Es ist jedoch anzunehmen, dass der Entwurf aus November 2024 weiterhin die Gesprächsgrundlage bildet. Bei diesem Entwurf handelt es sich um ein Artikelgesetz, welches eine Vielzahl von Gesetzen ändert. Unter anderem ist hiervon das BSI-Gesetz (BSIG) betroffen. Die geänderte Version wird im Folgenden als BSIG_neu bezeichnet.
Die Änderungen sind weitreichend und stellen besonders wichtige Einrichtungen, zu denen auch die Betreiber kritischer Anlagen zählen, vor große Hürden. In diesem ersten Teil des Beitrags werden zentrale regulatorische Aspekte des Änderungsvorhabens, basierend auf dem am 29. November veröffentlichten Regierungsentwurf beschrieben. In einem zweiten Teil werden Handlungsmöglichkeiten für betroffene Unternehmen aufgezeigt. Im Fokus stehen die Paragraphen 30 und 41 BSIG_neu. Diese enthalten Regelungen, wie das Bundesministerium des Innern und für Heimat (BMI) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Einsatz kritischer Komponenten untersagen können und welche Rolle dabei die Vertrauenswürdigkeit von Dienstleistern spielt.
Einsatz von kritischen Komponenten
Eine kritische Komponente ist in § 2 Abs. 23 BSIG_neu definiert. Grundsätzlich handelt es sich um IKT-Produkte, bei denen Störungen der Verfügbarkeit, Integrität und Vertraulichkeit zum Ausfall oder einer erheblichen Beeinträchtigung der Funktionsfähigkeit kritischer Anlagen führen kann.
Gemäß § 30 (6) dürfen besonders wichtige und wichtige Einrichtungen, auf Basis der nach § 56 Absatz 3 bestimmten IKT-Produkte, IKT-Dienste und IKT-Prozesse nur verwenden, wenn diese über eine Cybersicherheitszertifizierung gemäß des Cybersecurity Act verfügen. Das hierfür notwendige Zertifizierungsframework, das von der Enisa (European Network and Information Security Agency) erstellt wird, liegt derzeit noch nicht final vor. Daher sind bislang keine entsprechend zertifizierten Produkte, Dienste und Prozesse zu finden.
Umgang mit kritischen Komponenten
Nach § 28 Abs. 1 Satz 1 BSIG_neu zählen Betreiber kritischer Anlagen zu einer besonderen Teilmenge der besonders wichtigen Einrichtungen. Für sie gelten sowohl § 30 (6) als auch § 41, der den Einsatz kritischer Komponenten untersagt. Diese Anforderungen sind sehr umfassend und erfordern viele prozessuale Anpassungen, dazu mehr im zweiten Teil.
Betreiber kritischer Anlagen müssen den geplanten erstmaligen Einsatz kritischer Komponenten dem BMI gegenüber anzeigen. Das BMI hat anschließend zwei Monate Zeit, den Einsatz zu verbieten. Diese Frist kann um zwei Monate verlängert werden. Währenddessen ist die Nutzung untersagt. Der Meldung ist eine Garantieerklärung des Herstellers beizulegen sowie Informationen zur geplanten Art des Einsatzes.
Ein positiver Aspekt: Lediglich der erstmalige Einsatz einer kritischen Komponente muss gemeldet werden. Bei nachfolgenden Einsätzen desselben Typs für dieselben Zwecke ist keine erneute Meldung erforderlich.
Vertrauenswürdige Hersteller
Das BMI kann, gemäß § 41 Abs. 4, den weiteren Einsatz verbieten, etwa wenn der Hersteller als nicht vertrauenswürdig gilt. Nach Abs. 5 gilt ein Hersteller als nicht vertrauenswürdig, wenn er unter anderem die nachfolgenden Kriterien erfüllt:
- Wenn der Hersteller…
- gegen die in der Garantieerklärung eingegangenen Verpflichtungen verstoßen hat
- in der Erklärung unwahre Tatsachenbehauptungen angibt.
- Sicherheitsüberprüfungen und Penetrationsanalysen an seinem Produkt und in der
- Produktionsumgebung nicht im erforderlichen Umfang in angemessener Weise unterstützt.
- Schwachstellen oder Manipulationen an seinem Produkt nicht unverzüglich nach Kenntnisnahme beseitigt und dem Betreiber kritischer Anlagen meldet.
- in Verbindung zu staatlichen Stellen steht, die als potenzielle Bedrohungen für die nationale oder europäische Sicherheit gelten.
