Am 07.05.2021 hat der Bundesrat das vom Bundestag am 23.04.2021 beschlossene zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme durch Verzicht auf ein Vermittlungsverfahren gebilligt.
Aus der Pressemitteilung des BR vom 07.05.2021 ergibt sich:
Zusätzliche Entschließung
In einer begleitenden Entschließung üben die Länder allerdings deutliche Kritik daran, dass der Bund der Forderung nach einer stärkeren Einbindung der Länder zur Erhöhung der Sicherheit informationstechnischer Systeme im gesamten Bundesgebiet nicht nachgekommen ist. Zudem monieren sie, dass der Bund gegenüber den Ländern keine Unterrichtungspflicht eingeführt hat. Der Bundesrat fordert die Bundesregierung auf, eine normative Grundlage zu schaffen, um die nach Landesrecht zuständigen Stellen unverzüglich über relevante Informationen zu unterrichten, damit diese Gefahrenabwehrmaßnahmen ergreifen können.
Gesetzbeschluss dient Schutz der Bundesverwaltung
Das Gesetz dient dazu, in Anbetracht eines stetigen Zuwachses an IT-Schadprogrammen Schutzmechanismen und Abwehrstrategien ständig anzupassen. Konkret sieht es daher eine Verbesserung des Schutzes der IT der Bundesverwaltung unter anderem durch weitere Prüf- und Kontrollbefugnisse des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) und Festlegung von Mindeststandards vor. Auch werden Befugnisse zur Detektion von Schadprogrammen zum Schutz der Regierungsnetze geschaffen. Zugelassen wird zudem die Abfrage von Bestandsdaten bei Anbietern von Telekommunikationsdiensten, um Betroffene über Sicherheitslücken und Angriffe zu informieren.
Ferner soll das BSI die Befugnis erhalten, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen zu detektieren sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen.
Gefahrenabwehr
Überdies wird mit dem Gesetz eine Anordnungsbefugnis des BSI gegenüber Telekommunikations- und Telemedienanbietern zur Abwehr spezifischer Gefahren für die Informationssicherheit geschaffen. Die Pflichten für Betreiber kritischer Infrastrukturen und weiterer Unternehmen im besonderen öffentlichen Interesse werden ausgeweitet.
Verbraucherschutz und Sicherheitskennzeichen
Weitere Änderungen betreffen die Schaffung von Eingriffsbefugnissen für den Einsatz und Betrieb von kritischen Komponenten sowie die Etablierung von Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des BSI. Darüber hinaus wurden die Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen geschaffen, das die IT-Sicherheit der Produkte sichtbar macht, und das Bußgeldregime überarbeitet.
Weitere Schritte
Nach Unterzeichnung durch den Bundespräsidenten und Veröffentlichung im Bundesgesetzblatt kann das Gesetz wie geplant zum ganz überwiegenden Teil am darauffolgenden Tag in Kraft treten. Die begleitende Entschließung des Bundesrates wurde der Bundesregierung zugeleitet. Diese entscheidet, ob und wann sie sich damit befasst. Feste Fristen gibt es hierfür nicht
Weitere Informationen
Gesetzesbeschluss des Deutschen Bundestages: Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (BR-Drs. 324/21 – PDF, 338 KB)
Gesetzentwurf der Bundesregierung: Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (BT-Drs. 19/26106 – PDF, 1,6 MB)