK-Sektor

3. Neuartigkeit der Eingriffsbefugnis und Gesetzgebungskompetenz

4. Anordnung an Telekommunikationsanbieter (Abs. 1)

a) Anordnungen nach § 109a Abs. 5 und 6 TKG (Nr. 1)

b) Technische Befehle zur Bereinigung (Nr. 2)

c) Kritik

5. Bußgeld

6. Schutzziele (Abs. 2)

7. Umleitung des Datenverkehrs (Abs. 3)

8. Verarbeitung umgeleiteter Daten (Abs. 4)

§ 7d Anordnungen des Bundesamtes gegenüber Anbietern von Telemediendiensten

I. Gesetzesbegründung (RegE BT-Drs. 19/26106, 76f.)

II. Kommentierung

1. Kurzzusammenfassung

2. Hintergrund der Norm

3. Systematik

4. Einzelerläuterungen

a) Telemedium (§ 1 Abs. 1 S. 1 TMG)

b) Diensteanbieter (§ 2 S. 1 Nr. 1 TMG)

c) Diensteanbieter als Normadressat des § 13 Abs. 7 TMG

d) Unzureichende Umsetzung der in § 13 Abs. 7 TMG normierten Vorkehrungen

e) Geschaffene konkrete Gefahr für informationstechnische Systeme

f) Vielzahl von Nutzern

g) Die Anordnung des Bundesamts für Sicherheit in der Informationstechnik

h) Aufsichtsbehörden der Länder

§ 8 Vorgaben des Bundesamtes

I. Gesetzesbegründung

1. Regierungsentwurf (BT-Drs. 19/26106, 78)

2. Beschlussempfehlungen des Innenausschusses (BT-Drs. 19/28844, 41)

II. Kommentierung

1. Zusammenfassung

2. Einzelerläuterungen

a) § 8 Abs. 1

b) § 8 Abs. 1a

c) § 8 Abs. 3

d) § 8 Abs. 4

§ 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen

I. Gesetzesbegründung

1. RegE (BT-Drs. 19/26106, 79f.)

2. Änderungsempfehlungen des Ausschusses für Inneres und Heimat (BT-Drs. 19/28844, 41f.)

II. Kommentierung

1. Zusammenfassung

2. Hintergrund

3. Systematik

4. Einzelerläuterungen

a) Technische und organisatorische Sicherungsvorkehrungen (Abs. 1)

b) Systeme zur Angriffserkennung (Abs. 1a)

c) Branchenspezifische Standards (Abs. 2)

d) Nachweispflichten (Abs. 3)

e) Überprüfungsrecht (Abs. 4)

5. Praktische Hinweise

§ 8b Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen

I. Gesetzesbegründungen (BT-Drs. 19/26106, 80f.)

II. Kommentierung

1. Zusammenfassung

2. Hintergrund

3. Einzelerläuterungen

a) Zentrale Meldestelle für die Informationssicherheit (Abs. 1)

b) Aufgabenzuweisungen (Abs. 2)

c) Kontaktstelle und Registrierungspflicht (Abs. 3, Abs. 3a und Abs. 5)

aa) Kontaktstelle

bb) Registrierung

d) Meldepflichten (Abs. 4)

e) Informationspflichten im Zusammenhang mit erheblichen Sicherheitsvorfällen (Abs. 4a)

f) Mitwirkungspflichten von Herstellern (Abs. 6)

4. Praktische Hinweise

a) Rechtsschutz gegen Registrierung

b) Ordnungswidrigkeiten

§ 8c Besondere Anforderungen an Anbieter digitaler Dienste

I. Gesetzesbegründungen RegE (BT-Drs. 19/26106, 81)

II. Kommentierung

§ 8d Anwendungsbereich

I. Gesetzesbegründungen

1. RegE (BT-Drs. 19/26106, 81)

2. Beschlussempfehlungen des Innenausschusses (BT-Drs. 19/28844, 42)

II. Kommentierung

1. Zusammenfassung

2. Hintergrund

3. Systematik

4. Einzelerläuterungen

a) Unternehmen im besonderen öffentlichen Interesse als Kleinstunternehmen und kleine Unternehmen (Abs. 1a)

b) Ausnahme von Meldeverpflichtungen (Abs. 3)

5. Praktische Empfehlungen

§ 8e Auskunftsverlangen

I. Gesetzesbegründung

1. RegE (BT-Drs. 19/26106, 81)

2. Änderungsempfehlungen des Ausschusses für Inneres und Heimat (BT-Drs. 19/28844, 42)

II. Kommentierung

1. Zusammenfassung

2. Systematik

3. Einzelerläuterungen

a) Auskunft gegenüber Dritten (Abs. 1)

b) Akteneinsichtsrecht von Beteiligten (Abs. 2)

c) Informationsansprüche nach dem Umweltinformationsgesetz (Abs. 4)

§ 8f Sicherheit in der Informationstechnik bei Unternehmen im besonderen öffentlichen Interesse

I. Gesetzesbegründungen (BT-Drs. 19/26106, 81ff.)

II. Kommentierung

1. Zusammenfassung

2. Hintergrund

3. Einzelerläuterungen

a) Selbsterklärungspflicht (Abs. 1, Abs. 2 und Abs. 3)

b) Registrierungspflichten und Pflicht zur Benennung einer Kontaktstelle (Abs. 5, Abs. 6 und Abs. 9)

c) Umsetzungsfrist (Abs. 4 und Abs. 5)

d) Störungsmeldung (Abs. 7 und Abs. 8)

e) Informationspflichten im Zusammenhang mit erheblichen Sicherheitsvorfällen (§ 8b Abs. 4a)

4. Praktische Empfehlungen

§ 9 Zertifizierung

I. Gesetzesbegründung RegE (BT-Drs. 19/26106, 83)

II. Kommentierung

1. Zusammenfassung

2. Einzelerläuterungen

a) Voraussetzungen der Erteilung des Sicherheitszertifikats

b) Keine Untersagung der Zertifikatserteilung durch das Bundesministerium des Innern, für Bau und Heimat

3. Praktische Hinweise

§ 9a Nationale Behörde für die Cybersicherheitszertifizierung

I. Gesetzesbegründung

1. RegE (BT-Drs. 19/26106, 83)

2. Begründung der Beschlussempfehlungen des Ausschusses für Inneres und Heimat (BT-Drs. 19/28844, 42)

II. Kommentierung

1. Zusammenfassung

2. Hintergrund der Norm

3. Einzelerläuterungen

a) Das BSI als nationale Behörde für die Cybersicherheitszertifizierung (Abs. 1)

b) Befugniserteilung für Konformitätsbewertungsstellen (Abs. 2)

aa) Konformitätsbewertungsstellen

bb) Aufgaben der Konformitätsbewertungsstellen

cc) Voraussetzungen für die Befugniserteilung nach der Verordnung (EU) 2019/881

dd) Befugniserteilung durch das BSI

ee) Notifikation nach Art. 61 VO (EU) 2019/881

c) Anspruch auf Auskunft und sonstige Unterstützungsleistungen (Abs. 3)

d) Auditierungen zur Gewährleistung des Zertifizierungsrahmens für Cybersicherheit (Abs. 4)

e) Betretungs- und Kontrollbefugnisse des BSI (Abs. 5)

f) Widerruf eines Cybersicherheitszertifikats (Abs. 6)

g) Widerruf von Befugnissen für Konformitätsbewertungsstellen (Abs. 7)

§ 9b Untersagung des Einsatzes kritischer Komponenten

I. Gesetzesbegründung

1. RegE (BT-Drs. 19/26106, 83ff.)

2. Begründung der Beschlussempfehlung des Innenausschusses (BT-Drs. 19/28844, 42ff.)

II. Kommentierung

1. Kurzzusammenfassung

a) Ziel der „lex Huawei“

b) Zweifel an der Praxisrelevanz

2. Verpflichtung des Betreibers zur Anzeige kritischer Komponenten (Abs. 1)

a) Es ist nicht jedes einzelne „Exemplar“ anzeigepflichtig

b) Keine Verpflichtung zur Anzeige für Hersteller und Importeure

c) Keine rückwirkende Verpflichtung für bereits bestehenden Einsatz

d) Ausnahme für den Einsatz desselben Typs zur selben Art des Einsatzes (Abs. 1 S. 3)

aa) Bedeutet „Typ“ „Gattung“ oder „Typenbezeichnung des Herstellers“

bb) Art des Einsatzes

3. Anordnungsbefugnis und Untersagungsbefugnis (Abs. 2)

a) Zuständige Behörde und Benehmenserfordernis

b) Tatbestandliche Voraussetzung für Befugnisse

aa) Kontrolle über den Hersteller

bb) Bisherige Beteiligung des Herstellers an Sicherheitsrisiken der westlichen Welt

cc) Übereinstimmung des Einsatzes der kritischen Komponente mit sicherheitspolitischen Zielen

c) Frist

4. Garantieerklärung des Herstellers (Abs. 3)

a) Zur zeitlichen Geltung der Verpflichtung der Betreiber

b) Auswirkung auf die Vertragspraxis

5. Ex-post-Regulierung (Abs. 4)

6. Gründe für mangelnde Vertrauenswürdigkeit (Abs. 5)

7. Weitere Folgen (Abs. 6 und 7)

§ 9c Freiwilliges IT-Sicherheitskennzeichen

I. Gesetzesbegründung

1. RegE (BT-Drs. 19/26106, 86f.)

2. Änderungen durch den Ausschuss für Inneres und Heimat (BT-Drs. 19/28844, 45)

