Bundestag verabschiedet IT-Sicherheitsgesetz

17. Juni 2015

Vergangene Woche hat der Bundestag den Entwurf eines neuen IT-Sicherheitsgesetzes verabschiedet. Die jüngsten Berichte über den Hacker-Angriff auf den Bundestag verdeutlichen die drohenden Gefahren durch Cyber-Attacken. Mit den nun verabschiedeten Regelungen beabsichtigt der Gesetzgeber solchen Gefahren eine geringere Angriffsfläche zu bieten. Die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität von informationstechnischen Systemen (IT-Systemen) zu gewährleisten, ist der Zweck der Neuerungen zum IT-Sicherheitsgesetz.

Die störungsfreie Nutzung von IT-Systemen ist für Staat, Wirtschaft und Gesellschaft von überragender Bedeutung. Dementsprechend gravierend wären die Schadensausmaße, wenn unbefugte Dritte sich Zugriff auf IT-Systeme ­- beispielsweise von Energieversorgern oder Krankenhäusern – verschafften. Vor diesem Hintergrund hat der Gesetzgeber nun den Kreis derer erweitert, die zukünftig bestimmte Sicherheitsstandards umzusetzen haben. Welche Verpflichtungen sich hieraus ergeben, soll im Folgenden kurz dargestellt werden.

Eine wesentliche Neuerung des Gesetzesentwurfs liegt in den eingeführten Pflichten der Betreiber sogenannter „Kritischer Infrastrukturen“. Adressaten der Regelungen sind entsprechend der Definition Anbieter solcher Dienstleistungen, die den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Ernährung sowie dem Finanz- und Versicherungswesen angehören.

Nach Inkrafttreten des Entwurfes des IT-Sicherheitsgesetzes wird der Gesetzgeber in einer Rechtsverordnung konkrete Dienstleistungen dieser Sektoren festlegen, so dass sich auf dieser Grundlage genau bestimmen lässt, wer Betreiber einer Kritischen Infrastruktur ist.

Von dem Anwendungsbereich des IT-Sicherheitsgesetzes ausgenommen sind jedenfalls sogenannte „Kleinstunternehmen“. Kleinstunternehmen im Sinne der Vorschriften des IT-Sicherheitsgesetzes sind solche, bei denen weniger als 10 Personen beschäftigt sind und deren Jahresumsatz unter dem Betrag von € 2 Mio. liegt.

Gehört ein Unternehmen zukünftig hingegen zu den Betreibern Kritischer Infrastrukturen treffen ihn besondere Pflichten, die er gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) als zuständige Stelle zu erfüllen hat.

Zukünftig besteht die Verpflichtung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen für IT-Systeme einzuführen. Eine organisatorische und technische Vorkehrung ist angemessen, wenn die Belastung, welche für das Unternehmen durch ihre Implementierung entsteht, im Verhältnis zu dem Ziel , welches durch sie erreicht werden soll, nicht unverhältnismäßig groß ist. Diese Vorgabe der technischen und organisatorischen Vorkehrungen hat der Gesetzgeber bewusst offen formuliert. An dieser Stelle haben Branchen- und Interessenverbände der betroffenen Adressaten die Möglichkeit, eigene Maßstäbe zu definieren. Aufgrund ihres branchenspezifischen Fachwissens sollen die Interessenverbände gut die Angemessenheit von Vorkehrungen beurteilen können.

Die Verwendung von Mindeststandards haben die einzelnen Unternehmer alle zwei Jahre gegenüber dem Bundesamt nachzuweisen. Die Nachweise können durch Zertifikate, Prüfungen oder Sicherheitsaudits erbracht werden. Auch hier hat der Gesetzgeber den Branchenverbänden einen Gestaltungsspielraum bezüglich der konkreten Anforderungen an mögliche Nachweise eingeräumt.

Des Weiteren haben Unternehmen innerhalb von sechs Wochen nach Inkrafttreten des Gesetzes eine Kontaktstelle einzurichten, über welche die Korrespondenz mit dem Bundesamt abgewickelt werden soll.

Schließlich normiert das Gesetz eine Meldepflicht für Bertreiber Kritischer Infrastrukturen gegenüber dem Bundesamt. Treten erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit informationstechnischer Systeme, ihrer Komponenten oder Prozesse, auf, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben, muss dies dem Bundesamt durch die Kontaktstelle gemeldet werden.

Für Diensteanbieter im Sinne des Telemediengesetzes sei schließlich erwähnt, dass die nicht-Verwendung der Mindeststandards bußgeldbewehrt ist.

Ob es letztendlich tatsächlich zu einer erhöhten Sicherheit von IT-Systemen kommt, bleibt abzuwarten.

Kategorien: Aufsichtsbehördliche Maßnahmen · Hackerangriffe
Schlagwörter: