R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
BB - Betriebs-Berater
Header Pfeil
 
 
Die Weiterentwicklung des IT-Sicherheitsgesetzes (2021), S. VII 
Inhaltsverzeichnis 
Steve Ritter 

VII Inhaltsverzeichnis

  1. Vorwort
  2. Abkürzungsverzeichnis
  3. Teil 1 Die bisherige Entwicklung
    1. A. Das IT-Sicherheitsgesetz 1.0
      1. I. Stärkung der IT-Sicherheit Kritischer Infrastrukturen
        1. 1. Was sind Kritische Infrastrukturen?
        2. 2. Staatliche Maßnahmen zum Schutz Kritischer Infrastrukturen
        3. 3. Verpflichtungen für Betreiber Kritischer Infrastrukturen
          1. a) Absicherungs- und Nachweispflichten des § 8a BSIG
          2. b) Meldepflichten des § 8b BSIG
          3. c) Bußgeldbefugnis – § 14 BSIG
          4. d) Absicherungspflichten des § 109 TKG
          5. e) Meldepflichten des § 109 TKG
          6. f) Absicherungspflichten des § 11 EnWG
          7. g) Meldepflichten des § 11 EnWG
          8. h) Meldepflichten nach § 44b AtG
      2. II. Stärkung der IT-Sicherheit der Bundesverwaltung
      3. III. Stärkung der IT-Sicherheit für die Allgemeinheit
        1. 1. Verpflichtung der Telemediendiensteanbieter zur Absicherung der IT – § 13 Abs. 7 TMG
        2. 2. Angriffsdetektion in TK-Netzen – § 100 TKG
        3. 3. Verpflichtung der TK-Anbieter zur Warnung der Nutzer – § 109a TKG
        4. 4. Klarstellung zu Umfang und Rahmen der Warnbefugnis – § 7 BSIG
        5. 5. Befugnis des BSI für Reverse-Engineering – § 7a BSIG
    2. B. Das NIS-RL-Umsetzungsgesetz
      1. I. Neue Aufgaben für das BSI
        1. 1. Unterstützung des MAD
        2. 2. Unterstützung bestimmter Stellen der Länder
        3. 3. Neue Berichts- und Konsultationsaufgaben
      2. II. Neue Befugnisse des BSI
        1. 1. Mobile Incident Response Teams – § 5a BSIG
        2. 2. Anordnung ggü. Herstellern bei MIRT-Einsätzen
        3. 3. Erweiterte Weitergabemöglichkeiten für § 5-Daten
      3. III. Änderungen für KRITIS
        1. 1. Absicherungs- und Nachweispflichten in § 8a BSIG
        2. 2. Meldepflichten in § 8b BSIG
        3. 3. Meldepflichten in AtG, TKG und EnWG
        4. 4. Neue Pflichten und Befugnisse im Bereich der Telematikinfrastruktur nach § 291b Abs. 8 SGB
      4. IV. Anbieter digitaler Dienste – § 8c BSIG
      5. V. Weitere Regelungen zur Erhöhung der IT-Sicherheit
        1. 1. Erweiterung der Analysemöglichkeiten für TK-Anbieter – § 100 Abs. 1 TKG
        2. 2. Neue Befugnisse für Walled Gardens – § 109a Abs. 4 TKG
        3. 3. Neue Befugnisse zur Beschränkung der Nutzung – § 109a Abs. 5 TKG
        4. 4. Neue Befugnis zur Einschränkung des Datenverkehrs – § 109a Abs. 6 TKG
  4. Teil 2 Kommentierung der durch das IT-Sicherheitsgesetz 2.0 betroffenen Gesetzestexte
    1. Art. 1 Änderungen im BSI-Gesetz (BSIG)
      1. § 1 Bundesamt für Sicherheit in der Informationstechnik
        1. I. Gesetzesbegründung (BT-Drs. 19/28844, 39)
        2. II. Kommentierung
          1. 1. Kurzzusammenfassung
          2. 2. Einzelerläuterungen
      2. § 2 Begriffsbestimmungen
        1. I. Gesetzesbegründung
          1. 1. Regierungsentwurf (BT-Drs. 19/26106, 56ff.)