II. Kommentierung

1. Zusammenfassung

2. Systematik

3. Einzelerläuterungen

a) Einführung des freiwilligen IT-Sicherheitskennzeichens (Abs. 1)

b) Komponenten des IT-Sicherheitskennzeichens (Abs. 2)

aa) Die Herstellererklärung (Nr. 1)

bb) Die dynamische Sicherheitsinformation (Nr. 2)

c) Anforderungen in Bezug auf die IT-Sicherheit (Abs. 3)

d) Verfahrensvorgaben für die Freigabe durch das BSI (Abs. 4)

e) Voraussetzungen für die Erteilung der Freigabe des IT-Sicherheitskennzeichens (Abs. 5)

f) Anbringung des IT-Sicherheitskennzeichens (Abs. 6)

g) Erlöschen der Freigabe (Abs. 7)

h) Prüf- und Widerrufsrecht des BSI (Abs. 8)

i) Verfahrensvorgaben für die Maßnahmen nach Abs. 8 (Abs. 9)

§ 10 Ermächtigung zum Erlass von Rechtsverordnungen

I. Gesetzesbegründung

1. Regierungsentwurf (BT-Drs. 19/26106, 88f.)

2. Beschlussempfehlungen des Innenausschusses (BT-Drs. 19/28844, 45)

II. Kommentierung

1. Zusammenfassung

2. Einzelerläuterungen

a) Absatz 3 – IT-Sicherheitskennzeichen

b) Absatz 5 – Unternehmen im besonderen öffentlichen Interesse und Zulieferer

aa) Allgemeines

bb) Unternehmen von erheblicher volkswirtschaftlicher Bedeutung

cc) Zulieferer

dd) Probleme

ee) Voraussetzungen für den Erlass der Verordnung

§ 11 Einschränkung von Grundrechten

I. Gesetzesbegründung (RegE BT-Drs. 19/26106, 89)

II. Kommentierung

1. Kurzzusammenfassung

2. Einzelerläuterungen

§ 13 Berichtspflichten

I. Gesetzesbegründung – Innenausschuss (BT-Drs. 19/28844, 88f.)

II. Kommentierung

1. Zusammenfassung

2. Einzelerläuterungen

a) Absatz 2 – Verweis auf § 7 Abs. 1a BSIG

b) Absatz 3 – Berichtspflicht des BMI

§ 14 Bußgeldvorschriften

I. Gesetzesbegründung Regierungsentwurf (BT-Drs. 19/26106, 89ff.)

II. Kommentierung

1. Zusammenfassung

2. Hintergrund der Norm

3. Systematik

4. Einzelerläuterungen

§ 14a Institutionen der Sozialen Sicherung

I. Gesetzesbegründung (RegE BT-Drs. 19/26106, 96)

II. Kommentierung

1. Zusammenfassung

2. Einzelerläuterungen

Art. 2 Änderungen im Telekommunikationsgesetz (TKG)

§ 109 Technische und organisatorische Schutzmaßnahmen

I. Gesetzesbegründung

1. RegE (BT-Drs. 19/26106, 96f.)

2. Begründung der Beschlussempfehlung des Innenausschusses (BT-Drs. 19/28844, 45f.)

II. Kommentierung

1. Kurzzusammenfassung

2. Änderungen in Absatz 2 („Technische Vorkehrungen und sonstige Schutzmaßnahmen“)

a) Berücksichtigung der Auswirkung auf Dienste

b) Pflichten für Netzbetreiber mit erhöhtem Gefährdungspotenzial

c) Zertifizierungspflicht für kritische Komponenten

d) Keine Übergangsfrist in § 109 Abs. 2 S. 4 TKG

3. Sicherheitskonzept bezieht sich auch auf neue Detailvorgaben aus der Verordnung (Abs. 4)

4. Mitteilungspflichten von beträchtlichen Sicherheitsverletzungen (Abs. 5).

5. Katalog an Sicherheitsanforderungen (Abs. 6)

a) Hintergrund: Der Gesetzgeber erlässt typischerweise keine Detailvorgaben für die IT-Sicherheit

b) Bisheriger Katalog von Sicherheitsanforderungen der BNetzA

c) Neue Regelungen für den Katalog

d) Definition der kritischen Komponenten durch den Katalog

e) Definition der TK-Netzbetreiber mit erhöhtem Gefährdungspotenzial

6. Überprüfung durch qualifizierte unabhängige oder eine zuständige nationale Behörde (Abs. 7)

a) Verpflichtung bei erhöhtem Gefährdungspotenzial (§ 109 Abs. 7 S. 2 TKG)

b) Gemeinsame Bewertung durch BNetzA und BSI (§ 109 Abs. 7 S. 4 TKG)

§ 113 Manuelles Auskunftsverfahren

I. Gesetzesbegründung

1. RegE (BT-Drs. 19/26106, 98)

2. Begründung der Änderungen durch den Ausschuss für Inneres und Heimat (BT-Drs. 19/28844, 46)

II. Kommentierung

1. Zusammenfassung

2. Hintergrund der Norm

3. Einzelerläuterungen

a) Auskunftszweck i.S.d. § 113 Abs. 3 Nr. 8 TKG

b) Weitere Voraussetzungen nach § 113 Abs. 3 Nr. 8 TKG

c) Auskunftsberechtigung für dynamische IP-Adressen nach § 113 Abs. 5 Nr. 9 TKG

Art. 3 Änderungen im Energiewirtschaftsgesetz (EnWG)

§ 11 Betrieb von Energieversorgungsnetzen

I. Gesetzesbegründung

1. RegE (BT-Drs. 19/26106, 98)

2. Begründung der Beschlussempfehlung des Innenausschusses (BT-Drs. 19/28844, 46)

II. Kommentierung

1. Inhaltliche Verpflichtung

a) Intrusion Detection and Prevention System

b) Eigenschaften und Angemessenheit des Intrusion Detection and Prevention Systems

2. Nachweis der Erfüllung der Anforderungen des Abs. 1d und Mängelbeseitigungsverlangen (Abs. 1e)

3. Datenschutzrechtliche und betriebsverfassungsrechtliche Implikationen

4. Kritik an der zögerlichen Gesetzgebung zu konkretisierenden IT-Sicherheitsvorgaben

Art. 4 Änderungen in der Außenwirtschaftsverordnung (AWV)

§ 55(a) Voraussichtliche Beeinträchtigung der öffentlichen Ordnung oder Sicherheit

I. Gesetzesbegründung (BT-Drs. 19/26106, 98)

II. Kommentierung

1. Zusammenfassung

2. Hintergrund der Norm

3. Systematik

4. Einzelerläuterungen

5. Praxisempfehlung

Art. 5 Änderungen im Zehnten Sozialgesetzbuch (SGB X)

§ 67c Zweckbindung sowie Speicherung, Veränderung und Nutzung von Sozialdaten zu anderen Zwecken

I. Gesetzesbegründung (RegE BT-Drs. 19/26106, 98)

II. Kommentierung

1. Zusammenfassung

2. Hintergrund der Norm

3. Einzelerläuterungen

Art. 6 und 7 IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0)

Artikel 6 Evaluierung

I. Gesetzesbegründung (RegE BT-Drs. 19/26106, 98f.)

II. Kommentierung

1. Kurzzusammenfassung

2. Einzelerläuterungen

3. Praktische Empfehlungen

Artikel 7 Inkrafttreten

I. Gesetzesbegründung (BT-Drs. 19/26106, 99)

II. Kommentierung

Teil 3 Synopse

BSI-Gesetz (Auszug)

Telekommunikationsgesetz (TKG)

Energiewirtschaftsgesetz (EnWG)

Außenwirtschaftsverordnung (AWV)

Sozialgesetzbuch 10 (SGB X)

