Deutsche Gesetzgebung

IT-Sicherheitsgesetze von 2015 und 2021

Rechtsgrundlage für Kritische Infrastrukturen und deren Betreiber bildet das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG). Konkretisiert wird die Definition der Kritischen Infrastrukturen durch §§ 1 – 7 der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSIG (BSI-Kritisverordnung, BSI-KritisV). Die BSI-KritisV beschreibt die einzelnen Sektoren näher und nennt Schwellenwerte zur Bestimmung, ob es sich bei ein Betreiber um eine Kritische Infrastruktur handelt.

Das Artikelgesetz Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (erstes IT-Sicherheitsgesetz) hat 2015 neben anderen Gesetzen wie dem Energiewirtschaftsgesetz, Atomgesetz, Telemediengesetz und dem Telekommunikationsgesetz auch das BSIG erweitert.

Der Bundesrat hat am 7. Mai 2021 das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) gebilligt. Im Bundestag wurde das Gesetz bereits am 23. April 2021 verabschiedet. Das BSI bekommt damit neue Kompetenzen, die seine Arbeit als Cybersicherheitsbehörde des Bundes deutlich stärken.

Die Bundesregierung leistet damit einen Beitrag, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Insbesondere im Bereich der Kritischen Infrastrukturen – wie etwa Strom- und Wasserversorgung, Finanzen oder Ernährung – hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen für Wirtschaft, Staat und Gesellschaft in Deutschland. Die Verfügbarkeit und Sicherheit der IT-Systeme spielt daher im Bereich der Kritischen Infrastrukturen eine zentrale Rolle.

Ziele des IT-Sicherheitsgesetzes sind auch die Verbesserung der IT-Sicherheit bei Unternehmen und in der Bundesverwaltung sowie ein besserer Schutz der Bürgerinnen und Bürger im Internet. Einzelne Regelungen des IT-Sicherheitsgesetzes gelten daher auch für Betreiber von kommerziellen Webangeboten, die höhere Anforderungen an ihre IT-Systeme erfüllen müssen. Auch Telekommunikationsunternehmen sind künftig stärker gefordert. Sie werden verpflichtet, ihre Kunden zu warnen, wenn sie einen Missbrauch eines Kundenanschlusses feststellen. Zusätzlich sollen sie Betroffenen wenn möglich Lösungsmöglichkeiten aufzeigen. Die zuständige Aufsichtsbehörde ist in diesen Fällen die Bundesnetzagentur. Um diese Ziele zu erreichen, wurden die Aufgaben und Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik ausgeweitet.

Fortentwicklung der BSI-Kritisverordnung

Am 3. Mai 2016 ist der erste Teil der BSI-Kritisverordnung zur Umsetzung des IT-Sicherheitsgesetzes in Kraft getreten. Betroffen waren Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung.

Mit der ersten Verordnung zur Änderung der BSI-Kritisverordnung, die am 30.06.2017 in Kraft getreten ist, wurden die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr ergänzt.

Seit dem 1. Januar 2022 ist die 2. Änderungsverordnung der BSI-KritisV in Kraft. Die 2. Änderungsverordnung der BSI-KritisV setzt vorrangig Änderungen auf Basis der Evaluierung der BSI-KritisV um. Diese Fassung wird daher teils auch als "BSI-KritisV 1.5" bezeichnet. Mit der Veröffentlichung im Bundesgesetzblatt 2023 Teil I Nr. 53 ist die Dritte Verordnung zur Änderung der BSI-Kritisverordnung am 2. März 2023 in Kraft getreten.
Die Anlagenkategorien in den Anhängen 1 und 4 wurden ergänzt um LNG-Anlagen und Seekabelanlandestationen. Die 4. Änderungsverordnung der BSI-KritisV ist am 1. Januar 2024 in Kraft getreten. Sie ergänzt Anlagenkategorien und Schwellenwerte im Sektor Siedlungsabfallentsorgung.

Regulierung auf europäischer Ebene

Zur Stärkung der Cybersicherheit auf europäischer Ebene wurde im Juli 2016 die EU-Richtlinie zur Netzwerk-und Informationssicherheit (NIS-Richtlinie) im Amtsblatt der europäischen Union veröffentlicht. Mit dem 2015 in Kraft getretenen IT-Sicherheitsgesetz waren in der Bundesrepublik Deutschland viele Anforderungen der Richtlinie bereits erfüllt, so dass im Juni 2017 das NIS-Richtlinien-Umsetzungsgesetz veröffentlicht werden konnte.

Die Europäische Kommission hat im Dezember 2020 einen Entwurf zur Novellierung der NIS-Richtlinie vorgelegt. Diese Novellierung ("NIS 2.0") soll insbesondere der verschärften Cyberbedrohungslage und der fortschreitenden Digitalisierung der vergangenen Jahre Rechnung tragen. Die NIS 2.0 ist derzeit Gegenstand der sogenannten Trilogverhandlungen der Europäischen Union (zwischen Parlament, Rat und Kommission) und wird voraussichtlich im Jahr 2023 verabschiedet.