IT-Gesetze 2022: Die wichtigsten Neuerungen im Überblick

Angefangen von neuen Methoden zur Gefahrenabwehr über neuartige Bedrohungen bis hin zu aktualisierten Anforderungen ans Tracking: Kaum eine Branche befindet sich derartig im Wandel wie der IT-Sektor. Haupttreiber dieser Dynamik ist die digitale Transformation, die viele neue Technologien mit sich bringt. Da muss auch der Gesetzgeber mithalten – deshalb treten im aktuellen Jahr 2022 viele neue IT-Gesetze an den Start. Genau über diese neuen Gesetze spendieren wir Ihnen heute einen Überblick, sodass Sie nach dieser Lektüre einschätzen können, was dieses Jahr auf Sie zukommt.

Digitaler Wandel bringt neue IT-Gesetze

Die digitale Transformation schreitet voran; doch auch die Gesetzgebung muss in der digitalen Gegenwart ankommen. Die IT-Gesetze, die der Gesetzgeber für 2022 geplant hat, gehen jeden etwas an: Organisationen, Unternehmen, aber auch Privatpersonen sollten sich über die sich stetig weiterentwickelnden Gesetzeslagen informieren – nicht nur um Pflichten zu kennen, sondern auch die Rechte, die mit neuen IT-Gesetzen einhergehen. Im Folgenden erläutern wir deshalb die wichtigsten IT-Gesetze 2022 und geben Ihnen einen umfassenden Überblick über alle Gesetzesänderungen, die die IT-Branche betreffen.

IT-Gesetze 2022: Neue KRITIS-Verordnung

Seit Mai 2021 ist das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) in Kraft getreten und erweitert seither die seit 2015 bestehende KRITIS-Regulierung wesentlich. Mit dem IT-SiG 2.0 möchte der Gesetzgeber nicht nur die IT-Sicherheit bei Betreibenden kritischer Infrastrukturen optimieren, sondern auch Bürgerinnen und Bürger im Internet besser schützen. Zu den KRITIS-Betreibenden zählen neben dem Gesundheitssektor auch die Energiewirtschaft oder die Wasserversorgung. Auch die Abfallentsorgung zählt seit April 2021 zum KRITIS-Sektor; bis zum Mai 2023 muss auch dieser Bereich die erweiterten Sicherheitsmaßnahmen für die IT umsetzen. Darüber hinaus sind auch Zulieferer von KRITIS-Betrieben von dem Sicherheitsgesetz betroffen.

Im August 2021 wurden Änderungen an der KRITIS-Verordnung des BSI beschlossen, die seit Beginn des Jahres 2022 in Kraft getreten sind. Daraus ergeben sich neue Pflichten für KRITIS-Betreibende:

• Angriffserkennung: Systeme, die der Angriffserkennung dienen, gehören nun explizit zu den technischen sowie organisatorischen Maßnahmen. Das kontinuierliche Erkennen und Vermeiden von Bedrohungen im laufenden Betrieb mittels Mustern ist spätestens ab Mai 2023 verpflichtend.
• Meldepflichten: KRITIS-Betreibende müssen bei erheblichen Störungen dem BSI Informationen für die Störungsbewältigung zur Verfügung stellen – einschließlich personenbezogener Daten. Für den Einsatz kritischer Komponenten gilt eine Meldepflicht. Weiter müssen sich Betriebe, die als KRITIS-Betreibende gelten, unmittelbar nach dieser Feststellung registrieren und eine Kontaktstelle benennen. Auch das BSI darf KRITIS-Betreibende registrieren. Kommen Unternehmen dieser Registrierungspflicht nicht nach, darf das BSI Einblick in die Unterlagen verlangen.
• Kritische Komponenten: KRITIS-Betreibende, die kritische Komponenten einsetzen, müssen diesen Einsatz beim Innenministerium anzeigen. Als kritische Komponenten werden IT-Produkte mit kritischen Funktionen bezeichnet. Das bedeutet, dass deren Ausfall die Funktion der KRITIS-Anlagen wesentlich beeinträchtigen würde, weshalb kritische Komponenten als schützenswert gelten. Für den Einsatz kritischer Komponenten ist eine Garantieerklärung der Vertrauenswürdigkeit der Hersteller notwendig, jedoch wurden die Mindestanforderungen für diese Garantieerklärung noch nicht definiert. In bestimmten Fällen darf das Innenministerium den Einsatz kritischer Komponenten untersagen. KRITIS-Betreibende, die kritische Komponenten anzeigen müssen, müssen ihre IT-Produkte darüber hinaus inventarisieren.

