Für wen gilt eigentlich das IT-Sicherheitsgesetz 2.0 ?

1. Kritische Infrastrukturbetreiber

2. Digitale Dienste, wie

•Online-Suchmaschinen,

•Cloud-Computing-Dienste und

•Online-Marktplätze

Definition
Online-Shops, über die Einzelhändler ihre eigenen Waren vertreiben, sind keine Marktplätze im Sinne des § 2 BSIG.

Ein Online-Marktplatz ist eine Plattform, die als Dienstleistung eines Dritten einer Vielzahl von Verkäufern angeboten wird, um gebündelt ihre Waren an Käufer zu vermitteln. Normzweck ist der Schutz der quasi-infrastrukturellen Bedeutung des Marktplatzes. Fällt er aus, drohen wirtschaftliche Folgen für eine Mehrzahl von Verkäufern und Käufern, nicht nur für einen Einzelanbieter.

Gilt es für alle Unternehmen, auch solche, die keine kritischen Infrastrukturbetreiber sind?

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)

§ 8c Besondere Anforderungen an Anbieter digitaler Dienste (1)Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten. (2)Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:

  1. der Sicherheit der Systeme und Anlagen,

  2. der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,

  3. dem Betriebskontinuitätsmanagement,

  4. der Überwachung, Überprüfung und Erprobung,

  5. der Einhaltung internationaler Normen.

(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden.

Stand: 04.05.2022