Am 18. August 2014 hat das Bundesministerium des Inneren (BMI) den zweiten Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vorgestellt, das u.a. neue Pflichten für Unternehmen vorsieht.
Ziel des Gesetzesentwurfs ist es, das Sicherheitsniveau bei sog. “Kritischen Infrastrukturen” sowie Anbietern von Telekommunikations- oder Telemediendiensten zu erhöhen und so den zunehmenden Bedrohungen durch Cyberangriffe, Cyberspionage und Cyberkriminalität zu begegnen. Das IT-Sicherheitsgesetz ist kein einheitliches Gesetz, sondern ein Artikel-Gesetz, das Änderungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG-E), des Telekommunikationsgesetzes (TKG-E), des Telemediengesetzes (TMG-E), des Außenwirtschaftsgesetzes (AWG-E) und des Bundeskriminalamtgesetzes (BKAG-E) enthält. Die für Unternehmen relevanten Kernpunkte des Gesetzesentwurfs sind:
BSI als nationale Informationssicherheitsbehörde
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll nach dem Gesetzesentwurf zu einer Informationssicherheitsbehörde mit Eingriffsbefugnissen gegenüber den Betreibern Kritischer Infrastrukturen (BKI) aufgewertet werden. Das BMI soll durch Rechtsverordnung festlegen, welche Infrastrukturen als kritisch einzustufen sind (§ 10 Abs. 1 BSIG-E). Laut Gesetzesbegründung kommen hierfür u.a. Energie- und Wasserversorger, IT-Unternehmen, Logistik-Unternehmen, Krankenhäuser und Labore, der Lebensmittelhandel sowie Banken, Finanzdienstleister und Versicherungen in Frage.
Verpflichtungen für Betreiber Kritischer Infrastrukturen
Die Verpflichtungen der BKI nach dem BSIG-E sollen – anders als die bisherigen Verpflichtungen nach den Datenschutzgesetzen – unabhängig davon bestehen, ob personenbezogene Daten verarbeitet werden. Gegenstand ist vielmehr der Schutz von IT-Systemen, Komponenten und Prozessen als solche.
Hierzu haben BKI “angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen” zu treffen (§ 8a Abs. 1 BSIG-E). Diese Maßnahmen können von den BKI und deren Branchenverbänden in Zusammenarbeit mit dem BSI konkretisiert werden (§ 8a Abs. 2 BSIG-E). Die BKI haben mindestens alle zwei Jahre ein Sicherheitsaudit durchzuführen und das Ergebnis, ggf. unter Vorlage der gesamten Audit-, Prüfungs- und Zertifizierungsergebnisse, dem BSI mitzuteilen. Bei Sicherheitsmängeln kann das BSI deren unverzügliche Beseitigung verlangen (§ 8a Abs. 3 BSIG-E).
Darüber hinaus soll das BSI als zentrale Meldestelle für Cyberangriffe fungieren, bei der die BKI entsprechende Zwischenfälle unverzüglich anzeigen müssen (§ 8b BSIG-E). Das BSI soll die Befugnis haben, über diese Zwischenfälle zu informieren, wenn schutzwürdige Interessen der BKI nicht entgegenstehen und durch die Auskunft keine Beeinträchtigung des Verfahrens oder sonstiger wesentlicher Sicherheitsinteressen zu erwarten ist (§ 8c BSIG-E).
Neue Pflichten und Befugnisse für Webseitenbetreiber
Über den bereits bestehenden Schutz personenbezogener Daten hinaus sollen Anbieter von gegen Entgelt angebotenen Telemedien die erforderlichen technischen und organisatorischen Vorkehrungen treffen, um sicherzustellen, dass ein Zugriff auf die Telekommunikations- und Datenverarbeitungssysteme nur für Berechtigte möglich ist (§ 13 Abs. 7 TMG-E). Diese Maßnahmen sollen laut Gesetzesbegründung u.a. Manipulationen von Webseiten für beispielsweise Drive-by-downloads verhindern.
Gleichzeitig soll mit § 15 Abs. 9 TMG-E eine datenschutzrechtliche Rechtsgrundlage für das Erheben und Verwenden von Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen geschaffen werden.
Ausblick
Sollte das IT-Sicherheitsgesetz verabschiedet werden, kommen auf die betroffenen Unternehmen neue Compliance-Anforderungen zu. Auf EU-Ebene befindet sich derzeit zudem die sog. Cybersecurity-Richtlinie im Gesetzgebungsprozess, welche ein ähnliches Ziel wie das IT-Sicherheitsgesetz verfolgt.
Dr. Marcus Schreibauer (Partner) / Jan Spittka (Associate)