IT-Sicherheitsgesetz 2.0: Unklare Rechtslage für KRITIS-Betreiber

Das IT-Sicherheitsgesetz 2.0 bringt teils gravierende Veränderungen für mehrere Gesetze, darunter maßgeblich für das BSI-Gesetz. Die Kompetenzen, Personalausstattung und Aufgaben des BSI wurden wesentlich ausgeweitet. Mit fast 800 neu geschaffenen Stellen sollen die mit dem technischen Wandel verbundenen anstehenden Herausforderungen bewältigt werden. Dem BSI kommt etwa die Aufgabe zu, auch im Sinne eines verstärkten Verbraucherschutzes, die Öffentlichkeit über aktuelle Gefahren für die IT-Sicherheit zu informieren und als unabhängige Beratungsstelle für Verbraucher zu Fragen der IT-Sicherheit zu fungieren. Zudem obliegt dem BSI der Schutz der IT-Systeme des Bundes, Erkennung und Abwehr von Cyberangriffen sowie die Prüfung, Zertifizierung und Akkreditierung von IT-Produkten und IT-Dienstleistungen.

Foto: Dusan Petkovic – shutterstock.com

Umfassende Pflichten für KRITIS-Betreiber

Korrespondierend bestehen umfassende Pflichten für Betreiber von Kritischen Infrastrukturen (KRITIS), deren Verletzung mit teils empfindlichen Bußgeldern von bis zu 2 Mio. Euro (plus Option auf Verzehnfachung) geahndet werden kann. Der Bund unterstützt mit einem KRITIS-Leitfaden für Unternehmen und Behörden.

Untersagungsmöglichkeit von kritischen Komponenten durch das BMI

Das wohl stärkste neue Instrument zur Durchsetzung der vorgenannten Ziele in der Praxis ist die nach dem Gesetz nun mögliche Untersagung des Einsatzes einer Komponenten. Das Bundesministerium des Innern, für Bau und Heimat (“BMI”), als gegenüber dem BSI weisungsbefugte Behörde, hat nach dem BSIG nun die Möglichkeit zur ex ante Untersagung, also eine solche, die vor dem geplanten Einsatz einer kritischen Komponente erfolgt. Voraussetzung dafür ist zunächst, dass das von einer etwaigen Untersagungsverfügung adressierte Unternehmen ein Betreiber Kritischer Infrastruktur ist, mithin zur Erbringung von einer kritischen Dienstleistung eine Anlage betreibt. Wann eine solche Kritische Infrastruktur gegeben ist, richtet sich nach der BSI-KritisV, deren geänderte Fassung am 1. Januar 2022 in Kraft tritt. Die Betreiberstellung kann dabei nicht umgangen werden, indem sich der Betreiber beim Betrieb der Anlage oder der hierfür erforderlichen informationstechnischen Systeme Dritter (IT-Dienstleister) bedient. Solange nicht der bestimmende Einfluss (durch Weisungs- und Kontrollrechte) über die Anlage aufgegeben wird, ist das Unternehmen als Betreiber der kritischen Infrastruktur anzusehen.

Lesetipp: NIS-Richtlinie für KRITIS – Kann Europa Cyberangriffen ein Ende setzen?

Damit eine Untersagung erfolgen kann, müssten schließlich beim Betrieb der Kritischen Infrastruktur kritische Komponenten eingesetzt worden sein, wodurch die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt wird.

Der erste geplante Einsatz einer kritischen Komponente muss vom Betreiber der kritischen Infrastruktur dem BMI angezeigt werden. Eine Komponente ist nur dann als kritisch anzusehen, wenn dies ausdrücklich durch Gesetz bestimmt ist oder soweit die dahinter stehende Funktion durch Gesetz als kritisch eingeordnet wird. Nach der von der Bundesnetzagentur veröffentlichen Liste fällt darunter bisher lediglich der Bereich der öffentlichen Telekommunikationsnetze und -dienste. Es kann jedoch eine dynamische Erweiterung dieser Liste erfolgen. Einschränkend kommt bisher hinzu, dass das BMI den Einsatz kritischer Komponenten nur gegenüber dem Betreiber der kritischen Infrastruktur untersagen kann, für deren Sektor diese kritische Komponente definiert ist. Auch wenn sich das Unternehmen eines Dritten als Hersteller bedient, dessen Komponenten als kritisch eingestuft werden, kann das BMI auf dieser Grundlage den Einsatz nicht gegenüber dem Unternehmen untersagen.

Ex-Post Untersagung: eine Frage des Einzelfalls

Zudem kann eine nachträgliche Untersagung drohen. Denn Komponenten können auch nach dem Ersteinsatz per Gesetz als kritische Komponente bestimmt werden. Zu beachten ist, dass das BMI nicht an eine abschließende Liste gebunden ist. Mangels klarer Positionierung des BMI bewirkt diese Offenheit eine große Unsicherheit in Bezug auf die sichere Herstellerwahl. Ein Verbot setzt weiter voraus, dass eine Gefahr für die öffentliche Sicherheit und Ordnung vorliegt, insbesondere wenn der Hersteller einer kritischen Komponente nicht “vertrauenswürdig” ist. Dabei handelt es sich um eine Einzelfallfrage, die auch von den eingesetzten kritischen Komponenten selbst abhängt. Weitere zu erwägende Faktoren sind etwa, ob der Hersteller Schwachstellen nicht unverzüglich nach Kenntniserlangung beseitigt und ob er dabei seiner Meldepflicht nachkommt.

Die Causa Huawai

Seit Jahren wird die Vertrauenswürdigkeit und der Umgang speziell mit dem chinesischen Hersteller Huawei diskutiert. Über Huawei als Hersteller wurde teilweise im Zusammenhang mit Sicherheitslücken in Produkten berichtet, beispielsweise bei Routern oder durch Backdoor-Zugänge in der globalen Netzwerktechnik. Auch von einer unzureichenden Beseitigung von Schwachstellen durch Huawei ist die Rede. Fraglich ist, ob deswegen Huawei zukünftig als nicht vertrauenswürdig eingestuft werden könnte. (bw)