9. Dezember 2020: Kurzfristig 4. Referentenentwurf für das IT-SiG 2.0 veröffentlicht
Gespeichert von Prof. Dr. Dennis-Kenji Kipker am
Zum 9. Dezember wurde eine weitere Entwurfsfassung des IT-SiG 2.0 veröffentlicht, die gegenüber dem Stand vom 02.12.2020 umfangreiche Änderungen enthält. Wesentliche Änderungen betreffen grundsätzlich folgende Bereiche:
- Konkretisierung der Angaben für den Erfüllungsaufwand der Verwaltung.
- Anpassungen in den Begriffsdefinitionen, so für Protokollierungsdaten, kritische Komponenten mit einer deutlich konkreteren bzw. einschränkenden Definition, und für die Bestimmung der Infrastrukturen im besonderen öffentlichen Interesse mit genaueren Kennzahlen.
- Kontrolle der Kommunikationstechnik des Bundes: Einfügen einer Regelung zur Absprache mit dem Betroffenen.
- BSI als allgemeine Meldestelle für Sicherheit in der Informationstechnik: Einfügen einer Regelung zum intendierten Ermessen zur Nutzung von gemeldeten Informationen.
- Änderung der Vorgaben zur Speicherung von Protokolldaten zum Zwecke der Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes. Anpassung der Verarbeitung behördeninterner Protokollierungsdaten.
- Angleichung der Bestandsdatenauskunft an die Vorgaben der Entscheidung des BVerfG vom 27. Mai 2020 („Bestandsdatenauskunft II“).
- Eingrenzung der Durchführung von Detektionsmaßnahmen für die Netz- und IT-Sicherheit („Hacker-Paragraf“) mit einer Beschränkung auf einen vorher bestimmten Bereich von IP-Adressen im Sinne einer Whitelist, die regelmäßig zu aktualisieren ist.
- Vorgaben des BSI: Änderung von „Benehmen“ auf „Einvernehmen“ für die Festlegung von Mindeststandards für die Sicherheit der Informationstechnik des Bundes.
- Änderung von Fristen für die KRITIS-Regelungen in § 8a BSIG und eine Anpassung bzw. Einschränkung der Vorlagepflicht von Betreiberdokumenten, soweit die Registrierungspflicht nicht erfüllt wurde.
- Regelungen zur IT-Sicherheit von Unternehmen in besonderem öffentlichen Interesse: Vom BSI bereitgestellte Formulare zur Selbsterklärung sind nicht mehr verbindlich, mit der Vorlage der Selbsterklärung besteht eine Registrierungspflicht beim BSI.
- Zeitliche Einschränkung der Betretensbefugnis des BSI zur Prüfung der Voraussetzungen der EU VO 2019/881 (EU Cybersecurity Act).
- Untersagung des Einsatzes kritischer Komponenten: Vornehmlich nur begriffliche Anpassungen.
- Freiwilliges IT-Sicherheitskennzeichen: Vornehmlich nur begriffliche Anpassungen.
- Erlass von konkretisierenden Rechtsverordnungen: Konkretisierung der Kennzahlen und Schwellenwerte für die größten Unternehmen in Deutschland, Einfügen einer Rechtsverordnung zur Offenlegung von Schnittstellen und zur Einhaltung etablierter technischer Standards.
- Bußgeldvorschriften: Eigenständige Sanktion fehlender Nachweiserbringung gem. § 8a Abs. 3 S. 1 BSIG, Aufnahme einer Fahrlässigkeitsregelung, Aufnahme einer Regelung für den Verstoß gegen Vorgaben aus dem EU CSA, die maximale Bußgeldhöhe bleibt unverändert, auch wurde der Gleichlauf mit der EU DS-GVO im Hinblick auf die Sanktionshöhe nicht wieder aufgenommen.
- Einfügen eines neuen § 14a BSIG (Institutionen der Sozialen Sicherung): Eigenständige Sanktionsregelung für Einrichtungen aus dem Sozialrecht.
Ansonsten wurden über den gesamten Gesetzentwurf verteilt verschiedene begriffliche Anpassungen bzw. Konkretisierungen und sprachliche Umstellungen vorgenommen.