Der Innenausschuss hat den Weg für das von der Bundesregierung vorgelegte „IT-Sicherheitsgesetz 2.0“ freigemacht.
Aus hib – heute im bundestag Nr. 527 vom 21.04.2021 ergibt sich:
Gegen die Stimmen aller Oppositionsfraktionen verabschiedete das Gremium am Mittwochvormittag den Regierungsentwurf des „Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ (BT-Drs. 19/26106 – PDF, 1,6 MB) in modifizierter Fassung. Mit der Vorlage, die am Freitag zur abschließenden Beratung auf der Tagesordnung des Bundestagsplenums steht, soll der mit dem IT-Sicherheitsgesetz vom Juli 2015 geschaffene Ordnungsrahmen „entsprechend dem Auftrag aus dem Koalitionsvertrag für die 19. Legislaturperiode“ erweitert werden.
In der Vorlage verweist die Bundesregierung darauf, dass die Gewährleistung der Cyber- und Informationssicherheit ein Schlüsselthema für Staat, Wirtschaft und Gesellschaft sei, die gerade mit Blick auf die zunehmende Digitalisierung aller Lebensbereiche auf funktionierende Informations- und Kommunikationstechnik angewiesen seien. Cyber-Angriffe stellten daher ein großes Gefahrenpotential dar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachte einen stetigen Anstieg von Schadprogrammen; jährlich kämen mehr als 100 Millionen neue Varianten hinzu.
Insgesamt sei „Cyber-Sicherheit nicht statisch“ und ein aktuelles Schutzniveau „daher kein Garant für eine erfolgreiche Abwehr der Angriffe von morgen“, führt die Bundesregierung weiter aus. Daher bedürfe es einer ständigen Anpassung und Weiterentwicklung der Schutzmechanismen und der Abwehrstrategien.
Zu den mit dem Gesetz geplanten Änderungen zählt den Angaben zufolge eine Verbesserung des Schutzes der IT der Bundesverwaltung unter anderem durch weitere Prüf- und Kontrollbefugnisse des BSI und Festlegung von Mindeststandards durch das Bundesamt. Auch sollen Befugnisse zur Detektion von Schadprogrammen zum Schutz der Regierungsnetze geschaffen werden. Vorgesehen ist zudem die Abfrage von Bestandsdaten bei Anbietern von Telekommunikationsdiensten, um Betroffene über Sicherheitslücken und Angriffe zu informieren. Ebenso soll das BSI die Befugnis erhalten, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen zu detektieren sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen.
Ferner soll mit dem Gesetz eine Anordnungsbefugnis des BSI gegenüber Telekommunikations- und Telemedienanbietern zur Abwehr spezifischer Gefahren für die Informationssicherheit geschaffen und die Pflichten für Betreiber Kritischer Infrastrukturen und weiterer Unternehmen im besonderen öffentlichen Interesse ausgeweitet werden. Weitere Änderungen betreffen die Schaffung von Eingriffsbefugnissen für den Einsatz und Betrieb von kritischen Komponenten sowie die Etablierung von Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des BSI. Darüber hinaus sollen die Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen geschaffen werden, das die IT-Sicherheit der Produkte sichtbar macht, und das Bußgeldregime überarbeitet werden.
Mit den Stimmen der Koalitionsmehrheit nahm der Ausschuss einen Änderungsantrag der CDU/CSU- und der SPD-Fraktion an. Danach sollen etwa die „Unternehmen im besonderen öffentlichen Interesse durch wesentliche Zulieferer der nach ihrer inländischen Wertschöpfung größten Unternehmen in Deutschland ergänzt“ werden. Ferner sollen unter anderem bei den Regelungen zur Befugnis des Bundesministeriums des Innern, für Bau und Heimat, den Einsatz einer kritischen Komponente in Einzelfall zu untersagen, als Eingriffsvoraussetzung „voraussichtliche Beeinträchtigungen der öffentlichen Sicherheit und Ordnung“ genannt werden.