DQS im Dialog
DQS Website Abonnieren

IT-Sicherheitsgesetz 2.0 – Was bringt die Reform 2019?

Das IT-Sicherheitsgesetz 1.0 wird weiterentwickelt: Demnach soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) deutlich mehr Befugnisse erhalten, um Sicherheitslücken aufzudecken und so die IT-Systeme von Gesellschaft, Wirtschaft und Staat zu schützen. Verschaffen Sie sich hier einen Überblick.
© Fotolia

Ende März 2019 wurde der Referentenentwurf zum IT-Sicherheitsgesetz 2.0 des Bundesministeriums des Innern fertiggestellt und verschickt. Der Entwurf wird nun mit anderen Ministerien diskutiert und abgestimmt, ehe die Bundesregierung ihn im Bundestag einbringt. Eine Neuerung dabei: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll deutlich mehr Befugnisse erhalten. Einen Überblick zum Referentenentwurf finden Sie hier mit diesen Informationen:

  • Welche Änderungen am IT-Sicherheitsgesetz sind zu erwarten?
  • Was ist das IT-Sicherheits-Kennzeichen?
  • Offensiv statt defensiv: Das BSI wird aktiv

Welche Änderungen am IT-Sicherheitsgesetz sind zu erwarten?

IT-SiG – KRITIS

Beim Thema Kritische Infrastrukturen (KRITIS) kommt der Bereich Abfallentsorgung zur Liste der Sektoren hinzu. Präzisiert wird die Kategorie „Infrastrukturen mit besonderem öffentlichen Interesse“. Sie beinhaltet nun die Bereiche Rüstungsindustrie, Prime Standard nach §48 Börsenordnung der Frankfurter Wertpapierbörse sowie Kultur und Medien.

Hersteller von Komponenten und Technik, die im KRITIS-Bereich eingesetzt werden, müssen künftig die Vertrauenswürdigkeit ihrer gesamten Lieferkette gewährleisten und hierzu eine Erklärung ihrer Vertrauenswürdigkeit gegenüber dem Betreiber abgeben. Art und Umfang dieser Erklärung sind allerdings noch zu definieren. Zudem unterliegen die Unternehmen, ebenso wie alle Hersteller von IT-Produkten, einer Meldepflicht gegenüber dem BSI bei Sicherheitsvorfällen.

Bei Pflichtverletzung kann das BSI deutlich höhere Bußgelder verhängen, sie sollen sich zukünftig am Bußgeldrahmen der Datenschutz-Grundverordnung DS-GVO orientieren. Dies bedeutet, dass Bußgelder bis maximal 20 Mio. Euro oder von bis zu 4 Prozent des gesamten, weltweiten Umsatzes eines Unternehmens verhängt werden können.

IT-SiG – IT-Sicherheits-Kennzeichen / Verbraucherschutz

Das Angebot eines IT-Sicherheits-Kennzeichens kann Verbrauchern bei der Auswahl eines IT-Systems oder Online-Dienstes unterstützen, indem für sie auf einen Blick zu erkennen ist, welches System oder welcher Dienst ein konkretes Sicherheitsniveau aufweist. Dies führt zu einer Erhöhung der Verbrauchertransparenz und zur Förderung der IT-Security im Bereich von Verbraucherprodukten und -diensten.

IT-SiG – Cybersicherheit / IoT

Bislang informierte das BSI die Öffentlichkeit über Angriffe auf IT-Systeme (Trojaner, Viren, Schadprogramme) und wehrte diese ab. Nun soll die Rolle des Bundesamts weitaus aktiver gestaltet werden. So soll das BSI zukünftig durch systematisches Scannen im Internet unsichere Gerätezugänge identifizieren. Hierunter fallen neben Servern und Smartphones auch Geräte aus dem „Internet der Dinge“ (IoT), über die ein Angreifer in das WLAN von Privatpersonen oder Organisationen eindringen könnte. Auch soll das BSI Internetprovidern anordnen können, den Datenverkehr eines oder mehrerer Geräte, die zum Beispiel Kritische Infrastrukturen (KRITIS) angreifen, zu blockieren oder umzuleiten. Diese Umleitung kann auf eigene BSI-Server erfolgen. Dies soll insbesondere Botnetze treffen, also Gruppen ferngesteuerter Geräte, die solche Angriffe durchführen.

IT-SiG – Gesetzesänderungen

Der Entwurf beinhaltet zudem wesentliche Reformen des Telekommunikations- und Telemediengesetzes sowie des Strafgesetzbuches und der Strafprozessordnung. So werden Computerstraftaten zu „schweren Straftaten“ im Sinne der strafprozessrechtlichen Telekommunikationsüberwachung (§ 100a StPO) erklärt, und Telekommunikationsdienste, die zur „Weitergabe oder Veröffentlichung rechtswidrig erlangter Daten“ genutzt werden, sollen dazu verpflichtet werden, diese Daten zu sperren und zu löschen. Laut Entwurf betrifft dies Anbieter wie z. B. Facebook, Google oder den Messenger Telegram.

Der Marschrichtung des IT-Sicherheitsgesetz 2.0 ist eindeutig auszumachen. Ab jetzt heißt es: Offensiv statt defensiv. Der komplette Entwurf vom 27. März 2019 kann hier eingesehen werden.

Bei der DQS in guten Händen

Die DQS ist anerkannte Prüfstelle und akkreditierte Zertifizierungsstelle für zahlreiche IT-Sicherheitsstandards, u.a. für ISO 27001. Gerne stellen wir Ihnen alle geforderten Kompetenzen für eine BSI-konforme Prüfung gemäß § 8a BSIG zur Verfügung.

Weiterführende Informationen zu KRITIS

  • spezielle Prüfverfahrenskompetenz
  • Auditkompetenz
  • IT-Sicherheitskompetenz
  • Branchenkompetenz
Jetzt mehr erfahren!