Recht: IT-Sicherheitsgesetz 2.0 analysiert

Inhaltsverzeichnis

Mit den Worten "ein guter Tag für die Cybersicherheit in Deutschland" ließ sich Bundesinnenminister Seehofer in einer Pressemitteilung seines Ministeriums zur Billigung des sogenannten IT-Sicherheitsgesetzes 2.0 durch den Bundesrat Anfang Mai 2021 zitieren. Deutlich weniger Euphorie spricht aus der Überschrift "Bundesrat lässt IT-Sicherheitsgesetz 2.0 zähneknirschend passieren". Beide Zitate umreißen, welche heftigen Auseinandersetzungen vor Abschluss des Gesetzgebungsverfahrens kurz vor Ende der laufenden Legislaturperiode über die Reform des IT-Sicherheitsgesetzes aus dem Jahr 2015 geführt wurden. Die Überarbeitung des Gesetzes war Gegenstand des Koalitionsvertrages der noch amtierenden Großen Koalition.

Das "Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" ist am 28. Mai 2021 in Kraft getreten, nachdem es am Tag zuvor im Bundesgesetzblatt veröffentlicht wurde. Der erste Entwurf der Gesetzesreform wurde im Frühjahr 2019 vorgelegt. Bis zuletzt gab es Streit über den Inhalt und einige Beobachter waren überrascht, dass der Bundesrat das Gesetz in dieser Form verabschiedete. Die Vielzahl der derzeit durch das Gesetzgebungsverfahren gebrachten Gesetzesvorhaben ist aber ein Beleg dafür, dass die laufende Legislaturperiode ihrem Ende im September 2021 entgegengeht. Und ab 3. Juli 2021 beginnt die parlamentarische Sommerpause, in der das politische Berlin in eine Art Sommerschlaf verfällt. Viel Zeit blieb also nicht mehr, die Vorhaben noch rechtzeitig abzuschließen.

Digitale Souveränität

• Die riskante Abhängigkeit der Bundesrepublik von amerikanische IT-Riesen
• Verwaltungen und Kommunen: Freie Software für die digitale Souveränität
• Digitale Souveränität bei kritischen Infrastrukturen (KRITIS)
• Digitale Souveränität bei Prozessoren
• Woran LiMux scheiterte und was wir daraus lernen können

Das IT-Sicherheitsgesetz 2.0 (IT SiG 2.0 oder auch BSIG für "BSI-Gesetz") enthält nicht nur zahlreiche Änderungen im Vergleich zur Version 1.0, sondern geht bereits auf die ebenfalls in Aktualisierung befindliche EU-NIS2-Richtlinie ein. Diese "Directive on Security of Network and Information Systems" soll den Rechtsrahmen für eine verbesserte Cybersecurity in der EU schaffen und die Vorgängerregelung aus dem Jahr 2016 ersetzen. Hier zeigt sich eine gewisse Parallelität zum IT-Sicherheitsgesetz: Die NIS-Richtlinie legt beispielsweise höhere Anforderungen an das Incident Response and Crisis Management fest und verlangt mehr Sicherheit in Lieferketten. Sie soll binnen 18 Monaten nach Inkrafttreten in nationales Recht umgesetzt werden.

Das war die Leseprobe unseres heise-Plus-Artikels "Recht: IT-Sicherheitsgesetz 2.0 analysiert". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.