7. September 2015
Recht der IT-Sicherheit, IT-Sicherheitsgesetz
Recht der IT-Sicherheit

Das neue IT-Sicherheitsgesetz: Konsequenzen für die Industrie und Wirtschaft

Wichtige Änderungen, die das IT-Sicherheitsgesetz für das BSI-Gesetz bringt: wer betroffen ist, Konsequenzen für die IT-Wirtschaft und wem Bußgelder drohen.

Das IT-Sicherheitsgesetz ist seit 25. Juli 2015 in Kraft. Das Gesetz soll die Sicherheit von IT-Systemen in Deutschland durch Verbesserung ihrer Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität stärken. Ziel ist es, wichtige Wirtschaftsbereiche wie Energie- und Wasserversorgung, Bahnverkehr und Telekommunikation vor Cyberattacken zu schützen.

Das Gesetz selbst enthält keine Rechte und Pflichten, sondern ändert als sog. Artikelgesetz lediglich andere, bereits bestehende Gesetze. Für die IT-Wirtschaft sind insbesondere die Änderungen des BSI-Gesetzes (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) von bedeutendem Interesse.

I. Wer ist durch die Änderungen des BSI-Gesetzes durch das IT-Sicherheitsgesetz betroffen?

Betroffen sind Betreiber von Kritischen Infrastrukturen und Hersteller von informationstechnischen Produkten und Systemen.

a) Betreiber Kritischer Infrastrukturen 

Nach dem neuen IT-Sicherheitsgesetz sind Kritische Infrastrukturen Einrichtungen, Anlagen oder Teile davon, die

  1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
  2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden (§ 2 Abs. 10 Satz 1 BSI-Gesetz).

Diese Definition steckt zwar den Rahmen des Anwendungsbereichs fest, ist aber, gerade was die „hohe Bedeutung für das Funktionieren des Gemeinwesens″ anbelangt, recht unbestimmt. Das Bundesministerium des Innern wird daher ermächtigt, den Begriff durch Rechtsverordnung zu konkretisieren und insbesondere Schwellenwerte festzulegen, wann von einer „hohen Bedeutung″ auszugehen ist.

Nicht anzuwenden sind viele Bereiche des IT-Sicherheitsgesetzes auf Kleinstunternehmen (§ 8c Abs. 1 BSI-Gesetz) sowie, u.a., auf Betreiber von öffentlichen Telekommunikationsnetzen, Energieversorgungsnetzen oder Genehmigungsinhaber nach dem Atomgesetz (§ 8c Abs. 2 und 3 BSI-Gesetz). Zu diesen finden sich Regelungen in Spezialgesetzen (insbesondere TKG, EnWG, AtG).

b) Hersteller von IT-Produkten und -Systemen

Weitaus relevanter sind die Änderungen des BSI-Gesetzes auch heute schon für Hersteller von IT-Produkten und Systemen (hierzu zählt auch Software), die in Kritischer Infrastruktur Anwendung finden. Hierunter fallen nicht nur Spezialprodukte, die ausschließlich für Kritische Infrastrukturen hergestellt werden, sondern alle IT-Produkte. Damit das BSI-Gesetz für sie Anwendung findet, genügt es also, dass ein Produkt eines IT-Unternehmens (zufälligerweise) in einer Kritischen Infrastruktur eingesetzt wird (z.B. eine Office-Anwendung). Diese Auswirkung des neuen IT-Sicherheitsgesetzes wird gerne übersehen.

II. Sind auch Unternehmen mit Sitz im Ausland betroffen?

Ja, auch hier finden die Änderungen durch das IT-Sicherheitsgesetz Anwendung. Maßgeblich ist lediglich, dass die Kritische Infrastruktur in Deutschland belegen ist.

III. Welche Handlungspflichten bestehen für Unternehmen?

a) Betreiber Kritischer Infrastrukturen

Betreiber Kritischer Infrastrukturen haben nach Art. 1 IT-Sicherheitsgesetz eine Reihe von Pflichten zu erfüllen, z.B.:

  • Binnen zwei Jahren nach Inkrafttreten der o.g. Verordnung müssen sowohl angemessene organisatorische als auch angemessene technische Vorkehrungen zur Störungsvermeidung getroffen werden (§ 8a Abs. 1 Satz 1, 3 BSI-Gesetz). Betreiber und ihre Branchenverbände können dabei Sicherheitsstandards vorschlagen, die vom BSI überprüft und für geeignet befunden werden können (§ 8a Abs. 2 BSI-Gesetz).
  • Nachweise der umgesetzten Vorkehrungen müssen mindestens alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erbracht werden (§ 8a Abs. 3 BSI-Gesetz).
  • Der Stand der Technik ist zu berücksichtigen (§ 8a Abs. 1 Satz 2 BSI-Gesetz).
  • Erhebliche Störungen müssen dem BSI gemeldet werden, auch wenn sie nur zu einer Beeinträchtigung der Funktionsfähigkeit führen können (§ 8b Abs. 4 BSI-Gesetz).
  • Kontaktstellen müssen eingerichtet und dem BSI benannt werden (§ 8b Abs. 3 BSI-Gesetz).

b) Hersteller von IT-Produkten und -Systemen

§ 8b Abs. 6 BSI-Gesetz gibt dem BSI die Befugnis, von Herstellern betroffener IT-Produkte und -Systemen die Mitwirkung an der Beseitigung oder Vermeidung von Störungen bei Kritischen Infrastrukturen zu verlangen. Überdies kann das BSI IT-Produkte und -Systeme untersuchen, worunter nach der Gesetzesbegründung des IT-Sicherheitsgesetzes auch das Reverse-Engineering von Software fällt (§ 7a Abs. 1 BSI-Gesetz), und Sicherheitslücken veröffentlichen.

Es ist zu erwarten, dass sich die Pflichtenverteilung auch auf die Gestaltung der Verträge zwischen Betreibern Kritischer Infrastrukturen und IT-Herstellern auswirkt. Soweit von solchen Vertragsklauseln technische Implikationen betroffen sind, wie etwa der Stand der Technik, werden am Ende alle IT-Produkte hiervon profitieren, sobald sie nur vereinzelt in Kritischer Infrastruktur eingesetzt werden.

IV. Was ist der Stand der Technik?

Für den Stand der Technik findet sich eine Definition nur in der Gesetzesbegründung des IT-Sicherheitsgesetzes (BT-Drucks. 18/4096 S. 26). Für die Praxis maßgeblich ist, dass für die Bestimmung des Standes der Technik (auch) einschlägige internationale, europäische und nationale Normen und Standards herangezogen werden können (z.B. DIN- oder ISO-Normen), aber auch vergleichbare Verfahren, Einrichtungen und Betriebsweisen, die mit Erfolg in der Praxis erprobt wurden. Da sich der Stand der Technik weiterentwickelt, sollte eine stete Überwachung desselben eine Selbstverständlichkeit sein.

V. Welche Konsequenzen drohen bei Verstößen?

IT-Hersteller haben keine Bußgeldbescheide des BSI zu befürchten. Betreibern Kritischer Infrastrukturen hingegen drohen Bußgelder von bis zu 100.000 Euro (§ 14 Abs. 2 BSI-Gesetz), welche sie unter Umständen aber an die IT-Hersteller weiterreichen können. Hier erfordern die Änderungen durch das IT-Sicherheitsgesetz große Vorsicht bei der Vertragsgestaltung.

Tags: IT-Sicherheitsgesetz Recht der IT-Sicherheit