header-placeholder


image header
image
privacy policy 2117996 960 720

Bundesrat kritisiert mangelnde Einbindung der Länder bei IT-Sicherheit

1004. Sitzung des Bundesrates am 7. Mai 2021

Am 7. Mai 2021 hat der Bundesrat das vom Bundestag am 23. April 2021 beschlossene zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme durch Verzicht auf ein Vermittlungsverfahren gebilligt.

Zusätzliche Entschließung

In einer begleitenden Entschließung üben die Länder allerdings deutliche Kritik daran, dass der Bund der Forderung nach einer stärkeren Einbindung der Länder zur Erhöhung der Sicherheit informationstechnischer Systeme im gesamten Bundesgebiet nicht nachgekommen ist. Zudem monieren sie, dass der Bund gegenüber den Ländern keine Unterrichtungspflicht eingeführt hat. Der Bundesrat fordert die Bundesregierung auf, eine normative Grundlage zu schaffen, um die nach Landesrecht zuständigen Stellen unverzüglich über relevante Informationen zu unterrichten, damit diese Gefahrenabwehrmaßnahmen ergreifen können.

Gesetzbeschluss dient Schutz der Bundesverwaltung

Das Gesetz dient dazu, in Anbetracht eines stetigen Zuwachses an IT-Schadprogrammen Schutzmechanismen und Abwehrstrategien ständig anzupassen. Konkret sieht es daher eine Verbesserung des Schutzes der IT der Bundesverwaltung unter anderem durch weitere Prüf- und Kontrollbefugnisse des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) und Festlegung von Mindeststandards vor. Auch werden Befugnisse zur Detektion von Schadprogrammen zum Schutz der Regierungsnetze geschaffen. Zugelassen wird zudem die Abfrage von Bestandsdaten bei Anbietern von Telekommunikationsdiensten, um Betroffene über Sicherheitslücken und Angriffe zu informieren.

Ferner soll das BSI die Befugnis erhalten, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen zu detektieren sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen.

Gefahrenabwehr

Überdies wird mit dem Gesetz eine Anordnungsbefugnis des BSI gegenüber Telekommunikations- und Telemedienanbietern zur Abwehr spezifischer Gefahren für die Informationssicherheit geschaffen. Die Pflichten für Betreiber kritischer Infrastrukturen und weiterer Unternehmen im besonderen öffentlichen Interesse werden ausgeweitet.

Verbraucherschutz und Sicherheitskennzeichen

Weitere Änderungen betreffen die Schaffung von Eingriffsbefugnissen für den Einsatz und Betrieb von kritischen Komponenten sowie die Etablierung von Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des BSI. Darüber hinaus wurden die Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen geschaffen, das die IT-Sicherheit der Produkte sichtbar macht, und das Bußgeldregime überarbeitet.

Weitere Schritte

Nach Unterzeichnung durch den Bundespräsidenten und Veröffentlichung im Bundesgesetzblatt kann das Gesetz wie geplant zum ganz überwiegenden Teil am darauffolgenden Tag in Kraft treten. Die begleitende Entschließung des Bundesrates wurde der Bundesregierung zugeleitet. Diese entscheidet, ob und wann sie sich damit befasst. Feste Fristen gibt es hierfür nicht.

Symbolfoto/pixabay