IT-Sicherheitsgesetz – was kommt auf Unternehmen zu?

Dr. Oliver Hornung - 16. März 2016 - IT

Angriffe auf die Informationsinfrastrukturen im Cyber-Raum werden immer komplexer und professioneller. Im Bericht zur Lage der IT-Sicherheit in Deutschland 2015 stellte das Bundesamt für Sicherheit in der Informationstechnik (BSI) fest, dass die Anzahl der Schwachstellen in deutschen IT-Systemen weiterhin auf einem hohen Niveau liegt.

Ziel des IT-Sicherheitsgesetzes ist daher, den Schutz der Verfügbarkeit, Integrität und Vertraulichkeit datenverarbeitender Systeme zu verbessern und der gestiegenen Bedrohungslage anzupassen. Dazu sollen die IT-Sicherheit in Unternehmen erhöht, der Schutz von Bürgern in einem sicheren Netz gestärkt, die IT-Sicherheit der Bundesverwaltung verbessert und in diesem Zusammenhang auch das BSI und das Bundeskriminalamt (BKA) gestärkt werden. Der wesentliche Regelungsinhalt des Gesetzes sieht wie folgt aus:

  1.  Aufsichtsbehörde
    Wie bereits im Entwurf verankert, werden die Kompetenzen des BSI und der Bundesnetzagentur sowie die Ermittlungszuständigkeit des BKA im Bereich der Computerdelikte ausgebaut. Neu ist jedoch die Verpflichtung des BSI, Mindeststandards für die Sicherheit der IT-Systeme des Bundes zu erarbeiten. Zuvor bestand lediglich eine Ermächtigung hierzu.

  2. Kritische Infrastrukturen
    Verpflichtete des Gesetzes sind Unternehmen, die kritische Infrastrukturen betreiben. Entgegen vieler Kritik aus der Wirtschaft erfolgte noch immer keine genaue Definition des Begriffs der kritischen Infrastruktur. Das Gesetz gibt weiterhin die allgemeine Definition wieder, dass kritische Infrastrukturen Einrichtungen, Anlagen oder Teile davon sind, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören. Zudem sind sie von hoher Bedeutung für das Funktionieren des Gemeinwesens, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

    Näheres bestimmt in Zukunft eine Rechtsverordnung, welche das Bundesministerium des Inneren erlassen wird. Derals bedeutend anzusehende Versorgungsgrad ist anhand von branchenspezifischen Schwellenwerten für jede wegen ihrer Bedeutung als kritisch anzusehende Dienstleistung im jeweiligen Sektor zu bestimmen. Diese „Definitionen“ lassen bislang nur die allgemeine Aussage zu, dass zum Beispiel Krankenhäuser, Lebensmittelproduzenten, Energie- und Wasserversorgern, Banken und Versicherungen betroffen sein werden. Zu begrüßen ist, dass die Ausnahmetatbestände nunmehr gebündelt in einem Paragraphen (§ 8c) zusammengefasst werden.

  3.  Pflichten
    Sofern ein Unternehmen als Betreiber kritischer Infrastrukturen angesehen wird, ist es verpflichtet angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Maßgeblich ist dabei der jeweils aktuelle Stand der Technik. Branchenverbände haben die Möglichkeit dem BSI Sicherheitsstandards für ihre jeweilige Branche vorzuschlagen.

    Mindestens alle zwei Jahre ist die Erfüllung der Anforderungen durch Sicherheitsaudits oder Zertifizierungen nachzuweisen. Auftretende IT-Sicherheitsvorfälle sind dem BSI zu melden. Hierbei ist grundsätzlich eine anonyme Meldung ausreichend, es sei denn, die kritische Infrastruktur fällt aus oder wird beeinträchtigt. In diesen Fällen ist eine namentliche Meldung notwendig.

  4. Konsequenzen bei Verletzung der Pflichten
    Erst kurz vor der Beschlussfassung haben Bußgeldvorschriften Einzug in das Gesetz gefunden. Es sind nunmehr Bußgelder zwischen 50.000 Euro und 100.000 Euro vorgesehen. Bußgelder werden insbesondere im Falle unzureichender IT-Sicherungsmaßnahmen verhängt oder dann, wenn trotz tatsächlicher Beeinträchtigung einer kritischen Infrastruktur keine Meldung an das BSI erfolgt.

  5. Datenschutz
    Aus datenschutzrechtlicher Sicht ist zu kritisieren, dass die Änderung des § 100 Abs. 1 TKG eine weitgehende Erlaubnis für Telekommunikationsdienstanbieter vorsieht, Daten über das Verhalten der Nutzer zu speichern. Dies lässt befürchten, dass quasi durch die Hintertür eine Vorratsdatenspeicherung eingeführt wird.

  6. Was ist zu tun?
    Die durch das IT-Sicherheitsgesetz neu geschaffenen Anforderungen an einen ordnungs- und zeitgemäßen sowie sicheren IT-Betrieb stellen viele Unternehmen vor neue Herausforderungen. Unternehmen müssen prüfen, ob sie unter das neue Gesetz fallen und was konkret für das Unternehmen erforderlich ist. Vor allem ist anzuraten, dass Unternehmen unverzüglich aktiv werden, um bereits an der Gestaltung der branchenspezifischen Mindeststandards mitzuwirken und zu prüfen, welche sie davon bereits erfüllen und ob Nachbesserungsbedarf besteht.



Über den Autor:
Dr. Oliver Hornung ist Rechtsanwalt und berät und betreut seit über 15 Jahren nationale und internationale IT-Dienstleister, Cloud Anbieter sowie IT-Anwender, hauptsächlich in IT-Projekten und IT-Outsourcing-Vorhaben, einschließlich notleidender Projekte und der dortigen Konfliktbewältigung. Seine Tätigkeit umfasst insbesondere auch die Beratung und Vertretung in Prozess-, Schlichtungs- und Schiedsverfahren. Ein weiterer Schwerpunkt von Dr. Oliver Hornung sind Fragen des Datenschutzes und der IT-Compliance. Im Urheberrecht und Wettbewerbsrecht begleitet Dr. Oliver Hornung die Verteidigung und Sicherung des geistigen Eigentums seiner Mandanten.

Herr Dr. Hornung steht Ihnen für Fragen gerne persönlich zur Verfügung unter: Tel. +49 69630001-65, Email: o.hornung@skwschwarz.de, SKW Schwarz Rechtsanwälte, Mörfelder Landstraße 117, 60598 Frankfurt am Main

 

 


Praxisrelevante Tipps für Führungskräfte, Entscheider und Spezialisten

Archiv

2017 (20)
Dezember (1) November (1) Oktober (1) September (2) August (2) Juli (3) Juni (3) Mai (3) April (3) März (1)