Am 28. Januar 2021 debattierte der Bundestag den Entwurf des 2. Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme („IT-SIG 2.0“). Der Entwurf wird von der Opposition und zahlreichen Verbänden teils heftig kritisiert. Diese befürchten bürokratische Mehrkosten ohne erkennbaren Gewinn für die Cybersicherheit der Unternehmen und verlangen zahlreiche Nachbesserungen des Gesetzesentwurfs.
Worum geht es im IT-SIG 2.0?
Sollte es z. B. bei Betreibern Kritischer Infrastrukturen zu größeren IT-Störungen kommen, hat dies nicht nur für die einzelnen Unternehmen Auswirkungen, sondern birgt auch eine erhebliche Gefahr für weitere negative Auswirkungen auf große Teile der Bevölkerung. Der Gesetzgeber möchte daher das bestehende IT-Sicherheitsgesetz von 2015 anpassen. Damit soll die Cybersicherheit gestärkt werden, um Cyber-Angriffe, wie z. B. auf das Auswärtige Amt oder das Berliner Kammergericht, zu verhindern.
Wieso betrifft ein Gesetz zur Cybersicherheit Entsorgungsunternehmen?
Der Gesetzesentwurf soll unter anderem die bestehenden Meldepflichten von Betreibern Kritischer Infrastrukturen ausweiten. Zu den betroffenen Sektoren gehören bislang z. B. die Energie- und Wasserversorgung. Zukünftig sollen auch Unternehmen aus dem Sektor „Siedlungsabfallentsorgung“ als Betreiber Kritischer Infrastrukturen gelten. Der Gesetzesentwurf rechnet mit ca. 100 betroffenen Unternehmen. Welche Entsorgungsunternehmen dies im Einzelnen sind, steht noch nicht fest. Dies soll in Änderungen der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz („BSI-KritisV“) geregelt werden, welche Schwellenwerte und Übergangsvorschriften enthalten soll.
Ferner werden mit der neuen Kategorie von „Unternehmen im besonderen öffentlichen Interesse“ weitere Teile der Wirtschaft einbezogen. Dazu gehören neben Betrieben, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben, wie z. B. die Automobilindustrie, auch Betriebe nach der Störfall-Verordnung.
Welche Pflichten können sich für Entsorgungsunternehmen aus dem IT-SIG 2.0 ergeben?
Sobald Entsorgungsunternehmen als Betreiber Kritischer Infrastruktur gelten, müssen diese die gesetzlich festgelegten Mindeststandards zum Schutz der IT-Systeme einhalten und werden zur Umsetzung organisatorischer und technischer Cybersicherheitsmaßnahmen verpflichtet, die im Einzelnen gesetzlich geregelt sind. Auch Entsorgungsunternehmen müssen sich dann beim Bundesamt für Sicherheit in der Informationstechnik registrieren und diesem Störungen unverzüglich melden.
Besonders umstritten ist die im Gesetzesentwurf vorgesehene Pflicht zur Anzeige des Einsatzes sog. Kritischer Komponenten beim Bundesministerium des Innern, für Bau und Heimat („BMI“). Welche als solche einzustufen sind, ist bislang nur für den Sektor IT und Telekommunikation geregelt und wird für die übrigen Sektoren ggf. noch gesetzlich festgelegt. Vor dem Einsatz dieser Kritischen Komponenten sind Garantieerklärungen des Herstellers beizubringen. Falls dies nicht erfolgt, kann eine Untersagung der Verwendung oder sogar ein Rückbau der bereits eingesetzten Kritischen Komponenten angeordnet werden.
Wie geht es weiter?
Der Entwurf wurde nun zur weiteren Beratung in den federführenden Ausschuss des Bundestags für Inneres und Heimat überwiesen. Der weitere Gesetzgebungsprozess wird darüber entscheiden, welche Pflichten (Entsorgungs-)Unternehmen im Bereich der Cybersicherheit zukünftig erfüllen müssen, und sollte daher umfassend begleitet werden.
Dies gilt für Entsorgungsunternehmen im erhöhten Maß für die bevorstehenden Änderungen der BSI-KritisV, damit realitätsnahe Ausgestaltungen der Schwellenwerte, ggf. differenziert nach Stoffströmen, sowie der Übergangsfristen gewährleistet werden.
Sollte das IT-SIG 2.0 in Kraft treten, ist zu beachten, dass Verstöße gegen zahlreiche Pflichten als Ordnungswidrigkeit geahndet werden können (je nach Verstoß mit einem Bußgeld von bis zu 2 Mio./ 1 Mio./ 500.000 bzw. 100.000 EUR). Ferner ist durch den Verweis auf § 30 OWiG eine Verzehnfachung dieses Höchstrahmens möglich, wenn sich die Geldbuße gegen juristische Personen oder Personenvereinigungen richtet. Vor diesem Hintergrund ist die Einhaltung der zahlreichen neuen Pflichten unternehmensintern durch entsprechende Delegation der neuen Aufgaben an zuverlässige und geeignete Personen sicherzustellen.
Weitere Informationen:
Der Gesetzesentwurf ist abrufbar hier.
Die Stellungnahmen der Verbände zu dem letzten Entwurf vor dem Kabinettsbeschluss finden Sie hier.
Haben Sie Fragen in diesem Zusammenhang? Sprechen [oder mailen] Sie uns gerne an!