2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

Transkript

1 Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft ID-Nummer sowie des Verbandes der Privaten Krankenversicherung zum Referentenentwurf des Bundesministeriums des Innern für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme Gesamtverband der Deutschen Versicherungswirtschaft e. V. Wilhelmstraße 43 / 43 G, Berlin Postfach , Berlin Tel.: /5454 Fax: / , rue Montoyer B Brüssel Tel.: Fax: Ansprechpartner: Fred Chiachiarella Gabriele Sieck Betriebswirtschaft/ Informationstechnologie f.chiachiarella@gdv.de g.sieck@gdv.de

2 Inhaltsübersicht 1. Einleitung 2. Artikel 1 - Änderung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik a Sicherheit der Informationstechnik kritischer Infrastrukturen b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen Zusammenfassung Aus Sicht der stark auf elektronische Geschäftsprozesse auch unternehmensübergreifend ausgerichteten Versicherungswirtschaft sind sichere und abgesicherte IT-Infrastrukturen sowie die auf ihr laufenden Kommunikationsprozesse von grundsätzlicher Bedeutung. Die deutsche Versicherungswirtschaft begrüßt daher die Absicht des Bundesinnenministeriums, die IT-Sicherheit in Deutschland durch die Schaffung gesetzlicher Rahmenbedingungen für alle Betreiber ITkritischer Infrastrukturen weiter zu stärken. Allerdings müssen vorhandene und in der Praxis etablierte Verfahren Bestand haben. Zudem dürfen neue Regelungen nicht dazu führen, dass den Unternehmen in erheblichem Maße Aufwände und Kosten entstehen. Insbesondere für kleinere und mittlere Betriebe dürfte der Erfüllungsaufwand bzgl. der zusätzlichen Sicherheitsaudits beträchtlich sein. Aber auch größere Unternehmen wären hier mit erheblichen Zusatzkosten und Personalkapazitäten betroffen. Die bereits bewährten Meldewege im Warn- und Krisenfall, die durch das LKRZV Krisenreaktionszentrum für IT-Sicherheit der deutschen Versicherungswirtschaft bereits seit Januar 2010 bestehen, müssen erhalten und weiter ausgebaut werden, parallele Meldestrukturen wären hinderlich und sollten unbedingt vermieden werden. Seite 2 / 6

3 1. Einleitung Der Gesamtverband der Deutschen Versicherungswirtschaft und der Verband der Privaten Krankenversicherung begrüßen die Absicht des Bundesministeriums des Innern, die IT-Sicherheit in Deutschland durch die Schaffung gesetzlicher Rahmenbedingungen weiter zu stärken. Ein Rahmenwerk zu schaffen, das alle Betreiber IT-kritischer Infrastrukturen gleichermaßen betrifft, ist der richtige Weg. Die Versicherungsbranche ist hier doppelt betroffen: sie ist selbst Betreiber, aber auch Nutzer dieser IT-kritischen Infrastrukturen. Aus diesem Grund hat die Versicherungswirtschaft bereits Anfang 2010 das LKRZV als Single Point of Contact in der Kommunikation mit den Behörden etabliert. Nach der Kommentierung des Eckpunktepapiers des Bundesministeriums des Innern vom November 2012 durch den GDV, möchten wir nun zu dem Referentenentwurf wie folgt Stellung nehmen: 2. Artikel 1 - Änderung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik a Sicherheit der Informationstechnik kritischer Infrastrukturen (1) Betreiber kritischer Infrastrukturen sind verpflichtet, binnen zwei Jahren nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen zum Schutz derjenigen informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Der Einsatz angemessener organisatorischer und technischer Vorkehrungen zum Schutz informationstechnischer Systeme ist bereits mit den Mindestanforderungen an das Risikomanagement (MaRisk) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für Versicherungsunternehmen verpflichtend. Damit wird grundsätzlich operationellen Risiken bereits ausreichend vorgebeugt. Hier ist von Seiten der Gesetzgebung darauf zu achten, dass bei Inkrafttreten des Gesetzes keine weitergehenden oder widersprüchlichen Anforderungen entstehen, die für die Unternehmen zusätzliche Aufwände bedeuten würden. Seite 3 / 6

4 (3) Betreiber kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards erarbeiten. Das Bundesamt erkennt die branchenspezifischen Sicherheitsstandards im Benehmen mit den zuständigen Aufsichtsbehörden auf Antrag an, wenn diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Der GDV hat in Zusammenarbeit mit Fachleuten aus den Mitgliedsunternehmen seit Jahren in diversen Gremien und Expertenkreisen zu IT- Sicherheit das nötige Knowhow gesammelt, um hier brancheninterne Standards und Empfehlungen zu entwickeln. Diese sind bereits in Positionspapieren und Broschüren dokumentiert. Die darin beschriebenen Modelle und Maßnahmen sind geeignet, durch das BSI als Konkretisierung der gesetzlichen Verpflichtungen anerkannt zu werden. (4) Betreiber kritischer Infrastrukturen haben zur Überprüfung der organisatorischen und technischen Vorkehrungen und sonstigen Maßnahmen nach Absatz 1 nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 mindestens alle zwei Jahre Sicherheitsaudits durch anerkannte Auditoren durchzuführen. Sie übermitteln dem Bundesamt mindestens alle zwei Jahre eine Aufstellung der durchgeführten Sicherheitsaudits einschließlich der aufgedeckten Sicherheitsmängel. Das Bundesamt kann bei Sicherheitsmängeln eine Übermittlung der gesamten Ergebnisse des Sicherheitsaudits verlangen. Bei Sicherheitsmängeln kann das Bundesamt deren unverzügliche Beseitigung verlangen. Durch die alle zwei Jahre durchzuführenden Sicherheitsaudits entstehen den Unternehmen zum Teil erhebliche Mehrkosten. Dies konstatiert auch die Gesetzesbegründung (S. 14, III. 2., 1. Absatz). Zwar ist in der Begründung vermerkt, dass die Wirtschaftsprüfer " bereits jetzt die im Rahmen der Jahresabschlussprüfung rechnungsrelevanten IT-Systeme" prüfen. Die lediglich in der Gesetzesbegründung aufgeführte Möglichkeit des Nachweises über bereits etablierte Prüfmechanismen sollte aber deutlicher im Gesetz selbst berücksichtigt werden. Auch eine Übermittlung sämtlicher festgestellter Mängel geht weit über ein vertretbares Maß hinaus. Die Meldung sollte auf wesentliche Mängel beschränkt bleiben, dies reduziert für alle Beteiligten den Aufwand. Seite 4 / 6

5 2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen (3) Um bei schwerwiegenden Beeinträchtigungen der informationstechnischen Systeme, Komponenten oder Prozesse kritischer Infrastrukturen eine unverzügliche Information betroffener Betreiber kritischer Infrastrukturen zu gewährleisten, sind dem Bundesamt binnen eines Jahres nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 für den Aufbau der Kommunikationsstrukturen nach 3 Absatz 1 Nummer 15 Warn- und Alarmierungskontakte zu benennen. Der Betreiber hat sicherzustellen, dass er hierüber jederzeit erreichbar ist. Gesetzliche Meldepflichten sollten sich an den vorhandenen und bewährten Prozessen der aktiven Single Points of Contact des Umsetzungsplans KRITIS, wie dem LKRZV Krisenreaktionszentrum für IT-Sicherheit der deutschen Versicherungswirtschaft, orientieren. Die jederzeitige Erreichbarkeit der Branche und den angeschlossenen Unternehmen ist über diesen Weg gewährleistet. Der etablierte Weg vom LKRZV zum BSI muss erhalten und weiter ausgebaut werden, parallele Meldestrukturen wären hinderlich. (4) Betreiber kritischer Infrastrukturen haben über die Warn- und Alarmierungskontakte nach Absatz 3 schwerwiegende Beeinträchtigungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse, das heißt Beeinträchtigungen, die Auswirkungen auf die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen haben können, unverzüglich an das Bundesamt zu melden. Auch der Meldeweg in Richtung BSI ist durch den bereits bestehenden und nachweisbar funktionierenden SPOC der Branche gewährleistet. Die Schwere der Beeinträchtigung müsste genauer definiert werden. Meldegrundsätze und -schwellen wurden durch die deutsche Versicherungswirtschaft über das LKRZV im Rahmen des UP KRITIS bereits an das BSI übermittelt. Hier könnte die Versicherungswirtschaft weiterhin einen aktiven Beitrag leisten, mögliche gesetzliche Vorgaben zu konkretisieren. Die Versicherungswirtschaft ist gerne bereit, in einem kooperativen Dialog mit dem BSI die derzeit brancheninternen Verfahren zu entsprechenden branchenübergreifenden auszubauen. (5) Soweit aus oder auf Grund von Rechtsvorschriften des Bundes bereits Anforderungen im Sinne der Absätze 3 und 4 bestehen, finden die Seite 5 / 6

6 Absätze 3 und 4 keine Anwendung. Die in den genannten Rechtsvorschriften benannten Meldestellen oder Aufsichtsbehörden haben Meldungen zu erheblichen IT-Sicherheitsvorfällen im Sinne von Absatz 4 unverzüglich an das Bundesamt weiterzuleiten. Die Versicherungswirtschaft verfügt mit dem LKRZV bereits über eine sichere und bewährte zentrale Kommunikationsinfrastruktur mit dem Bundesamt. Hier dezentrale Meldestrukturen für die Versicherungsunternehmen über das BaFin zum Bundesamt einzuführen, würde den Alarmierungsweg unnötig verlängern und das Ausmaß des Schadens vergrößern. Auf Basis der mit dem LKRZV gewonnenen Erkenntnisse ist gerade bei relevanten IT-Sicherheitsvorfällen die direkte, schnelle und zielgerichtete Kommunikation mit dem BSI und den Experten aus den Unternehmen unerlässlich, um drohenden Schäden erfolgreich entgegenwirken zu können Berlin, den Seite 6 / 6