IT-Sicherheitsgesetz.

Transkript

1 1

2 Herzlich willkommen! Die Themen heute: Vorstellung Fachkanzlei für IT-Recht & Datenschutz COSTARD Inkrafttreten IT-Sicherheitsgesetz Zweck des Gesetzes Adressaten des Gesetzes Betreiber kritischer Infrastrukturen (KRITIS-Betreiber) Pflichten für KRITIS-Betreiber Webseiten-Betreiber 2

3 Herzlich willkommen! Die Themen heute: Meldepflichten Tatbestände Stand der Technik Audits Speicherung der Meldedaten Folgen bei Verstößen Übergangszeit 3

4 Vorstellung Rechtsanwaltskanzlei Costard Kanzlei für IT-Recht und Datenschutz: Gründung der Rechtsanwaltskanzlei im Jahr 2003 Umzug der Kanzlei für IT-Recht nach Nürnberg 2005 Bearbeitung von Mandaten im Bereich des gesamten IT-Rechts, d.h. IT-Verträge, Wettbewerbsrecht, Markenrecht, Domainrecht, Internetrecht, Medien- und Urheberecht, Datenschutzrecht Leitung von IT-Projekten im Lenkungsausschuss Datenschutzgutachten für neue IT-Projekte, z. B. Cloud, SaaS, Videoüberwachung, Einsatz von Drohnen, RFID Externer Datenschutzbeauftragter 4

5 Vorstellung Rechtsanwalt Costard Rechtsanwalt: Abschluss des Studiums als Assessor jur. und Zulassung als Rechtsanwalt 2003 Ausbildung zum Informatiker bei der Siemens AG Zweieinhalbjährige firmeninterne Ausbildung zum Informatiker auf der Datenschule in München-Neuperlach Konzeption, Programmierung, Test, Dokumentation und Schulung von Software im kaufmännischen Rechnungswesen Zweieinhalbjährige Ausbildung zum Industriekaufmann bei der Siemens AG im Gerätewerk Erlangen Abschlussprüfung IHK und firmeninterne Abschlussprüfung 5

6 Vorstellung Rechtsanwalt Costard Weiterbildungen: Ausbildung zum Industriekaufmann bei der Siemens AG Firmeninterne Ausbildung zum Informatiker bei der Siemens AG Ausbildung zum Datenschutzbeauftragten für Unternehmen (TÜV-cert) 2005 Teilnahme am Fachlehrgang zum Fachanwalt für IT-Recht 2006 Ausbildung zum Datenschutzmanager für Unternehmen (TÜV-cert) 2010 Ausbildung zum Microsoft Licensing Professional (MLP) Ausbildung zum Datenschutz-Auditor (TÜV-cert) 2010 Ausbildung zum IT-Sicherheitsbeauftragten (TÜV-cert)

7 Vorstellung Rechtsanwalt Costard Mitgliedschaften: Arbeitsgemeinschaft Informationstechnologie (DAV IT) im Deutschen Anwaltsverein (DAV) e.v. Gesellschaft für Datenschutz und Datensicherheit e. V. Erfa-Kreis Datenschutz der IHK für Nürnberg und Mittelfranken Bayreuther Arbeitskreis für IT/neue Medien e. V. Deutscher Anwaltsverein Kommunikationsnetz Franken e. V. 7

8 Inkrafttreten Inkrafttreten des Gesetzes am 25. Juli 2015 Das Bundesministerium des Inneren reagiert mit dem IT-Sicherheitsgesetz auf die zunehmende gesellschaftliche und wirtschaftliche Abhängigkeit von informationstechnischen Systemen und des Cyberraums. Sehr unterschiedliches IT-Sicherheitsniveau zwischen den Betreibern kritischer Infrastrukturen(KRITIS). Gesetzliche Regelung zur Vereinheitlichung und Anhebung des IT- Sicherheitsniveaus erforderlich. 8

9 Zweck des Gesetzes Signifikante Verbesserung der Sicherheit informationstechnischer Systeme. Schutz kritischer Infrastrukturen, die für das Funktionieren des Gemeinwesens zentral wichtig sind. Betreiber kritischer Infrastrukturen müssen ein Mindestniveau an IT- Sicherheit einhalten. Es besteht eine Meldepflicht von Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Bei Verletzung der Meldepflicht droht ein Bußgeld. Mitwirkungspflicht von Hard- und Softwareherstellern bei der Beseitigung von Sicherheitslücken. 9

10 Adressat des Gesetzes Betreiber von Webangeboten (z. B. Online-Shop-Betreiber). Telekommunikationsunternehmen. Betreiber kritischer Infrastrukturen (KRITIS). Bundesamt für Sicherheit in der Informationstechnik (BSI). 10

11 Betreiber kritischer Infrastrukturen (1) Einstufung als Betreiber kritischer Infrastruktur : Keine sofortige und einzige Beantwortung anhand des Gesetzes. Definition folgt im Grundsatz der innerhalb der Bundesregierung abgestimmten Einteilung kritischer Infrastrukturen. Dazu gehören: Energie Informationstechnik Telekommunikation Transport Verkehr Gesundheit Wasser Ernährung Finanz- und Versicherungswesen Öffentliche Verwaltung 11

12 Betreiber kritischer Infrastrukturen (2) Ausweitung der betroffenen Unternehmen im Bereich der Informations- und Kommunikationstechnologie Plattformen des elektronischen Geschäftsverkehrs Internet-Zahlungs-Gateways Soziale Netze Suchmaschinen Cloud-Computing-Dienste Application Stores Liste nicht erschöpfend. Hard- und Softwarehersteller werden ausgenommen. 12

13 Betreiber kritischer Infrastrukturen (3) Einstufung als Betreiber kritischer Infrastruktur (KRITIS): Die nähere Bestimmung der kritischen Infrastrukturen erfolgt aufgrund einer noch zu erlassenden Rechtsverordnung. Die Rechtsverordnung ist auf der Grundlage von 10 Absatz 1 BSI-Gesetzes zu erlassen. Feststellung, wer Betreiber einer kritischen Infrastruktur ist, wird sich erst nach Erlass der Rechtsverordnung bestimmen lassen. Gesetzesbegründung geht von nicht mehr als 2000 Betreibern kritischer Infrastrukturen aus. Kleinstunternehmer sind von der Regelung ausgenommen. 13

14 Pflichten für KRITIS-Betreiber Welche Pflichten bestehen? IT-Sicherheitsgesetz begründet unterschiedliche Pflichten, je nachdem welcher Betroffenengruppe ein Unternehmen zuzuordnen ist. Betreiber von Webangeboten Verpflichtung, ausreichende, dem Stand der Technik entsprechende, technische und organisatorische Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme zu schaffen. Telekommunikationsunternehmen Pflicht, Systeme ausreichend gegen Cyberangriffe abzusichern. Verpflichtung Kunden über mögliche Angriffe zu informieren. Betreiber kritischer Infrastrukturen Höchste Anforderungen nach dem IT-Sicherheitsgesetz. Schaffung von Sicherheitsmaßnahmen, die einem ausreichenden Stand der Technik entsprechen. Evaluation dieser Maßnahmen alle 4 Jahre. 14

15 Webseiten-Betreiber Webseiten-Betreiber Kriterien für KRITIS-Betreiber Marktanteil Versorgung einer bestimmten Region Bestimmte Leistungen Technische und organisatorische Maßnahmen Verhinderung von unerlaubten Zugriffen auf technische Einrichtungen und Daten. Verhinderung von Störungen in IT-Infrastruktur (Hard- und Software). 15

16 Webseiten-Betreiber IT-Sicherheitsgesetz Webseiten-Betreiber Typische Sicherheitsmaßnahmen Aktuelle Softwareversionen verwenden. Regelmäßiges Einspielen von Software-Updates und Patches. Ausnahmen von der Absicherungspflicht Nicht erfasst von der Pflicht zur Umsetzung von IT-Sicherheitsmaßnahmen sind nicht-kommerzielle Webseiten von Privatpersonen oder Vereinen. Keine Ausnahme bei kommerziellem Angebot Aber kommerzielles Angebot liegt dann vor, wenn dauerhaft Einnahmen erzielt werden sollen. Dazu reicht das Schalten von bezahlter Werbung. 16

17 Meldepflichten (1) Meldepflichten BSI als Zentrale Meldestelle Meldung von IT-Sicherheitsvorfällen an das BSI. KRITIS-Betreiber Betreiber kritischer Infrastrukturen müssen schwerwiegende Beeinträchtigungen ihrer Informationstechnischen Systeme, Komponenten und Prozesse unverzüglich an das BSI melden. 17

18 Meldepflichten IT-Sicherheitsgesetz Meldepflichten (2) BSI stellt anderen KRITIS-Betreibern Informationen aus den Meldungen und diversen weiteren Informationen gewonnene Erkenntnisse zur Verfügung. Meldepflicht betrifft zunächst nur die folgenden KRITIS-Betreiber Betreiber von Atomkraftwerken Telekommunikationsunternehmen Für andere KRITIS-Betreiber aus anderen Bereichen tritt die Meldepflicht erst nach Verabschiedung der Rechtsverordnung ein. 18

19 Meldepflichten (3) Meldepflichten Ausweitung der Meldepflicht für Anbieter von Telekommunikationsdiensten und Netzbetreiber an die Bundesnetzagentur (BNetzA) Zusätzlichzur bestehenden und im Telekommunikationsgesetz festgelegten Meldepflicht für Anbieter von Telekommunikationsdiensten und Betreibern von Telekommunikationsnetzen haben diese Beeinträchtigungen von Telekommunikationsnetzen und diensten, die zu einer Störung der Verfügbarkeit,der über diese Netze erbrachten Diensteoder einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssystemen der Nutzer oder Teilnehmerführen können und von denen der Netzbetreiber oder der Telekommunikationsanbieter Kenntnis erlangt, der BNetzA unverzüglich Mitteilung zu machen. 19

