Das IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) gilt seit dem 25. Juli 2015. Es ist ein Artikelgesetz, welches neben dem BSI-Gesetz, auch BSIG, (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) auch das Energiewirtschaftsgesetz (EnWG), Telekommunikationsgesetz (TKG) und andere Gesetze ergänzt oder auch einige Vorschriften dieser Gesetze ändert.
Der Zweck des IT-Sicherheitsgesetzes
Der Gedanke, ein IT-Sicherheitsgesetz einzuführen, wurde aufgrund der rasch zunehmenden IT-Durchdringung und Vernetzung fast aller Lebensbereiche immer relevanter.
Diese Vernetzung eröffnet nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) nicht nur ökonomische und gesellschaftliche Potenziale, sondern führt auch zunehmend zu neuen Gefährdungslagen, auf die schnell und konsequent reagiert werden sollte. Diese Gefährdungen realisieren sich in Form von Cyberangriffen auf die IT-Infrastruktur staatlicher sowie nicht staatlicher Stellen (Unternehmen), die mit wertvollen Informationen (z.B. personenbezogene Daten in Form von Kontodaten, Gesundheitsdaten etc.) umgehen.
Das IT-Sicherheitsgesetz ist folglich eine Ausformung der Schutzverantwortung des Staates gegenüber jedem einzelnen Bürger, der Wirtschaft sowie seinen eigenen Institutionen und Verwaltungen. Es verdeutlicht einerseits die zunehmende Bedeutung der IT-Sicherheit, die aufgrund der Digitalisierung, immer mehr zu einem zentralen Baustein der inneren Sicherheit wird, und dient andererseits, aufgrund der schnellen technischen Entwicklungen bzw. Neuerungen, als Verpflichtung zur Aktualisierung veralteter Informationstechniken.
Bezüglich der Situation vor der Einführung des IT-Sicherheitsgesetzes stellt das BSI dar, dass der rein freiwillige Ansatz bei der Herstellung von IT-Sicherheit nicht immer zu dem notwendigen Engagement in der Wirtschaft geführt hatte und somit nicht immer ein flächendeckender Schutz vorhanden war, der in allen sicherheitsrelevanten Bereichen wirkte.
An wen richtet sich das IT-Sicherheitsgesetz?
Das IT-Sicherheitsgesetz wendet sich an mehrere Adressaten, darunter fallen:
- Betreiber kritischer Infrastrukturen,
- die Bundesagentur für Sicherheit in der Informationstechnik (BSI),
- Telekommunikationsunternehmen und
- Betreiber von Webangeboten (z.B. Online-Shop-Betreiber).
„Kritische Infrastruktur“ – Was ist das?
Angeregt durch den vorherigen Abschnitt stellt sich die Frage, wann man überhaupt ein Betreiber einer kritischen Infrastruktur ist. Daher ist es wichtig, vorher den Begriff der „Kritischen Infrastruktur“ zu erläutern:
Im Art. 1 IT-Sicherheitsgesetz wird die Änderung des BSI-Gesetzes bestimmt. Demnach soll im § 2 BSI-Gesetz folgender Absatz 10 angefügt werden, welcher „Kritische Infrastrukturen“ näher darstellen soll. Demnach handelt es sich dabei um:
„[…] Einrichtungen, Anlagen oder Teile davon, die
- den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören
und
- von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit einhergehen würden.“
Nähere Bestimmungen „Kritischer Infrastrukturen“ sollen sich im § 10 Abs. 1 BSI-Gesetz befinden. Demnach werden durch Rechtsverordnung qualitative und quantitative Kriterien, wie beispielsweise die Anzahl der versorgten Personen, festgesetzt.
Mithilfe der Verordnung zur Bestimmung kritischer Infrastrukturen sollen Betreiber besser feststellen können, ob sie unter das IT-Sicherheitsgesetz fallen. Die Verordnung zur Bestimmung kritischer Infrastrukturen für die Sektoren Energie, Informationstechnik, Ernährung und Wasser ist bereits am 3. Mai 2016 in Kraft getreten. Der Änderung der Verordnung für die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr soll die Bundesregierung – nach Angaben des Bundesministeriums des Innern (BMI) – bereits zugestimmt haben, wodurch diese zeitnah in Kraft treten dürfte.
Betreiber einer „kritischen Infrastruktur“ – wann liegt dies vor?
