Neuer Entwurf eines IT-Sicherheitsgesetzes

19.08.2014

 

Bundesinnenminister De Maizière hat heute im Bundesministerium des Innern einen neuen Entwurf des schon seit 2013 in der Diskussion befindlichen IT-Sicherheitsgesetzes vorgestellt. Das Gesetz ist Teil der Digitalen Agenda der Bundesregierung. Dabei ist es erklärtes Ziel des Bundesinnenministers De Maizière, dass deutsche IT-Systeme weltweit die Sichersten werden sollen.

 

1. Wesentliche Eckpunkte

  • Das Gesetz betrifft alle „Betreiber kritischer Infrastrukturen“. Welche dies sind soll gem. des (neu vorgesehenen) § 10 Abs. 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik das Bundesministerium des Innern in einer Rechtsverordnung bestimmen. Hierzu hat es unter anderem zuvor Vertreter betroffener Wirtschaftsverbände anzuhören.
  • Der Entwurf sieht eine Meldepflicht der Unternehmen im Falle eines Angriffs auf ihre digitalen Systeme vor. Die Meldungen sollen direkt an das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen, wobei eine pseudonyme Meldung grundsätzlich ausreicht. Eine namentliche Nennung soll allerdings erforderlich sein, wenn die sogenannte „Kritische Infrastruktur“ ausfällt oder gestört wird.
  • Weiterhin sollen Unternehmen innerhalb eines Zeitraums von zwei Jahren Sicherheitsstandards für ihre jeweilige Branche festlegen. Konkret sind hier die Branchen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanzen und Versicherungen in der Diskussion.
  • Vorgesehen ist auch eine Informationspflicht bei Systemstörungen für bestimmte Unternehmen und Institutionen, bei denen ein Ausfall nicht nur für den Datenschutz weitreichende Folgen haben könnte. Neben Banken, Energienetzen und Krankenhäusern werden hier voraussichtlich auch Verwaltungsbehörden und Telekommunikationsnetze betroffen sein.
  • Schließlich soll die Zuständigkeit des Bundeskriminalamts (BKA) auf zahlreiche Cyberdelikte ausgeweitet werden, für die bislang die Länder zuständig waren.

 

2. Neue Aufsicht

  • An mehreren Ecken im Entwurf wird dem Ziel, die Bedeutung und Kompetenzen des BSI zu stärken, Rechnung getragen. Eine Säule dieses Konzepts stellt die Etablierung des BSI als Aufsichtsbehörde für die oben genannten Maßnahmen der Unternehmen dar.
  • Der Entwurf sieht in diesem Zusammenhang weiter eine Verpflichtung der Unternehmen vor, dem BSI mindestens alle zwei Jahre eine Aufstellung aller Sicherheitsaudits, Prüfungen und Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel zu übermitteln. Neben einer Befugnis zur Anforderung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse soll das BSI im Falle von Sicherheitsmängeln auch die unverzügliche Beseitigung dabei festgestellter Mängel verlangen können.

 

3. Fortgang des Gesetzgebungsverfahrens

Der Entwurf des IT-Sicherheitsgesetzes soll heute in die Ressortabstimmung gehen. Der nächste Schritt im Gesetzgebungsverfahren wäre sodann die Einreichung des abgestimmten Gesetzgebungsentwurfs.

 

4. EU Cyber-Sicherheitsrichtlinie

Relevant im Zusammenhang mit dem Thema IT-Sicherheit ist darüber hinaus auch der Entwurf einer Cybersecurity-Richtlinie, der Anfang des Jahres von der EU-Kommission vorgestellt wurde. Der zuständige Ausschuss im EU-Parlament wird voraussichtlich Anfang November 2014 über den Richtlinienvorschlag abstimmen, sodass die Verabschiedung der Richtlinie noch dieses Jahr erfolgen könnte. Es bleibt abzuwarten, ob und inwieweit diese Richtlinie noch weitergehende Regelungen als im IT-Sicherheitsgesetz vorgesehen erforderlich machen wird.

 

Die aktuellen Entwürfe des IT-Sicherheitsgesetzes und der Cybersecurity-Richtlinie finden Sie im Volltext unter:

Entwurf IT-Sicherheitsgesetz

Entwurf Cybersecurity-Richtlinie