Neues vom IT-Sicherheitsgesetz: Betreibern drohen Bußgelder

it-sicherheit 55
News

An diesem Freitag soll die zweite und dritte und damit abschließende Beratung des Entwurfs eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) im Bundestag stattfinden. Kurz davor hat sich die große Koalition auf Änderungen, wie die Einführung von Bußgeldvorschriften, an dem Gesetzesentwurf verständigt.

Der entsprechende Änderungsantrag wurde nun von netzpolitik.org veröffentlicht. Im Vergleich zu dem letzten Entwurf, über den wir bereits berichtet haben, wurden zum Teil erhebliche Änderungen eingearbeitet.

Bußgeldvorschriften eingefügt

Nun kann das Bundesamt für Informationssicherheit nach § 8a Abs. 3 Satz 4 von Betreibern kritischer Infrastrukturen bei Vorliegen von Sicherheitsmängeln verlangen

1. die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und

2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel.

Handeln Betreiber solchen Anordnungen vorsätzlich oder fahrlässig zuwider können sie nach einem neu eingefügten § 14 mit Geldbußen von bis zu 100.000,00 EUR bestraft werden. Innerhalb der neuen Bußgeldvorschrift sind darüber hinaus verschiedene andere Ordnungswidrigkeiten geregelt, die eine Geldbuße von bis zu 50.000,00 EUR vorsehen.

Verstöße gegen Meldepflicht weiter straffrei

Allerdings bleibt nach der Begründung des Änderungsantrages

der Verstoß des Betreibers einer Kritischen Infrastruktur gegen die Pflicht zur Meldung erheblicher Störungen im Sinne von § 8a Absatz 4 des BSI-Gesetzes dabei nur dann bußgeldbewehrt, wenn die betreffende Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

Diese Regelung wird kritisiert, da es so im Zweifel für den Betreiber weiterhin straflos möglich ist, entgegen seiner Verpflichtung Störungen zu verschweigen, wenn keine tatsächliche Beeinträchtigung der Funktionsfähigkeit eingetreten ist.

Auch Bundesbehörden werden verpflichtet

Neu ist ebenfalls eine Regelung, nach der das Bundesamt für Informationssicherheit Zugriff auf Protokolldaten in Bundesbehörden bekommt. Nach der Begründung resultiert dies aus einem zunehmenden Einsatz von Schadprogrammen wie REGIN oder Schadsoftwareplattformen der Equation Group, welche einen Qualitätssprung in der Bedrohung der IT des Bundes darstellen würden.

Die Erkennung solcher Schadprogramme kann wirksam nur durch neue und auf die jeweilige konkrete Gefährdungssituation angepasste, umfangreiche sowie komplexe Detektionsmethoden zur Erkennung von Anomalien innerhalb der zu schützenden Netzwerke erfolgen. Das technische und personelle Know-how für ein derartiges Monitoring befindet sich in der Regel nicht in den einzelnen Behörden der Bundesverwaltung, sondern ist zentral im BSI verankert.

Entwurf weiterhin in der Kritik

Gleichwohl bleibt der Gesetzesentwurf aus datenschutzrechtlicher Sicht in der Kritik, da etwa weiterhin eine Vorratsdatenspeicherung für Telemedien- und Telekommunikationsanbieter durch die Hintertür droht. Es sind in dieser Hinsicht leider keine Bestrebungen der großen Koalition zur Veränderung dieses Zustandes zu erkennen.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Ein Kommentar zu diesem Beitrag

  1. und was noch viel schlimmer ist: Die Kommunen, die ja im wesentlichen die Daten erheben (Meldebehörde, Standesamt, Bauamt, Gewerbeamt) scheinen außen vor zu bleiben. Dort finden täglich Datenschutzverstösse statt und IT-Sicherheit und das Datenschutzgesetz sind Fremdwörter.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.