Alexander Koch

Bundesnetzagentur startet Konsultation des Katalogs von Sicherheitsanforderungen nach § 167 TKG

, ,

Nachdem die Bundesnetzagentur bereits im Mai Eckpunkte für einen aktuellen IT-Sicherheitskatalog nach § 11 Abs. 1a und 1b EnWG vorgelegt hat, hat sie nun im November auch einen Entwurf für einen Katalog von Sicherheitsanforderungen nach § 167 TKG zur Konsultation gestellt.

Stellungnahmen können bis zum 19. Dezember 2025 bei der Bundesnetzagentur eingereicht werden:
Referat 217
An der Trift 40
66123 Saarbrücken
E-Mail: 217.Postfach@bnetza.de

Die letzte Version des Katalogs stammt aus dem Jahr 2020 und ist damit bereits über fünf Jahre alt. Das ist nicht nur eine lange Zeit im Bereich der IT-Sicherheit, sondern auch mit Blick auf den Gesetzesstand. In der Zwischenzeit ist nämlich bereits 2021 das TKG umfassend novelliert worden, wodurch sich unter anderem der Anwendungsbereich des Gesetzes – und damit auch der Adressatenkreis des Sicherheitskatalogs – geändert hat.

Erfasst werden nun auch „nummernunabhängige interpersonelle Telekommunikationsdienste“ (§ 3 Nr. 40 TKG) und damit Anbieter, die üblicherweise keine tatsächliche Kontrolle über die eigentliche Telekommunikationinfrastruktur ausüben.

Sicherheitskataloge sind im Bereich der kritischen Infrastrukturen (KRITIS) eine Besonderheit des Telekommunikations- und Energierechts (und in gewisser Weise des Finanzrechts). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt zwar branchenspezifische Sicherheitsstandards (B3S) zur Verfügung. Deren Umsetzung ist aber – jedenfalls im Grundsatz! – freiwillig. Die Sicherheitskataloge nach dem EnWG sowie dem TKG müssen hingegen umgesetzt werden. Eine Nichtumsetzung kann mit Zwangsgeldern (§ 183 Abs. 1, 5 TKG) erzwungen werden und im Extremfall eine Untersagungsverfügung nach sich ziehen (§ 183 Abs. 4 TKG). Mittelbar ist die Nichtbefolgung auch bußgeldbewehrt (etwa wenn das Sicherheitskonzept nach § 166 Abs. 2 TKG nicht rechtzeitig vorgelegt wird, § 288 Abs. 2 Nr. 38 TKG).

Der nun zur Konsultation gestellte Katalog von Sicherheitsanforderungen differenziert zwischen drei Kategorien von Unternehmen:

  • solchen, die öffentliche Telekommunikationsnetze und öffentlich zugängliche Telekommunikationsdienste betreiben, die für das Gemeinwohl eine hohe Bedeutung haben,
  • solchen, die öffentliche Telekommunikationsnetze und öffentlich zugängliche Telekommunikationsdienste betreiben, die für das Gemeinwohl eine Bedeutung haben
  • sowie sonstigen Unternehmen, die öffentliche Telekommunikationsnetze und öffentlich zugängliche Telekommunikationsdienste betreiben.

Anknüpfungspunkt ist das jeweilige Gefährdungspotenzial – maßgeblich hierfür sind (zunächst) die Anzahl der Mitarbeiter sowie der Jahresumsatz. Hieraus ergibt sich dann folgende Zuordnung:

  • Kategorie a) Normales Gefährdungspotenzial (= Einstufung als sonstige Telekommunikationsanbieter)
    • Unternehmen mit weniger als 10 Mitarbeitern und
    • maximal 2 Mio. Euro Jahresumsatz bzw. Jahresbilanzsumme,
  • Kategorie b) Gehobenes Gefährdungspotenzial (= Einstufung als Telekommunikationsanbieter mit Bedeutung für das Gemeinwohl)
    • Unternehmen mit weniger als 50 Mitarbeitern und
    • maximal 10 Mio. Euro Jahresumsatz oder Jahresbilanzsumme,
  • Kategorie c) Erhöhtes Gefährdungspotenzial (= Einstufung als Telekommunikationsanbieter mit hoher Bedeutung für das Gemeinwohl)
    • Unternehmen mit mindestens 50 Mitarbeitern oder
    • jeweils über 10 Mio. Euro Jahresumsatz und Jahresbilanzsumme.

Der letzten Kategorie werden außerdem pauschal alle Betreiber eines Mobilfunknetzes der 5. Generation zugeordnet (wobei die vier derzeitigen Mobilfunknetzbetreiber ohnehin die Voraussetzungen nach Mitarbeitern und Jahresumsatz erfüllen).

Die Unternehmen mit einem Gefährdungspotenzial der Kategorie c) entsprechen dabei den besonders wichtigen Einrichtungen nach § 28 Abs. 1 Nr. 3 des Regierungsentwurfs für ein neues BSIG (BSIG-RegE) (BR-Drs. 369/25, 40). Unternehmen mit Gefährdungspotenzialen nach den Kategorien a) und b) entsprechen wichtigen Einrichtungen i. S. v. § 28 Abs. 2 Nr. 3 BSIG-RegE – insoweit nimmt der Katalog allerdings eine weitere Unterteilung in Anbieter mit Bedeutung für das Gemeinwohl und sonstige Anbieter vor.