          2. 2. Beschlussempfehlungen des Innenausschusses (BT-Drs. 19/28844, 39)
        2. II. Kommentierung
          1. 1. Hintergrund der Norm
          2. 2. Einzelerläuterungen
            1. a) Absatz 2 – Sicherheit der Informationstechnik
            2. b) Absatz 3 – Kommunikationstechnik des Bundes
            3. c) Absatz 8a – Protokollierungsdaten
            4. d) Absatz 9a – IT-Produkte
            5. e) Absatz 9b – Systeme zur Angriffserkennung
              1. aa) Zielrichtung
              2. bb) Prozesshaftigkeit
              3. cc) Technische Werkzeuge und organisatorische Einbindung
            6. f) Absatz 10 – Kritische Infrastrukturen
            7. g) Absatz 13 – Kritische Komponenten
              1. aa) Bedeutung von Abs. 13 Nr. 1 und 2
              2. bb) Kontext der „lex Huawei“
              3. cc) Das „Potenzial“ der Auswirkung einer Störung genügt
              4. dd) Vorläufig nur kritische Komponenten im Telekommunikationssektor
              5. ee) Rechtsklarheit durch Satz 2 und Zitiergebot
            8. h) Absatz 14 – Unternehmen im besonderen öffentlichen Interesse
              1. aa) Allgemeines
              2. bb) Rüstungsindustrie und Verschlusssachen (§ 2 Abs. 14 S. 1 Nr. 1)
              3. cc) Unternehmen von erheblicher volkswirtschaftlicher Bedeutung (§ 2 Abs. 14 S. 1 Nr. 2)
              4. dd) Betreiber eines Betriebsbereichs der oberen Klasse der Störfall-Verordnung (§ 2 Abs. 14 S. 1 Nr. 3)
      3. § 3 Aufgaben des Bundesamtes
        1. I. Gesetzesbegründung
          1. 1. RegE (BT-Drs. 19/26106, 58ff.)
          2. 2. Begründung der Beschlussempfehlungen des Innenausschusses (BT-Drs. 19/28844, 39f.)
        2. II. Kommentierung
          1. 1. Kurzzusammenfassung
          2. 2. Zweck und Hintergrund der Norm
          3. 3. Systematik
          4. 4. Einzelerläuterungen
      4. § 4a Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte
        1. I. Gesetzesbegründung
          1. 1. RegE (BT-Drs. 19/26106, 60f.)
          2. 2. Beschlussempfehlungen des Innenausschusses (BT-Drs. 19/28844, 40)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Hintergrund der Norm
          3. 3. Systematik
          4. 4. Einzelerläuterungen
            1. a) Absatz 1 – Kontrollbefugnisse
            2. b) Absatz 2 – Vor-Ort-Kontrollen
            3. c) Absatz 3 – Schnittstellenkontrolle
            4. d) Absatz 4 – Untersuchungsergebnisse
            5. e) Absatz 5 und 6 – Ausnahmen
          5. 5. Praxisempfehlungen und Rechtsschutz
      5. § 4b Allgemeine Meldestelle für die Sicherheit in der Informationstechnik
        1. I. Gesetzesbegründung
          1. 1. RegE (BT-Drs. 19/26106, 62f.)
          2. 2. Begründung der Beschlussempfehlung des Innenausschusses (BT-Drs. 19/28844, 40)
        2. II. Kommentierung
          1. 1. Kurzzusammenfassung
          2. 2. Zweck und Hintergrund der Norm
          3. 3. Einzelerläuterungen
            1. a) Das BSI als allgemeine Meldestelle (Abs. 1)
            2. b) Sicherheitsrisiken der Informationstechnik; Das BSI wird keine allgemeine Beschwerdestelle
            3. c) Geeignete und anonyme Meldemöglichkeiten
            4. d) Datenschutz für Meldende (Abs. 2)
            5. e) Verwendung und Weitergabe der gemeldeten Informationen (Abs. 3)
            6. f) Ermessen oder Verpflichtung?
            7. g) Mitteilung an die Öffentlichkeit nur nach Abstimmung mit der zuständigen Aufsichtsbehörde
            8. h) Datenschutzrechtlicher Erlaubnistatbestand
            9. i) Ausnahmen zur Informationsweitergabe nach Absatz 3 (Abs. 4)
            10. j) Klarstellung, dass andere Vorschriften unberührt bleiben (Abs. 5)
      6. § 5 Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes
        1. I. Gesetzesbegründung
          1. 1. Regierungsentwurf (BT-Drs. 19/26106, 62ff.)
