Rainer W. Gerling
Abb: Datakontext GmbH

Ergänzende Links zum Vortrag "IT-Sicherheitsgesetzgebung 2.0: aktueller Stand"
dem 9. GDD-Winter-Workshop

(Stand: 7. Mai 2021)
Europäische Union
Pressemitteilung der Europäischen Kommission zur "Neue Cybersicherheitsstrategie der EU". Enthält die Links zu den Entwürfen der Europäischen Kommission der Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union (überarbeitete NIS-Richtlinie, kurz „NIS 2“) und der Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen.

Entschließung des Rates zur Verschlüsselung – Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung vom 24.11.2020.
Kommentierung in meinem Blog.

ePrivacy-Verordnung

In dem Beschluss 2008/616/JI des Rates der Europäischen Union vom 23. Juni 2008 werden IT-Sicherheitsstandards zum Datenaustausch bei der grenzüberschreitenden Zusammenarbeit, insbesondere zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität festgeschrieben.

Im Handels- und Kooperationsabkommen zwischen der Europäischen Union und der Europäischen Atomgemeinschaft einerseits und dem Vereinigten Königreich Großbritannien und Nordirland andererseits wurde der Text von 2008 mit minimalen Änderungen kopiert (siehe Seite 1017).
Kommentierung in meinem Blog.

Deutschland
Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität; Das Gesetz wurde vom Bundespräsidenten wg. verfassungsrechtlicher Bedenken erst nicht ausgefertigt. Nachdem das "Reparaturgesetz" fertig ist (siehe nächsten Punkt) ist das Gesetz am 1.4.2021 im Bundesgesetzblatt erschienen. Siehe dazu den Beschluss des Bundesverfassungsgerichts vom 27.5.2020

Gesetz zur Anpassung der Regelungen über die Bestandsdatenauskunft an die Vorgaben aus der Entscheidung des Bundesverfassungsgerichts vom 27. Mai 2020

  • BT-Drs. 19/25294; 1. Lesung im Bundestag am 13.1.2021
  • Beschlussempfehlung und Bericht des Ausschusses für Inneres und Heimat; 2. und 3. Lesung am 28.1.2021
  • Das Gesetz wurde in der Fassung der Ausschussempfehlung angenommen (Stand 19:00 Uhr 28.1.2021).
  • Bundesrat hat in seiner Sitzung am 12.2.2021 dem Gesetz nicht zugestimmt.
  • Am 24.2.2021 hat die Bundesregierung beschlossen, ein Vermittlungsverfahren zu verlangen.
  • Der Vermittlungsausschuss hat sich am Mittwoch, 24. März 2021 mit der Neuregelung der Bestandsdatenauskunft befasst und eine Beschlussempfehlung erarbeitet.
  • Ohne Aussprache hat der Bundestag zu Beginn der Plenarsitzung am 26. März 2021 der Beschlussempfehlung des Vermittlungsausschusses zugestimmt.
  • Auch der Bundesrat am 26. März 2021 in der 1002. Sitzung der Beschlussempfehlung zugestimmt.
  • Das Gesetz ist am 1.4.2021 im Bundesgesetzblatt erschienen und tritt am 2.4.2021 in Kraft.

Gesetzentwurf zur Umsetzung der EU-Richtlinie 2018/1972 über den europäischen Kodex für die elektronische Kommunikation (Neufassung) und zur Modernisierung des Telekommunikationsrechts - (Telekommunikationsmodernisierungsgesetz)
Enthält ein komplett neues TKG.

2. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – „IT-Sicherheitsgesetz 2.0“

  • Der Bundesrat hat am 7.5.2021 entgegen der Empfehlung des Ausschusses für Innere Angelegenheiten dem Gesetz zugestimmt und den Vermittlungsauschuss nicht angerufen.
  • Behandlung im Bundesrat am 7.5.2021; Der federführende Ausschuss für Innere Angelegenheiten empfiehlt dem Bundesrat die Einberufung des Vermittlungsausschusses gemäß Art. 77 Abs. 2 des Grundgesetzes zu verlangen. Die Länder sollten zur Erhöhung der Sicherheit informationstechnischer Systeme stärker eingebunden werden.
  • Der Bundestag hat am 23.4.2021 in 3. Lesung dem Gesetzentwurf mit den Änderungen der Beschlussempfehlung der Ausschusses für Inneres und Heimat zugestimmt.
  • BT-Drs. 19/26106 vom 25.1.2021; 1. Lesung im Bundestag am 28.1.2021
  • Kabinettsbeschluss vom 16.12.2020
  • geleakter Referentenentwurf vom 27.03.2019

Zweite Verordnung zur Änderung der BSI-Kritisverordnung (BSI-KritisV)

  • Termin zur Anhörung am 26.5.2021
  • Referentenentwurf vom 22.4.2021 zur Anhörung nach § 10 Abs. 1 Satz 1 BSI-Gesetz; zugleich Beteiligung von Verbänden und Fachkreisen nach § 47 Abs. 3 GGO; inoffizielle Lesefassung mit den markierten Änderungen gegenüber der aktuellen Fassung der BSI-KritisV.

Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetzes und weiterer Gesetze (Telekommunikations-Telemedien-Datenschutz-Gesetz – TTDSG).

Gesetzes zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt (Betriebsrätemodernisierungsgesetz)
Zulässigkeit und Verfahren der Betriebsratssitzungen per Telefon- oder Videokonferenz; Betriebsvereinbarungen und Einigungsstellensprüche dürfen auch elektronisch signiert (qualifizierte elektronische Signatur) werden; zwingende Mitbestimmung bei der technisch-organisatorischen Ausgestaltung des Home Office; Verantwortliche Stelle für Verarbeitungen des Betriebsrats ist der Arbeitgeber; diverse andere Regelungen ohne IT-Bezug.

Mitteilung Nr. 149/2015 Meldepflicht nach § 6 TKG im Amtsblatt der Bundesnetzagentur 4/2015 Seite 1140-1141 vom 4. März 2015)

IT-Sicherheit im medizinischen Bereich

§ 75b SGB V wurde durch das Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgung-Gesetz – DVG) vom 9. Dezember 2019 in das SGB V eingefügt.

Der §75b wurde durch das Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) vom 14. Oktober 2020 nochmals geändert.

Außerdem wurde durch dasselbe Gesetz der § 75c in das SGB V eingefügt. Dieser regelt die Informationssicherheit in Krankenhäusern, die keine kritische Infrastruktur im Sinne der BSI-KRITIS-Verordnung (d.h. wengier als 30.000 vollstationäre Fälle pro Jahr) sind.

Damit gibt es für alle ärztlichen und zahnärztlichen Praxen und für alle Krankenhäuser verbindliche Vorgaben zur Informationssicherheit.

Die IT-Sicherheitsrichtlinien der Kassenärztlichen Bundesvereinigung (KBV) und der Kassenzahnärztlichen Bundesvereinigung (KZBV) sind wörtlich identisch, wenn man die Unterschiede zwischen "ärztlich" und "zahnärztlich" ignoriert.