IT security

Insights

Rechts­rah­men IT-Sicher­­heit – was in 2015 geschah…

…und was das für 2016 be­deutet.

Zum Jahresende 2015 hat die EU eine politische Einigung über den Entwurf einer Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union („NIS-RL“) erzielt. Zwar hat Deutschland mit dem bereits am 25. Juli 2015 in Kraft getretenen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme („IT-Sicherheitsgesetz“) die Anforderungen der NIS-RL teilweise bereits umgesetzt. Aber es bestehen eine Reihe offener Fragen, insbesondere zum Anwendungsbereich des IT-Sicherheitsgesetzes sowie zu den Auswirkungen der NIS-RL.

EU Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union („NIS-RL“)

Zum Jahresende 2015 hat Europa nicht nur in Sachen einheitlicher Datenschutz, sondern auch beim Thema IT-Sicherheit Fahrt aufgenommen. Vertreter der EU-Kommission, des Europaparlaments und der Mitgliedstaaten haben jüngst eine politische Einigung über den Entwurf einer Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union („NIS-RL“) erzielt.

Die NIS-RL hat insbesondere zum Ziel, in allen EU-Mitgliedstaaten ein gleichmäßig hohes Niveau der Cybersicherheit zu erreichen und muss noch in entsprechende nationale Gesetze umgesetzt werden.

Inhaltlich enthält die NIS-RL insbesondere Regelungen zur Meldepflicht von Hackerangriffen und Sicherheits- und Datenschutzpannen bei Unternehmen aus den Bereichen Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.

Die NIS-RL geht auf ein bereits am 7. Februar 2013 im Rahmen der EU-Strategie zur Cybersicherheit beschlossenes Richtlinienpapier der Europäischen Kommission zurück. Insgesamt stehen die mit der fortschreitenden Digitalisierung einhergehenden Themen auf europäischer Ebene hoch im Kurs. Unter Federführung der ENISA (European Union Agency for Network and Information Security) wurden verschiedene Initiativen im Zusammenhang mit der „Digital Single Market Strategy” angestoßen.

 

Deutsches IT-Sicherheitsgesetz

Mit dem bereits am 25. Juli 2015 in Kraft getretenen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme („IT-Sicherheitsgesetz“) hat Deutschland die Anforderungen der NIS-RL teilweise bereits umgesetzt. Insoweit werden eine Reihe bestehender Gesetze geändert, insbesondere das BSIG, EnWG, AtG sowie das TMG und TKG.

Wie auch die NIS-RL sieht das IT-Sicherheitsgesetz für Betreiber sog. Kritischer Infrastrukturen zum einen die Pflicht zur Einhaltung eines Mindestniveaus an IT-Sicherheit und zum anderen die Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle vor. Hinzu kommen weitere Pflichten für Telekommunikations- und Telemediendiensteanbieter. Welche Unternehmen konkret als Betreiber kritischer Infrastrukturen im Sinne des Gesetzes betroffen sind, wird erst noch durch Rechtsverordnungen zum IT-Sicherheitsgesetz konkretisiert werden. Das BMI hat den Erlass erster Rechtsverordnungen für das erste Quartal 2016 angekündigt und bis Ende des Jahres 2016 sollen alle Rechtsverordnungen erlassen sein.

Die Übergangsfrist zur Umsetzung der Anforderungen gemäß IT-Sicherheitsgesetz beträgt zwei Jahre ab Erlass der jeweils einschlägigen Umsetzungsverordnung. Danach müssen Nachweise der Mindeststandards alle zwei Jahre im Rahmen von Zertifizierungen und Sicherheitsaudits erbracht werden. Bei Nichteinhaltung kann ein Bußgeld von bis zu 100.000 Euro festgesetzt werden.

