Das IT-Sicherheitsgesetz 2.0 – der unmittelbare Adressatenkreis des BSIG ist deutlich gewachsen

08.10.2021 – Über die Eckpfeiler, die das neue IT-Sicherheitsgesetz 2.0 mit sich bringt, hatten wir bereits in unserem Public Sector Newsletter 02/2021 („IT-Sicherheitsgesetz 2.0 verabschiedet“) informiert. Ein wesentlicher Bestandteil der Reform ist die Erweiterung des Adressatenkreises des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Mit Verabschiedung der zweiten Änderungsverordnung der Verordnung zur Bestimmung Kritischer Infrastrukturen (KRITIS-VO) durch das Bundeskabinett am 19. August 2021, deren Änderungen am 1. Januar 2022 in Kraft treten, nimmt dieser nun zunehmend Gestalt an.

Bekannt war bereits, dass die kritischen Infrastrukturen (KRITIS) um den Sektor der Siedlungsabfallentsorgung ergänzt werden (§ 2 Abs. 10 Nr. 1 BSIG). Die im Zuge des IT-Sicherheitsgesetzes 2.0 erforderlichen Anpassungen der KRITIS-VO führen nunmehr zahlreiche neue Anlagenkategorien in die bereits regulierten Sektoren ein, insbesondere in den Bereichen Energie, Transport und Finanzen, und setzen mehrere Schwellenwerte für die Qualifizierung von Anlagen als kritisch herab. Bis zu 300 neue Anlagenbetreiber werden deutschlandweit betroffen sein.

Beachtenswert ist zudem, dass auch die noch näher zu definierenden Unternehmen im besonderen öffentlichen Interesse und deren Zulieferer mit Alleinstellungsmerkmalen im Kontext der IT-Sicherheit reguliert werden. Entsprechende Änderungsverordnungen stehen noch aus.

Die Neuerungen dürften neben den unmittelbaren Adressaten des BSIG auch den IT-Mittelstand, insbesondere (potenzielle) IT-Lieferanten und IT-Dienstleister der regulierten Anlagenbetreiber und sonstigen Unternehmen, aufhorchen lassen. Zwar werden nur wenige als (1.) Zulieferer mit Alleinstellungsmerkmalen unmittelbar in den Anwendungsbereich des BSIG fallen; für (2.) Hersteller sogenannter kritischer Komponenten und (3.) weitere IT-Zulieferer könnten die Neuerungen jedoch auf vertraglicher Ebene relevant werden. Im Einzelnen:

Zulieferer mit Alleinstellungsmerkmalen der größten deutschen Unternehmen mit erheblicher volkswirtschaftlicher Bedeutung

Das BSIG sieht nunmehr sicherheitsspezifische Pflichten auch für Unternehmen im besonderen öffentlichen Interesse vor. Hierunter fallen gemäß § 2 Abs. 14 BSIG unter anderem die größten deutschen Unternehmen gemessen an ihrer inländischen Wertschöpfung, das heißt an ihrer volkswirtschaftlichen Bedeutung, und zugleich deren Zulieferer, die wegen ihrer Alleinstellungsmerkmale von besonderer Bedeutung sind.

Noch nicht abschließend geklärt ist, welche Unternehmen gemäß welchen wirtschaftlichen Kennzahlen als „größte Unternehmen in Deutschland“ einzuordnen sind und welche Alleinstellungsmerkmale die angesprochenen Zulieferer erfüllen müssen: Zeichnen sich Letztere durch technischen Vorsprung aus, genügen preisliche oder rechtliche Faktoren, wie etwa eine längerfristige Exklusivitätsvereinbarung? Die relevanten Kriterien und Kennzahlen legt das Bundesministerium des Innern, für Bau und Heimat (BMI) in einer weiteren Rechtsverordnung fest. Zumindest die deutschen DAX-Unternehmen rechnen damit, dem erweiterten Adressatenkreis des BSIG anzugehören. Weitere potenzielle Kandidaten sind den Gutachten der Monopolkommission, dem unabhängigen Beratungskriterium der Bundesregierung im Bereich Wettbewerb und Regulierung, zu entnehmen.

Sowohl die Unternehmen im besonderen öffentlichen Interesse als auch ihre Zulieferer mit Alleinstellungsmerkmal unterliegen einem – im Verhältnis zu den KRITIS-Betreibern – abgespeckten eigenen Pflichtenkreis, bestehend u. a. aus der Registrierungspflicht beim BSI, regelmäßigen Selbsterklärungen zur eigenen IT-Sicherheit sowie der Pflicht zur unverzüglichen Meldung von Störungen ihrer IT-Systeme (§ 8f BSIG).