          2. 2. Beschlussempfehlungen des Innenausschusses (BT-Drs. 19/28844, 40f.)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Hintergrund der Norm
          3. 3. Systematik
          4. 4. Einzelerläuterungen
      7. § 5a Verarbeitung behördeninterner Protokollierungsdaten
        1. I. Gesetzesbegründung (BT-Drs. 19/26106, 64ff.)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Hintergrund der Norm
          3. 3. Systematik
          4. 4. Einzelerläuterungen
            1. a) Schutzgüter- und Gefahrenbegriff
            2. b) Daten, die verarbeitet werden dürfen
            3. c) Zweckbindung
            4. d) Ausnahme Geheimschutzinteressen
            5. e) Unterstützungspflicht der Bundesbehörden (Satz 2)
            6. f) Befugnis zur Übermittlung von Protokollierungsdaten (Satz 3)
            7. g) Entsprechend anzuwendende Vorschriften (Satz 4)
      8. § 5b Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen
        1. I. Gesetzesbegründung
          1. 1. RegE (BT-Drs. 19/26106, 64)
          2. 2. Begründung der Beschlussempfehlung des Innenausschusses (BT-Drs. 19/28844, 41)
        2. II. Kommentierung
          1. 1. Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme (Abs. 1)
          2. 2. Definition des herausgehobenen Falls (Abs. 2)
          3. 3. Verarbeitung personenbezogener oder dem Fernmeldegeheimnis unterliegender Daten (Abs. 3)
          4. 4. Weitergabe von Informationen (Abs. 4)
          5. 5. Hilfe durch qualifizierte Dritte (Abs. 5)
          6. 6. Mitwirkungspflichten (Abs. 6)
          7. 7. Tätigkeitsersuchen anderer Einrichtungen, insbesondere Stellen des Landes (Abs. 7)
          8. 8. Anlagen und Tätigkeiten, die einer Genehmigung nach dem Atomgesetz bedürfen (Abs. 8)
      9. § 5c Bestandsdatenauskunft
        1. I. Gesetzesbegründungen
          1. 1. RegE (BT-Drs. 19/26106, 64ff.)
          2. 2. Änderungsempfehlungen des Ausschusses für Inneres und Heimat (BT-Drs. 19/28844, 41)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Einzelerläuterungen
            1. a) Bestandsdatenauskunft (Abs. 1)
            2. b) Auskunft auf Grundlage von IP-Adressen (Abs. 2)
            3. c) Auskunftserteilung (Abs. 3)
            4. d) Inkenntnissetzung von betroffenen Stellen (Abs. 4)
            5. e) Datenschutzrechtliche Übermittlungsermächtigung (Abs. 5)
            6. f) Benachrichtigung betroffener Personen (Abs. 6)
            7. g) Berichtspflicht gegenüber dem BfDI (Abs. 7)
            8. h) Entschädigung für Auskünfte (Abs. 8)
      10. § 7 Warnungen
        1. I. Gesetzesbegründungen
          1. 1. RegE (BT-Drs. 19/26106, 67)
          2. 2. Änderungsempfehlungen des Ausschusses für Inneres und Heimat (BT-Drs. 19/28844, 41)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Hintergrund
          3. 3. Systematik
          4. 4. Einzelerläuterungen
            1. a) Allgemeine Warnungen und Informationen (Abs. 1)
            2. b) Informationspflichten und Ausnahmen (Abs. 1a)
            3. c) Warnung unter Nennung der Bezeichnung und des Herstellers betroffener Produkte und Dienste (Abs. 2)
          5. 5. Praktische Hinweise
      11. § 7a Untersuchung der Sicherheit in der Informationstechnik
        1. I. Gesetzesbegründung
          1. 1. RegE (BT-Drs. 19/26106, 67f.)
          2. 2. Begründung der Beschlussempfehlung des Innenausschusses (BT-Drs. 19/28844, 41)
        2. II. Kommentierung
          1. 1. Kurzzusammenfassung
          2. 2. Untersuchungsbefugnis und Privilegierung des BSI (Abs. 1)
          3. 3. Auskunftsverlangen (Abs. 2)
          4. 4. Weitergabe der Informationen (Abs. 3)
          5. 5. Zweckbindung (Abs. 4)
          6. 6. Information der Öffentlichkeit (Abs. 5)
          7. 7. Sicherheitslücken als „Mangel“ und Kooperation des BSI mit Verbänden als Ansatzpunkt für eine Stärkung der IT-Sicherheit
      12. § 7b Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden
        1. I. Gesetzesbegründung
          1. 1. RegE (BT-Drs. 19/26106, 60ff.)