 

Offene Fragen

Neben dem Kreis der Betroffenen sind auch noch einige Fragen im Hinblick auf das Verhältnis des IT-Sicherheitsgesetzes zu anderen Vorschriften offen. Dies betrifft das Verhältnis der neuen Meldepflichten zu bereits bestehenden Meldepflichten z.B. nach Telemedien- und Telekommunikationsgesetz.

Weiterhin ergeben sich Fragen im Zusammenhang mit der Umsetzung der NIS-RL. Denn obwohl Deutschland mit dem IT-Sicherheitsgesetz schon wesentliche Teile der NIS-RL umgesetzt haben dürfte, werden sich wohl zukünftig noch einige Anpassungen ergeben. An einigen Stellen weicht das IT-Sicherheitsgesetz bereits jetzt von der NIS-RL ab. Dies betrifft insbesondere die Anwendung des IT-Sicherheitsgesetzes auf sämtliche Betreiber kritischer Infrastrukturen, unabhängig von deren Organisationsform. Damit sind insbesondere auch Einrichtungen des Bundes und damit öffentliche Stellen erfasst, wohingegen die NIS-RL lediglich private Unternehmen adressiert. Zudem sollen laut NIS-RL die einzelnen Mitgliedstaaten eine einzige „zuständige nationale Behörde“ ernennen. Zwar ist in Deutschland das BSI federführend beim Thema IT-Sicherheit und gemäß IT-Sicherheitsgesetz zentrale Meldestelle. Allerdings sind weitere Bundesministerien und nachgeordnete Behörden, insbesondere BMI und BKA, involviert und es wurden gemäß IT-Sicherheitsgesetz bereits mehr als 20 Millionen Euro für die zuständigen Sicherheitsbehörden eingeplant. Mithin stellt sich – ähnlich wie bereits im Falle der EU-DSGVO – die Frage nach den Zuständigkeiten.

 

Ausblick

Gerade im Bereich der IT-Sicherheit wird es zunehmend darauf ankommen, wie kooperativ und effektiv öffentliche Stellen und private Unternehmen zusammenwirken, insbesondere im Bereich Standardisierung und Zertifizierung (so auch im Bereich des einheitlichen Datenschutzes, EU-DSGVO). Denn sowohl die NIS-RL als auch das IT-Sicherheitsgesetz verfolgen diesbezüglich “kooperative” Ansätze, mit denen die Zusammenarbeit zwischen Wirtschaft und Aufsicht zukünftig stärker in den Fokus gerät.

Die EU-Kommission führt derzeit eine öffentliche Erhebung zum Thema Public-Private Partnership (PPP) im Bereich IT-Sicherheit durch. Ziel ist die Förderung der europäischen IT-Sicherheitsindustrie. Neben Brancheneinschätzungen zur IT-Sicherheitslage, Marktbedingungen und Zukunftsthemen in Europa umfasst die Erhebung auch Themen der Standardisierung und Zertifizierung im Bereich IT-Sicherheit. Die Erhebung läuft noch bis März 2016, die Ergebnisse werden im Laufe des Jahres 2016 veröffentlicht.

Auch das IT-Sicherheitsgesetz sieht ausdrücklich eine Kooperation zwischen Wirtschaft und Aufsicht vor. Die einzuhaltenden Mindeststandards sollen nämlich durch die Branchen selbst entwickelt und dann vom BSI genehmigt werden.

Als Ausblick bleibt festzuhalten, dass Unternehmen frühzeitig prüfen sollten, ob sie potentiell in den derzeit zumindest nach Branchen umschriebenen Anwendungsbereich des IT-Sicherheitsgesetzes fallen. Für eine abschließende Einschätzung bleibt der Inhalt der angekündigten Umsetzungsverordnungen abzuwarten. Auch wenn in Anbetracht der NIS-RL von zukünftigen Anpassungen des IT-Sicherheitsgesetzes auszugehen ist, können Unternehmen bereits jetzt eine Strategie zur Umsetzung der neuen Anforderungen entwickeln.

Did you find this useful?

Related topics