Das IT-Sicherheitsgesetz ist in Kraft: Wer ist betroffen, was ist zu tun? –
Betreiber „kritischer Infrastrukturen“ warten auf die Klärung der Rechtslage
Von Dr. Alin Seegel
Am 25.07.2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz – ITSG – BT-Drs. 18/4096) in weiten Teilen in Kraft getreten. Mit diesem Gesetz werden Betreiber „kritischer Infrastrukturen“ verpflichtet, bestimmte Mindestanforderungen für ihre IT-Einrichtungen zu erfüllen und Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Bei Nichteinhaltung dieser Vorschriften kann ein Bußgeld von bis zu 100.000 Euro verhängt werden.
Hintergrund des Gesetzes
Aufgrund der zunehmenden wirtschaftlichen Schäden, die infolge von Angriffen auf Informationsinfrastrukturen entstehen, hatte die Bundesregierung bereits Anfang 2011 eine Cybersicherheitsstrategie beschlossen (HIER abrufbar). Eine der Maßnahmen zum Schutz der Informationsstrukturen ist das ITSG.
Regelungstechnik des ITSG
Mit dem ITSG ist kein einheitliches neues Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme geschaffen worden. Das ITSG betrifft vielmehr Änderungen, Einfügungen und Streichungen in mehreren bestehenden einschlägigen Gesetzen, wie insbesondere dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz), dem Telekommunikationsgesetz (TKG), dem Atomgesetz (AtG), dem Energiewirtschaftsgesetz (EnWG) und dem Telemediengesetz (TMG).
Wesentliche Regelungspunkte des ITSG
Anwendungsbereich
Die neuen Sicherheitsanforderungen sollen vor allem für Betreiber sogenannter „kritischer Infrastrukturen“ gelten (ausgenommen sind Kleinstunternehmen im Sinne der Empfehlung 2003/361/EG der Kommission, vgl. § 8c BSI-Gesetz n.F.). Was genau als „kritische Infrastruktur“ gilt, soll jedoch erst im Nachgang durch eine Rechtsverordnung näher bestimmt werden. Das ITSG definiert lediglich zwei Voraussetzungen für die Einordnung als „kritische Infrastruktur“. Erstens müssen die Einrichtungen, Anlagen oder deren Teile den Sektoren Energie, Informationstechnik, Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung oder Finanz- und Versicherungswesen angehören. Zweitens verlangt das ITSG, dass die Einrichtungen, Anlagen oder deren Teile von großer Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Das ITSG stellt jedoch auch an Betreiber „ganz normaler“ Onlinedienste (Webshops, Apps oder Onlinespiele) durch Einfügung eines neuen § 13 Abs. 7 TMG erhebliche neue Sicherheitsanforderungen. Bei allen geschäftsmäßig erbrachten Onlinediensten muss der Dienstanbieter nunmehr drei „Sicherheitsmaßnahmenpakete“ durch technische und organisatorische Vorkehrungen umsetzen und ihnen nachkommen: (1) Schutz vor unlauterem Zugriff; (2) Schutz von personenbezogenen Daten; (3) Schutz vor Störungen von außen. Der Verstoß gegen die Maßnahmen (1) und (2) [nicht (3)] kann mit einem Bußgeld bis zu 50.000 Euro geahndet werden (vgl. § 16 Abs. 2 Nr. 3 TMG n.F.). Ob ein etwaiger Verstoß gegen § 13 Abs. 7 TMG n.F. von Konkurrenten und Verbraucherschützern abgemahnt werden kann, ist noch unklar. Dies wird davon abhängen, ob die neuen Sicherheitsregeln des § 13 Abs. 7 TMG n.F. als Marktverhaltensregeln eingeordnet werden oder nicht.
Konkret: Erfüllung von Sicherheitsanforderungen
Soweit eine „kritische Infrastruktur“ vorliegt, sind deren Betreiber verpflichtet, spätestens innerhalb von zwei Jahren nach Inkrafttreten der Verordnung zur näheren Bestimmung der „kritischen Infrastruktur“, angemessene und organisatorische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen „kritischen Infrastrukturen“ maßgeblich sind (§ 8a Abs. 1 BSI-Gesetz n.F.). Dabei soll der Stand der Technik eingehalten werden. Die Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen „kritischen Infrastruktur“ steht.
- 8a Abs. 2 BSI-Gesetz n.F. sieht eine Möglichkeit vor, dass Betreiber „kritischer Infrastrukturen“ und deren Branchenverbände branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Abs. 1 vorschlagen können. Das BSI stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach § 8a Abs. 1 BSI-Gesetz n.F. zu gewährleisten.
- 8a Abs. 3 BSI-Gesetz n.F. führt eine Nachweispflicht zu Lasten der Betreiber von „kritischen Infrastrukturen“ über die Erfüllung der Anforderungen gemäß § 8a Abs. 1 BSI-Gesetz n.F. ein. Der Nachweispflicht muss mindestens alle zwei Jahre in geeigneter Weise nachgekommen werden. Als geeigneten Nachweis, der dem BSI zu übermitteln ist, nennt das Gesetz etwa Aufstellungen über durchgeführte Sicherheitsaudits.
Gemäß § 8b Abs. 3 BSI-Gesetz n.F. hat jeder Betreiber einer „kritischen Infrastruktur“ dem BSI innerhalb von sechs Monaten nach Inkrafttreten der Verordnung eine jederzeit erreichbare Kontaktstelle für das BSI zu benennen.
Meldepflichten
Wesentliche Kernpunkte der neu geschaffenen Pflichten für Betreiber von „kritischen Infrastrukturen“ sind Meldepflichten im Fall von erheblichen Störungen der IT-Systeme, die in § 8b Abs. 4 BSI-Gesetz n.F. geregelt sind. § 8b Abs. 4 BSI-Gesetz n.F. sieht eine Pflicht des Betreibers „kritischer Infrastrukturen“ zur unverzüglichen Benachrichtigung des BSI über seine mitgeteilte Kontaktstelle (§ 8b Abs. 3 BSI-Gesetz n.F.) in folgenden Fällen vor:
Bei Vorliegen erheblicher Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zum Ausfall oder zur Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen „kritischen Infrastrukturen“
(1) führen können oder
(2) geführt haben.
Die Meldung muss Angaben zur Störung sowie zu den technischen Rahmenbedingungen enthalten, insbesondere zu der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers. Die namentliche Nennung des Betreibers ist erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder zu einer Beeinträchtigung der Funktionsfähigkeit der „kritischen Infrastruktur“ geführt hat.
Bewertung des ITSG
Im Moment ist nicht klar, wer im Wesentlichen von dem Gesetz betroffen ist, welche Störungen gemeldet und welche Sicherheitsstandards eingehalten werden müssen. Das ITSG trifft zu diesen Punkten nur unbestimmte Regelungen, die jedoch nur zum Teil durch die angekündigte Rechtsverordnung näher bestimmt werden sollen.
Mit Blick auf die erheblichen Eingriffe, die betroffene Unternehmen in ihr Sicherheitsmanagement, ihre Unternehmensabläufe und in ihre Problemlösungsstrategien aufgrund der Umsetzung des ITSG hinnehmen müssen, hätte es bestimmterer Regelungen bedurft. Auf die betroffenen Unternehmen wird zudem ein erheblicher Kostenaufwand zukommen, um die Anforderungen des ITSG zu erfüllen. Die bisher unbestimmten Regelungen des ITSG rechtfertigen zudem nicht die hohe Geldbuße, die im Fall der Nichtbefolgung den betroffenen Unternehmen droht.
