IT-Sicherheitsgesetz: Zweck, Anforderungen und Sanktionen

gesetz 06
Fachbeitrag

Am 25.07.2015 ist das langdiskutierte IT-Sicherheitsgesetz (BT-Drucks. 18/4096 und BT-Drucks. 18/5121) in Kraft getreten, welches das IT-Sicherheitsniveau für Deutschland signifikant anheben soll. Weitere Informationen veröffentlicht auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seinen Informationsseiten. Nachfolgend geben wir einen kurzen Überblick über den Gesetzeszweck, die inhaltlichen Anforderungen und Folgen von Verstößen.

Zweck des Gesetzes

Zweck des IT-Sicherheitsgesetzes ist die

„signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT-Sicherheit) in Deutschland“

und der

„Schutz kritischer Infrastrukturen, welche gerade für das Funktionieren des Gemeinwesens zentral sind.“

Das Gesetz regelt unter anderem, dass Betreiber sogenannter „kritischer Infrastrukturen“ ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden müssen. Tun sie dies nicht, droht ihnen entsprechend der beschlossenen Änderung der Regierungsvorlage ein Bußgeld. Ebenfalls neu eingefügt wurde in das Gesetz eine Evaluierung nach vier Jahren. Gleichzeitig werden Hard- und Software-Hersteller zur Mitwirkung bei der Beseitigung von Sicherheitslücken verpflichtet. Außerdem wird der Aufgabenbereich des BSI nochmals erweitert.

Wer ist Adressat des Gesetzes?

Das IT-Sicherheitsgesetz hat mehrere Adressaten. Unter den Adressatenbereich fallen:

  • Betreiber von Webangeboten (z.B.: Online-Shop-Betreiber)
  • Telekommunikationsunternehmen
  • Betreiber kritischer Infrastrukturen (KRITIS-Betreiber)
  • Bundesamt für Sicherheit in der Informationstechnik (BSI)

Wer ist Betreiber einer kritischen Infrastruktur?

Die Frage nach der Einstufung als Betreiber einer kritischen Infrastruktur im Sinne des IT-Sicherheitsgesetzes lässt sich nicht sofort und einzig anhand des Gesetzes beantworten. Nach Teil B Nummer 2 der Gesetzesbegründung (vgl.: BT-Drucksache 18/4096 Seite 23)

„folgt die Definition im Grundsatz der innerhalb der Bundesregierung abgestimmten Einteilung kritischer Infrastrukturen. Dazu gehören die Bereiche Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie das Finanz- und Versicherungswesen. Die weitere Konkretisierung bedarf der sektor- und branchenspezifischen Einbeziehung aller betroffenen Kreise (Verwaltung, Wirtschaft und Wissenschaft). Die jeweils anzulegenden Maßstäbe können nur in einem gemeinsamen Arbeitsprozess mit Vertretern der möglicherweise betroffenen Betreiber Kritischer Infrastrukturen und unter Einbeziehung der Expertise von externen Fachleuten in sachgerechter Weise erarbeitet werden. Die nähere Bestimmung der Kritischen Infrastrukturen ist daher gemäß Satz 2 einer Rechtsverordnung vorbehalten. Diese ist auf der Grundlage von § 10 Absatz 1 des BSI-Gesetzes zu erlassen“

Wer also konkret Betreiber einer kritischen Infrastruktur im Sinne des IT-Sicherheitsgesetzes ist, wird erst nach Verabschiedung der Rechtsverordnung feststellbar sein. Der Gesetzesbegründung zufolge ist von insgesamt nicht mehr als 2.000 Betreibern kritischer Infrastrukturen in den regulierten sieben Sektoren auszugehen, so die Informationen des BSI. Kleinstunternehmer i.S.d. Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sind hiervon ausgenommen.

Welche Pflichten bestehen?

Das IT-Sicherheitsgesetz begründet unterschiedliche Pflichten, je nachdem, welcher Betroffenengruppe ein Unternehmen zuzuordnen ist.

