Am 12.06.2015 hat der Deutsche Bundestag über das IT-Sicherheitsgesetz abgestimmt und  durch die Stimmen der Regierungsfraktionen mit Gegenstimmen der Opposition die vom Innenausschuss geänderte Fassung verabschiedet. Gegen das Votum der Opposition lehnte der Bundestag einen Entschließungsantrag von Bündnis 90/Die Grünen (Drucksache 18/5127) ab, in dem weitergehende, vor allem „grundrechts- und rechtsstaatskonforme“ Regelungen zur IT-Sicherheit gefordert werden.

Aus dem verabschiedeten Gesetz gehen verschiedene Forderungen hervor. So sind Betreiber Kritischer Infrastrukturen dazu verpflichtet, innerhalb von zwei Jahren angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für ihre Funktionsfähigkeit maßgeblich sind. Dazu müssen IT-Sicherheitsvorfälle sowie -Beinahvorfälle umgehend an das BSI gemeldet werden. Dem BSI muss außerdem innerhalb von zwei Monaten ein IT-Sicherheitsbeauftragter gemeldet werden, zusätzlich müssen die Unternehmen in regelmäßigen Abständen Auditergebnisse berichten. Somit hält das nun verabschiedete Gesetz einige Herausforderungen und neue Regularien bereit, die es zu bewältigen gilt.

Am 23. Juni tritt der Bundesrat zur 944. Sitzung des Ausschusses für Innere Angelegenheiten zusammen. Erster Punkt der Tagesordnung ist das neue IT-Sicherheitsgesetz. Während dieser Sitzung muss auch der Bundesrat über das Gesetz abstimmen, es wird jedoch bereits jetzt mit einer Zustimmung gerechnet.

Kurz nach Inkrafttreten des Gesetzes wird die Veröffentlichung des vom IT-Sicherheitsgesetz geforderten IT-Sicherheitskataloges durch die Bundesnetzagentur erwartet.

Vor der Abstimmung wurden nochmals einige Passagen des Gesetzes geändert bzw. hinzugefügt. Demzufolge werden Verstöße gegen Teile des Gesetzes als Ordnungswidrigkeiten mit Bußgeldern von bis zu 50.000 Euro, in einem gesonderten Fall bis zu 100.000 Euro festgelegt. Letzteres gilt für eine Zuwiderhandlung in Bezug auf die Beseitigung der Sicherheitsmängel nach Aufforderung durch das BSI. Weitere Ordnungswidrigkeiten bestehen zum einen darin, dass technische und organisatorische Sicherheitsmaßnahmen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig (innerhalb von zwei Jahren nach Inkrafttreten der Rechtsverordnung) getroffen werden. Zum anderen bestehen sie in einer Zuwiderhandlung in Bezug auf die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse sowie darin, dass eine Kontaktstelle nicht oder nicht rechtzeitig benannt wird. Ebenfalls fällt ein Bußgeld an, wenn eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gemacht wird.
Weitere Änderungen des Gesetzestextes sind folgende:

  • Der Stand der Technik soll bei der Umsetzung der technischen und organisatorischen Vorkehrungen zur Vermeidung von Störungen eingehalten und nicht nur berücksichtigt werden
  • Das BSI kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen Anforderungen an
    • die Art und Weise der Durchführung
    • die hierüber auszustellenden Nachweise
    • fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen
  • Soweit erforderlich kann das BSI bei Störung von Betreibern Kritischer Infrastrukturen vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung verlangen
  • Meldungen an das BSI müssen jetzt auch als zusätzliche Angabe die Art der betroffenen Einrichtung oder Anlage enthalten
  • Die Bundesbehörden sind verpflichtet, das BSI bei Maßnahmen zu unterstützen und hierbei den Zugang des BSI zu behördeninternen Protokolldaten sowie Schnittstellendaten sicherzustellen
  • Protokolldaten der Bundesgerichte dürfen nur in deren Einvernehmen erhoben werden
  • Das BSI erarbeitet Mindeststandards für die Sicherheit der Informationstechnik des Bundes. Das Bundesministerium des Inneren kann im Benehmen mit dem IT-Rat diese Mindeststandards ganz oder teilweise als allgemeine Verwaltungsvorschriften für alle Stellen des Bundes erlassen. Das BSI berät die Stellen des Bundes auf Ersuchen bei der Umsetzung und Einhaltung der Mindeststandards. Für die genannten Gerichte und Verfassungsorgane haben die Vorschriften empfehlenden Charakter
  • Der für die Rechtsverordnung als bedeutend anzusehende Versorgungsgrad ist anhand von branchenspezifischen Schwellenwerten für jede wegen ihrer Bedeutung als kritisch anzusehende Dienstleistung im jeweiligen Sektor zu bestimmen

Vier Jahre nach Inkrafttreten des Gesetzes wird dieses in Teilen unter Einbeziehung eines wissenschaftlichen Sachverständigen, der im Einvernehmen mit dem Deutschen Bundestag bestellt wird, evaluiert.