Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – IT-Sicherheitsgesetz 2.0

Über diesen Artikel

Erschienen am:

15.10.2021

Kategorie:

Blog
IT

Über den Autor

Jasmin Vahidi
Wirtschaftsprüferin, Certified Information Systems Auditor (CISA), Certified in Risk and Information Systems Control (CRISC), Certified Data Privacy Solutions Engineer (CDPSE) in Duisburg

Schifferstraße 210
47059 Duisburg
Telefon: +49 203 30001 - 488
E-Mail: jasmin.vahidi@pkf-fasselt.de

vCard download

Nach Verabschiedung des Gesetzes im Bundestag am 23. April 2021 und Billigung am 7. Mai 2021 durch den Bundesrat trat das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) am 28. Mai 2021 durch Veröffentlichung im BGBl. I 2021, Nr. 25, 27. Mai 2021, S. 1122 in Kraft.

Der Ordnungsrahmen, der bereits am 17. Juli 2015 durch das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 1.0) in Kraft getreten ist, soll erweitert werden, um insbesondere den Anforderungen der Cyber- und Informationssicherheit, die ein Schlüsselthema für den Staat, die Wirtschaft und die Gesellschaft darstellen, zu entsprechen.

Die vorgenommenen Anpassungen betreffen als wesentliche Kernpunkte vor allem:

Die Erweiterung des Kreises der betroffenen Unternehmen

Neben den bereits im IT-Sicherheitsgesetz 1.0 betroffenen Sektoren (Energie, Informationstechnik, Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen) gehört nun auch die Siedlungsabfallentsorgung zu dem Kreis der Betreiber Kritischer Infrastrukturen. Kritische Infrastrukturen sind für das Funktionieren des Gemeinwesens und die Sicherung der Grundbedürfnisse der Bevölkerung von hoher Bedeutung und sind deshalb nach der gesetzgeberischen Wertung besonders schutzwürdig.

Für die Vorbereitung der erforderlichen Maßnahmen wird den Betreibern im neuen Sektor Siedlungsabfallentsorgung eine angemessene, erweiterte Übergangsfrist in der noch anzupassenden BSI-KRITIS-Verordnung gewährt werden.
Die zusätzlichen Pflichten für KRITIS-Betreiber

Das IT-Sicherheitsgesetz 2.0 ergänzt die Verpflichtung der Betreiber Kritischer Infrastrukturen, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, nun auch ausdrücklich um Systeme zur Angriffserkennung. Diese Systeme stellen eine effektive Maßnahme zur Begegnung von Cyber-Angriffen dar und unterstützen insbesondere die Schadensreduktion.

Für Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die als Kritische Infrastruktur bestimmt wurden, gilt ab dem 1. Mai 2023 die Verpflichtung, in ihren informationstechnischen Systemen, Komponenten oder Prozessen, die für die Funktionsfähigkeit der von ihnen betriebenen Energieversorgungsnetze oder Energieanlagen maßgeblich sind, in angemessener Weise Systeme zur Angriffserkennung einzusetzen. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen.
Den Verbraucherschutz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird die unabhängige und neutrale Beratungsstelle für den Verbraucherschutz in Fragen IT-Sicherheit auf Bundesebene. Durch die Einführung eines einheitlichen IT-Sicherheitskennzeichens soll in Zukunft die IT-Sicherheit transparenter werden und klar verdeutlichen, welche Produkte bereits die IT-Sicherheitsstandards einhalten.
Kontrolle der Kommunikationstechnik des Bundes

Das BSI erhält die Befugnis, die Sicherheit der Kommunikationstechnik des Bundes und ihrer Komponenten, einschließlich technischer Infrastrukturen, die zum Betrieb der Kommunikationstechnik des Bundes erforderlich sind, zu kontrollieren.
Allgemeine Meldestelle für die Sicherheit in der Informationstechnik

Das BSI wird eine Stelle sowie Kommunikationsmöglichkeiten einrichten, um Informationen zu Sicherheitslücken, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweisen entgegenzunehmen. Die Informationen werden vom BSI genutzt, um diese zielgruppenorientiert an Bundesbehörden, Betreiber kritischer Infrastrukturen oder betroffene bzw. gefährdete Dritte weiterzugeben sowie gegebenenfalls in Abstimmung mit Aufsichtsbehörden die Öffentlichkeit zu warnen.
Neue Kompetenzen für das BSI zur Erfüllung seiner Aufgaben

Dem BSI wird eine Vielzahl neuer Kompetenzen gewährt, welche die Erfüllung seiner Aufgaben ermöglichen sollen, gleichzeitig allerdings auf diesen Zweck begrenzt sind.

Zurück zur Übersicht

Zurück zum Seitenanfang

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	1 Jahr	HTML	Website
__cf_bm	Identifiziert und bekämpft automatisierten Traffic.	30 Minuten	HTTP	MyFonts/Cloudflare
TiJoboffers_selectedFilters	speichert ausgewählte Filteroptionen	Session	HTTP	Website

Name	Zweck	Ablauf	Typ	Anbieter
_ga	Wird verwendet, um Benutzer zu unterscheiden.	2 Jahre	HTML	Google
_gat	Wird zum Drosseln der Anfragerate verwendet.	1 Tag	HTML	Google
_gid	Wird verwendet, um Benutzer zu unterscheiden.	1 Tag	HTML	Google
_ga_--container-id--	Speichert den aktuellen Sessionstatus.	2 Jahre	HTML	Google
_gac_--property-id--	Enthält Informationen zu Kampagnen für den Benutzer. Wenn Sie Ihr Google Analytics- und Ihr Google Ads Konto verknüpft haben, werden Elemente zur Effizienzmessung dieses Cookie lesen, sofern Sie dies nicht deaktivieren.	3 Monate	HTML	Google