Zum 9. Dezember wurde eine weitere Entwurfsfassung des IT-SiG 2.0 veröffentlicht, die gegenüber dem Stand vom 02.12.2020 umfangreiche Änderungen enthält. Die Frist zur Stellungnahme endet am 10. Dezember 2020 um 14:00. Wesentliche Änderungen betreffen grundsätzlich folgende Bereiche:
– Konkretisierung der Angaben für den Erfüllungsaufwand der Verwaltung.
– Anpassungen in den Begriffsdefinitionen, so für Protokollierungsdaten, kritische Komponenten mit einer deutlich konkreteren bzw. einschränkenden Definition, und für die Bestimmung der Infrastrukturen im besonderen öffentlichen Interesse mit genaueren Kennzahlen.
– Kontrolle der Kommunikationstechnik des Bundes: Einfügen einer Regelung zur Absprache mit dem Betroffenen.
– BSI als allgemeine Meldestelle für Sicherheit in der Informationstechnik: Einfügen einer Regelung zum intendierten Ermessen zur Nutzung von gemeldeten Informationen.
– Änderung der Vorgaben zur Speicherung von Protokolldaten zum Zwecke der Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes. Anpassung der Verarbeitung behördeninterner Protokollierungsdaten.
– Angleichung der Bestandsdatenauskunft an die Vorgaben der Entscheidung des BVerfG vom 27. Mai 2020 („Bestandsdatenauskunft II“).
– Eingrenzung der Durchführung von Detektionsmaßnahmen für die Netz- und IT-Sicherheit („Hacker-Paragraf“) mit einer Beschränkung auf einen vorher bestimmten Bereich von IP-Adressen im Sinne einer Whitelist, die regelmäßig zu aktualisieren ist.
– Vorgaben des BSI: Änderung von „Benehmen“ auf „Einvernehmen“ für die Festlegung von Mindeststandards für die Sicherheit der Informationstechnik des Bundes.
– Änderung von Fristen für die KRITIS-Regelungen in § 8a BSIG und eine Anpassung bzw. Einschränkung der Vorlagepflicht von Betreiberdokumenten, soweit die Registrierungspflicht nicht erfüllt wurde.
– Regelungen zur IT-Sicherheit von Unternehmen in besonderem öffentlichen Interesse: Vom BSI bereitgestellte Formulare zur Selbsterklärung sind nicht mehr verbindlich, mit der Vorlage der Selbsterklärung besteht eine Registrierungspflicht beim BSI.
– Zeitliche Einschränkung der Betretensbefugnis des BSI zur Prüfung der Voraussetzungen der EU VO 2019/881 (EU Cybersecurity Act).
– Untersagung des Einsatzes kritischer Komponenten: Vornehmlich nur begriffliche Anpassungen.
– Freiwilliges IT-Sicherheitskennzeichen: Vornehmlich nur begriffliche Anpassungen.
– Erlass von konkretisierenden Rechtsverordnungen: Konkretisierung der Kennzahlen und Schwellenwerte für die größten Unternehmen in Deutschland, Einfügen einer Rechtsverordnung zur Offenlegung von Schnittstellen und zur Einhaltung etablierter technischer Standards.
– Bußgeldvorschriften: Eigenständige Sanktion fehlender Nachweiserbringung gem. § 8a Abs. 3 S. 1 BSIG, Aufnahme einer Fahrlässigkeitsregelung, Aufnahme einer Regelung für den Verstoß gegen Vorgaben aus dem EU CSA, die maximale Bußgeldhöhe bleibt unverändert, auch wurde der Gleichlauf mit der EU DS-GVO im Hinblick auf die Sanktionshöhe nicht wieder aufgenommen.
– Einfügen eines neuen § 14a BSIG (Institutionen der Sozialen Sicherung): Eigenständige Sanktionsregelung für Einrichtungen aus dem Sozialrecht.
Ansonsten wurden über den gesamten Gesetzentwurf verteilt verschiedene begriffliche Anpassungen bzw. Konkretisierungen und sprachliche Umstellungen vorgenommen.
Ebenfalls in dem Zusammenhang relevant und erwähnenswert: Der am 09.12.2020 ebenso vorgelegte Referentenentwurf zum Telekommunikationsmodernisierungsgesetz (Gesetz zur Umsetzung der Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation (Neufassung) und zur Modernisierung des Telekommunikationsrechts), der ebenfalls Regulierungsvorschläge zur IT-Sicherheit enthält. Ablauf der Kommentierungsfrist ist am Freitag, den 11.12.2020.
Am 16.12.2020 hat das Bundeskabinett den Entwurf für das IT-SiG 2.0 beschlossen. Die Kabinettsfassung steht unter diesem Link zum Download zur Verfügung. Eine weitere Entwurfsfassung (Drs. 16/21), die mit der Kabinettsfassung vom 16.12.2020 identisch ist, wurde zum 01.01.2021 an den Bundesrat übermittelt und als besonders eilbedürftig gekennzeichnet.
Am 25.01.2021 wurde die Bundestagsfassung des Entwurfes des IT-SiG 2.0 veröffentlicht.
Links zu neuen Versionen des IT-SiG 2.0 aus April 2021: