Das neue IT-Sicherheitsgesetz 2.0 regelt unter anderem den Schutz der Bundesverwaltung, kritischer Infrastrukturen (KRITIS), sowie von Unternehmen im besonderen öffentlichen Interesse und den Verbraucherschutz. Welche Veränderungen bringt die Gesetzesnovelle für IT-Unternehmen? Dazu haben wir Dr. Dennis-Kenji Kipker gesprochen, er ist Jurist für IT-Sicherheitsrecht und Geschäftsführer der Certavo GmbH.
Herr Kipker, welche Leitlinien umfasst die deutsche Cyber-Sicherheitsstrategie 2021 und was bedeutet das für Unternehmen?
Kipker: Die Deutsche Cyber-Sicherheitsstrategie 2021 adressiert Cybersicherheit zur Gänze – vom Kleinen bis zum Großen. Dabei findet vor allem die Tendenz Berücksichtigung, Cybersicherheit nicht mehr nur für wirtschaftliche und gesellschaftskritische Einzelbereiche, sondern vermehrt für kleine und mittelständische Unternehmen branchenübergreifend zu betrachten. Es geht nicht nur um die Cybersicherheit als Qualitätsmerkmal für digitale Produkte und Dienstleistungen. Vor allem die verbesserte Vernetzung zwischen Staat und Wirtschaft wird angestrebt – mehr Informationsaustausch und proaktives Tätigwerden anstelle von reaktivem Handeln. Und das betrifft alle Unternehmen gleichermaßen.
Wie können sich deutsche Unternehmen auf die veränderten Anforderungen vorbereiten? Welche (Handlungs)felder/Bereiche sind davon besonders betroffen?
Kipker: Alle Unternehmen haben eine Rechtspflicht zu angemessenen IT-Sicherheitsmaßnahmen, das ist keineswegs neu und schon seit geraumer Zeit anerkannt. Verhältnismäßig neu ist aber, dass der Gesetzgeber in Sachen Cybersicherheit in den letzten Jahren deutlich nachgeschärft hat. Auffällig dabei vor allem: Mehr Unternehmen adressieren mit Compliance-Pflichten den breiten Markt. Das beginnt mit Verbraucherprodukten, über Industrie 4.0 und Smart Manufacturing, bis hin zu kritischen Komponenten mit Steuerungsfunktion, beispielsweise bei Energieversorgern. Wichtig ist es deshalb, sich frühzeitig einen Blick über seine unternehmerischen Tätigkeitsfelder zu verschaffen und darauf basierend die einschlägigen Rechtsvorgaben zu identifizieren. Für viele neue Regelungen gelten derzeit noch Übergangsfristen. Daher sollte man die Zeit nutzen, sich schon jetzt planvoll auf eventuelle neue Cybersecurity-Pflichten vorzubereiten.
Nach mehr als drei Jahren hat das IT-Sicherheitsgesetz es nun durch Bundestag und Bundesrat geschafft: Wo sehen Sie Chancen und Herausforderungen?
Kipker: Nicht alles neu macht das IT-Sicherheitsgesetz 2.0, aber doch einiges. Der Gesetzgeber hat erkannt, dass die Bedrohungslag der IT-Sicherheit nicht statisch ist, weshalb das Gesetz nunmehr auch neue Compliance-Pflichten vorsieht. Das betrifft den KRITIS-Bereich, die erweiterten Befugnisse des BSI, Lieferketten und digitale Souveränität und den Verbraucherschutz. Klar ist, dass das IT-SiG 2.0 hoch umstrittene Regelungen enthält, mit denen wir trotz aller Kritik nun aber vorerst einmal leben müssen. Eine Chance sehe ich deshalb einerseits darin, dass mit dem neuen und erweiterten Adressatenkreis der Regelungen noch flächendeckendere IT-Sicherheit als früher gewährleistet werden kann. Die Herausforderung liegt aber sicher darin, dass das IT-SiG 2.0 mit seinen zahlreichen Verweisen auf untergesetzliche Konkretisierung in zentralen Knackpunkten momentan noch eine Blackbox ist. Das wird vor allem in 2022 interessant werden.
Vielen Dank für das Gespräch und ihre Einschätzungen, Herr Kipker!
Mehr zum Thema erfahren Sie auf den Internet Security Days am 16. und 17. September im Vortrag „Cybersecurity-Regulierung 2021“ von Dr. Kipker. Tickets zur Veranstaltung gibt es hier.