Betreiber von Webangeboten

Betreiber von Webangeboten sind verpflichtet, ausreichende, dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme zu ergreifen.

Telekommunikationsunternehmen

Telekommunikationsunternehmen haben, neben der Pflicht ihre Systeme ausreichend gegen Cyberangriffe zu sichern die Verpflichtung, Kunden über mögliche Missbräuche ihrer Anschlüsse zu informieren.

Betreiber kritischer Infrastrukturen

Die höchsten Anforderungen stellt das IT-Sicherheitsgesetz jedoch an die Betreiber kritischer Infrastrukturen. Diese müssen sich, neben der Schaffung ausreichender dem Stand der Technik entsprechender Sicherheitsmaßnahmen, alle 4 Jahre einer Evaluation dieser Maßnahmen unterziehen.

Meldepflichten

Herzstück des IT-Sicherheitsgesetzes sind neben den gesetzlichen Vorgaben zur Einrichtung angemessener technischer und organisatorischer Maßnahmen zum Schutz von IT-Systemen die diversen Meldepflichten über IT-Sicherheitsvorfälle an das BSI, welches künftig als zentrale Melde- und Aufsichtsstelle fungieren wird. Die aus diesen Meldungen, aber auch aus diversen weiteren Informationen, gewonnenen Erkenntnisse stellt das BSI allen KRITIS-Betreibern zur Verfügung, damit diese ihre IT angemessen schützen können. Die Meldepflicht von erheblichen IT-Sicherheitsvorfällen betrifft zunächst nur die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen, eine Meldepflicht erheblicher IT-Sicherheitsvorfälle für andere KRITIS-Betreiber (aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung und Finanz- und Versicherungswesen) tritt erst nach Verabschiedung der noch zu erstellenden Rechtsverordnung in Kraft.

Was genau ist Stand der Technik?

Da die technische Entwicklung der Gesetzesentwicklung zumeist vorauseilt, hat es sich als sinnvoll erwiesen, nicht spezielle technische Maßnahmen vorzugeben, die ggf. schon wieder veraltet sein könnten. Aus diesem Grunde bemüht man sog. „unbestimmte Rechtsbegriffe“, wie den „Stand der Technik“. Hierzu führt das BSI aus

„Was zu einem bestimmten Zeitpunkt Stand der Technik ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards wie DIN oder ISO-Standards oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln. Da sich die notwendigen technischen Maßnahmen je nach konkreter Fallgestaltung unterscheiden können, ist es nicht möglich, den Stand der Technik allgemeingültig und abschließend zu beschreiben.“

Folge von Verstößen?

Bei festgestellten Verstößen gegen die Pflichten aus dem IT-Sicherheitsgesetz, insbesondere die Pflicht zur Einrichtung angemessener technischer und organisatorischer Maßnahmen zum Schutz von IT-Systemen und Kundendaten, drohen Bußgelder von bis zu 50.000 € (vgl.: Art. 4 IT-Sicherheitsgesetz i.V.m. § 16 Abs. 2 TMG, Art. 5 IT-Sicherheitsgesetz i.V.m. 149 Abs. 2 TKG).

Übergangszeit?

Die Pflichten des IT-Sicherheitsgesetzes gelten ab dessen In-Kraft-Treten, also ab sofort. Eine Umsetzung von dem Stand der Technik entsprechenden, angemessenen technischen und organisatorischen Sicherheitsmaßnahmen sollte – soweit noch nicht erfolgt – schon im eigenen Interessen zeitnah erfolgen.

Eine Ausnahme gibt es jedoch: Gemäß Art. 1 Nr. 7 haben Betreiber von kritischen IT-Infrastrukturen eine Umsetzungsfrist von 2 Jahren, so dass auch erst nach Ablauf dieser Frist mit Bußgeldern zu rechnen ist.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

3 Kommentare zu diesem Beitrag

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.