Referentenentwurf zum IT-Sicherheitsgesetz 2.0

Spätestens seit dem „Doxing-Fall“ von Ende 2018/Anfang 2019, in welchem zahlreiche Daten von Prominenten und Politikern veröffentlicht wurden, wird mit Hochdruck an einem „IT-Sicherheitsgesetz 2.0“ gearbeitet, welches die Bedeutung und die Kompetenzen des Bundesamts für Sicherheit in der Informationstechnik erheblich erweitert. Dies zeigt sich schon daran, dass im Zuge des Gesetzes geplant ist, das Personal der Behörde nahezu zu verdoppeln. 

Zwar ist noch nicht absehbar, wann das Gesetz verabschiedet wird und wie seine endgültigen Regelungen lauten werden. Dennoch lohnt es sich für alle Medienunternehmen und alle Unternehmen, die Smart Devices produzieren oder in Deutschland vertreiben, sich mit den folgenden besonders wichtigen Regelungen bereits jetzt vertraut zu machen.

1) Einführung eines freiwilligen IT-Sicherheitskennzeichen

Eine der interessantesten Neuerungen besteht in der Einführung eines freiwilligen einheitlichen IT-Sicherheitskennzeichens. Ziel der Einführung ist es, Informationen über die IT-Sicherheit von verschiedenen Verbraucherprodukten und Dienstleistungen für den Verbraucher verständlich, transparent und einheitlich darzustellen. Auf dieser Grundlage soll der Verbraucher in die Lage gesetzt werden, eine fundierte Kaufentscheidung treffen zu können. 

Der neue § 9a BSIG soll die Voraussetzungen eines IT-Sicherheitskennzeichens regeln, welches neben einer Herstellererklärung zum Vorliegen bestimmter IT-Sicherheitseigenschaften (sog. „Sicherheitsversprechen“ der Hersteller) eine dynamische BSI-Sicherheitsinformation über etwaige Sicherheitslücken etablieren soll. Dem Kaufprodukt liegt also ein „elektronischer Beipackzettel“ mit weiterführenden Sicherheitsinformationen bei, den der Käufer über einen Verweis (z. B. QR-Code, Link auf der Produktverpackung) beim Kauf unmittelbar abrufen und so auf einer Produktinformationsseite weiterführende, aktuelle Sicherheitsinformationen einsehen kann. Diese Sicherheitsinformation muss dynamisch, also in regelmäßigen Abständen vom BSI überprüfbar sein, um so die Glaubhaftigkeit des IT-Sicherheitskennzeichens gewährleisten zu können. 

2) Erweiterung der KRITIS auf „Medienunternehmen“

Die für Betreiber Kritischer Infrastrukturen bestehenden Pflichten nach dem BSIG werden auf weitere Teile der Wirtschaft ausgeweitet. Hierunter fallen unter anderem die Meldepflichten und Verpflichtungen zur Einhaltung der Mindeststandards nach §§ 8a, 8b BSIG.

Die geplante Erweiterung betrifft insbesondere den Sektor Medien. Dieser stellt zwar keine KRITIS im engeren Sinne des § 2 Abs. 10 BSIG dar. Dennoch fällt er unter den Anwendungsbereich des Gesetzes, wenn die Infrastruktur im besonderen öffentlichen Interesse gemäß § 2 Abs. 14 Nr. 1 BSIG n.F. liegt. Dies begründet der Gesetzesentwurf wie folgt: Die Pressefreiheit, die Freiheit der Berichterstattung und die Pluralität der Medien sind verfassungsrechtlich geschützte Belange und Eckpfeiler der freiheitlich demokratischen Grundordnung Deutschlands. Eine Einflussnahme beziehungsweise Beschränkung jener Belange kann negative Auswirkungen auf die Gesellschaft und die freiheitlich demokratische Grundordnung haben. 

Wie die konkreten Schwellen aussehen werden – und ob jeder Blogger oder nur wenige auflagenstarke Presseorgane betroffen sind – ist derzeit unklar. Wahrscheinlich wird dies im Nachhinein in einer Verordnung geregelt. Je nach Ausgestaltung des Anwendungsbereichs könnte viele Unternehmen betroffen sein, beispielsweise Forenbetreiber, soziale Netzwerke, Betreiber von Kommunikationsapps oder die Presse. 

3) Erhöhung der Bußgelder

Um mit dem Bußgeld-Regime der DSGVO gleichzuziehen, enthält § 14 Abs. 2 BSIG n.F. die Möglichkeit, Verstöße mit Geldbußen in Höhe von bis zu 20.000.000 EUR oder von bis zu 4 % des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahres zu ahnden. Die Höhe der Sanktionen soll sich demnach an der Wirtschaftskraft des Unternehmens orientieren. Die bisherigen Regelungen sahen maximal 100.000 EUR als Sanktion vor, was in Bezug auf die Wirtschaftskraft der KRITIS-Betreiber ein zu geringer Betrag war. 

Die Orientierung an dem Reglement der DSGVO soll die Bußgelder wirksam, angemessen und abschreckend machen. Verstöße gegen Maßnahmen zur Absicherung von Anlagen sollen genau so schwerwiegend sanktioniert werden können wie datenschutzrechtliche Verstöße. So wird eine Wertungsharmonie zwischen den beiden Regelungsbereichen generiert. 

§ 14 Abs. 1 BSIG n.F. enthält einen überarbeiteten Katalog der Bußgeldtatbestände. Ein solcher war erforderlich, da die bisherigen Sanktionen nur einen Teil der Pflichten nach § 8a BSIG abgedeckt haben. Der Katalog wurde insbesondere betreffend der Auskunfts- und Nachweispflichten präzisiert. Zudem ist das Nutzen des IT-Sicherheitskennzeichens nach einem Widerruf oder ohne vorherige Freigabe bußgeldbewehrt. 

Fazit

Medienunternehmen sollten sich darauf einstellen, zukünftig zusätzliche, gestiegene Anforderungen an die IT-Sicherheit erfüllen zu müssen, wobei die konkreten verpflichtenden Maßnahmen vermutlich erst im Nachhinein festgelegt werden. 
Unternehmen, die Software oder smarte Geräte an Verbraucher verkaufen, sollten sich frühzeitig überlegen, ob sie die Möglichkeit des freiwilligen IT-Sicherheitskennzeichens nutzen wollen und welche „Sicherheitsversprechen“ sie in diesem Rahmen abgeben können.