Aus dem vorherigen Punkt konnte bereits entnommen werden, dass es sich bei einer „kritischen Infrastruktur“ immer um einen Bereich handelt, dessen Ausfall Konsequenzen für die Allgemeinheit bedeuten würden. Nähere Erläuterungen im Gesetz finden sich, bis auf die Abgrenzung spezifischer Sektoren (z.B. Energiewirtschaft, Finanzwesen etc.), in der „kritische Infrastrukturen“ beheimatet sind, nicht.
Definitiv ausgenommen von dem Begriff des Betreibers einer kritischen Infrastruktur (KRITIS-Betreiber) sind nach Art. 1 ITSiG bzw. § 8c Abs. 1 BSIG Kleinstunternehmen im Sinne der Empfehlung 2003/361/EC der Kommission vom 6. Mai 2013.
Was für Pflichten sieht das IT-Sicherheitsgesetz vor?
Das IT-Sicherheitsgesetz sieht unterschiedliche Pflichten vor, welche auf die unterschiedlichen Gruppen zugeschnitten sind.
- Betreiber kritischer Infrastrukturen
haben die Pflicht, Sicherheitsmaßnahmen nach dem Stand der Technik zu implementieren, welche alle 4 Jahre einer Evaluationsmaßnahme unterzogen werden.
- Telekommunikationsunternehmen
sind neben der Pflicht, ihre Systeme genügend gegen Cyberangriffe zu schützen, ebenso verpflichtet, deren Kunden über mögliche Missstände ihrer Anschlüsse zu informieren.
- Betreiber von Webangeboten
werden dazu angehalten, nach dem Stand der Technik technische und organisatorische Maßnahmen (TOM) zum Schutz von Kundendaten und deren IT-Systemen einzurichten.
- Meldepflicht
Abgesehen von der Pflicht zur Einrichtung geeigneter technischer und organisatorischer Maßnahmen zur Sicherung der IT-Systeme, sind diverse Meldepflichten über IT-Sicherheitsvorfälle an das BSI vorgesehen. Das BSI fungiert hierbei als Melde- und Aufsichtsstelle. Die aus den Meldungen und anderen Informationen durch Auswertung gewonnenen Erkenntnisse stellt das BSI den Betreibern kritischer Infrastrukturen zur Verfügung, damit diese ihre Informationstechnik angemessen schützen können.
„Stand der Technik“ – wie sieht dieser aus und wann ist dieser gewährleistet?
Der weiche Begriff des „Stand der Technik“ wurde vom Gesetzgeber gewählt, um den schnellen Entwicklungen von technischen Verfahren und Techniken gerecht zu werden. Damit ist es nicht nötig, spezifische technische und organisatorische Maßnahmen festzusetzen, die möglicherweise innerhalb kürzester Zeit veraltet sein könnten. Trotzdem ist eine nähere Erläuterung notwendig, um entsprechende Maßnahmen zu treffen. Das BSI führt dazu aus:
Das BSI-Gesetz sieht vor, dass zur Festlegung der Anforderungen an die Umsetzung von § 8a (1) (inkl. des „Stands der Technik“) von Betreibern Kritischer Infrastrukturen oder ihren Fachverbänden branchenspezifische Sicherheitsstandards (B3S) erarbeitet werden können. Eine gesetzliche Pflicht zur Erarbeitung eines solchen B3S besteht nicht. Die Erstellung eines B3S ist für die Branchen jedoch eine Chance, ausgehend von der eigenen Expertise selber Vorgaben zum „Stand der Technik“ zu formulieren. Darüber hinaus gibt er den Betreibern, die sich nach einem solchen anerkannten B3S prüfen lassen, Rechtssicherheit bzgl. des „Stands der Technik“, der bei einem Audit verlangt und überprüft wird.
Folge bei Zuwiderhandlung
Wird eine Zuwiderhandlung gegen die Pflichten des IT-Sicherheitsgesetzes festgestellt, insbesondere gegen die Pflicht zur Einrichtung angemessener technisch-organisatorischer Maßnahme zum Schutz von Kundendaten und IT-Systemen, können Bußgelder von bis zu 50.000 € drohen. Dies ergibt sich beispielsweise aus Art. 4 IT-Sicherheitsgesetz i.V.m § 16 Abs. 2 TKG oder Art. 5 ITSiG i.V.m § 149 TKG.
Damit Sie nicht in die Verlegenheit kommen, wegen etwaiger Verstöße ein Bußgeld entrichten zu müssen und damit einhergehende Imageverluste zu erleiden, sollte geeignete Unterstützung eingeholt werden.