Hersteller kritischer Komponenten der KRITIS

Von den Neuerungen jedenfalls mittelbar betroffen sind auch diejenigen IT-Zulieferer, die Hersteller sogenannter kritischer Komponenten gemäß § 2 Abs. 13 BSIG sind. Kritische Komponenten im Sinne des BSIG sind demzufolge IT-Produkte, die von hoher Bedeutung für die Funktionsfähigkeit der KRITIS sind oder deren Störung zu einer Gefährdung der öffentlichen Sicherheit führen kann – und die entweder gesetzlich als kritische Komponenten eingestuft werden oder eine gesetzlich als kritisch bestimmte Funktion realisieren. Eine Vorreiterrolle nimmt insoweit der Telekommunikationssektor ein, wo man sich schon länger mit kritischen Komponenten – insbesondere ausländischer Zulieferer – befasst (Stichwort: „Lex Huawei“). Die Bundesnetzagentur hat im Einvernehmen mit dem BSI dementsprechend bereits eine erste Auflistung kritischer Funktionen gemäß § 109 Abs. 6 Satz 1 Nr. 2 TKG für öffentliche Telekommunikationsnetze und -dienste mit erhöhtem Gefährdungspotenzial veröffentlicht. Hierin genannt sind u. a. die sogenannten „Core Network Functions“ für das 5G-Netz, wie beispielsweise die Speicherung von Endnutzer- und Netzwerkdaten. Vergleichbare Festlegungen für andere Sektoren sind bisher nicht bekannt.

Komplett neu ist die Regelung des § 9b Abs. 3 BSIG zur Anzeigepflicht der regulierten Anlagenbetreiber und einer möglichen Untersagung oder Einschränkung des Einsatzes solcher kritischen Komponenten durch das BMI. Der Anzeige des Anlagenbetreibers muss eine Erklärung des Zulieferers zu seiner Vertrauenswürdigkeit (Garantieerklärung) beigefügt werden. Aus dieser muss hervorgehen, wie er als Hersteller sicherstellt, dass die kritische Komponente nicht über technische Eigenschaften verfügt, die spezifisch geeignet sind, missbräuchlich, insbesondere zum Zwecke von Sabotage, Spionage oder Terrorismus, auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der KRITIS einwirken zu können. Die Mindestanforderungen legt das BMI im Einvernehmen mit den weiteren jeweils zuständigen Stellen im Wege einer Allgemeinverfügung fest.

Das Erfordernis der Garantieerklärung wird sich auf die gesamte Lieferkette einer kritischen Komponente auswirken. Denn die Garantieerklärung kann zu einer verschuldensunabhängigen Haftung des Herstellers der kritischen Komponente gegenüber dem KRITIS-Anlagenbetreiber führen, sodass dieser ein erhebliches Interesse daran hat, die damit verbundenen Risiken ggf. sehr hoher Schadensersatzforderungen auch über seine Lieferanten – zum Beispiel durch Einholung vergleichbarer Erklärungen – abzufedern. Es sind mithin sämtliche beteiligten Akteure angehalten, sich mit den Anforderungen des § 9b BSIG auseinanderzusetzen. Dies gilt zunächst für betroffene IT-Lieferanten im Telekommunikationssektor. Es ist jedoch damit zu rechnen, dass der Gesetzgeber zukünftig auch in weiteren KRITIS-Sektoren Anlagenkomponenten als kritisch qualifiziert.

Auch andere IT-Lieferanten und IT-Dienstleister mittelbar betroffen

Mit dem erweiterten Adressatenkreis dürfte zugleich die Zahl der IT-bezogenen Aufträge der nach dem BSIG regulierten Anlagenbetreiber und sonstigen Unternehmen insgesamt wachsen, bei deren vertraglicher Ausgestaltung die Vorgaben des BSIG zu berücksichtigen sind. Denn nicht nur gehört die IT- und Telekommunikationsbranche selbst zu den regulierten Sektoren – mit zahlreichen (neuen) Pflichten. Mit fortschreitender Digitalisierung ist der IT-Mittelstand zugleich auch wesentliche Stütze der weiteren Sektoren und Unternehmen im besonderen öffentlichen Interesse.

Es steht außer Frage, dass die regulierten Auftraggeber ihre Auftragnehmer entsprechend vertraglich binden möchten und müssen, um den eigenen gesetzlichen Pflichten nachzukommen, zumal die ebenfalls neu gefassten Bußgeldtatbestände nicht nur inhaltlich entsprechend des erweiterten Pflichtenkatalogs angepasst wurden, sondern auch das maximale Bußgeld von 100.000 € analog zur EU-Datenschutzgrundverordnung auf 20.000.000 € bzw. 4 % des weltweiten Unternehmensumsatzes angehoben wurde.

