Bundesamt für Sicherheit in der Informationstechnik

Neuregelungen des IT-Sicherheitsgesetzes

Das IT-Sicherheitsgesetz ist ein Artikelgesetz, das neben dem BSI-Gesetz auch das Energiewirtschaftsgesetz, das Telemediengesetz, das Telekommunikationsgesetz und weitere Gesetze ändert und ergänzt. Für das BSI bedeuten die Änderungen eine Ausstattung mit neuen Aufgaben und Befugnissen, um etwaigen Defiziten im Bereich der IT-Sicherheit insbesondere auch außerhalb der Bundesverwaltung wirksam zu begegnen.

Änderungen des BSI-Gesetzes

  • Nach § 8a BSIG müssen Betreiber Kritischer Infrastrukturen IT-Sicherheit nach dem „Stand der Technik“ umsetzen und deren Einhaltung regelmäßig gegenüber dem BSI nachweisen. Sofern Sicherheitsmängel aufgedeckt werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen.
  • Das BSI wird nach § 8b BSIG die zentrale Meldestelle für die IT-Sicherheit Kritischer Infrastrukturen. Die Betreiber müssen dem BSI erhebliche Störungen ihrer IT melden, sofern sie Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können. Umgekehrt hat das BSI sämtliche für die Abwehr von Gefahren für die IT-Sicherheit Kritischer Infrastrukturen relevanten Informationen zu sammeln, zu bewerten und an die Betreiber sowie die zuständigen (Aufsichts-)Behörden weiterzuleiten.
  • Sofern bei einem KRITIS-Betreiber meldepflichtige Störungen der IT auftreten, darf das BSI erforderlichenfalls auch die Hersteller der entsprechenden IT-Produkte und -systeme gemäß § 8b BSIG zur Mitwirkung verpflichten.
  • Dem BSI wird nach § 7a die Befugnis eingeräumt, zur Wahrnehmung seiner Aufgaben nach § 3 Absatz 1 S. 2 Nr. 1, 14 und 17 BSIG, IT-Produkte auf ihre Sicherheit hin zu untersuchen.
  • Die Befugnis des BSI aus § 5 BSIG zur Analyse von Schnittstellen- und Protokolldaten in den Netzen der Bundesverwaltung wird dahingehend erweitert, dass die Bundesbehörden das BSI nunmehr bei dieser Tätigkeit unterstützen müssen.
  • Zur Stärkung der IT-Sicherheit der Bundesverwaltung wird das BSI verpflichtet, Mindeststandards für die IT der Bundesverwaltung zu erarbeiten. Die Möglichkeit des Bundesinnenministeriums, diese Mindeststandards für alle Behörden als verbindlich zu erklären, wird erleichtert, da nur noch das Benehmen (statt des Einvernehmens) mit dem IT-Rat hergestellt werden muss.
  • In einem jährlichen Lagebericht (§ 13 Absatz 2 BSIG) informiert das BSI auch die interessierte Öffentlichkeit über die aktuellen Gefahren für die Sicherheit in der Informationstechnik und trägt so zu einer höheren Sensibilisierung für das Thema IT-Sicherheit bei.

Änderungen des Telekommunikationsgesetzes

Um einen besseren Schutz der Bürgerinnen und Bürger zu erreichen, werden Telekommunikationsanbieter dazu verpflichtet,

  • IT-Sicherheitsmaßnahmen nach dem „Stand der Technik“ nicht nur zum Schutz personenbezogener Daten, sondern auch zum Schutz vor unerlaubten Eingriffen in die Infrastruktur einzusetzen und zu erhalten (§ 109 Absätze 1 und 2 TKG),
  • ihre Nutzer über Schadprogramme und ihre Erkennung und Beseitigung zu informieren (§ 109a Absatz 4 TKG) und
  • erhebliche IT-Störungen zu melden (§ 109 Absatz 5 TKG).

Änderungen des Telemediengesetzes

Telemediendiensteanbieter werden verpflichtet,

  • IT-Sicherheitsmaßnahmen nach dem „Stand der Technik“ nicht nur zum Schutz personenbezogener Daten, sondern auch zum Schutz vor unerlaubten Eingriffen in die Infrastruktur einzusetzen und zu erhalten (§ 13 Absatz 7 TMG).

Betreiber nach EnWG, TKG und AtG

Betreiber von Energieversorgungsnetzen und -anlagen sowie Betreiber öffentlicher TK-Netze sind aufgrund spezialgesetzlicher Regelungen von der Pflicht zur Benennung einer Kontaktstelle ausgenommen. Gleiches gilt für Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes (AtG). Das BSI begrüßt jedoch, wenn auch diese Betreiber eine Kontaktstelle benennen, damit das BSI relevante Informationen (Warnmeldungen und Lageinformationen) auch diesen Betreibern bzw. Genehmigungsinhabern zukommen lassen kann.

Weitere Informationen zur Benennung einer Kontaktstelle erhalten Sie hier.