Teil 4 Material zum IT-Sicherheitsgesetz 2.0

I. Referentenentwürfe des IT-Sicherheitsgesetzes 2.0

1. Erster mutmaßlich geleakter Referentenentwurf vom 27.3.2019

2. Zweiter mutmaßlich geleakter Referentenentwurf vom 7.5.2020

3. Erster offizieller Referentenentwurf für die Verbändeanhörung vom 9.12.2020

4. Zweiter offizieller Referentenentwurf für die Verbändeanhörung vom 11.12.2020

II. Parlamentarisches Verfahren (chronologisch)

1. Dokumentationsseite des Deutschen Bundestages

2. Regierungsentwurf des IT-SiG 2.0 (BT-Drs. 19/26106)

3. Öffentliche Anhörung zum IT-SiG 2.0 im Bundestags-Ausschuss für Inneres und Heimat vom 1.3.2021 – Videoaufzeichnung, Tagesordnung, Protokoll und Sammlung der Stellungnahmen –

4. Beschlussempfehlungen des Bundestags-Ausschusses für Inneres und Heimat (BT-Drs. 19/28844)

III. Weiterführendes Material

1. Relevante Verordnungsentwürfe des BMI

a) Entwurf des BMI für die Verordnung zum IT-Sicherheitskennzeichen nach § 9c BSIG

b) Zweite Verordnung zur Änderung der BSI-KritisV – Entwurf und Verbände-Stellungnahmen

2. Gesetzgebungsmaterial zum IT-SiG 1.0

3. Gesetzgebungsmaterial zum NIS-RL-Umsetzungsgesetz

4. Vorschlag der EU-Kommission für eine NIS-RL 2.0 vom 16.12.2020

Literaturverzeichnis

Stichwortverzeichnis

Abkürzungsverzeichnis

2. DSAnpUG-EU

Zweites Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/670 und zur Umsetzung der Richtlinie (EU) 2016/680

AA

Auswärtiges Amt

a.A.

anderer Ansicht

ABl.

Amtsblatt

Abs.

Absatz

a.F.

Alte Fassung

AfP

Zeitschrift für das gesamte Medienrecht

AG

Die Aktiengesellschaft (Zeitschrift)

Anm.

Anmerkung

AtG

Atomgesetz

AWV

Außenwirtschaftsverordnung

Az.

Aktenzeichen

BB

Betriebsberater (Zeitschrift)

BBK

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe

BDSG

Bundesdatenschutzgesetz

BeckOK

Beck’scher Online Kommentar

BfDI

Bundesbeauftragter für Datenschutz und Informationsfreiheit

BfV

Bundesamt für Verfassungsschutz

BGBl.

Bundesgesetzblatt

BGH

Bundesgerichtshof

BKA

Bundeskriminalamt

BKAG

BKA-Gesetz

BMI

Bundesministerium des Innern, für Bau und Heimat

BMVg

Bundesministerium der Verteidigung

BMWi

Bundesministerium für Wirtschaft und Energie

BND

Bundesnachrichtendienst

BNetzA

Bundesnetzagentur

BSI

Bundesamt für Sicherheit in der Informationstechnik

BSIG

BSI-Gesetz

BSI-KritisV

Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz

BT-Drs.

Bundestagsdrucksache

BVerfSchG

Bundesverfassungsschutzgesetz

CERT

Computer Emergency Response Team

CR

Computer und Recht (Zeitschrift)

CSA

Cyber Security Act; Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013, ABl. L 151/15

CSIRT

Computer Security Incident Response Team

DDoS

Distributed Denial of Service

Drs.

Drucksache

DSGVO

Datenschutzgrundverordnung

DuD

Datenschutz und Datensicherheit (Zeitschrift)

DVBl.

Deutsches Verwaltungsblatt (Zeitschrift)

EnWG

Energiewirtschaftsgesetz

ErwG

Erwägungsgrund

f.

folgende

ff.

fortfolgende

G10

Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (Artikel 10-Gesetz)

GeschGehG

Geschäftsgeheimnisgesetz

GG

Grundgesetz

Hs.

Halbsatz

i.d.S.

in diesem Sinne

InTeR

Zeitschrift zum Innovations- und Technikrecht

IP-Adresse

Internet-Protocol-Adresse

IPRB

IP-Rechtsberater (Zeitschrift)

i.S.d.

im Sinne des oder im Sinne der

i.S.v.

im Sinne von

IT

Informationstechnologie/informationstechnologische

IT-SiG 1.0

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015, BGBl. I, S. 1324

IT-SiG 2.0

Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 18. Mai 2021, BGBl. I, S. 1122

JuS

Juristische Schulung (Zeitschrift)

KRITIS

Kritische Infrastrukturen

K&R

Kommunikation und Recht (Zeitschrift)

lit.

Buchstabe

MADG

Gesetz über den Militärischen Abschirmdienst (MAD-Gesetz)

MIRT

Mobile Incident Response Team

MMR

Multimedia und Recht (Zeitschrift)

m.w.N.

mit weiteren Nachweisen

n.F.

Neue Fassung

NIS-RL

Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl. L 194/1

NIS-RL-Umsetzungsgesetz

Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union vom 23. Juni 2017, BGBl. I, S. 1885

NJW

Neue Juristische Wochenschrift (Zeitschrift)

N&R

Netzwirtschaften und Recht (Zeitschrift)

NVwZ

Neue Zeitschrift für Verwaltungsrecht

RDV

Recht der Datenverarbeitung (Zeitschrift)

RefE

Referentenentwurf

RegE

Regierungsentwurf

RIW

Recht der internationalen Wirtschaft (Zeitschrift)

Rn.

Randnummer

S.

Seite/Satz

s.

siehe

s.o.

siehe oben

SGB X

Zehntes Sozialgesetzbuch

StGB

Strafgesetzbuch

TK

Telekommunikation

TKG

Telekommunikationsgesetz

TMG

Telemediengesetz

UWG

Gesetz gegen den unlauteren Wettbewerb

VwVG

Verwaltungs-Vollstreckungsgesetz

VuR

Verbraucher und Recht (Zeitschrift)

z.B.

zum Beispiel

ZD

Zeitschrift für Datenschutz

ZHR

Zeitschrift für das gesamte Handels- und Wirtschaftsrecht

ZUM

Zeitschrift für Urheber- und Medienrecht

ZVertriebsR

Zeitschrift für Vertriebsrecht

ZWE

Zeitschrift für Wohnungseigentumsrecht

Teil 1 Die bisherige Entwicklung

1

Das IT-SiG 2.0 steht in einer inzwischen längeren Tradition. Wie sich schon aus der oft verwendeten Versionierung „2.0“ erkennen lässt, gab es bereits zuvor ein IT-Sicherheitsgesetz. Doch dies ist nicht der einzige Vorgänger des IT-SiG 2.0, auch das NIS-RL-Umsetzungsgesetz von 2017 gehört dazu. Nachfolgend sollen die durch diese beiden Änderungsgesetze eingeführten Regelungen nachgezeichnet werden, um ein besseres Hintergrundverständnis der Gesetzeslage zu vermitteln, auf der das IT-SiG 2.0 mit seinen Änderungen aufsetzt.

A. Das IT-Sicherheitsgesetz 1.0

2

Eigentlich war das „Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes“ von 20091 bereits das erste IT-Sicherheitsgesetz und hatte – zumindest in der Anfangsphase der Erstellung – auch den Arbeitstitel IT-Sicherheitsgesetz. Offiziell trug diesen Titel dann jedoch erst das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“ von 2015.2 Dieses erste offizielle IT-Sicherheitsgesetz (IT-SiG 1.0) geht bis auf das Jahr 2012 zurück. Der damalige Bundesinnenminister Friedrich verfolgte das Ziel, den Schutz Kritischer Infrastrukturen und der übrigen Nutzer im Bereich der IT-Sicherheit zu erhöhen.3 Da sich nicht alle Unternehmen freiwillig um die Erhöhung der IT-Sicherheit kümmerten, wurde das Ziel – wie zuvor bereits öffentlich angekündigt4 – mit gesetzgeberischen Maßnahmen weiterverfolgt.5 Der vorgelegte Referentenentwurf vom 5.3.20136 konnte zwar noch öffentlich diskutiert, aber aufgrund des nahenden Endes der Legislaturperiode nicht mehr von der Bundesregierung in den Bundestag eingebracht werden.7

3

2014 wurden die Arbeiten am IT-SiG 1.0 jedoch vom neuen Innenminister Seehofer wieder aufgenommen. Es wurden ein erster Referentenentwurf vom 18.8.20148 sowie ein zweiter Referentenentwurf vom 6.11.20149 öffentlich, die auf dem Entwurf aus dem Jahr 2013 beruhten. Bereits am 17.12.2014 verabschiedete die Bundesregierung den RegE des IT-SiG 1.010 und brachte diesen in den Bundestag ein. Dort erfuhr das Gesetz noch einige Änderungen durch den Innenausschuss,11 bevor es am 17.7.2015 verabschiedet wurde.12 Am 25.7.2015 trat das IT-SiG 1.0 in Kraft.

