Bild: aerogondo, Fotolia.com
Am 28. Mai − einen Tag nach der Verkündung im Bundesgesetzblatt − ist das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) in Kraft getreten. Erläuterungen von Jost Eder und Alexander Bartsch*.
Mit dem Gesetz werden unter anderem auch das Energiewirtschaftsgesetz (EnWG) und das BSI-Gesetz (BSIG) geändert. Das IT-SiG 2.0 betrifft die Betreiber von Energieversorgungsnetzen sowie von Kritischen Infrastrukturen (Kritis) ebenso wie „Unternehmen im besonderen öffentlichen Interesse“.
Parallel zur neuen Gesetzgebung plant das Bundesinnenministerium eine Novelle der BSI-Kritisverordnung (BSI-KritisV). Die Verordnung bestimmt, welche Infrastrukturen „kritisch“ im Sinne des Gesetzes sind. Wir geben einen ersten Überblick über die wesentlichen Neuerungen durch das IT-SiG 2.0 und die BSI-KritisV-Novelle sowie die mögliche Betroffenheit und den zukünftigen Handlungsbedarf von Unternehmen.
Die Betreiber von Energieversorgungsnetzen und von als Kritis einzuordnenden Energieanlagen mussten bereits in der Vergangenheit einen von der Bundesnetzagentur veröffentlichten IT-Sicherheitskatalog umsetzen. Nun werden sie durch eine Ergänzung im EnWG zusätzlich grundsätzlich zum Einsatz von Systemen zur Angriffserkennung und zu einem entsprechenden Nachweis gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verpflichtet. Bei Systemen zur Angriffserkennung handelt es sich um durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die neue Pflicht ist bis zum 27. Mai 2023 (24 Monate seit der Verkündung des Gesetzes) zu erfüllen.
Schwerpunkt des IT-SiG 2.0 ist die Änderung des BSIG: Dort wird die „Siedlungsabfallentsorgung“ grundsätzlich als neuer Kritis-Sektor ergänzt. Die Anforderungen für die Bewertung als Kritis im Einzelnen werden zukünftig durch die BSI-KritisV bestimmt.
Zudem werden im BSIG die IT-Sicherheitsanforderungen für Kritis-Betreiber angepasst und erweitert: So werden auch diese zukünftig grundsätzlich zum Einsatz von Systemen zur Erkennung von Angriffen auf ihre IT-Systeme verpflichtet. Zu der bereits heute bestehenden Pflicht des Kritis-Betreibers, beim BSI eine jederzeit erreichbare Kontaktstelle zu benennen, kommt eine Pflicht zur Registrierung hinzu.
Neu eingeführt wird die Kategorie der „Unternehmen im besonderen öffentlichen Interesse“. Dies sind unter anderem solche Unternehmen, die nicht Kritis-Betreiber sind und die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind oder die für solche Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind. Sie werden anhand von Kennzahlen und Schwellenwerten bestimmt, die in einer weiteren zukünftig noch zu erlassenden Rechtsverordnung festgelegt werden.
Eine Betroffenheit auch größerer (Energie-)Versorgungsunternehmen lässt sich nicht ausschließen und sollte anhand der einschlägigen Kennzahlen und Schwellenwerte geprüft werden. Die Anforderungen an die IT-Sicherheit bei Unternehmen im besonderen öffentlichen Interesse können je nach Fallgruppe zum Beispiel eine Selbsterklärung zur IT-Sicherheit sowie eine Registrierungspflicht inklusive der Benennung einer erreichbaren Stelle beim BSI oder Meldepflichten bei Störungen der IT-Systeme umfassen.
Überarbeitet und angepasst wurde schließlich der Bußgeldkatalog des BSIG. Dabei wurden insbesondere die Bußgeldtatbestände für die Betreiber von Kritis spürbar verschärft. Danach können etwa Verstöße gegen die Nachweispflicht hinsichtlich der Erfüllung der Sicherheitsanforderungen zukünftig mit Geldbußen bis zu 1 Mio. Euro (bei Vorsatz) beziehungsweise bis zu 100.000 Euro (bei Fahrlässigkeit) geahndet werden. Werden Vorkehrungen für die Erfüllung der Sicherheitsanforderungen (vorsätzlich oder fahrlässig) nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen, können ebenfalls Bußgelder bis zu 1 Mio. Euro verhängt werden. Bei Zuwiderhandlungen gegen bestimmte vollziehbare Anordnungen des BSI kann die Bußgeldhöhe bis zu 2 Mio. Euro betragen.
Parallel wurde durch das Bundesinnenministerium kürzlich eine Novelle der BSI-KritisV angestoßen. Die Anpassungen sind teils materiell relevant, etwa soweit Schwellenwerte zur Bestimmung von Kritis geändert werden. Deutlich heraus sticht die vorgesehene Absenkung der maßgeblichen Schwellenwerte für Erzeugungsanlagen von derzeit 420 MW auf 36 MW, bezogen auf die installierte Maximalkapazität. Die geänderte BSI-KritisV soll noch im Juni beschlossen und zum 1. Januar 2022 wirksam werden. Zum neuen Kritis-Sektor der Siedlungsabfallentsorgung finden sich in dem Entwurf keine Regelungen.
Die neuen gesetzlichen Vorgaben bedingen eine sorgfältige Prüfung der individuellen Betroffenheit und des Handlungsbedarfs. In Bezug auf die grundsätzliche Pflicht zum Einsatz von Systemen zur Angriffserkennung kann eine Ausnahme bestehen, wenn der dafür erforderliche Aufwand außer Verhältnis zu den möglichen Folgen eines Ausfalls oder einer Beeinträchtigung des betroffenen Energieversorgungsnetzes oder der betroffenen Kritis steht. Die Umsetzung der neuen Vorgaben im Unternehmen ist vor dem Hintergrund der mit dem Inkrafttreten des Gesetzes laufenden Umsetzungsfristen sowohl rechtlich als auch prozessual (zum Beispiel im Rahmen einer umfassenden Gefährdungsanalyse, eines Sicherheitskonzepts und eines IT-Bebauungsplans) alsbald zu prüfen.
* Jost Eder und Alexander Bartsch, Rechtsanwälte, Becker Büttner Held, Berlin
Montag, 28.06.2021, 09:37 Uhr
Redaktion
© 2024 Energie & Management GmbH