          2. 2. Begründung der Beschlussempfehlung des Innenausschusses (BT-Drs. 19/28844, 41)
        2. II. Kommentierung
          1. 1. Einleitung
            1. a) Zusammenfassung
            2. b) Warum die umstrittene Regelung in der Praxis kaum eine Rolle spielen wird
          2. 2. Befugnis zur Durchführung von Portscans (Abs. 1)
            1. a) Abgrenzung zu § 7a BSIG
            2. b) An welchen „Schnittstellen“ dürfen Maßnahmen durchgeführt werden.
            3. c) Welche „Maßnahmen“ darf der Portscan umfassen
            4. d) Das Konzept der Whitelist
            5. e) Behandlung ungewollt übermittelter Daten
          3. 3. Vorliegen eines ungeschützten Systems und einer Gefahr (Abs. 1 S. 1 und Abs. 2)
          4. 4. Information des Verantwortlichen (Abs. 3)
          5. 5. Befugnis zum Einsatz „aktiver Honeypots“ (Abs. 4)
          6. 6. Privilegierungswirkung
      13. § 7c Anordnungen des Bundesamtes gegenüber Diensteanbietern
        1. I. Gesetzesbegründung RegE (BT-Drs. 19/26106, 71ff.)
        2. II. Kommentierung
          1. 1. Kurzzusammenfassung und Bedeutung
          2. 2. Anordnungssubjekt: Telekommunikationsdienstleister (Abgrenzung zu § 7d)
            1. a) Definition im TKG
            2. b) Streitfälle zur Definition
            3. d) Hinweis auf TKG-Reform (Wirkung zum 1.12.2021)
            4. e) Streitfall: Sind Arbeitgeber TK-Anbieter?
            5. f) Schwellenwert von 100.000 Teilnehmern für KRITIS-Anbieter im TK-Sektor
          3. 3. Neuartigkeit der Eingriffsbefugnis und Gesetzgebungskompetenz
          4. 4. Anordnung an Telekommunikationsanbieter (Abs. 1)
            1. a) Anordnungen nach § 109a Abs. 5 und 6 TKG (Nr. 1)
            2. b) Technische Befehle zur Bereinigung (Nr. 2)
            3. c) Kritik
          5. 5. Bußgeld
          6. 6. Schutzziele (Abs. 2)
          7. 7. Umleitung des Datenverkehrs (Abs. 3)
          8. 8. Verarbeitung umgeleiteter Daten (Abs. 4)
      14. § 7d Anordnungen des Bundesamtes gegenüber Anbietern von Telemediendiensten
        1. I. Gesetzesbegründung (RegE BT-Drs. 19/26106, 76f.)
        2. II. Kommentierung
          1. 1. Kurzzusammenfassung
          2. 2. Hintergrund der Norm
          3. 3. Systematik
          4. 4. Einzelerläuterungen
            1. a) Telemedium (§ 1 Abs. 1 S. 1 TMG)
            2. b) Diensteanbieter (§ 2 S. 1 Nr. 1 TMG)
            3. c) Diensteanbieter als Normadressat des § 13 Abs. 7 TMG
            4. d) Unzureichende Umsetzung der in § 13 Abs. 7 TMG normierten Vorkehrungen
            5. e) Geschaffene konkrete Gefahr für informationstechnische Systeme
            6. f) Vielzahl von Nutzern
            7. g) Die Anordnung des Bundesamts für Sicherheit in der Informationstechnik
            8. h) Aufsichtsbehörden der Länder
      15. § 8 Vorgaben des Bundesamtes
        1. I. Gesetzesbegründung
          1. 1. Regierungsentwurf (BT-Drs. 19/26106, 78)
          2. 2. Beschlussempfehlungen des Innenausschusses (BT-Drs. 19/28844, 41)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Einzelerläuterungen
            1. a) § 8 Abs. 1
            2. b) § 8 Abs. 1a
            3. c) § 8 Abs. 3
            4. d) § 8 Abs. 4
      16. § 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen
        1. I. Gesetzesbegründung
          1. 1. RegE (BT-Drs. 19/26106, 79f.)
          2. 2. Änderungsempfehlungen des Ausschusses für Inneres und Heimat (BT-Drs. 19/28844, 41f.)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Hintergrund
          3. 3. Systematik
          4. 4. Einzelerläuterungen
            1. a) Technische und organisatorische Sicherungsvorkehrungen (Abs. 1)
            2. b) Systeme zur Angriffserkennung (Abs. 1a)
            3. c) Branchenspezifische Standards (Abs. 2)
            4. d) Nachweispflichten (Abs. 3)
            5. e) Überprüfungsrecht (Abs. 4)
          5. 5. Praktische Hinweise
      17. § 8b Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen
        1. I. Gesetzesbegründungen (BT-Drs. 19/26106, 80f.)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Hintergrund
          3. 3. Einzelerläuterungen
            1. a) Zentrale Meldestelle für die Informationssicherheit (Abs. 1)
            2. b) Aufgabenzuweisungen (Abs. 2)
            3. c) Kontaktstelle und Registrierungspflicht (Abs. 3, Abs. 3a und Abs. 5)
            4. aa) Kontaktstelle
            5. bb) Registrierung
            6. d) Meldepflichten (Abs. 4)
            7. e) Informationspflichten im Zusammenhang mit erheblichen Sicherheitsvorfällen (Abs. 4a)
            8. f) Mitwirkungspflichten von Herstellern (Abs. 6)
          4. 4. Praktische Hinweise
            1. a) Rechtsschutz gegen Registrierung
            2. b) Ordnungswidrigkeiten
      18. § 8c Besondere Anforderungen an Anbieter digitaler Dienste
        1. I. Gesetzesbegründungen RegE (BT-Drs. 19/26106, 81)
        2. II. Kommentierung
      19. § 8d Anwendungsbereich
        1. I. Gesetzesbegründungen
          1. 1. RegE (BT-Drs. 19/26106, 81)
          2. 2. Beschlussempfehlungen des Innenausschusses (BT-Drs. 19/28844, 42)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Hintergrund
          3. 3. Systematik
          4. 4. Einzelerläuterungen
            1. a) Unternehmen im besonderen öffentlichen Interesse als Kleinstunternehmen und kleine Unternehmen (Abs. 1a)
            2. b) Ausnahme von Meldeverpflichtungen (Abs. 3)
          5. 5. Praktische Empfehlungen
      20. § 8e Auskunftsverlangen
        1. I. Gesetzesbegründung
          1. 1. RegE (BT-Drs. 19/26106, 81)
          2. 2. Änderungsempfehlungen des Ausschusses für Inneres und Heimat (BT-Drs. 19/28844, 42)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Systematik
          3. 3. Einzelerläuterungen
            1. a) Auskunft gegenüber Dritten (Abs. 1)
            2. b) Akteneinsichtsrecht von Beteiligten (Abs. 2)
            3. c) Informationsansprüche nach dem Umweltinformationsgesetz (Abs. 4)
      21. § 8f Sicherheit in der Informationstechnik bei Unternehmen im besonderen öffentlichen Interesse
        1. I. Gesetzesbegründungen (BT-Drs. 19/26106, 81ff.)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Hintergrund
          3. 3. Einzelerläuterungen
            1. a) Selbsterklärungspflicht (Abs. 1, Abs. 2 und Abs. 3)
            2. b) Registrierungspflichten und Pflicht zur Benennung einer Kontaktstelle (Abs. 5, Abs. 6 und Abs. 9)
            3. c) Umsetzungsfrist (Abs. 4 und Abs. 5)
            4. d) Störungsmeldung (Abs. 7 und Abs. 8)
            5. e) Informationspflichten im Zusammenhang mit erheblichen Sicherheitsvorfällen (§ 8b Abs. 4a)
          4. 4. Praktische Empfehlungen
      22. § 9 Zertifizierung
        1. I. Gesetzesbegründung RegE (BT-Drs. 19/26106, 83)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Einzelerläuterungen
            1. a) Voraussetzungen der Erteilung des Sicherheitszertifikats
            2. b) Keine Untersagung der Zertifikatserteilung durch das Bundesministerium des Innern, für Bau und Heimat
          3. 3. Praktische Hinweise
      23. § 9a Nationale Behörde für die Cybersicherheitszertifizierung
        1. I. Gesetzesbegründung
          1. 1. RegE (BT-Drs. 19/26106, 83)
          2. 2. Begründung der Beschlussempfehlungen des Ausschusses für Inneres und Heimat (BT-Drs. 19/28844, 42)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Hintergrund der Norm
          3. 3. Einzelerläuterungen
            1. a) Das BSI als nationale Behörde für die Cybersicherheitszertifizierung (Abs. 1)
            2. b) Befugniserteilung für Konformitätsbewertungsstellen (Abs. 2)
              1. aa) Konformitätsbewertungsstellen
              2. bb) Aufgaben der Konformitätsbewertungsstellen
              3. cc) Voraussetzungen für die Befugniserteilung nach der Verordnung (EU) 2019/881
              4. dd) Befugniserteilung durch das BSI
              5. ee) Notifikation nach Art. 61 VO (EU) 2019/881
            3. c) Anspruch auf Auskunft und sonstige Unterstützungsleistungen (Abs. 3)
            4. d) Auditierungen zur Gewährleistung des Zertifizierungsrahmens für Cybersicherheit (Abs. 4)
            5. e) Betretungs- und Kontrollbefugnisse des BSI (Abs. 5)
            6. f) Widerruf eines Cybersicherheitszertifikats (Abs. 6)
            7. g) Widerruf von Befugnissen für Konformitätsbewertungsstellen (Abs. 7)
      24. § 9b Untersagung des Einsatzes kritischer Komponenten
        1. I. Gesetzesbegründung
          1. 1. RegE (BT-Drs. 19/26106, 83ff.)
          2. 2. Begründung der Beschlussempfehlung des Innenausschusses (BT-Drs. 19/28844, 42ff.)
        2. II. Kommentierung
          1. 1. Kurzzusammenfassung
            1. a) Ziel der „lex Huawei“
            2. b) Zweifel an der Praxisrelevanz
          2. 2. Verpflichtung des Betreibers zur Anzeige kritischer Komponenten (Abs. 1)
            1. a) Es ist nicht jedes einzelne „Exemplar“ anzeigepflichtig
            2. b) Keine Verpflichtung zur Anzeige für Hersteller und Importeure
            3. c) Keine rückwirkende Verpflichtung für bereits bestehenden Einsatz
            4. d) Ausnahme für den Einsatz desselben Typs zur selben Art des Einsatzes (Abs. 1 S. 3)
              1. aa) Bedeutet „Typ“ „Gattung“ oder „Typenbezeichnung des Herstellers“
              2. bb) Art des Einsatzes
          3. 3. Anordnungsbefugnis und Untersagungsbefugnis (Abs. 2)
            1. a) Zuständige Behörde und Benehmenserfordernis
            2. b) Tatbestandliche Voraussetzung für Befugnisse
              1. aa) Kontrolle über den Hersteller
              2. bb) Bisherige Beteiligung des Herstellers an Sicherheitsrisiken der westlichen Welt
              3. cc) Übereinstimmung des Einsatzes der kritischen Komponente mit sicherheitspolitischen Zielen
            3. c) Frist
          4. 4. Garantieerklärung des Herstellers (Abs. 3)
            1. a) Zur zeitlichen Geltung der Verpflichtung der Betreiber
            2. b) Auswirkung auf die Vertragspraxis
          5. 5. Ex-post-Regulierung (Abs. 4)
          6. 6. Gründe für mangelnde Vertrauenswürdigkeit (Abs. 5)
          7. 7. Weitere Folgen (Abs. 6 und 7)
      25. § 9c Freiwilliges IT-Sicherheitskennzeichen
        1. I. Gesetzesbegründung
          1. 1. RegE (BT-Drs. 19/26106, 86f.)
          2. 2. Änderungen durch den Ausschuss für Inneres und Heimat (BT-Drs. 19/28844, 45)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Systematik
          3. 3. Einzelerläuterungen
            1. a) Einführung des freiwilligen IT-Sicherheitskennzeichens (Abs. 1)
            2. b) Komponenten des IT-Sicherheitskennzeichens (Abs. 2)
              1. aa) Die Herstellererklärung (Nr. 1)
              2. bb) Die dynamische Sicherheitsinformation (Nr. 2)
            3. c) Anforderungen in Bezug auf die IT-Sicherheit (Abs. 3)
            4. d) Verfahrensvorgaben für die Freigabe durch das BSI (Abs. 4)
            5. e) Voraussetzungen für die Erteilung der Freigabe des IT-Sicherheitskennzeichens (Abs. 5)
            6. f) Anbringung des IT-Sicherheitskennzeichens (Abs. 6)
            7. g) Erlöschen der Freigabe (Abs. 7)
            8. h) Prüf- und Widerrufsrecht des BSI (Abs. 8)
            9. i) Verfahrensvorgaben für die Maßnahmen nach Abs. 8 (Abs. 9)
      26. § 10 Ermächtigung zum Erlass von Rechtsverordnungen
        1. I. Gesetzesbegründung
          1. 1. Regierungsentwurf (BT-Drs. 19/26106, 88f.)
