Die BNetzA hat heute ihren neuen Katalog von Sicherheitsanforderungen nach § 109 TKG veröffentlicht. Außerdem hat sie die Liste an festgelegten kritischen Funktionen veröffentlicht.
Gemäß § 109 Abs. 1 und 2 TKG müssen Diensteanbieter und Netzbetreiber bestimmte technische und organisatorische Schutzmaßnahmen treffen. Dabei müssen sie grundsätzlich den Stand der Technik berücksichtigen. Den Katalog an Sicherheitsanforderungen, die diesem Stand entsprechen, hat die BNetzA nunmehr gemäß § 109 Abs. 6 Nr. 1 TKG festgelegt. Dieser Katalog muss bei der Erstellung und Umsetzung von Sicherheitskonzepten berücksichtigt werden.
Ein verschärfter Maßstab gilt dabei für sogenannte kritische Komponenten im Sinne von § 2 Abs. 13 BSIG und wenn diese von Betreibern öffentlicher Telekommunikationsnetze mit erhöhtem Gefährdungspotenzial eingesetzt werden. Diese müssen vor ihrem erstmaligen Einsatz von einer anerkannten Zertifizierungsstelle überprüft und zertifiziert werden. Die BNetzA hat mit der Liste an kritischen Funktionen jetzt gemäß § 109 Abs. 6 Nr. 2 TKG den Anwendungsbereich festgelegt, wann also eine Zertifizierung vorliegen muss.
Diese neuen Festlegungen ersetzen die bisherigen. Ändern sich dabei Gegebenheiten, so müssen die Verpflichteten gemäß § 109 Abs. 4 S. 6 TKG ihr Sicherheitskonzept anpassen und der BNetzA unter Hinweis auf die Änderungen erneut vorlegen. Gemäß § 109 Abs. 6 S. 3 TKG müssen sie die Vorgaben innerhalb eines Jahres umsetzen.
Zukünftig wird mit dem neuen § 165 Abs. 3 TKG der Einsatz von Systemen zur Angriffserkennung im Sinne des § 2 Abs. 9b BSIG vorgesehen. Betreiber öffentlicher Telekommunikationsnetze und Anbieter öffentlich zugänglicher Telekommunikationsdienste mit erhöhtem Gefährdungspotenzial müssen diese einsetzen. Bei erhöhtem Gefährdungspotenzial besteht außerdem eine Pflicht zur zweijährlichen Überprüfung durch eine qualifizierte unabhängige Stelle oder eine zuständige nationale Behörde hinsichtlich der Pflichtenerfüllung.