20 Meldepflichten (4) Meldepflichten Teilnehmer Teilnehmer ist jede natürlich oder juristische Person, die mit einem Anbieter von öffentlich zugänglichen Telekommunikationsdiensten einen Vertrag über die Erbringung derartiger Dienste geschlossen hat. Nutzer Nutzer ist jede natürliche oder juristische Person, die einen öffentlich zugänglichen Telekommunikationsdienst für private oder geschäftliche Zwecke in Anspruch nimmt oder beantragt, ohne notwendigerweise Teilnehmer zu sein. 20

21 Meldepflichten (5) Ausweitung der Meldepflicht der TK-Anbieter und Netzbetreiber an ihre Nutzer TK-Anbieter haben Störungen, die von Datenverarbeitungssystem der Nutzer ausgehen, an diese zu melden und die Nutzer auf angemessene technische Mittel zur Behebung der Störung hinzuweisen. 21

22 Tatbestände Meldepflichtige Tatbestände Spielräume Definitorische Spielräume lassen sich im Referentenentwurf des Gesetzes auch in Bezug auf die, im Rahmen der Meldepflicht vorgesehenen, Tatbestände erkennen. Aufgrund der unterschiedlichen Arten von IT-Angriffen, denen Unternehmen in Deutschland ausgesetzt sind, ist eine Präzisierung der IT-Sicherheitsvorfälle, die schwerwiegende Beeinträchtigungen verursachen, dringend geboten! Bisher wurde eine Aussage, welche Angriffe eine schwerwiegende Beeinträchtigung darstellen und daher meldepflichtig wären aktuell nicht getroffen. 22

23 Stand der Technik Was bedeutet Stand der Technik? Keine gesetzlichen Vorgaben spezieller technischer Maßnahmen durch das Gesetz, da Gefahr der Veraltung der technischen Maßnahmen im Gesetz. Einführung des unbestimmten Rechtsbegriffs Stand der Technik Orientierung an nationalen und internationalen Standards, z. B. DIN und ISO. Best Practice, erprobte Vorbilder für den jeweiligen Sektor. Betreiber kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards ausarbeiten, die auf Antrag vom BSI anerkannt werden können. 23

24 Audits Einführung verpflichtender IT-Audits Betreiber kritischer Infrastrukturen Verpflichtung zu regelmäßigen Sicherheits-Audits alle zwei Jahre. Überprüfungder technischen und organisatorischen Sicherheitsmaßnahmen zur IT-Sicherheit. Technisch-organisatorische Maßnahmen zur IT-Sicherheit auch in 9 BDSG geregelt. 24

25 Speicherung der Meldedaten Weiterverarbeitung und Auswertung der Meldedaten durch das BSI Weiterverarbeitung und Auswertungder Meldedaten der Unternehmen durch das BSI ungeklärt. Keine anonymisierte Meldung der Unternehmen an das BSI. BSI hat jährliche Berichtspflicht. BSI wird hinreichende Vorkehrungentreffen müssen, um die Offenlegung der Unternehmensdaten zu verhindern, wovon aber auszugehen ist. 25

26 Folgen bei Verstößen Verstöße der verpflichteten Unternehmen Bei festgestellten Verstößen gegen die Pflichten aus dem IT- Sicherheitsgesetz, drohen Bußgelder von bis zu EUR ,-. (vgl. Art. 4 IT-Sicherheitsgesetz i. V. m. 16 Abs. 2 TMG und Art. 5 IT-Sicherheitsgesetz i. V. m. 149 Abs. 2 TKG) Verstöße liegen insbesondere dann vor, wenn die Pflicht zur Einrichtung angemessener technisch-organisatorischer Maßnahmen zum Schutz von IT- Systemen und Kundendaten nicht oder nicht angemessen umgesetzt wurde. 26

27 Übergangszeit Pflichten aus dem IT-Sicherheitsgesetz Die definierten Pflichten gelten ab dessen Inkrafttreten, damit ab sofort. Umsetzung der dem Stand der Technik entsprechenden, angemessenen technischen und organisatorischen Sicherheitsmaßnahmensollte im eigenen Interesse zeitnah erfolgen (Haftung der Vorstände, Geschäftsführer). Ausnahme für KRITIS-Betreiber gem. Art. 1 Nr. 7 IT-Sicherheitsgesetz Diese haben eine Umsetzungsfrist von 2 Jahren. Gefahr von Bußgeldern für KRITIS-Betreiber erst nach Ablauf der Umsetzungsfrist. 27

28 Fragen Wenn Sie weitere Fragen zu diesem Thema haben, wenden Sie sich gerne an: Rechtsanwaltskanzlei Costard Kanzlei für IT-Recht & Datenschutz Rechtsanwalt Thomas Costard Bayreuther Straße Nürnberg Tel : 0911/ costard@it-rechtsberater.de 28