Das IT-Sicher­heits­ge­setz – oder eigent­lich Gesetz zur Erhö­hung der Sicher­heit infor­ma­ti­ons­tech­ni­scher Systeme – ist am 25. Juli 2015 in Kraft getreten. Es ist ein soge­nanntes Arti­kel­ge­setz und ändert damit bereits bestehende Gesetze. In diesem Fall das BSI-Gesetz (Gesetz über das Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik), das EnWG (Ener­gie­wirt­schafts­ge­setz), das TMG(Tele­me­di­en­ge­setz) und das TKG (Tele­kom­mu­ni­ka­ti­ons­ge­setz).

Das IT-Sicher­heits­ge­setz ist ein konkretes Ergebnis der Digital-Agenda der Bundes­re­gie­rung. Das Kern­ziel war die Verbes­se­rung der Sicher­heit und des Schutzes von IT-Systemen und IT-Diensten. Insbe­son­dere im Bereich der kriti­schen Infra­struktur – zum Beispiel Strom- und Wasserversorgung.

Ziel ist aber auch die Verbes­se­rung der IT-Sicher­heit in Unternehmen und in der Verwal­tung. Außerdem der bessere Schutz der Bürge­rinnen und Bürger. Die Ziel­gruppen des IT-Sicher­heits­ge­setzes sind die Betreiber kriti­scher Infra­struk­turen, die Betreiber von Internet-Ange­boten, Tele­kom­mu­ni­ka­ti­ons­un­ter­nehmen und das BSI selbst.

Was regelt das Gesetz für die einzelnen Zielgruppen?

Die Betreiber kriti­scher Infra­struk­turen müssen ihre IT nach dem aktu­ellen Stand der Technik absi­chern. Das muss alle 2 Jahre über­prüft werden. Wenn Sicher­heits­mängel aufge­deckt werden, so darf das BSI im Einver­nehmen mit den zustän­digen Aufsichts­be­hörden die Besei­ti­gung dieser anordnen. Die Betreiber der kriti­schen Infra­struk­turen können die konkrete Absi­che­rung selbst gestalten, solange sie dem aktu­ellen Stand der Technik entspre­chen. Erheb­liche Störungen der eigenen (kriti­schen Infra­struktur-) IT müssen dem BSI sofort gemeldet werden.

Für die Betreiber von Weban­ge­boten gelten erhöhte Anfor­de­rungen an die soge­nannten tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen zum Schutz der Kunden­daten und der genutzten IT-Systeme.

Tele­kom­mu­ni­ka­ti­ons­un­ter­nehmen sind dazu verpflichtet, ihre Kunden zu warnen, wenn  der Anschluss des Kunden miss­braucht wird. Auch hier ist die Absi­che­rung der perso­nen­be­zo­genen Daten und der Schutz vor uner­laubten Eingriffen Dritter zu gewähr­leisten. Sicher­heits­vor­fälle sind dem BSI zu melden.

Das Bundessamt für Sicher­heit in der Infor­ma­ti­ons­technik erhält erwei­terte Befug­nisse für die Unter­su­chung der Sicher­heit von IT-Produkten. Es hat mit dem Gesetz erwei­terte Kompe­tenzen im Bereich der IT-Sicher­heit der Bundes­ver­wal­tung erhalten. Es hat sämt­liche für die Abwehr von Gefahren für die IT-Sicher­heit kriti­scher Infra­struk­turen rele­vanten Infos zu sammeln, zu bewerten und an die Betreiber sowie die Aufsichts­be­hörden weiter­zu­leiten. Jähr­lich infor­miert das BSI die Öffent­lich­keit über die Gefahren in einem Lagebericht.

Im April 2019 kam der Refe­ren­ten­ent­wurf zum IT-Sicher­heits­ge­setz 2.0.  Die Inhalte sind an die aktu­elle Cyber-Sicher­heits­stra­tegie der Bundes­re­gie­rung angepasst.

Die dortigen Hand­lungs­felder sind:

  • Sicheres und selbst­be­stimmtes Handeln in einer digi­talen Umgebung
  • Gemein­samer Auftrag von Staat und Wirtschaft
  • Leis­tungs­fä­hige und nach­hal­tige gesamt­staat­liche Cyber-Sicherheitsarchitektur
  • Aktive Posi­tio­nie­rung Deutsch­lands in der euro­päi­schen und inter­na­tio­nalen Cyber-Sicherheitspolitik

Mit dem IT-Sicher­heits­ge­setz erhält das BSI neue Aufgaben und Befug­nisse. Die Betreiber der kriti­schen Infra­struk­turen erhalten erwei­terte Pflichten. Das wirkt sich in der Ener­gie­wirt­schaft vor allem im Bereich der Strom­netze, Smart Meter Gate­ways und beispiels­weise im Redis­patch 2.0 aus. Dazu in einem späteren Beitrag mehr.