IT-Recht aktuell - Teil 2: IT-Sicherheit

Digitale Technologien sind heute ein wichtiger Faktor für den Erfolg von Unternehmen. Je mehr sie sich durchsetzen und je stärker sich Unternehmen vernetzen, desto mehr Risiken setzen sie sich aus. Cyber-Angriffe bilden eine wachsende Gefahr für Unternehmen, sie bergen enormes Schadenspotenzial. Und es wird für Angreifer immer einfacher, etwa sogenannte DDoS-Attacken oder Malware einzusetzen. Auch auf Seiten der Gesetzgeber spielt das Thema IT-Sicherheit eine wichtige Rolle. Im zweiten Teil unserer Reihe zum IT-Recht werfe ich einen Blick auf aktuelle Gesetze und Richtlinien zum Thema IT-Sicherheit.

IT-Sicherheitsgesetz 2.0

Am 1. Dezember 2021 ist das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz 2.0) in Kraft getreten. Damit erhält das Bundesamt für Sicherheit in der Informationstechnik (BSI) neue Kompetenzen, die seine Arbeit als Cyber-Sicherheitsbehörde des Bundes deutlich stärken. Das IT-Sicherheitsgesetz 2.0 schafft die Voraussetzungen für ein einheitliches, freiwilliges IT-Sicherheitskennzeichen. Es macht die IT-Sicherheit von Verbraucherprodukten und Dienstleistungen im IT-Bereich sichtbar.

Das Gesetz erweitert die Einstufung der als Kritische Infrastrukturen (KRITIS) bewerteten Sektoren deutlich. Neben den bestehenden Sektoren zählt nun auch die Siedlungsabfallentsorgung dazu. Daneben müssen künftig auch weitere Unternehmen im besonderen öffentlichen Interesse (zum Beispiel Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung) bestimmte IT-Sicherheitsmaßnahmen umsetzen.

Unternehmen haben künftig mehr Pflichten bei der Cyber-Security, zugleich erhält der Staat mehr Weisungsbefugnisse. Die Neuerungen der EU-Richtlinien von NIS2 und RCE sind bereits enthalten. Die Betreiber müssen ihre kritischen Infrastrukturen künftig beim BSI registrieren. Darüber hinaus werden die Unternehmen verpflichtet, ab 1. Mai 2023 Systeme zur Angriffserkennung einzusetzen. Neu geregelt werden auch die Voraussetzungen für den Einsatz sogenannter kritischer Komponenten.

Neue NIS-Richtlinie zur Cyber-Security

Die EU-Kommission hat am 16.12.2020 einen Entwurf einer neuen NIS-Richtlinie für Mindestanforderungen der IT-Sicherheit in kritischen Infrastrukturen vorgelegt. Sie soll die bisherige Richtlinie ablösen und den Anwendungsbereich der Richtlinie über Netz- und Informationssicherheit (NIS-RL) deutlich erweitern. Bei digitalen Infrastrukturen sollen unter anderem Betreiber von Internet-Knoten, Rechenzentren, Vertrauensdienstanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetzwerke und Anbieter elektronischer Kommunikationsdienste hinzukommen. Zudem sind Maßnahmen zur Cyber-Security geplant, die von wesentlichen und wichtigen Einrichtungen für die Erbringung ihrer Dienste genutzt werden.

Relevante Änderungen identifizieren

Angesichts der Vielfalt der neuen Gesetze und Verordnungen ist es eine Herausforderung, die für das eigene Unternehmen relevanten Änderungen zu identifizieren. Wir unterstützen Sie dabei und beraten bei allen Aspekten rund um IT-Recht und IT-Sicherheit. Dabei helfen wir ihnen, die aktuellen Entwicklungen im Blick zu behalten, relevante Themen zu identifizieren und diese vertraglich umzusetzen.

IT-Recht aktuell_Serie:

• Maren Bianchini-Hartmann: Überblick IT-Rechtsentwicklung
• Maren Bianchini-Hartmann: IT-Sicherheit
• Michaela Witzel: IT-Vertragsrecht
• Maren Bianchini-Hartmann: KI & E-Justice
• Danielle Hertneck: Urheberrecht
• Danielle Hertneck: Geschäftsgeheimnisrecht
• Danielle Hertneck: Wettbewerbsrecht

Maren Bianchini-Hartmann, LL.M. (Fordham University School of Law),
Rechtsanwältin | attorney-at-law (New York)
bianchini@web-partner.de