IT-Lieferanten und IT-Dienstleister, deren (potenzielle) Auftraggeber erstmals zum Adressatenkreis des BSIG gehören, werden unter Umständen erstmals mit den Pflichten ihrer Auftraggeber nach dem BSIG konfrontiert werden. IT-Auftragnehmer der als Unternehmen im besonderen öffentlichen Interesse zu qualifizierenden Auftraggeber bzw. deren Zulieferer mit Alleinstellungsmerkmal müssen sich beispielsweise mit den gesetzlichen Anforderungen an die zuvor erwähnte Selbsterklärung zur IT-Sicherheit auseinandersetzen. Die noch strenger regulierten Anlagenbetreiber sind und waren insbesondere dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme zu treffen (§ 8a Abs. 1 BSIG). Wie den Hinweisen des BSI zur Umsetzung der Kriterien des § 8a Absatz 1 BSIG zu entnehmen ist, müssen etwa Vertraulichkeitserklärungen der Lieferanten und Dienstleister eingeholt werden, zudem sind diese vertraglich zu Schulungen von eigenen Mitarbeitern und Subunternehmern hinsichtlich spezifischer Sicherheitsanforderungen des Auftraggebers sowie allgemein zum Thema IT-Sicherheit zu verpflichten. Ferner ist vertraglich sicherzustellen, dass Lieferanten und Dienstleister der BSIG-Adressaten in die gesetzlich vorgeschriebenen Testpflichten zur Betriebskontinuität einbezogen werden können und dass die Erfüllung regelmäßiger und anlassbezogener Überwachungs- und Kontrollpflichten gewährleistet ist.

Der bisherige Pflichtenkatalog der Anlagenbetreiber wurde mit dem IT-Sicherheitsgesetz 2.0 noch erweitert. Neben verschiedenen neuen Registrierungs-, Anzeige-, Auskunfts- und Nachweispflichten ist § 8a Abs. 1a BSIG hervorzuheben. Danach umfassen die angemessenen Vorkehrungen gemäß § 8a Abs. 1 BSIG nunmehr auch die Pflicht, ab dem 1. Mai 2023 Systeme zur Angriffserkennung einzusetzen, die fortwährend Bedrohungen identifizieren und vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen sollen.

Schließlich besteht unter den Voraussetzungen des neu eingefügten § 7a BSIG ein direkter Auskunftsanspruch des BSI gegen Hersteller von IT-Produkten und Systemen, der auch technische Details umfasst.

Für den IT-Mittelstand heißt das im Ergebnis einerseits, dass sich mit dem IT-Sicherheitsgesetz 2.0 neue Auftragsfelder ergeben, andererseits, dass sie gut vorbereitet sein sollten, um bei potenziellen Auftraggebern punkten zu können.

• In einem ersten Schritt sollte gemeinsam mit bestehenden und potenziellen neuen Auftraggebern geklärt werden, ob diese dem erweiterten Adressatenkreis des BSIG angehören. Dies gilt insbesondere für die IT-Zulieferer der größten deutschen Unternehmen, deren Einordnung als Unternehmen im besonderen öffentlichen Interesse noch aussteht.
• Unterliegt der Auftraggeber den Regulierungen, sollten bestehende und neu abzuschließende Verträge auf ihre Konformität mit dem BSIG hin geprüft werden – etwa, weil der Auftraggeber erstmals zum Adressatenkreis gehört oder weil für ihn neue Pflichten bestehen, die sich auf das Auftragsverhältnis auswirken könnten. Besonderes Augenmerk ist dabei auf haftungsrechtliche Themen im Bereich IT-Sicherheit, etwa auf Zusicherungen, Haftungsobergrenzen, Freistellungsansprüche im Zusammenhang mit Bußgeldern oder Vertragsstrafen zu legen.
• Entsprechenden vertraglichen Sanktionsmechanismen werden sich IT-Auftragnehmer nur bedingt entziehen können. Damit einhergehende Risiken sollten bei Neuaufträgen daher von Anfang an eingepreist werden; bei bestehenden Verträgen können Preisanpassungsmechanismen – soweit vorhanden – genutzt werden, die bei Änderungen der gesetzlichen Rahmenbedingungen greifen. Zentrales Thema ist letztlich der eigene Versicherungsschutz und der Abschluss oder die Aufstockung von Cyber-Versicherungen.

Haben Sie Fragen oder weiteren Informationsbedarf?

Sprechen Sie uns an