Seit dem 25.07.2015 gilt das IT-Sicherheitsgesetz (BT-Drucks. 18/4096 und BT-Drucks. 18/5121). Es soll den IT-Sicherheitsstandard für Deutschland anheben soll. Was sich hinter dem IT-Sicherheitsgesetz verbirgt, soll hier kurz dargestellt werden.
Inhalt
IT-Sicherheitsgesetz: Ziel
Ziel des IT-Sicherheitsgesetzes ist die
„signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT-Sicherheit) in Deutschland“
und der
„Schutz kritischer Infrastrukturen, welche gerade für das Funktionieren des Gemeinwesens zentral sind.“
Das IT-Sicherheitsgesetz schreibt unter anderem vor, dass Betreiber sogenannter „kritischer Infrastrukturen“ ein Mindestniveau an IT-Sicherheit einhalten müssen. Ebenso schreibt das Gesetz vor, dass sie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden müssen. Tun sie dies nicht, droht ihnen ein Bußgeld. Aber auch Hard- und Software-Hersteller werden zur Mitwirkung bei der Beseitigung von Sicherheitslücken verpflichtet. Außerdem wird der Aufgabenbereich des BSI nochmals erweitert.
IT-Sicherheitsgesetz: Adressaten
Das IT-Sicherheitsgesetz wendet sich an mehrere Adressaten, nämlich an
- Betreiber von Webangeboten wie z.B.: Webshop-Betreiber,
- Telekommunikationsunternehmen,
- Betreiber kritischer Infrastrukturen (KRITIS-Betreiber),
- das Bundesamt für Sicherheit in der Informationstechnik (BSI) selbst.
Das IT-Sicherheitsgesetz verpflichtet nur die Anbieter gewerblicher Telemediendienste. Nicht-kommerzielle Webseiten von Privatpersonen oder Vereinen werden grundsätzlich nicht von der neuen Absicherungspflicht mit erfasst.
Achtung: auch bei Privatpersonen und Vereinen wird ein gewerbliches Angebot von Telemediendiensten angenommen, wenn mit der Webseite dauerhaft Einnahmen generiert werden sollen. Dafür genügt es bereits, wenn auf der Webseite bezahlte Werbung platziert wird, beispielsweise in Form von Werbe-Bannern.
Wer ist Betreiber einer kritischen Infrastruktur?
Die Frage nach der Einstufung als Betreiber einer kritischen Infrastruktur im Sinne des IT-Sicherheitsgesetzes lässt sich noch nicht sofort und auch nicht alleine anhand des IT-Sicherheitsgesetzes beantworten. Nach Teil B Nummer 2 der Gesetzesbegründung – vgl. hierzu BT-Drucksache 18/4096, Seite 23 –
„folgt die Definition im Grundsatz der innerhalb der Bundesregierung abgestimmten Einteilung kritischer Infrastrukturen. Dazu gehören die Bereiche Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie das Finanz- und Versicherungswesen. Die weitere Konkretisierung bedarf der sektor- und branchenspezifischen Einbeziehung aller betroffenen Kreise (Verwaltung, Wirtschaft und Wissenschaft). Die jeweils anzulegenden Maßstäbe können nur in einem gemeinsamen Arbeitsprozess mit Vertretern der möglicherweise betroffenen Betreiber Kritischer Infrastrukturen und unter Einbeziehung der Expertise von externen Fachleuten in sachgerechter Weise erarbeitet werden. Die nähere Bestimmung der Kritischen Infrastrukturen ist daher gemäß Satz 2 einer Rechtsverordnung vorbehalten. Diese ist auf der Grundlage von § 10 Absatz 1 des BSI-Gesetzes zu erlassen“.
Wer also im Einzelfall als Betreiber einer kritischen Infrastruktur im Sinne des IT-Sicherheitsgesetzes gilt, wird erst nach Verabschiedung der Rechtsverordnung feststellbar sein. Nach Gesetzesbegründung ist von insgesamt nicht mehr als 2.000 Betreibern kritischer Infrastrukturen in den regulierten sieben Sektoren
- Energie,
- Informationstechnik und Telekommunikation,
- Transport und Verkehr,
- Gesundheit,
- Wasser,
- Ernährung,
- Finanz- und Versicherungswesen,
auszugehen. Kleinstunternehmer im Sinne der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sind hiervon ausgenommen.
IT-Sicherheitsgesetz: Pflichten der Betreiber
Das IT-Sicherheitsgesetz begründet unterschiedliche Pflichten, je nachdem, welcher Gruppe von Betreibern ein Unternehmen zuzuordnen ist.
_ Betreiber von Webangeboten
Betreiber von Webangeboten sind verpflichtet, ausreichende, dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme zu ergreifen.
_ Telekommunikationsunternehmen
Telekommunikationsunternehmen sind verpflichtet, ihre Systeme ausreichend gegen Cyberangriffe zu sichern und außerdem ihre Kunden über mögliche Missbräuche ihrer Anschlüsse zu informieren.
_ Betreiber kritischer Infrastrukturen
Betreiber kritischer Infrastrukturen müssen sich zusätzlich zu ihrer Verpflichtung, ausreichende und dem Stand der Technik entsprechender Sicherheitsmaßnahmen zu schaffen, alle 4 Jahre einer Evaluation dieser Maßnahmen unterziehen.
_ Meldepflichten
Herzstück des IT-Sicherheitsgesetzes sind neben den gesetzlichen Vorgaben zur Einrichtung angemessener technischer und organisatorischer Maßnahmen zum Schutz von IT-Systemen die diversen Meldepflichten über IT-Sicherheitsvorfälle an das BSI. Das BSI ist nun also zentrale Melde- und Aufsichtsstelle für IT-Sicherheitsvorfälle. Die aus diesen Meldungen, aber auch aus diversen weiteren Informationen, gewonnenen Erkenntnisse stellt das BSI allen KRITIS-Betreibern zur Verfügung, damit diese ihre IT angemessen schützen können. Die Meldepflicht von erheblichen IT-Sicherheitsvorfällen betrifft zunächst nur die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen, eine Meldepflicht erheblicher IT-Sicherheitsvorfälle für andere KRITIS-Betreiber (aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung und Finanz- und Versicherungswesen) tritt erst nach Verabschiedung der noch zu erstellenden Rechtsverordnung in Kraft.
IT-Sicherheitsgesetz: Folge von Verstößen
Bei festgestellten Verstößen gegen die Pflichten aus dem IT-Sicherheitsgesetz, insbesondere die Pflicht zur Einrichtung angemessener technischer und organisatorischer Maßnahmen zum Schutz von IT-Systemen und Kundendaten, drohen Bußgelder von bis zu 50.000 € (vgl.: Art. 4 IT-Sicherheitsgesetz i.V.m. § 16 Abs. 2 TMG, Art. 5 IT-Sicherheitsgesetz i.V.m. 149 Abs. 2 TKG).
IT-Sicherheitsgesetz: Übergangszeit?
Die Pflichten des IT-Sicherheitsgesetzes gelten seit dessen Inkrafttreten, also seit dem 25.07.2015. Lediglich Betreiber von kritischen IT-Infrastrukturen haben nach Art. 1 Nr. 7 des IT-Sicherheitsgesetzes eine Umsetzungsfrist von 2 Jahren, so dass auch erst nach Ablauf dieser Frist mit Bußgeldern zu rechnen ist.
IT-Sicherheitsgesetz: FAQ
Das BSI hat auf seinen Webseiten einen Katalog mit Fragen und Antworten zum Inkrafttreten des IT-Sicherheitsgesetzes veröffentlicht.