4

Anders als der Name zunächst vermuten ließe, regelte das IT-SiG 1.0 nicht das gesamte Recht der IT-Sicherheit, sondern änderte als Artikelgesetz nur eine Reihe bereits bestehender Gesetze.13 Dazu gehörten das BSI-Gesetz (BSIG), das Atomgesetz (AtG), das Energiewirtschaftsgesetz (EnWG), das Telemediengesetz, das Telekommunikationsgesetz (TKG), das Bundeskriminalamtgesetz (BKAG), das Bundesbesoldungsgesetz (BBesG) sowie das Gesetz zur Strukturreform des Gebührenrechts des Bundes. Die Änderungen lassen sich grob in drei Kategorien einordnen: 1. Erhöhung der IT-Sicherheit Kritischer Infrastrukturen, 2. Stärkung der IT-Sicherheit in der Bundesverwaltung und 3. Erhöhung der IT-Sicherheit für die Allgemeinheit. Anhand dieser drei Kategorien sollen die wesentlichen Regelungen des IT-SiG 1.0 nachfolgend beleuchtet werden.

I.Stärkung der IT-Sicherheit Kritischer Infrastrukturen

5

Die für die Versorgung der Bevölkerung notwendigen Infrastrukturen können sich der Digitalisierung nicht entziehen. Insbesondere durch die damit einhergehende Vernetzung der Anlagen werden sie jedoch auch gegenüber Cyberangriffen anfällig. Welchen Einfluss Cyberangriffe auf den Betrieb von industriellen Anlagen haben können, hatte die Schadsoftware Stuxnet bereits 2010 gezeigt. Mit dieser Schadsoftware wurden die Zentrifugen der Urananreicherungsanlagen im iranischen Natanz sabotiert, so dass sie ihre Funktion nicht mehr erfüllen konnten. Der Angriff erfolgte durch die Ausnutzung von Sicherheitslücken in einer Software für industrielle Steuersysteme, die auch im Bereich Kritischer Infrastrukturen genutzt wird. Der breiten Öffentlichkeit wurde das daraus folgende Potenzial für Angriffe auf Kritische Infrastrukturen durch den Roman „Black Out“ bekannt, der die Möglichkeiten für IT-Angriffe auf Infrastrukturen der Elektrizitätsversorgung anschaulich beschrieb. Vor diesem Hintergrund war eines der Hauptziele des IT-SiG 1.0, die IT der Kritischen Infrastrukturen vor den Gefahren durch Cyberangriffe besser zu schützen, um die Versorgung der Bevölkerung sicherstellen zu können.14

1.Was sind Kritische Infrastrukturen?

6

Um dieses Ziel zu erreichen, wurde erstmals eine gesetzliche Definition für „Kritische Infrastrukturen“ in § 2 Abs. 10 BSIG eingeführt. Diese orientiert sich an einer bereits länger bestehenden Definition, auf die sich die Bundesministerien bereits 2003 geeinigt hatten.15 Die gesetzliche Definition stellt dabei auf einen dreigliedrigen Begriff Kritischer Infrastrukturen ab.16

7

In einem ersten Teil des Begriffs wird festgelegt, dass es sich bei KRITIS um „Einrichtungen, Anlagen oder Teile davon“ (im Nachfolgenden der Einfachheit halber als Anlagen bezeichnet) handeln muss. KRITIS sind also nicht die Unternehmen als Rechtspersönlichkeiten, die eine Versorgungsleistung erbringen, sondern die tatsächlichen Betriebsanlagen, mit denen die Versorgungsleistungen erbracht werden.

8

Nach dem zweiten Begriffsteil müssen die Anlagen den „Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswirtschaft“ angehören.

9

Als drittes Merkmal wird benannt, dass die Anlagen aus diesen Sektoren auch „von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.“ Die nähere Bestimmung, wann das jeweils der Fall ist, wurde durch § 2 Abs. 10 S. 2 BSIG auf die BSI-KritisV verlagert, die das Bundesministerium des Innern (BMI) nach § 10 Abs. 1 BSIG erlässt. Die erste Fassung der BSI-KritisV vom 22.4.201617 legte die Regelungen für die Sektoren Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation fest.18 Mit der Änderungsverordnung vom 21.6.201719 wurden die Regelungen für die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr ergänzt. In der BSI-KritisV werden für jeden Sektor bestimmte kritische Dienstleistungen festgelegt und diesen Anlagen(-typen) und konkrete anlagenbezogene Schwellenwerte zugeordnet (z.B. 420 MW installierte Netto-Nennleistung bei Energieerzeugungsanlagen im Sektor Energie gem. Anhang 1 BSI-KritisV – Stand 2016). Überschreitet eine aufgeführte Anlage diesen Schwellenwert, ist sie KRITIS. Bei der Bestimmung der Schwellenwerte wurde darauf abgestellt, welche „Mengen“ jeweils notwendig sind, um ca. 500.00020 Menschen zu versorgen.21 An diesem rein quantitativen Ansatz wird durchaus Kritik geübt und eine Vereinbarkeit mit den Vorgaben der NIS-RL bezweifelt. Denn nach deren Art. 4 Nr. 4 i.V.m. Art. 5 Abs 2 i.V.m. Annex II sollen für die Bestimmung der „Betreiber wesentlicher Dienste“ (= KRITIS) sowohl qualitative als auch quantitative Kriterien herangezogen werden.22 Nach Ansicht der Kritiker müssten auch mögliche Domino-Effekte als qualitative Kriterien herangezogen werden, die sich daraus ergeben, dass bestimmte KRITIS von den Vorleistungen anderer Anlagen abhängig sind, die möglicherweise die genannten fixen Schwellenwerte nicht erreichen. Ein Ausfall dieser unterschwelligen Anlagen hätte dann trotzdem den Ausfall der von ihr abhängigen KRITIS zur Folge. Dieser Gedanke ist nicht ohne weiteres von der Hand zu weisen. Allerdings verkennt er im Bereich der Stromversorgung auch, dass der Strom i.d.R. nicht unmittelbar von einer Energieerzeugungsanlage zur versorgten KRITIS fließt, deren Stromversorgung also unmittelbar von dieser (kleinen) Anlage abhängt. Vielmehr wird der Strom ins Netz eingespeist und dann an alle möglichen Verbraucher weiterverteilt. Fällt eine Energieerzeugungsanlage aus, so wird dies schon zur Stabilisierung des Netzes dadurch ausgeglichen, dass andere Anlagen mehr Strom einspeisen. Aus gesamtgesellschaftlicher Sicht macht es daher auch unter qualitativen Gesichtspunkten durchaus Sinn, nur die Energieerzeugungsanlagen als KRITIS zu definieren, die eine gewisse Größe haben und deren Ausfall sich nicht völlig einfach kompensieren lässt.

2.Staatliche Maßnahmen zum Schutz Kritischer Infrastrukturen

10

Zum Schutz der KRITIS hat der Gesetzgeber mit dem IT-SiG eine Reihe von Maßnahmen vorgesehen. So kann das BSI die Betreiber von solchen KRITIS nach § 3 Abs. 3 BSIG auf deren Ersuchen hin bei der Absicherung ihrer IT beraten und unterstützen oder auf qualifizierte Sicherheitsdienstleister verweisen. Eine entsprechende Liste qualifizierter Dienstleister veröffentlicht das BSI auf seiner Webseite.23 Zudem hat der Gesetzgeber dem BSI in § 8b Abs. 1 BSIG die Aufgabe als zentrale Meldestelle für Betreiber Kritischer Infrastrukturen zugewiesen. Als solche hat das BSI die Aufgabe, sämtliche für die IT-Sicherheit Kritischer Infrastrukturen relevanten Informationen nach § 8b Abs. 2 BSIG zu sammeln und diese den Betreibern und den zuständigen Aufsichtsbehörden zur Verfügung zu stellen. Das BSI kann gem. § 8 Abs. 6 BSIG auch die Hersteller von informationstechnischen Produkten und Systemen zur Mitwirkung an der Beseitigung oder Vermeidung von Störungen bei der Informationstechnik von KRITIS verpflichten. Voraussetzung ist, dass dies erforderlich ist, also kein milderes, gleich wirksames Mittel zur Verfügung steht. Dies wird regelmäßig dann der Fall sein, wenn die Störung ihre Ursache im jeweiligen IT-Produkt hat oder haben kann – etwa bei Programmierfehlern. Diese werden in der Regel nur durch den Hersteller des jeweiligen Produktes beseitigt werden können, da nur der Hersteller das Produkt in Gänze kennt und etwa wichtige Sicherheitsupdates für alle Nutzer schnell entwickeln kann.24