IT-Sicherheitskennzeichen

Aus dem IT-SiG 2.0 ergibt sich eine weitere Neuerung: Im Dezember 2021 wurde das IT-Sicherheitskennzeichen eingeführt. Verbrauchende sollen durch dieses Kennzeichen mehr Klarheit darüber erhalten, wie sicher IT-Geräte sowie Online-Dienste sind. Vergeben wird das Kennzeichen vom Bundesamt für Sicherheit in der Informationstechnik (BSI), wo es Herstellende und Anbietende von IT-Produkten beantragen können. Erhalten Anbietende das IT-Sicherheitskennzeichen, können sich Verbrauchende per QR-Code über die Sicherheitseigenschaften des Produkts informieren.

IT-Gesetze 2022: TTDSG

Ein neueres IT-Gesetz, welches in 2022 eine hohe Relevanz haben wird, ist das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG), über das wir bereits im Juli 2021 berichteten. Im TTDSG konkretisiert der Gesetzgeber das Thema Cookie-Einwilligung: Cookies dürfen nur dann Einsatz finden, „wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat“ (§ 25 TTDSG). Dementsprechend müssen jene Unternehmen, die das bislang verpasst haben, ihre Datenschutzerklärung sowie die Cookie-Einwilligungen anpassen.

Neues Gesetz zur Update-Pflicht für Digitalprodukte

Seit Januar 2022 gilt das Gesetz „zur Regelung des Verkaufs von Sachen mit digitalen Elementen und anderer Aspekte des Kaufvertrags“. Das Gesetz mit dem sperrigen Namen soll die Nachhaltigkeit von Digitalprodukten sowie Software-Lösungen durch eine verlängerte Nutzbarkeit optimieren. Für Herstellende und Anbietende hat das Folgen: Sie müssen ihrer Kundschaft für eine bestimmte Zeit Aktualisierungen gewährleisten. So sollen Produkte längerfristig Sicherheit bieten und nutzbar bleiben.

Betroffen sind insbesondere Smartphone-, Tablet- oder Smartwatch-Herstellende, doch auch smarte Geräte, Apps, E-Books sowie Streaming-Angebote zählen dem Gesetz nach zu den Betroffenen. Über den Zeitraum, in dem Herstellende Aktualisierungen bereitstellen müssen, wird derzeit noch diskutiert.

Elektronische Rechnungsstellung für öffentliche Auftraggebende

Seit Januar 2022 gibt es in Baden-Württemberg, Hamburg und dem Saarland eine Neuerung: Rechnungen, die an öffentliche Einrichtungen gehen, müssen in elektronischer Form gestellt werden. Neben Kosteneinsparungen verspricht sich der Gesetzgeber dadurch schnellere Transaktionen. Teilweise existieren jedoch Beitragsgrenzen, ab denen das Gesetz greift – in Hamburg beispielsweise erst bei Rechnungen ab 1.000 Euro.

IT-Gesetze 2022: Bleiben Sie auf dem Laufenden!

Wie Sie sehen, hält das Jahr 2022 bei den IT-Gesetzen einige Neuerungen bereit. Damit Sie als Organisation, Unternehmen oder Privatperson bestmöglich auf derartige Änderungen reagieren können, gilt es, sich spätestens jetzt mit den relevanten IT-Gesetzen und Verordnungen auseinanderzusetzen.

Dabei bleibt insbesondere festzuhalten, dass das IT-SiG 2.0 im Zusammenhang mit der KRITIS-Verordnung für dieses Jahr genauso prägend sein wird wie das TTDSG. Eine gute Vorbereitung ist also wichtig! Möchten Sie dabei Unterstützung? Wir, die PSW CONSULTING, stehen Ihnen mit zertifizierten Experten für alle Fragen rund um Informationssicherheit und Datenschutz zur Seite – nehmen Sie einfach und unverbindlich Kontakt zu uns auf.