德国《IT安全法》2.0正式生效，加强关基安全保障

2021年5月28日，德国《IT安全法》2.0版本正式生效。随着新技术新应用的发展和网络环境的复杂化，数字化、网络安全和数据保护之间的联系越发密切。网络攻击、网络间谍和网络犯罪对国家、企业和社会构成持续性重大威胁。为此，德国发布《IT安全法》2.0版本，通过弥补法律漏洞并扩大监管框架，以提高德国IT系统的安全性，并加强国家安全。法案侧重点如下：

一是扩大联邦信息安全办公室（BSI）的权限。其中包括：1、以技术调查的形式对包括路由器、智能电视等在内的IT产品进行扩展筛选，以确保产品的安全性；2、从电信服务提供商处提取数据信息，以确定网络攻击的受害者，并为防御此类攻击提供有效支持。在出现某种威胁的情况下，BSI可命令电信服务提供商采取相关措施；3、检测和评估IT基础设施及系统中的网络入侵企图和安全风险。BIS将被授权对某些IT系统和公共电信网络进行端口扫描、排查漏洞，并使用系统和程序来分析恶意软件和攻击方法（比如：蜜罐）；4、组织利益相关者制定必要的危机响应计划；5、分析和收集有关安全漏洞、恶意软件和其他IT安全风险的信息；6、对来自德国联邦当局的通信基础设施的假名协议数据进行扩展数据处理和评估；7、BSI将被授权对联邦当局的通信技术及其组件（包括技术基础设施）进行监测和控制，并行使审计权力。为避免联邦通信技术受到威胁，BSI可以自动方式收集和分析相关日志数据。同时，存储日志数据的时限可延长到最多18个月。同时，BSI将从早期开始参与联邦政府的主要数字化项目。

二是加强对数字消费者的保护。“自愿性IT安全标签”项目用以推动与安全相关的IT产品的透明度，特别是使得消费领域产品的IT安全功能可以被消费者看到和理解。标签将贴在相应的产品或其外包装上，或者以电子形式发布，旨在为消费者提供IT领域产品和服务的信息技术安全方向。标签由制造商自己提出申请，通过相关流程后获得批准。产品制造商有义务在BSI调查IT产品和系统时提供有关其产品的必要信息。

三是扩展关键基础设施范畴。1、扩展关键基础设施行业。在现有的关键基础设施部门（目前为能源、水、信息技术/电信、食品、卫生、金融/保险和运输/交通）之外，新增“废物处理”为关键基础设施部门；2、定义关键基础设施部门关键部件。关键部件是指：A、用于关键基础设施的IT产品；B、对其可用性、完整性、真实性和保密性的破坏可能导致关键基础设施的功能失效或严重受损或对公共安全的威胁；C、根据有关法律被指定为关键部件，或实现根据法律指定的关键功能；3、扩展相关性实体。将“具有特殊公共利益的基础设施”和“具有网络关键性”的运营商纳入进来。前者是指国防、拥有机密信息技术的公司、因高附加值而具有特殊经济意义的公司、根据《重大事故条例》受到监管的公司等；后者是指不在关键基础设施范围内、但其IT系统、组件或者流程的中断会导致关键基础设施故障或者受损的公司。

四是新增制造商、供应商和关键基础设施部门的义务。1、关键基础设施部门运营商需安装技术防范系统，以监测到对其IT基础设施的攻击。“具有特殊公共利益的基础设施”的实体需履行关键基础设施运营商等同义务。在个案基础上，联邦信息安全办公室将要求“具有网络关键性”的公司也履行相关业务。2、BSI将在未来明确定义关键基础设施核心部件的最低标准，关键基础设施行业将只能采购并安装以发布“可信声明”的制造商组件。这一要求明确包括制造商的整个供应链。3、电信服务商将履行更广泛的义务，如发生网络安全事件时删除、报告、提供相关信息。供应商在数据被非法传输或披露给第三方时立即通知德国联邦刑事警察局。对于住所在国外、因而将数据存储在国外服务器上的供应商，在向德国提供服务时，需在德国设立一个官方查询联络点。同时，首次引入了对电信网络中关键部件的认证义务。

五是对有关罚款的规定进行了修订。加大对计算机相关犯罪和数据保护相关犯罪的处罚力度，并修订了罚款目录。根据违法行为，罚款金额最高可达2000万欧元，或占公司上一营业年度全球总营业额的4%（在不太重要的情况下为1000万欧元或占2%），以较高者为准。

参考信息：

• https://www.engage.hoganlovells.com/knowledgeservices/viewContent.action?key=Ec8teaJ9VapIypF137qTl8xgHJMKLFEppVpbbVX%2B3OXcP3PYxlq7sZUjdbSm5FIetvAtgf1eVU8%3D&nav=FRbANEucS95NMLRN47z%2BeeOgEFCt8EGQ0qFfoEM4UR4%3D&emailtofriendview=true&freeviewlink=true

• https://www.whitecase.com/publications/article/germanys-draft-bill-it-security-20-extended-bsi-authorities-stricter-penalties

• https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/entwurf-zweites-it-sicherheitsgesetz.html

声明：本文来自苏州信息安全法学所，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。