3.Verpflichtungen für Betreiber Kritischer Infrastrukturen

11

Doch der Schutz von KRITIS erfolgt nicht nur über staatliche Maßnahmen. Vielmehr werden auch den KRITIS-Betreibern verschiedene Absicherungs-, Nachweis- und Meldepflichten auferlegt. Wie der mit dem IT-SiG 1.0 eingeführte § 8c BSIG klarstellt, fungieren die §§ 8a und 8b BSIG als Auffangregelungen für alle KRITIS-Betreiber, für die nicht bereits entsprechende Verpflichtungen nach anderen gesetzlichen Regelungen bestehen.25Für den Bereich der Telekommunikation, der Energieversorgung und des Atomgesetzes führte das IT-SiG 1.0 entsprechende Verpflichtungen neu ein. Sie waren durch den § 8c BSIG von den entsprechenden Verpflichtungen der §§ 8a und 8b BSIG befreit. Ebenfalls von den Pflichten der §§ 8a und 8b BSIG ausgenommen wurden Kleinstunternehmen, also Unternehmen, die weniger als 10 Personen beschäftigen und deren Jahresumsatz bzw. -bilanz den Betrag von 2 Mio. Euro nicht überschreitet.

a)Absicherungs- und Nachweispflichten des § 8a BSIG

12

Mit § 8a Abs. 1 wurden die Betreiber Kritischer Infrastrukturen erstmals verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme zu treffen, die sie zur Erbringung ihrer kritischen Versorgungsdienstleistungen benötigen. Dabei soll der Stand der Technik eingehalten werden. Da die Regelung als Soll-Vorschrift ausgestaltet ist, dürfen die Betreiber jedoch in begründeten Fällen davon abweichen.26 Es sind die zielführenden Maßnahmen erforderlich, deren Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der Kritischen Infrastruktur steht. Aufgrund der besonderen Bedeutung der Versorgungssicherheit werden daher finanzielle Erwägungen („zu teuer“) allein in aller Regel keine Abstriche bei der Absicherung begründen können.27 Vielmehr muss sichergestellt sein, dass die Versorgung trotz Verzicht auf bestimmte Maßnahmen gesichert ist (z.B. durch Entnetzung o.ä.).

13

Da der Stand der Technik im Bereich der IT-Sicherheit schwer zu bestimmen sein kann,28 sieht § 8a Abs. 2 vor, dass die Betreiber und ihre Branchenverbände branchenspezifische Sicherheitsstandards (B3S) vorschlagen können. Unter Einbeziehung des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe sowie der zuständigen Aufsichtsbehörden entscheidet das BSI auf Antrag, ob die B3S geeignet sind, die Einhaltung der Absicherungsanforderungen aus Abs. 1 zu gewährleisten.29

14

Zudem hatten die Betreiber die Erfüllung der Sicherheitsanforderungen gem. § 8a Abs. 3 BSIG mindestens alle zwei Jahre auf geeignete Weise nachzuweisen. Hierfür sieht das Gesetz Sicherheitsaudits, Prüfungen und Zertifizierungen vor, ohne jedoch näher auszugestalten, wie diese auszusehen haben. Dem BSI war im § 8a Abs. 4 BSIG die Befugnis eingeräumt worden, Anforderungen an das Nachweisverfahren, die Anforderungen an die prüfende Stelle und die auszustellenden Nachweise festzulegen. Davon hat das BSI jedoch keinen Gebrauch gemacht. Dadurch sollte den Unternehmen die Freiheit gelassen werden, auf bereits existierende Nachweissysteme aufzusetzen, sofern diese geeignet sind.30 In der Fassung nach dem IT-SiG 1.0 sah die Regelung vor, dass die Betreiber dem BSI nur eine Aufstellung (!) der durchgeführten Audits, Prüfungen und Zertifizierungen nebst dabei aufgedeckter Sicherheitsmängel übermitteln müssen. Eine eigeninitiative Übermittlung der entsprechenden Nachweisunterlagen oder -ergebnisse selbst war nicht vorgesehen. Nur sofern dem BSI Sicherheitsmängel bekannt werden, durfte es diese anfordern. Beim Vorliegen von Sicherheitsmängeln sollte das BSI im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Einvernehmen mit sonstigen Aufsichtsbehörden die Beseitigung der Sicherheitsmängel verlangen dürfen. Bei Nichtbeseitigung dieser Mängel konnte das BSI das höchste im BSIG vorgesehene Bußgeld i.H.v 100.000 Euro verhängen. Eine eigene Untersuchungs- und Kontrollbefugnis des BSI zur Feststellung von Sicherheitsmängeln war jedoch nicht vorgesehen.

b)Meldepflichten des § 8b BSIG

15

Die KRITIS-Betreiber wurden durch § 8b Abs. 3 BSIG erstmals verpflichtet, dem BSI binnen 6 Monaten nach Inkrafttreten der BSI-KritisV eine Kontaktstelle zu benennen, über die sie jederzeit Meldungen des BSI entgegennehmen können. Faktisch mussten sie also 24h pro Tag und 7 Tage die Woche eine Erreichbarkeit sicherstellen.31 Dahinter steht die Idee, dass das BSI die Betreiber über diese Kontaktstelle jederzeit und schnell über Gefahren für die IT-Sicherheit der KRITIS-relevanten IT und entsprechende Schutzmöglichkeiten informieren kann.32 Um den Aufwand der Informationsbewertung gerade für kleine Betreiber zu reduzieren, erlaubte § 8b Abs. 5 BSIG den Betreibern, zusätzlich eine gemeinsame übergeordnete Ansprechstelle aus dem gleichen KRITIS-Sektor zu benennen, die dann als Kommunikationskanal genutzt werden kann.

16

Nicht zuletzt, um die o.g. Warnungen an die Betreiber auf eine breite Informationsbasis zu stellen, verpflichtete der neue § 8b Abs. 4 BSIG die KRITIS-Betreiber dazu, das BSI über erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT zu informieren.33 Diese Verpflichtung bezieht sich jedoch nur auf solche Störungen, die entweder zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der KRITIS führen können oder geführt haben. Wenn ein Einfluss der Störung auf die Erbringung der kritischen Dienstleistung ausgeschlossen ist, besteht keine Meldepflicht.34 Die Betreiber trifft insoweit eine Pflicht, die möglichen Folgen einer Störung zu analysieren und eine entsprechende Prognoseentscheidung zu treffen.35

17

Wann eine Störung erheblich i.S.d. § 8b Abs. 4 S. 1 BSIG war, hat das Gesetz nicht im Detail geregelt.36 Die Gesetzesbegründung umschrieb jedoch Kriterien, an denen sich die Betreiber orientieren können. So sollen Störungen erheblich sein, wenn sich nicht automatisiert und mit wenig Aufwand abgewehrt werden können. Insbesondere neuartige Angriffstechniken und ein erhöhter Ressourcenaufwand für die Bewältigung der Störungen können daher ein Indikator für erhebliche Störungen sein.37

18

§ 8b Abs. 4 S. 2 BSIG machte auch konkrete Vorgaben zum Inhalt der Meldung. Diese sollte nicht nur Angaben zur Störung selbst enthalten, sondern auch zu den technischen Rahmenbedingungen, (vermuteten) Störungsursachen und der betroffenen Informationstechnik. Diese Angaben sollen dem BSI ein präzises Bild der Störung vermitteln, damit es sowohl den betroffenen Betreibern schneller helfen als auch anderen Betreibern zielgerichtet Informationen zur deren möglicher Gefährdung erstellen kann. Dafür ist es hilfreich zu wissen, welche Störungsursachen Betreiber vermuten oder gar sicher kennen. Die Angaben zur betroffenen IT lassen Schlüsse darüber zu, ob ggf. bisher unbekannte Schwachstellen bestimmter IT-Systeme ausgenutzt werden, und ermöglichen erst die zielgerichtete Warnung anderer Betreiber und die Erarbeitung spezifischer Abwehrmaßnahmen. Die Meldung muss nicht den Namen des meldenden Betreibers beinhalten, soweit die Störung noch nicht zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der KRITIS geführt hat. Damit wurde den Interessen der Betreiber Rechnung getragen, für die das Bekanntwerden von Störungen auch wirtschaftliche Auswirkungen haben kann.38 Die Betreiber können die Meldung daher in diesen Fällen pseudonymisiert abgeben.39 Durch die Abgabe einer pseudonymisierten, aber eben nicht anonymen Meldung wird sowohl den Betreiberinteressen Rechnung getragen als auch der Notwendigkeit, dass das BSI u.U. Rückfragen zum Vorgang stellen können muss.40

