Informationssicherheitsgesetz/v1
Informationssicherheitsgesetz/v1 - IT-Sicherheitsgesetz 1.0 topic - Beschreibung
Beschreibung
Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
- Juli 2015
- IT-Systeme und digitalen Infrastrukturen sicherer machen
Ausfälle/Beeinträchtigungen haben dramatische Folgen
- Wirtschaft
- Staat
- Gesellschaft
- Beispiele
- Strom- und Wasserversorgung
- Finanzen
- Ernährung
- ...
- Verfügbarkeit und Sicherheit
Die Verfügbarkeit und Sicherheit von IT-Systemeen spielt somit, speziell im Bereich der Kritischen Infrastrukturen, eine wichtige und zentrale Rolle
- Weitere Ziele
Verbesserung der IT-Sicherheit bei
- Unternehmen
- Bundesverwaltung
- Bürgerinnen und Bürger
- Kommerziellen Webangebote
Neben o. g. Akteuren gelten einzelne Regelungen des IT-Sicherheitsgesetzes daher auch für Betreiber von kommerziellen Webangeboten, die höhere Anforderungen an ihre IT-Systeme erfüllen müssen
- Telekommunikationsunternehmen sind stärker gefordert
- Sie werden verpflichtet, ihre Kunden zu warnen, wenn sie einen Missbrauch eines Kundenanschlusses feststellen
- Zusätzlich sollen sie Betroffenen, wenn möglich, Lösungsmöglichkeiten aufzeigen
Die zuständige Aufsichtsbehörde ist in diesen Fällen die Bundesnetzagentur
- Aufgaben und Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
Um diese Ziele zu erreichen, wurden u. a. die Aufgaben und Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ausgeweitet
- Broschüre "IT-Sicherheitsgesetz"
Antworten zu den wichtigsten Fragen finden Sie in unseren FAQ, sowie in einer Informationsbroschüre des BSI
IT-Sicherheitsgesetz
- Schutz kritischer Infrastrukturen vor Cyber-Attacken
Unter dem Eindruck von Terroranschlägen und aus militärischen Erwägungen tritt in Deutschland und anderen Ländern zunehmend der Schutz kritischer Infrastrukturen vor Cyber-Attacken in den Vordergrund.
- Hierzu trat am 25. Juli 2015 ein Artikelgesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, ITSiG) in Kraft.
- Das Gesetz weist dem Bundesamt für Sicherheit in der Informationstechnik die zentrale Rolle beim Schutz kritischer Infrastrukturen in Deutschland zu.
- Anforderungen an Kritische Infrastrukturen
Hierzu wurde das BSI-Gesetz um Sicherheitsanforderungen an Kritische Infrastrukturen ergänzt
Einrichtungen, Anlagen oder Teile davon, die den Sektoren
- Energie
- Informationstechnik und Telekommunikation
- Transport und Verkehr
- Gesundheit
- Wasser
- Ernährung
- Finanz- und Versicherungswesen angehören
und
- von hoher Bedeutung für das Funktionieren des Gemeinwesens sind
- weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
- BSI-KritisV
In einer zugehörigen Verordnung KRITIS-Verordnung (BSI-KritisV) wird geklärt, welche Einrichtungen, Anlagen oder Teile davon konkret unter die Vorgaben des IT-Sicherheitsgesetzes fallen.
- Unter anderem zählen Stromnetze, Atomkraftwerke und Krankenhäuser dazu.
- Kritische Infrastrukturen müssen branchenspezifische Mindeststandards erfüllen, wozu insbesondere die Einführung eines ISMS zählt.
- Weiterhin müssen sie relevante Vorfälle, die die IT-Sicherheit betreffen, an das BSI melden.
- Durch das IT-Sicherheitsgesetz wurden außerdem weitere Gesetze wie z. B. das Energiewirtschaftsgesetz geändert.
- Durch die Änderung des Energiewirtschaftsgesetzes werden sämtliche Strom- und Gasnetzbetreiber verpflichtet, den IT-Sicherheitskatalog der Bundesnetzagentur umzusetzen und ein ISMS einzuführen.
- Entwurf für ein IT-Sicherheitsgesetz 2.0
Am 27. März 2019 veröffentlichte das Bundesinnenministerium ferner den Entwurf für ein IT-Sicherheitsgesetz 2.0, der einen ganzheitlichen Ansatz zur IT-Sicherheit enthält.
- Aufgenommen werden soll unter anderem ein verbraucherfreundliches IT-Sicherheitskennzeichen für Handelsprodukte, zudem werden die Kompetenzen des BSI gestärkt und Straftatbestände in der Cybersicherheit und die damit verbundene Ermittlungstätigkeit ausgedehnt.
- Der Gesetzentwurf erweitert zudem die Adressaten von Meldepflichten und Umsetzungsmaßnahmen.
- Insgesamt ist durch das Gesetz mit einer erheblichen wirtschaftlichen Mehrbelastung für Unternehmen und Behörden zu rechnen.
Im Dezember 2020 legte die Bundesregierung weitere Entwürfe für das IT-Sicherheitsgesetz 2.0 vor.
- Verbände und andere Interessenvertreter kritisierten die kurze Kommentarfrist von wenigen Tagen, teils nur 24 Stunden, die laut Kritikern einem „faktischen Ausschluss von Beteiligung“ gleichkämen.
- Das Bundesamt für Sicherheit in der Informationstechnik (BSI) werde zu einer „Cyber-Behörde mit Hackerbefugnissen“ aufgerüstet.
- Der Bundesverband der Verbraucherzentralen begrüßte, dass das BSI auch den Schutz von Konsumenten erhalten soll, wies aber zugleich auf mögliche Interessenkonflikte mit anderen Aufgabenbereichen dieser Behörde wie der Unterstützung bei der Strafverfolgung hin.
Am 16. Dezember 2020 wurde das IT-Sicherheitsgesetz 2.0 im Kabinett beschlossen und zur Notifizierung bei der Europäischen Kommission eingereicht.
Nachdem das Gesetzesvorhaben im Frühjahr 2021 den Bundestag und Bundesrat passiert hatte, trat das IT-Sicherheitsgesetz 2.0 Ende Mai offiziell in Kraft.