9. Dezember 2020: Kurzfristig 4. Referentenentwurf für das IT-SiG 2.0 veröffentlicht
von , veröffentlicht am 09.12.2020Zum 9. Dezember wurde eine weitere Entwurfsfassung des IT-SiG 2.0 veröffentlicht, die gegenüber dem Stand vom 02.12.2020 umfangreiche Änderungen enthält. Wesentliche Änderungen betreffen grundsätzlich folgende Bereiche:
- Konkretisierung der Angaben für den Erfüllungsaufwand der Verwaltung.
- Anpassungen in den Begriffsdefinitionen, so für Protokollierungsdaten, kritische Komponenten mit einer deutlich konkreteren bzw. einschränkenden Definition, und für die Bestimmung der Infrastrukturen im besonderen öffentlichen Interesse mit genaueren Kennzahlen.
- Kontrolle der Kommunikationstechnik des Bundes: Einfügen einer Regelung zur Absprache mit dem Betroffenen.
- BSI als allgemeine Meldestelle für Sicherheit in der Informationstechnik: Einfügen einer Regelung zum intendierten Ermessen zur Nutzung von gemeldeten Informationen.
- Änderung der Vorgaben zur Speicherung von Protokolldaten zum Zwecke der Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes. Anpassung der Verarbeitung behördeninterner Protokollierungsdaten.
- Angleichung der Bestandsdatenauskunft an die Vorgaben der Entscheidung des BVerfG vom 27. Mai 2020 („Bestandsdatenauskunft II“).
- Eingrenzung der Durchführung von Detektionsmaßnahmen für die Netz- und IT-Sicherheit („Hacker-Paragraf“) mit einer Beschränkung auf einen vorher bestimmten Bereich von IP-Adressen im Sinne einer Whitelist, die regelmäßig zu aktualisieren ist.
- Vorgaben des BSI: Änderung von „Benehmen“ auf „Einvernehmen“ für die Festlegung von Mindeststandards für die Sicherheit der Informationstechnik des Bundes.
- Änderung von Fristen für die KRITIS-Regelungen in § 8a BSIG und eine Anpassung bzw. Einschränkung der Vorlagepflicht von Betreiberdokumenten, soweit die Registrierungspflicht nicht erfüllt wurde.
- Regelungen zur IT-Sicherheit von Unternehmen in besonderem öffentlichen Interesse: Vom BSI bereitgestellte Formulare zur Selbsterklärung sind nicht mehr verbindlich, mit der Vorlage der Selbsterklärung besteht eine Registrierungspflicht beim BSI.
- Zeitliche Einschränkung der Betretensbefugnis des BSI zur Prüfung der Voraussetzungen der EU VO 2019/881 (EU Cybersecurity Act).
- Untersagung des Einsatzes kritischer Komponenten: Vornehmlich nur begriffliche Anpassungen.
- Freiwilliges IT-Sicherheitskennzeichen: Vornehmlich nur begriffliche Anpassungen.
- Erlass von konkretisierenden Rechtsverordnungen: Konkretisierung der Kennzahlen und Schwellenwerte für die größten Unternehmen in Deutschland, Einfügen einer Rechtsverordnung zur Offenlegung von Schnittstellen und zur Einhaltung etablierter technischer Standards.
- Bußgeldvorschriften: Eigenständige Sanktion fehlender Nachweiserbringung gem. § 8a Abs. 3 S. 1 BSIG, Aufnahme einer Fahrlässigkeitsregelung, Aufnahme einer Regelung für den Verstoß gegen Vorgaben aus dem EU CSA, die maximale Bußgeldhöhe bleibt unverändert, auch wurde der Gleichlauf mit der EU DS-GVO im Hinblick auf die Sanktionshöhe nicht wieder aufgenommen.
- Einfügen eines neuen § 14a BSIG (Institutionen der Sozialen Sicherung): Eigenständige Sanktionsregelung für Einrichtungen aus dem Sozialrecht.
Ansonsten wurden über den gesamten Gesetzentwurf verteilt verschiedene begriffliche Anpassungen bzw. Konkretisierungen und sprachliche Umstellungen vorgenommen.
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
1 Kommentar
Kommentare als Feed abonnierenalfons peus kommentiert am Permanenter Link
Mit Sicherheit wäre spaßig, einmal die sog. "Datenschutzbeauftragten" in Kultusministerien akribisch nach ihrem Regelungswahngesammel die Handhabung seit Februar 2020 im Schulwesen prüfen zu lassen.