Digital-Life

IT-Sicherheitsgesetz 2.0

von

Uli Häfele
in

Nachdem das erste IT Sicherheitsgesetz im Sommer 2015 an den Start gebracht wurde, steht seit diesem Jahr die Version 2.0 dieses Gesetzes am Start. Das IT-Sicherheitsgesetz 2.0 ist im Mai 2021 in Kraft getreten. Es zielt darauf ab, die IT-Sicherheit in Deutschland weiter zu verbessern.

Die zweite Version des Gesetz bringt wesentliche Änderungen und Erweiterungen für Unternehmen, die im Bereich E-Commerce tätig sind. Hier sind die wichtigsten Punkte sind:

  1. Detektion und Abwehr: Das BSI erhält verstärkte Kompetenzen zur Detektion von Sicherheitslücken und Abwehr von Cyberangriffen. Es kann als zentrales Kompetenzzentrum Mindeststandards für Bundesbehörden festlegen und effektiver kontrollieren.
  2. Cybersicherheit in den Mobilfunknetzen: Das Gesetz untersagt den Einsatz kritischer Komponenten zum Schutz der öffentlichen Ordnung oder Sicherheit in Deutschland. Netzbetreiber müssen hohe Sicherheitsanforderungen erfüllen und kritische Komponenten zertifizieren. Dies gewährleistet die Informationssicherheit in 5G-Mobilfunknetzen.
  3. Verbraucherschutz: Das BSI übernimmt den Digitalen Verbraucherschutz und die Verbraucherinformation im Bereich IT-Sicherheit durch unabhängige Beratung und Warnung. Ein IT-Sicherheitskennzeichen soll die Transparenz erhöhen und zeigen, welche Produkte IT-Sicherheitsstandards erfüllen.
  4. Sicherheit für Unternehmen: Der Kreis der Kritischen Infrastrukturen wird um die Siedlungsabfallentsorgung erweitert. Auch Rüstungshersteller und Unternehmen mit großer volkswirtschaftlicher Bedeutung müssen künftig IT-Sicherheitsmaßnahmen umsetzen und werden in den Informationsaustausch mit dem BSI einbezogen.
  5. Nationale Behörde für Cybersicherheitszertifizierung: Das BSI ist die Nationale Behörde für die Cybersicherheitszertifizierung gemäß der EU-Verordnung 2019/881 (Cybersecurity Act). Es überwacht und setzt Vorschriften der europäischen Cybersicherheitszertifizierung durch. Dabei müssen Aufsicht und Zertifizierung strikt getrennt und unabhängig durchgeführt werden.

Ein spezieller Begriff der sich im Rahmen dieser Gesetzgebung sind sogenannte KRITIS Betreiber. Also Anbieter kritischer Infrastrukturen. Dies sind:

  1. Energie
  2. Informationstechnik und Telekommunikation
  3. Transport und Verkehr
  4. Gesundheit
  5. Medien und Kultur
  6. Wasser
  7. Ernährung
  8. Finanz- und Versicherungswesen
  9. Siedlungsabfallentsorgung
  10. Staat und Verwaltung

Das BSI nennt als Definition:

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Quelle: https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Allgemeine-Infos-zu-KRITIS/allgemeine-infos-zu-kritis_node.html

Mit dieser Grundlage dürfte die Auswirkung auf einen normalen Online-Shop Betreiber, der nicht in diese Definition fällt recht gering sein. Die aus dem ersten IT-Sicherheitsgesetz bekannten Anforderungen an Aktualität von Systemen und Sicherheitsmaßnahmen bleiben natürlich erhalten.