Am 23. April 2021 wurde das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0)“ verabschiedet Der Bundesrat hat es in seiner Sitzung am 7.5.2021 durch den Verzicht auf ein Vermittlungsverfahren zwischen Bundestag und Bundesrat gebilligt. Nach Unterzeichnung des Bundespräsidenten und nachfolgende Veröffentlichung im Bundesgesetzblatt können nun bereits wichtige Teile des Gesetzes kurzfristig in Kraft treten.
IT-Sicherheitsgesetz 2.0 – Systeme zur Angriffserkennung
Mit dem IT-Sicherheitsgesetz 2.0 müssen Kliniken/Krankenhäuser, die gemäß BSI-KritisV zu den Betreibern Kritischer Infrastrukturen gehören, ein wirksames System zur Angriffserkennung betreiben, nachweisen und bestimmte Daten für mindestens vier Jahre zu speichern. Hierfür erfolgt eine umfangreiche Ergänzung des § 8a Abs. 1 BSIG. Die eingesetzten Systeme zur Angriffserkennung haben dem jeweiligen Stand der Technik zu entsprechen. Das BSI plant hierfür die Definition einer sog. Technischen Richtlinie, die Vorgaben zum Funktionsumfang und dem Stand der Technik von Angriffserkennungssystemen macht. Die vglw. kurze Umsetzungsfrist zur Einführung der geforderten Angriffserkennungssysteme, die die vorangegangenen Entwürfe definiert hatten wurden nunmehr angepasst. Im nun verabschiedeten Gesetz wurde mit Verweis auf komplexe und größere Infrastrukturen (namentlich Universitätsklinika) gegenüber dem Entwurf u. a. die Verlängerung dieser Frist von zunächst 12 auf 24 Monate ab Inkrafttreten des Gesetzes festgelegt. Die nun festgelegten Regelungen sollen bei der aktuellen Überarbeitung des „Branchenspezifischen Sicherheitsstandards (B3S)“ berücksichtigt werden.
Liste der verwendeten IT-Produkte
Bei den Kritis-Nachweisverfahren nach § 8a (3) BSIG soll der Kritis-Betreiber dem BSI zukünftig zusätzlich zur Mängelliste und den Nachweisdokumente eine Liste aller IT-Produkte, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen von Bedeutung sind, mitliefern, weil Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser IT-Produkte zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit einer Kritischen Infrastruktur oder zu einer Gefährdung der öffentlichen Sicherheit und Ordnung führen können. Es ist sicherlich sinnvoll, denn die Aufsichtsbehörde sich hiermit einen Überblick über die bei Kritis-Betreibern im Einsatz befindlichen „Assets“ verschafft, um im nächsten Schritt ggf. relevante Vorlieferanten in die Pflicht zu nehmen. Allerdings handelt es sich hierbei um hochsensible und Schutzbedürftige Daten, die Rückschlüsse auf technische Schwachstellen ermöglichen.
Drastische Erhöhung der Sanktionen
Mit dem Inkrafttreten des Gesetzes wurden zudem die Bußgeldvorschriften in § 14 BSIG drastisch erhöht und auf das Niveau der Sanktionshöhen der EU-DSGVO (bis zu 20 Mio. EUR) angeglichen. Werden „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse […], die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind“ nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen, oder wird der Nachweis gemäß § 8a Absatz 3 Satz 1 BSI-Gesetz (Kritis-Nachweisverfahren) nicht oder nicht vollständig erbracht, kann dies mit einem Bußgeld bis zu 10 Mio. EUR geahndet werden. Im Falle einer Zuwiderhandlung gegen Auflagen des BSI (vgl. § 8a (4) Satz 2), wie das Verweigern des Zutritts, das nicht-vorlegen von in Betracht kommenden Aufzeichnungen, Schriftstücken und sonstige Unterlagen oder das nicht-erteilen von Auskünften oder der nicht-gewährens sonst erforderlicher Unterstützung, kann sogar ein Bußgeld bis zu 20 Mio. EUR verhängt werden.
Auch für die Registrierung als kritische Infrastruktur gelten verschärfte Bußgeldvorschriften: Verstöße gegen die Registrierungspflicht können künftig mit bis zu 500.000 EUR geahndet werden, die fehlende Bereitstellung von durch das BSI angeforderten Unterlagen oder die Nicht-Einrichtung oder Nicht-Erreichbarkeit der Kontaktstelle mit bis zu 100.000 EUR (vgl. § 8b BSIG).
Änderung der BSI-KritisV
Parallel wurde der „Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung“ (BSI-KritisV) veröffentlicht. Die erwartete Schwellenabsenkung (derzeit 30.000 stationäre Fälle p.a.) bleibt aus. Diese ist jedoch durch das Patientendatenschutzgesetz (PDSG) und dem darin neu-geregelten § 75c SGB V nicht mehr so relevant, da nunmehr alle Kliniken/Krankenhäuser verpflichtet sind bis 01.01.2022 angemessene Maßnahmen zur Erhöhung der IT-Sicherheit umzusetzen. Die Unterschied zwischen einem unter die BSI-KritisV fallenden Krankenhaus und einem übrigen Krankenhaus liegt lediglich bei der Pflicht zur Einrichtung einer Kontaktstelle sowie der Pflicht zur Nachweiserbringung gemäß § 8a (3) BSIG. „Angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit… ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind“, sind nunmehr ohnehin von allen Krankenhäusern zu treffen.
Die Verordnung legt nun auch den Prozess der Deregistrierung fest, also wie im Fall zu verfahren ist, wenn ein Krankenhaus im Betrachtungszeitraum unterhalb der Schwelle von 30.000 stationären Fällen ist.
Offen ist derzeit, wie sich die allgemeine Anpassung der Anlagendefinition auswirken könnten (Zusammenfassung mehrerer Anlagen, die in „betriebstechnischem Zusammenhang“ stehen und dieselbe kritische Dienstleistung erbringen). Die im Zusammenhang mit der Änderungsverordnung diskutierte Definition eines „Krankenhaus-IT-Verbundes“ sowie die Streichung der Ausnahmeregelung für Krankenhäuser, nach der die in Anhang 5, Teil 1 Nr. 4 definierten „gemeinsamen Anlagen“ für Krankenhäuser nicht herangezogen werden, erfolgt aktuell nicht.
Hier finden Sie den letzten Referentenentwurf vom 07.05.2021.