- nachweislich an Aktivitäten beteiligt ist, die die Sicherheit, Vertraulichkeit, Integrität oder Verfügbarkeit von Netzen und Informationssystemen gefährden könnten.
- keine transparente Organisationsstruktur und grundsätzliche Transparenz aufweist.
- Oder, der Hersteller (§41 (2))…
- unmittelbar oder mittelbar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert wird.
- war oder ist an Aktivitäten beteiligt, die die öffentliche Ordnung oder Sicherheit Deutschlands, der EU, der EFTA oder der NATO beeinträchtigten.
- Oder, wenn die kritische Komponente…
- aufgrund von Mängeln ein erhöhtes Gefährdungspotenzial aufweist oder aufgewiesen hat, missbräuchlich auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage einwirken kann.
- über technische Eigenschaften verfügt oder verfügt hat, die spezifisch geeignet sind oder waren, missbräuchlich auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage einzuwirken.
Was passiert bei Verboten bereits eingesetzter kritischer Komponenten?
Das NIS2UmsuCG sieht in der Regel keine Fristen für den Austausch kritischer Komponenten vor, die sich im Einsatz befinden aber verboten wurden. Das BMI oder die zuständigen Behörden können jedoch per Anordnung eine Frist zum Wechsel veranlassen. Es ist dennoch ratsam, im Sinne der Kontinuität selbst sinnvolle Fristen zu definieren. Ein zeitnaher Austausch und eine aktive Kommunikation sind in jedem Fall erforderlich.
Welche Szenarien können zum Ausschluss führen und welche Bedeutung hat dies für den Betrieb?
- Angenommen politische Entwicklungen führen dazu, dass die Handelsbereitschaft mit anderen Ländern eingeschränkt wird und Unternehmen mit Sitz in diesen Ländern auf der EU-Embargoliste stehen. Der Hersteller steht dann grundsätzlich in Verdacht, mittelbar von der Regierung eines Drittstaates kontrolliert zu werden. Damit kann der Hersteller als nicht vertrauenswürdig eingestuft werden. Dieser Fall zeigt, dass potenziell über allen nicht-EU-Unternehmen ein Damoklesschwert schwebt.
- Angenommen ein Betreiber einer kritischen Infrastruktur möchte einen Penetrationstest durchführen und der Hersteller reagiert auf entsprechende Anfragen nicht oder weigert sich zu kooperieren und verweigert den Zugriff auf relevante Teile seines Produktes. Dann kann er ebenfalls als nicht vertrauenswürdig eingestuft werden.
- Ein Hersteller mit einem trägen Patch- und Schwachstellenmanagement, der nicht in der Lage ist, unverzüglich nach Kenntnisnahme Schwachstellen an seinem Produkt zu beheben, ist als nicht vertrauenswürdig einzustufen. Trägheit hat an dieser Stelle mehrere Dimensionen:
- (a) Keine zeitnahe Reaktion auf gemeldete Schwachstellen: Falls der Hersteller nicht innerhalb einer angemessenen Frist mit einer Untersuchung oder Behebung der Schwachstelle reagiert, kann dies als Untätigkeit gewertet werden. Die angemessene Frist hängt von der Dringlichkeit der Schwachstelle ab.
- (b) Unterlassene Meldung an Betreiber kritischer Anlagen: Wenn der Hersteller eine Schwachstelle erkennt, jedoch den Betreiber kritischer Anlagen nicht darüber informiert, verstößt er gegen die Transparenzanforderungen und wird als untätig betrachtet, selbst wenn er die Schwachstelle möglicherweise intern angeht.
- (c) Keine klaren und nachvollziehbaren Pläne zur Beseitigung der Schwachstelle: Falls der Hersteller keine konkreten Pläne zur Behebung der Schwachstelle erstellt und an die Betreiber kommuniziert, liegt eine Untätigkeit vor.
Untätigkeit ist demnach also gegeben, wenn der Hersteller weder zeitnah handelt noch bereit ist, seine Maßnahmen gegenüber den Betreibern und Aufsichtsbehörden transparent zu machen. Ein Hersteller kann also aus diversen Gründen bereits als nicht-vertrauenswürdig angesehen werden.
In einem zweiten Teil dieses Artikels, den Sie in der 6. Ausgabe des INDUSTRIE 4.0&IIoT-Magazins lesen, werden die Folgen dieser Anforderungen verdeutlicht. Zusätzlich werden konkrete Handlungsempfehlungen gegeben, um das bestehende ISMS angemessen anzupassen.