          2. 2. Beschlussempfehlungen des Innenausschusses (BT-Drs. 19/28844, 45)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Einzelerläuterungen
            1. a) Absatz 3 – IT-Sicherheitskennzeichen
            2. b) Absatz 5 – Unternehmen im besonderen öffentlichen Interesse und Zulieferer
              1. aa) Allgemeines
              2. bb) Unternehmen von erheblicher volkswirtschaftlicher Bedeutung
              3. cc) Zulieferer
              4. dd) Probleme
              5. ee) Voraussetzungen für den Erlass der Verordnung
      27. § 11 Einschränkung von Grundrechten
        1. I. Gesetzesbegründung (RegE BT-Drs. 19/26106, 89)
        2. II. Kommentierung
          1. 1. Kurzzusammenfassung
          2. 2. Einzelerläuterungen
      28. § 13 Berichtspflichten
        1. I. Gesetzesbegründung – Innenausschuss (BT-Drs. 19/28844, 88f.)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Einzelerläuterungen
            1. a) Absatz 2 – Verweis auf § 7 Abs. 1a BSIG
            2. b) Absatz 3 – Berichtspflicht des BMI
      29. § 14 Bußgeldvorschriften
        1. I. Gesetzesbegründung Regierungsentwurf (BT-Drs. 19/26106, 89ff.)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Hintergrund der Norm
          3. 3. Systematik
          4. 4. Einzelerläuterungen
      30. § 14a Institutionen der Sozialen Sicherung
        1. I. Gesetzesbegründung (RegE BT-Drs. 19/26106, 96)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Einzelerläuterungen
    2. Art. 2 Änderungen im Telekommunikationsgesetz (TKG)
      1. § 109 Technische und organisatorische Schutzmaßnahmen
        1. I. Gesetzesbegründung
          1. 1. RegE (BT-Drs. 19/26106, 96f.)
          2. 2. Begründung der Beschlussempfehlung des Innenausschusses (BT-Drs. 19/28844, 45f.)
        2. II. Kommentierung
          1. 1. Kurzzusammenfassung
          2. 2. Änderungen in Absatz 2 („Technische Vorkehrungen und sonstige Schutzmaßnahmen“)
            1. a) Berücksichtigung der Auswirkung auf Dienste
            2. b) Pflichten für Netzbetreiber mit erhöhtem Gefährdungspotenzial
            3. c) Zertifizierungspflicht für kritische Komponenten
            4. d) Keine Übergangsfrist in § 109 Abs. 2 S. 4 TKG
          3. 3. Sicherheitskonzept bezieht sich auch auf neue Detailvorgaben aus der Verordnung (Abs. 4)
          4. 4. Mitteilungspflichten von beträchtlichen Sicherheitsverletzungen (Abs. 5).
          5. 5. Katalog an Sicherheitsanforderungen (Abs. 6)
            1. a) Hintergrund: Der Gesetzgeber erlässt typischerweise keine Detailvorgaben für die IT-Sicherheit
            2. b) Bisheriger Katalog von Sicherheitsanforderungen der BNetzA
            3. c) Neue Regelungen für den Katalog
            4. d) Definition der kritischen Komponenten durch den Katalog
            5. e) Definition der TK-Netzbetreiber mit erhöhtem Gefährdungspotenzial
          6. 6. Überprüfung durch qualifizierte unabhängige oder eine zuständige nationale Behörde (Abs. 7)
            1. a) Verpflichtung bei erhöhtem Gefährdungspotenzial (§ 109 Abs. 7 S. 2 TKG)
            2. b) Gemeinsame Bewertung durch BNetzA und BSI (§ 109 Abs. 7 S. 4 TKG)
      2. § 113 Manuelles Auskunftsverfahren
        1. I. Gesetzesbegründung
          1. 1. RegE (BT-Drs. 19/26106, 98)
          2. 2. Begründung der Änderungen durch den Ausschuss für Inneres und Heimat (BT-Drs. 19/28844, 46)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Hintergrund der Norm
          3. 3. Einzelerläuterungen
            1. a) Auskunftszweck i.S.d. § 113 Abs. 3 Nr. 8 TKG
            2. b) Weitere Voraussetzungen nach § 113 Abs. 3 Nr. 8 TKG