19

Die Meldung an das BSI ist unverzüglich abzugeben, also ohne schuldhaftes Zögern. Ein solches schuldhaftes Zögern wird i.d.R. dann nicht vorliegen, solange die Meldepflichtigen selbst noch rudimentäre Informationen zur Beeinträchtigung zusammentragen. Im Hinblick auf die Funktion der Vorfallsmeldung im Frühwarnsystem des § 8b BSIG wird man einen Vorrang der Schnelligkeit vor der Vollständigkeit annehmen können.41 Da sich die Informationslage bei Vorfällen dynamisch gestaltet, müssen Betreiber also bei ausreichender Erkenntnislage sofort melden und später hinzutretende neue Informationen ggf. sukzessiv nachmelden. Nur so ist eine zeitnahe Warnung anderer Betroffener über laufende Angriffswellen und -kampagnen gewährleistet.

c)Bußgeldbefugnis – § 14 BSIG

20

Um die KRITIS-Betreiber zur Einhaltung ihrer neuen Verpflichtungen aus den §§ 8a und 8b BSIG anhalten zu können, wurden dem BSIG mit dem IT-SiG 1.0 erstmals Bußgeldregelungen hinzugefügt. Es wurde jedoch noch nicht jede Pflichtverletzung sanktioniert, sondern nur eine Auswahl. Dazu gehörten die Verletzung der Absicherungspflicht aus § 8a Abs. 1 S. 1 BSIG, die Nichtbefolgung einer vollziehbaren Anordnung zur Übermittlung der Audit-/Prüfergebnisse nach § 8a Abs. 3 S. 4 Nr. 1 oder zur Beseitigung von Sicherheitsmängeln nach § 8a Abs. 3 S. 4 Nr. 2 BSIG, die nicht oder zu spät erfolgte Benennung einer Kontaktstelle nach § 8b Abs. 3 BSIG sowie die nicht, nicht richtig, nicht vollständig oder nicht rechtzeitige Abgabe der Meldung über eine erhebliche IT-Störung, die zum Ausfall oder der Beeinträchtigung von KRITIS geführt hat nach § 8b Abs. 4 S. 1 Nr. 2 BSIG. Nicht erfasst waren z.B. die Verletzung der übrigen Meldepflicht nach § 8b Abs. 4 S. 1 Nr. 2 BSIG oder die Verletzung der Nachweispflicht aus § 8a Abs. 3 S. 1 BSIG.

d)Absicherungspflichten des § 109 TKG

21

Im Telekommunikationsgesetz gab es im § 109 TKG bereits vor dem IT-SiG 1.0 Pflichten für die Telekommunikationsdiensteanbieter zur Absicherung ihrer Informationstechnik. Um einen gewissen Gleichlauf mit den Regelungen des § 8a BSIG zu erreichen, wurde durch das IT-SiG 1.0 in § 109 Abs. 2 S. 2 TKG die Maßgabe ergänzt, dass bei der Umsetzung dieser Absicherungsmaßnahmen der Stand der Technik berücksichtigt werden muss.42 Eine entsprechende Formulierung war auch im Rahmen des § 8a Abs. 1 S. 2 BSIG noch im RegE des IT-SiG 1.0 vorgesehen.43 Der Gesetzgeber hat diese Formulierung in § 8a Abs. 1 S. 2 auf die Beschlussempfehlung des Innenausschusses hin jedoch verschärft („Dabei soll der Stand der Technik eingehalten werden“).44 In § 109 Abs. 1 S. 2 TKG blieb die bloße Pflicht zur Berücksichtigung jedoch erhalten. Daher genügt es, wenn die TK-Diensteanbieter sich bei ihren Planungen mit dem Stand der Technik beschäftigen. Abweichungen vom Stand der Technik müssen – anders als bei § 8a BSIG – nicht besonders begründet werden. Allerdings müssen die ergriffenen Maßnahmen geeignet sein, die Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu sichern, die Auswirkungen von Sicherheitsverletzungen für die Nutzer und andere Netze gering zu halten sowie den ordnungsgemäßen Netzbetrieb sicherzustellen. Dies wird bei Maßnahmen, die nicht dem Stand der Technik entsprechen, regelmäßig schwerfallen.

22

Die von § 8a Abs. 1 S. 2 BSIG abweichende Regelung in § 109 Abs. 2 S. 2 TKG ist auch insoweit unproblematisch, als die von den TK-Diensteanbietern zu ergreifenden Maßnahmen in einem Katalog von Sicherheitsanforderungen durch die BNetzA nach § 109 Abs. 6 TKG konkretisiert werden können. Vor dem IT-SiG 1.0 tat sie dies im Benehmen mit dem BSI und dem oder der BfDI. Durch das IT-SiG 1.0 wurde aus dem Benehmenserfordernis ein Einvernehmenserfordernis. Dadurch sollte der gesteigerten Bedeutung von IT-Sicherheitsbelangen Rechnung getragen werden,45 die aus der zunehmenden Umstellung klassischer leitungsvermittelter Kommunikation zu paketvermittelter Kommunikation resultiert. IT-Sicherheits- und Datenschutzbedenken sollten bei der Erstellung des Kataloges nicht einfach durch die BNetzA übergangen werden können.

23

Um die ordnungsgemäße Absicherung kontrollieren zu können, wurde mit dem IT-SiG 1.0 erstmals die Pflicht der BNetzA eingeführt, die Umsetzung der Sicherheitskonzepte regelmäßig zu überprüfen. Zuvor war dies für die BNetzA als „Kann“-Aufgabe ausgestaltet. Diese Überprüfungen „soll“ die BNetzA mindestens alle 2 Jahre durchführen. Da der Zeitraum als „Soll“-Vorschrift ausgestaltet ist, kann die BNetzA mit Begründung (z.B. Ressourcenmangel) davon abweichen.

24

Nach dem durch das IT-SiG 1.0 eingeführten § 109 Abs. 8 TKG sollte die BNetzA das BSI darüber informieren, wenn sie Mängel bei der IT-Absicherung entdeckt und welche Abhilfemaßnahmen sie daraufhin vom TK-Anbieter gefordert hat.

e)Meldepflichten des § 109 TKG

25

Auch die schon zuvor bestehenden Meldepflichten für TK-Diensteanbieter in § 109 Abs. 5 TKG wurden an die Systematik des § 8b Abs. 4 BSIG angenähert. Während vorher nur Sicherheitsverletzungen an die BNetzA zu melden waren, die beträchtliche Auswirkungen auf den Betrieb der TK-Netze oder die Erbringung der TK-Dienste hatten, wurde die Meldeschwelle durch das IT-SiG 1.0 niedriger angesetzt. Fortan sollten nach § 109 Abs. 5 S. 1 unverzüglich Beeinträchtigungen sowohl von TK-Netzen als auch – was ebenfalls neu war – von TK-Diensten mitgeteilt werden, die entweder zu beträchtlichen Sicherheitsverletzungen führen (§ 109 Abs. 5 S. 1 Nr. 1 TKG) oder auch nur führen können (§ 109 Abs. 5 S. 1 Nr. 2 TKG). Explizit führt § 109 Abs. 5 S. 2 TKG aus, dass dazu Störungen gehören, die zur Einschränkung der Verfügbarkeit der über die Netze erbrachten Dienste oder zu unerlaubten Zugriffen auf Nutzer-Systeme führen können. Faktisch wird man es jedoch so zusammenfassen können, dass alle vom Anbieter nicht gewollten Auswirkungen auf IT-Systeme oder IT-Prozessabläufe dazu gehören – etwa DDoS-Angriffe, Kompromittierungen von Servern für den Betrieb von Botnetzen oder ähnliches.46

26

In der Fassung des IT-SiG 1.0 war die Meldung ausschließlich an die BNetzA zu richten, die sie bei Betroffenheit von Informationstechnik an das BSI weiterleiten sollte. Angesichts der schon damals laufenden und weitgehenden Umstellung auf IP-basierte Netze dürfte auch damals fast jeder Kommunikationsvorgang einen Bezug zur Informationstechnik gehabt haben.

27

In Bezug auf Verstöße gegen die Meldepflicht nach § 109 Abs. 5 S. 1 Nr. 1 TKG wurde die Bußgeldregelung in § 149 Nr. 21a TKG entsprechend angepasst. Wie im § 14 BSIG bezieht sich die Bußgeldbewehrung nur auf solche Störungen, die zu beträchtlichen Sicherheitsverletzungen geführt haben, nicht aber auf die, bei denen dies nur drohte. Der Bußgeldtatbestand des § 149 Nr. 21a TKG erfasste – wie sein Spiegelbild im BSIG – sowohl die komplett unterlassene Meldung als auch die nicht richtige, nicht vollständige oder nicht rechtzeitige Meldung.

f)Absicherungspflichten des § 11 EnWG

28

Regelungen für die Absicherung kritischer Versorgungsinfrastrukturen wurden neben dem BSIG und dem TKG auch im Energiewirtschaftsgesetz (EnWG) ergänzt. Ohne eine sichere Energieversorgung können auch andere KRITIS ihre Funktionsfähigkeit i.d.R. nicht aufrechterhalten, so dass dem Energiesektor eine besondere Bedeutung zukommt.