Der Katalog von Sicherheitsanforderungen ist im materiellen Teil in zwei Hauptkapitel unterteilt: Kapitel B 4. enthält allgemeine Anforderungen und ist in die Unterabschnitte
4.1 Schutz des Fernmeldegeheimnisses und personenbezogener Daten,
4.2 Unternehmensführung und Risikomanagement,
4.3 Sicherheit im Personalmanagement,
4.4 Sicherheit von Daten, Systemen und Einrichtungen,
4.5 Betriebsführung,
4.6 Lifecycle-Management für Hard- und Software,
4.7 Management von Zwischenfällen,
4.8 Notfall- und Ausfallmanagement,
4.9 Überwachungs-, Prüf- und Testverfahren,
4.10 Bewusstsein für Bedrohungen (Threat Awareness),
untergliedert. Der zweite Hauptteil (Kapitel B 5.) enthält zusätzliche Anforderungen für 5G-Netze und erhält folgende Gliederung:
5.1 Bestimmung von kritischen Komponenten,
5.2 Prozess zur Identifizierung von kritischen Komponenten im betriebenen Netz,
5.3 Zertifizierung von kritischen Komponenten,
5.4 Diversität,
5.5 Technische Maßnahmen für die Sicherheit in 5G-Netzen.
Es folgt schließlich ein weiteres Kapitel (B 6.) mit „Empfehlungen und Hinweisen“. Die einzelnen Kapitel sind teilweise noch weiter untergliedert.

Der Aufbau der Kapitel folgt einem einheitlichen Schema: Zunächst werden die Maßnahmen aufgeführt, die alle Unternehmen ergreifen müssen – Untergliederungspunkt a). Es folgen dann unter b) weitere Maßnahmen, die zusätzlich von Telekommunikationsanbietern mit Bedeutung für das Gemeinwohl (und dementsprechend einem gehobenen Gefährdungspotenzial) ergriffen werden müssen. Unter c) werden schließlich weitere Maßnahmen genannt, die nur von Telekommunikationsanbieter mit hoher Bedeutung für das Gemeinwohl (und einem dementsprechend erhöhtem Gefährdungspotenzial) erfüllt werden müssen. Anders formuliert: Kleine Telekommunikationsanbieter müssen die a)-Maßnahmen umsetzen, mittlere Anbieter die Maßnahmen nach a) und b) und große sowie 5G-Anbieter die Maßnahmen nach a), b) und c).

Die einzelnen Maßnahmen erreichen dabei einen sehr unterschiedlichen Detailgrad. So müssen etwa ganz allgemein alle Unternehmen „Information[en] an das Personal in Schlüsselpositionen über die Sicherheitsstrategie“ geben (B 4.2.1 a) tir. 2). Insbesondere im Kapitel für 5G-Anbieter werden hingegen sehr detaillierte Vorgaben (wenn auch teilweise als Empfehlung formuliert) etwa zur Auswahl von Algorithmen (etwa B 5.5.2 tir. 2: „Die Auswahl des Algorithmus 128-NEA2 bzw. 128-EEA2 wird empfohlen ([3GPP TS 33.501] D.2.1.3 bzw. 3GPP TS 33.401] B.1.3.), solange keine Algorithmen mit größerer Schlüssellänge standardisiert sind“) oder Protokollen (etwa B 5.5.4: „Der Betreiber muss die Zugriffe auf die von den Netzwerkfunktionen angebotenen Services durch die Autorisierung mindestens mittels des OAuth2.0 Protokolls gemäß [3GPP TS 33.501] 13.4.1 sicherstellen.“) gemacht.

Der neue Katalog von Sicherheitsanforderungen greift sehr viel tiefer in die Unternehmensführung ein als der bisherige Katalog. Die Bundesnetzagentur ist sich dieses Umstands sehr bewusst. Der Konsultationsentwurf geht deshalb ausführlich in einem eigenen Kapitel (A) auf die Ermächtigungsgrundlage einschließlich Ausführungen zur Eingriffsdogmatik in die Berufsfreiheit (Art. 12 GG) des Bundesverfassungsgerichts nach der 3-Stufen-Theorie ein. Jedem (Unter-) Kapitel sind zudem Ausführungen zu „Legitimer Zweck und Geeignetheit“, „Erforderlichkeit“ sowie „Angemessenheit“ vorangestellt.

/von
Das könnte Dich auch interessieren
Baugrube mit Kabeln.Auf dem Weg zu einem Gesamtkonzept für die Kupfer-Glas-Migration: die Eckpunkte des Bundesdigitalministeriums
BriefkastenOLG Düsseldorf: kein wettbewerbsrechtlicher Erstattungsanspruch bei postrechtswidrig, aber bestandskräftig genehmigten Briefentgelten
TelefonWer muss in eine Durchbrechung des Fernmeldegeheimnisses einwilligen?
Blick auf ein Kalenderblatt für den Monat Juli.OLG Hamburg: Beginn der (anfänglichen) Laufzeit von Telekommunikationsverträgen
Überschrift und die ersten Zeilen des Eckpunktepapiers.Eckpunkte des Bundesministeriums für Digitales und Staatsmodernisierung für eine umfassende Änderung des TKG
Telefon auf Kalender.BGH: zeitliche Höchstgrenze bei vorzeitiger Verlängerung von Telekommunikationsverträgen
Menschenmenge.Öffentliche Zugänglichkeit von Telekommunikationsdiensten – Impulse aus dem EU-Flugreiserecht?
Rote Rohre in einer BaugrubeBVerwG: Entscheidung über Mitnutzung eines Leerrohrs