2021年5月28日，德國《IT安全法》2.0版本正式生效。隨著新技術新應用的發(fā)展和網絡環(huán)境的復雜化，數字化、網絡安全和數據保護之間的聯系越發(fā)密切。網絡攻擊、網絡間諜和網絡犯罪對國家、企業(yè)和社會構成持續(xù)性重大威脅。為此，德國發(fā)布《IT安全法》2.0版本，通過彌補法律漏洞并擴大監(jiān)管框架，以提高德國IT系統的安全性，并加強國家安全。法案側重點如下：

一是擴大聯邦信息安全辦公室(BSI)的權限。其中包括：1、以技術調查的形式對包括路由器、智能電視等在內的IT產品進行擴展篩選，以確保產品的安全性;2、從電信服務提供商處提取數據信息，以確定網絡攻擊的受害者，并為防御此類攻擊提供有效支持。在出現某種威脅的情況下，BSI可命令電信服務提供商采取相關措施;3、檢測和評估IT基礎設施及系統中的網絡入侵企圖和安全風險。BIS將被授權對某些IT系統和公共電信網絡進行端口掃描、排查漏洞，并使用系統和程序來分析惡意軟件和攻擊方法(比如：蜜罐);4、組織利益相關者制定必要的危機響應計劃;5、分析和收集有關安全漏洞、惡意軟件和其他IT安全風險的信息;6、對來自德國聯邦當局的通信基礎設施的假名協議數據進行擴展數據處理和評估;7、BSI將被授權對聯邦當局的通信技術及其組件(包括技術基礎設施)進行監(jiān)測和控制，并行使審計權力。為避免聯邦通信技術受到威脅，BSI可以自動方式收集和分析相關日志數據。同時，存儲日志數據的時限可延長到最多18個月。同時，BSI將從早期開始參與聯邦政府的主要數字化項目。

二是加強對數字消費者的保護?！白栽感訧T安全標簽”項目用以推動與安全相關的IT產品的透明度，特別是使得消費領域產品的IT安全功能可以被消費者看到和理解。標簽將貼在相應的產品或其外包裝上，或者以電子形式發(fā)布，旨在為消費者提供IT領域產品和服務的信息技術安全方向。標簽由制造商自己提出申請，通過相關流程后獲得批準。產品制造商有義務在BSI調查IT產品和系統時提供有關其產品的必要信息。

三是擴展關鍵基礎設施范疇。1、擴展關鍵基礎設施行業(yè)。在現有的關鍵基礎設施部門(目前為能源、水、信息技術/電信、食品、衛(wèi)生、金融/保險和運輸/交通)之外，新增“廢物處理”為關鍵基礎設施部門;2、定義關鍵基礎設施部門關鍵部件。關鍵部件是指：A、用于關鍵基礎設施的IT產品;B、對其可用性、完整性、真實性和保密性的破壞可能導致關鍵基礎設施的功能失效或嚴重受損或對公共安全的威脅;C、根據有關法律被指定為關鍵部件，或實現根據法律指定的關鍵功能;3、擴展相關性實體。將“具有特殊公共利益的基礎設施”和“具有網絡關鍵性”的運營商納入進來。前者是指國防、擁有機密信息技術的公司、因高附加值而具有特殊經濟意義的公司、根據《重大事故條例》受到監(jiān)管的公司等;后者是指不在關鍵基礎設施范圍內、但其IT系統、組件或者流程的中斷會導致關鍵基礎設施故障或者受損的公司。

四是新增制造商、供應商和關鍵基礎設施部門的義務。1、關鍵基礎設施部門運營商需安裝技術防范系統，以監(jiān)測到對其IT基礎設施的攻擊?！熬哂刑厥夤怖娴幕A設施”的實體需履行關鍵基礎設施運營商等同義務。在個案基礎上，聯邦信息安全辦公室將要求“具有網絡關鍵性”的公司也履行相關業(yè)務。2、BSI將在未來明確定義關鍵基礎設施核心部件的最低標準，關鍵基礎設施行業(yè)將只能采購并安裝以發(fā)布“可信聲明”的制造商組件。這一要求明確包括制造商的整個供應鏈。3、電信服務商將履行更廣泛的義務，如發(fā)生網絡安全事件時刪除、報告、提供相關信息。供應商在數據被非法傳輸或披露給第三方時立即通知德國聯邦刑事警察局。對于住所在國外、因而將數據存儲在國外服務器上的供應商，在向德國提供服務時，需在德國設立一個官方查詢聯絡點。同時，首次引入了對電信網絡中關鍵部件的認證義務。

五是對有關罰款的規(guī)定進行了修訂。加大對計算機相關犯罪和數據保護相關犯罪的處罰力度，并修訂了罰款目錄。根據違法行為，罰款金額最高可達2000萬歐元，或占公司上一營業(yè)年度全球總營業(yè)額的4%(在不太重要的情況下為1000萬歐元或占2%)，以較高者為準。

參考信息：

https://www.engage.hoganlovells.com/knowledgeservices/viewContent.action?key=Ec8teaJ9VapIypF137qTl8xgHJMKLFEppVpbbVX%2B3OXcP3PYxlq7sZUjdbSm5FIetvAtgf1eVU8%3D&nav=FRbANEucS95NMLRN47z%2BeeOgEFCt8EGQ0qFfoEM4UR4%3D&emailtofriendview=true&freeviewlink=true

https://www.whitecase.com/publications/article/germanys-draft-bill-it-security-20-extended-bsi-authorities-stricter-penalties

https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/entwurf-zweites-it-sicherheitsgesetz.html

來源：蘇州信息安全法學所   原創(chuàng) 汪麗