29

Vor dem IT-SiG 1.0 forderte § 11 Abs. 1a EnWG von den Betreibern von Energieversorgungsnetzen nur einen angemessenen Schutz gegen Bedrohungen der Systeme, die für die Netzsteuerung zuständig waren. Mit dem IT-SiG 1.0 wurde die Absicherungspflicht in § 11 Abs. 1a S. 1 auf alle Telekommunikations- und Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind, erweitert.47 Welche Sicherheitsanforderungen sich aus dieser Pflicht ergeben, wird in einem Katalog von Sicherheitsanforderungen durch die BNetzA im Benehmen mit dem BSI festgelegt. Die dahingehenden Regelungen in § 11 Abs. 1a S. 2 EnWG gab es bereits vor dem IT-SiG 1.0. Jedoch wurde mit dem IT-SiG 1.0 ein neuer § 11 Abs. 1a S. 3 EnWG ergänzt, der klarstellt, dass der Sicherheitskatalog nicht nur Sicherheitsanforderungen festlegen kann, sondern auch Regelungen zur Überprüfung dieser Sicherheitsanforderungen enthält. Die Einhaltung der Anforderungen aus dem Katalog mussten die Betreiber auch zuvor schon dokumentieren. Das IT-SiG 1.0 brachte insofern jedoch eine Neuerung, als der neue § 11 Abs. 1a S. 6 EnWg der BNetzA das Recht einräumte, nähere Bestimmungen zu Format, Inhalt und Ausgestaltung dieser Dokumentation zu treffen. Bei Einhaltung der Anforderungen aus dem Katalog wird auch nicht mehr bloß gesetzlich vermutet, dass ein angemessener Schutz des Energieversorgungsnetzes gewährleistet ist, sondern dieser „liegt vor“.48 Anders als bei der bloßen gesetzlichen Vermutung dürfte für diese gesetzliche Fiktion eine Widerlegung nicht möglich sein.

30

Neben den bloß ergänzten Absicherungspflichten für Netzbetreiber führte das IT-SiG 1.0 mit § 11 Abs. 1b EnWG völlig neue Pflichten für die Betreiber von Energieanlagen ein, die KRITIS im Sinne der BSI-KritisV sind. Diese sollten binnen 2 Jahren nach Inkrafttreten der BSI-KritisV angemessene Maßnahmen für die IT treffen, die für einen sicheren Betrieb ihrer Anlagen notwendig ist. Welche Sicherheitsanforderungen im Detail zu erfüllen sind, sollte gem. § 11 Abs. 1b S. 2 EnWG auch hier erstmals in einem IT-Sicherheitskatalog durch die BNetzA im Benehmen mit dem BSI festgelegt werden. Um die Besonderheiten bei der Absicherung von Atomkraftwerken zu berücksichtigen, sollten zum einen die für die nukleare Sicherheit zuständigen Behörden bei der Erstellung des Sicherheitskatalogs beteiligt werden (S. 4) und zum anderen die Vorgaben zur nuklearen Sicherheit Vorrang vor den Sicherheitsanforderungen des § 11 Abs. 1b EnWG haben (S. 3)

31

§ 11 Abs. 1b EnWG war dem § 11 Abs. 1a EnWG ein Stück weit nachgebildet, um die dem EnWG zugrundeliegende Systematik beizubehalten. Daher sah dessen S. 6 (wie schon § 11 Abs. 1a S. 4 EnWG) auch eine gesetzliche Vermutung der Erfüllung der Absicherungspflicht vor, sofern die Anforderungen des Sicherheitskataloges umgesetzt waren und dies durch den Betreiber dokumentiert wurde. Auch hier wurde in § 11 Abs. 1b S. 5 EnWG die Möglichkeit vorgesehen, dass der Sicherheitskatalog neben materiellen Sicherheitsanforderungen Regelungen zu deren regelmäßiger Überprüfung treffen darf. Auch die Befugnis der BNetzA, Festlegungen in Bezug auf die Dokumentation zu treffen, findet sich im § 11 Abs. 1b S. 8 EnWG wieder. § 11 Abs. 1b S. 7 EnWG erlaubt der BNetzA auch die Überprüfung der Einhaltung des Sicherheitskatalogs und der dafür erstellten Dokumentation.

g)Meldepflichten des § 11 EnWG

32

Während die Absicherungspflichten für Netzbetreiber einerseits und für die Betreiber von Energieanlagen andererseits in verschiedenen Absätzen des § 11 EnWG geregelt sind, wurde die Meldepflicht für beide Adressatengruppen durch das IT-SiG 1.0 einheitlich im damals neuen § 11 Abs. 1c EnWG zusammengefasst. Dabei ging der Gesetzgeber noch anders vor als heute. Die Meldepflicht galt damals für „Betreiber von Energieversorgungsnetzen und Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Abs. 1 des BSI-Gesetzes als Kritische Infrastruktur bestimmt wurden, [...]“. Während die Absicherungspflicht des Abs. 1a also für alle Versorgungsnetzbetreiber galt, griff die Meldepflicht nur für Versorgungsnetzbetreiber, soweit sie KRITIS i.S.d. BSI-KritisV betrieben.49 Das hatte insofern eine gewisse Konsequenz, als die Regelungen im EnWG eine spezialgesetzliche Abbildung der KRITIS-Regelungen, z.B. aus § 8b BSIG, darstellen sollten, wie schon der Blick auf die Regelung zum Anwendungsbereich der KRITIS-Regelungen im damaligen § 8c Abs. 3 Nr. 2 BSIG zeigt.

33

Die Meldepflicht wird nach § 11 Abs. 1c S. 1 EnWG dann ausgelöst, wenn die Betreiber erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT feststellen, sofern diese zu einem Ausfall oder einer Beeinträchtigung des Energieversorgungsnetzes oder einer Energieanlage führen können oder schon geführt haben. Auch hier wurde also das System des § 8b Abs. 4 BSIG nachgebildet, um ein einheitliches Meldesystem für KRITIS auch in den spezialgesetzlich geregelten Bereichen sicherzustellen. Wie § 8b Abs. 4 S. 2 BSIG (s.o.) machte auch § 11 Abs. 1c S. 2 EnWG Vorgaben zum Inhalt der Meldung. Diese sollte nicht nur Angaben zur Störung selbst enthalten, sondern auch zu den technischen Rahmenbedingungen, (vermuteten) Störungsursachen und der betroffenen Informationstechnik. Wie bei der entsprechenden Regelung im § 8b BSIG sah auch der neue § 11 Abs. 1c S. 3 EnWG die Möglichkeit der pseudonymen Meldung vor, sofern die Störung nicht zum Ausfall oder einer Beeinträchtigung der KRITIS geführt hat.

34

Die Meldung müssen die Betreiber gem. Abs. 1c S. 1 unverzüglich – d.h. ohne schuldhaftes Zögern – an das BSI richten, welches sie nach S. 4 darauf selbst unverzüglich an die BNetzA weiterzuleiten hat. Diese Weiterleitung kompletter Meldungen ist insofern eine Besonderheit, als das BSI im Rahmen seiner allgemeinen Aufgabe als zentrale Meldestelle nach § 8b Abs. 2 Nr. 4 BSIG lediglich bestimmte Informationen an die Zuständigen (Aufsichtsbehörden) weiterzugeben hat, aber nicht die eingegangenen Meldungen selbst.

h)Meldepflichten nach § 44b AtG

35

Mit dem IT-SiG 1.0 wurden in § 44b AtG Meldepflichten für Betreiber genehmigungspflichtiger Atomanlagen eingeführt. Entsprechende allg. Absicherungspflichten für solche Atomanlagen gab es z.B. im Rahmen von § 6 Abs. 2 Nr. 2 AtG, § 7 Abs. 2 Nr. 3 AtG, 7c AtG und § 9 Abs. 2 Nr. 3 AtG sowie durch Vorgaben, die aufgrund des § 12 AtG erlassen wurden, bereits vor dem IT-SiG 1.0.50 Lediglich eine spezifische Meldepflicht für IT-Vorfälle fehlte.

36

Anders als den Meldepflichten aus TKG, EnWG oder BSIG kommt es bei der aus § 44b AtG nicht darauf an, ob die Aufrechterhaltung der Versorgung durch eine Beeinträchtigung der IT-Systeme bedroht oder bereits gestört ist.51 Statt der Versorgungssicherheit dient § 44b AtG der nuklearen Sicherheit. Daher sind solche Beeinträchtigungen von IT-Systemen an das BSI zu melden, die zu einer Gefährdung oder Störung der nuklearen Sicherheit der betroffenen Anlagen führen können oder bereits geführt haben. Die Meldung ist unverzüglich abzugeben, also ohne schuldhaftes Zögern (s. oben zu § 8b BSIG).

