Rechtliche Anforderungen an die IT-Sicherheit in Deutschland und Europa

Betriebsfähige und sichere IT-Infrastrukturen sind die Grundvoraussetzung für das Funktionieren unserer Gesellschaft, die spätestens seit den 1990er Jahren wesentlich auf die Computertechnik angewiesen ist. Speziell im Bereich der so genannten Kritischen Infrastrukturen drohen bei einem Ausfall von IT-Komponenten Versorgungsengpässe und Beeinträchtigungen für die Bevölkerung. Das Bundesministerium des Innern definiert in seiner nationalen Strategie neun Sektoren als Kritische Infrastrukturen (KRITIS):

  1.    Energie
  2.    Informationstechnik und Telekommunikation
  3.    Transport und Verkehr
  4.    Gesundheit
  5.    Wasser
  6.    Ernährung
  7.    Finanz- und Versicherungswesen
  8.    Staat und Verwaltung
  9.    Medien und Kultur

 

Um der hohen Relevanz für das Gemeinwesen und der gestiegenen Bedrohungslage für KRITIS auf zukunftsgerichtete Weise gerecht zu werden, hat sich die Bundesregierung im Rahmen ihrer Cybersicherheitsstrategie dazu entschlossen, der IT-Sicherheit für Kritische Infrastrukturen einen konkreten gesetzlichen Rahmen zu geben.

Im Juli 2015 ist in Deutschland das IT-Sicherheitsgesetz in Kraft getreten, das als Artikelgesetz verschiedene Einzelgesetze mit KRITIS-Relevanz novelliert hat, unter anderem das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Atomgesetz (AtG), das Energiewirtschaftsgesetz (EnWG), das Telekommunikationsgesetz (TKG) und das Bundeskriminalamtgesetz (BKAG). Die zentralen Neuerungen betreffen dabei vor allem das BSI, das durch die Änderung des BSIG zur zentralen Sammelstelle von Informationen für die IT-Sicherheit von KRITIS avanciert ist.

Für die Betreiber sind dabei im Kern zwei wesentliche neue Pflichten qua Gesetz vorgegeben: Die Sicherstellung der Sicherheit in der Informationstechnik von KRITIS gemäß § 8a BSIG (oder durch vergleichbare Spezialgesetze, z.B. durch § 11 EnWG; technische und organisatorische Vorkehrungen: TOV) sowie die Einführung einer Meldepflicht gegenüber dem BSI gemäß § 8b BSIG bzw. ebenfalls durch spezialgesetzliche Regelungen. Wer genau Betreiber einer Kritischen Infrastruktur ist, wird ab März 2016 durch eine entsprechende Rechtsverordnung (RVO) des Bundesministeriums des Innern (BMI) vorgegeben, die in zwei „Körben“ als BSI-KritisV erscheint: Der erste Korb befasst sich mit den Sektoren Energie, IKT, Ernährung, Wasser; der zweite Korb ab Ende 2016 mit den verbleibenden Sektoren Finanzen, Gesundheit, Transport, Verkehr – basierend auf der KRITIS-Definition gemäß § 2 Abs. 10 BSIG. Grundsätzlich sind die TOV spätestens zwei Jahre nach Inkrafttreten der RVO von den Betreibern zu treffen, für die Meldepflicht gilt grundsätzlich eine sechsmonatige Einrichtungsfrist.

Neben nationalen gesetzgeberischen Vorhaben zur Verbesserung der IT-Sicherheit wird auch auf europäischer Ebene über die transnationale Zusammenarbeit zur Erkennung und Abwehr von Bedrohungslagen nachgedacht. Die Richtlinie der EU über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (NIS-RL), welche noch im Frühjahr 2016 in Kraft treten wird und das nationale IT-Sicherheitsrecht auf absehbare Zeit novelliert, sieht ein umfassendes IT-Sicherheitskonzept vor. Viele Vorgaben ähneln dabei dem deutschen IT-SiG.

Zusätzlich wird aber der europäische Rahmen für die IT-Sicherheit gänzlich neu definiert: So soll unter anderem eine Kooperationsgruppe zwischen der EU-Kommission, den nationalen IT-Behörden und der ENISA (Europäische Agentur für Netz- und Informationssicherheit) aufgebaut werden. Ferner ist vorgesehen, ein übernationales CERT-Netzwerk (Computer Emergency Response Team) einzurichten. Die Auslegung und Anwendung dieser neuen nationalen wie europäischen Rechtsvorschriften und deren Zusammenspiel wird in den kommenden Jahren zu einem erhöhten Bedarf für den umfassenden Austausch zwischen Betreibern, Verbänden, Behörden, dem Gesetzgeber und der Wissenschaft führen.