            3. c) Auskunftsberechtigung für dynamische IP-Adressen nach § 113 Abs. 5 Nr. 9 TKG
    3. Art. 3 Änderungen im Energiewirtschaftsgesetz (EnWG)
      1. § 11 Betrieb von Energieversorgungsnetzen
        1. I. Gesetzesbegründung
          1. 1. RegE (BT-Drs. 19/26106, 98)
          2. 2. Begründung der Beschlussempfehlung des Innenausschusses (BT-Drs. 19/28844, 46)
        2. II. Kommentierung
          1. 1. Inhaltliche Verpflichtung
            1. a) Intrusion Detection and Prevention System
            2. b) Eigenschaften und Angemessenheit des Intrusion Detection and Prevention Systems
          2. 2. Nachweis der Erfüllung der Anforderungen des Abs. 1d und Mängelbeseitigungsverlangen (Abs. 1e)
          3. 3. Datenschutzrechtliche und betriebsverfassungsrechtliche Implikationen
          4. 4. Kritik an der zögerlichen Gesetzgebung zu konkretisierenden IT-Sicherheitsvorgaben
    4. Art. 4 Änderungen in der Außenwirtschaftsverordnung (AWV)
      1. § 55(a) Voraussichtliche Beeinträchtigung der öffentlichen Ordnung oder Sicherheit
        1. I. Gesetzesbegründung (BT-Drs. 19/26106, 98)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Hintergrund der Norm
          3. 3. Systematik
          4. 4. Einzelerläuterungen
          5. 5. Praxisempfehlung
    5. Art. 5 Änderungen im Zehnten Sozialgesetzbuch (SGB X)
      1. § 67c Zweckbindung sowie Speicherung, Veränderung und Nutzung von Sozialdaten zu anderen Zwecken
        1. I. Gesetzesbegründung (RegE BT-Drs. 19/26106, 98)
        2. II. Kommentierung
          1. 1. Zusammenfassung
          2. 2. Hintergrund der Norm
          3. 3. Einzelerläuterungen
    6. Art. 6 und 7 IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0)
      1. Artikel 6 Evaluierung
        1. I. Gesetzesbegründung (RegE BT-Drs. 19/26106, 98f.)
        2. II. Kommentierung
          1. 1. Kurzzusammenfassung
          2. 2. Einzelerläuterungen
          3. 3. Praktische Empfehlungen
      2. Artikel 7 Inkrafttreten
        1. I. Gesetzesbegründung (BT-Drs. 19/26106, 99)
        2. II. Kommentierung
  5. Teil 3 Synopse
    1. BSI-Gesetz (Auszug)
    2. Telekommunikationsgesetz (TKG)
    3. Energiewirtschaftsgesetz (EnWG)
    4. Außenwirtschaftsverordnung (AWV)
    5. Sozialgesetzbuch 10 (SGB X)
  6. Teil 4 Material zum IT-Sicherheitsgesetz 2.0
    1. I. Referentenentwürfe des IT-Sicherheitsgesetzes 2.0
      1. 1. Erster mutmaßlich geleakter Referentenentwurf vom 27.3.2019
      2. 2. Zweiter mutmaßlich geleakter Referentenentwurf vom 7.5.2020
      3. 3. Erster offizieller Referentenentwurf für die Verbändeanhörung vom 9.12.2020
      4. 4. Zweiter offizieller Referentenentwurf für die Verbändeanhörung vom 11.12.2020
    2. II. Parlamentarisches Verfahren (chronologisch)
      1. 1. Dokumentationsseite des Deutschen Bundestages
      2. 2. Regierungsentwurf des IT-SiG 2.0 (BT-Drs. 19/26106)
      3. 3. Öffentliche Anhörung zum IT-SiG 2.0 im Bundestags-Ausschuss für Inneres und Heimat vom 1.3.2021 – Videoaufzeichnung, Tagesordnung, Protokoll und Sammlung der Stellungnahmen –
      4. 4. Beschlussempfehlungen des Bundestags-Ausschusses für Inneres und Heimat (BT-Drs. 19/28844)
    3. III. Weiterführendes Material
      1. 1. Relevante Verordnungsentwürfe des BMI
        1. a) Entwurf des BMI für die Verordnung zum IT-Sicherheitskennzeichen nach § 9c BSIG
        2. b) Zweite Verordnung zur Änderung der BSI-KritisV – Entwurf und Verbände-Stellungnahmen
      2. 2. Gesetzgebungsmaterial zum IT-SiG 1.0
      3. 3. Gesetzgebungsmaterial zum NIS-RL-Umsetzungsgesetz
      4. 4. Vorschlag der EU-Kommission für eine NIS-RL 2.0 vom 16.12.2020
  7. Literaturverzeichnis
  8. Stichwortverzeichnis
 
stats