37

§ 44b AtG erklärt § 8b Abs. 1, 2 und § 7 BSIG für anwendbar, so dass das BSI auch für diesen Bereich als zentrale Meldestelle i.S.d. BSIG tätig wird und dafür auch personenbezogene Daten verarbeiten darf.

II.Stärkung der IT-Sicherheit der Bundesverwaltung

38

Ziel des IT-SiG 1.0 war auch die Verbesserung der IT-Sicherheit der Bundesverwaltung. Dies wurde auf verschiedenen Wegen verfolgt. Zum einen wurde die Position des BSI als Kompetenzträger innerhalb der Bundesverwaltung verbessert. So wurden die Bundesbehörden durch Änderung des § 5 Abs. 1 S. 4 BSIG verpflichtet, das BSI bei seinen Tätigkeiten zur Detektion und Abwehr von Angriffen an den Schnittstellen des Bundes und bei der Analyse der Protokolldaten zu unterstützen, u.a. indem sie dem BSI den Zugang zu den behördeninternen Protokolldaten und den Schnittstellendaten sicherstellen. Um die Unabhängigkeit der Justiz zu wahren, gilt für die Protokolldaten der Bundesgerichte jedoch eine Einschränkung. Diese dürfen nur mit dem Einverständnis der Gerichte erhoben werden.

39

Eine weitere strukturelle Stärkung der Position des BSI bei der Förderung der IT-Sicherheit in der Bundesverwaltung erfolgte im § 8 BSIG, der die Erarbeitung von IT-Sicherheits-Mindeststandards für die Bundesverwaltung regelt. Das BSI durfte diese Mindeststandards schon länger erarbeiten. Sie entfalteten auch insofern Wirkung, als die Bundesbehörden bei Nichtbeachtung der Mindeststandards die Argumentationslast traf, warum sie glaubten, trotzdem alles Nötige für die IT-Sicherheit getan zu haben. Eine echte formelle Verbindlichkeit konnten diese BSI-Mindeststandards jedoch erst erlangen, wenn das BMI sie per allgemeiner Verwaltungsvorschrift erlassen hat. Dafür musste das BMI jedoch bis zum IT-SiG 1.0 das Einvernehmen mit dem IT-Rat herstellen. Es mussten also faktisch alle Ressorts zustimmen, damit die Mindeststandards für die Bundesverwaltung als verbindlich erklärt werden konnten. Wenig überraschend war das kein sehr effizientes Vorgehen, da die Ressorts sich mit der Zustimmung eigene Lasten zur Absicherung der IT aufbürdeten. Sie hatten also nicht unbedingt ein Interesse daran, dass die Mindeststandards vom BMI für verbindlich erklärt wurden. Dieses Verfahren stand also der Schaffung verbindlicher IT-Sicherheitsvorgaben für die Bundesverwaltung entgegen und führte dazu, dass bis zum IT-SiG 1.0 lediglich ein (!) Mindeststandard für verbindlich erklärt wurde.52 Um dieses Problem zu beseitigen, wurde aus dem Einvernehmenserfordernis durch das IT-SiG 1.0 ein Benehmenserfordernis. Für den Erlass der BSI-Mindeststandards musste das BMI also fortan nur noch das Benehmen mit dem IT-Rat herstellen, also den anderen Ressorts die Gelegenheit geben, zum Erlass der jeweiligen BSI-Mindeststandards als allgemeine Verwaltungsvorschrift Stellung zu nehmen. Im Rahmen des Benehmens ist freilich auch eine ernsthafte Auseinandersetzung mit den vorgebrachten Einwänden und Anmerkungen geboten, aber eine Blockade durch den IT-Rat eben nicht ohne weiteres möglich.

40

Die IT-Sicherheit der Bundesverwaltung wurde mit Art. 7 des IT-SiG 1.0 auch dadurch gestärkt, dass dem BKA im § 4 BKAG die Zuständigkeit für die Strafverfolgung der klassischen IT-Delikte eingeräumt wurde, falls die Taten sich gegen Behörden oder Einrichtungen des Bundes richten. Zu diesen Delikten gehören das Ausspähen von Daten (§ 202a StGB), das Abfangen von Daten (§ 202b StGB), die Vorbereitung des Ausspähens und Abfangens von Daten (§ 202c StGB), der Computerbetrug (§ 263a StGB), die Datenveränderung (§ 303a StGB) und die Computersabotage (§ 303b StGB). Durch die zentrale Zuständigkeit des BKA in diesen Fällen wird die Strafverfolgung der Taten beschleunigt und dadurch die Chance erhöht, dass den Tätern langfristig das Handwerk gelegt wird und künftige Angriffe auf die Bundesverwaltung – zumindest von denselben Tätern – unterbleiben.

III.Stärkung der IT-Sicherheit für die Allgemeinheit

41

Neben dem Schutz der Bundesverwaltung und von KRITIS sollte das IT-SiG 1.0 auch die IT-Sicherheit für die Allgemeinheit stärken.

1.Verpflichtung der Telemediendiensteanbieter zur Absicherung der IT – § 13 Abs. 7 TMG

42

Ein Weg, um dies zu erreichen, war die Einführung einer Absicherungspflicht für Anbieter von Telemediendiensten in § 13 Abs. 7 TMG. Da Schadsoftware oftmals über Telemediendienste verbreitet wurde – z.B. über infizierte Webserver, die Schadsoftware an die Webseitenbesucher verteilten –, wurden Anbieter, die ihre Telemedien geschäftsmäßig anbieten, zu Schutzmaßnahmen verpflichtet. Ein geschäftsmäßiges Anbieten i.S.d. § 13 Abs. 7 TMG liegt schon dann vor, wenn das Angebot planmäßig und dauerhaft erfolgt.53 Die Gesetzesbegründung sieht vor, dass entgeltliche Tätigkeiten erfasst, nicht-kommerzielle Angebote durch Private und Idealvereine aber ausgeschlossen sein sollen.54 Sobald man jedoch irgendwie Geld mit dem Angebot verdient, dürfte bereits ein, wenn auch begrenztes, kommerzielles Interesse anzunehmen sein – und sei es auch nur über Werbeeinblendungen, die helfen sollen, die Kosten für den Betrieb des Dienstes zu kompensieren. Ob die Einnahmen höher als die Ausgaben für den Betrieb des Telemediendienstes sind, ob also ein Gewinn erzielt wird, ist insoweit unerheblich.55

43

Als Telemediendienste im Sinne des § 13 Abs. 7 TMG gelten alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht dem TKG unterfallen. Damit werden praktisch alle Webseiten, Werbe-Mails, Chat-Räume, aber auch soziale Netzwerke erfasst.56

44

Die Absicherungspflicht richtet sich an die Diensteanbieter. Dabei handelt es sich gem. dem damaligen § 2 Abs. 1 Nr. 1 TMG um „jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt“. So werden z.B. sowohl die Betreiber einer Webseite erfasst als auch deren Webhoster. Allerdings verpflichtet § 13 Abs. 7 S. 1 TMG die am Angebot eines Telemediums Beteiligten nur im Rahmen ihrer jeweiligen Verantwortlichkeit. Daher kommt es bei der Bestimmung des Umfangs der Pflichten der Beteiligten entscheidend auf die (vertragliche) Zuständigkeitsverteilung an. Die Absicherungspflicht soll die Beteiligten verpflichten, die für diese Aufgaben auch intern verantwortlich sind. Bei z.B. einem Webseitenbaukasten, bei dem der Hoster den gesamten technischen Betrieb und die Konfiguration der Technik übernimmt und der Webseitenbetreiber nur die Inhalte der Webseite verändern kann, werden die Absicherungspflichten praktisch vollständig beim Webhoster liegen. Der Kunde kann allenfalls organisatorische Maßnahmen treffen, etwa die Aufgabe der Absicherung durch den Hoster noch einmal kontrollieren. Bei der Miete eines blanken Servers dagegen, den der Webseitenbetreiber komplett selbst als Webserver administriert, werden die Absicherungspflichten den Webseitenbetreiber selbst und nicht den Server-Anbieter treffen. Für die Bestimmung der Verantwortlichkeit kommt es also immer darauf an, wer tatsächlich in der Lage ist, die entsprechenden Maßnahmen zu ergreifen.57

45

Die Absicherungspflicht umfasst, dass die Diensteanbieter durch technische und organisatorische Maßnahmen sicherstellen, dass keine unerlaubten Zugriffe auf die von ihnen genutzten technischen Einrichtungen möglich sind und diese gegen Verletzungen des Schutzes personenbezogener Daten und gegen Störungen von außen bzw. Angriffe abgesichert sind. Soweit es den Schutz personenbezogener Daten angeht, hat die Norm ihren Anwendungsbereich wegen des Vorrangs von Art. 32 DSGVO seit Geltung der DSGVO wieder verloren.58