Entwurf zum IT-Sicherheitsgesetz

Transkript

1 Entwurf zum IT-Sicherheitsgesetz Dr. Alexander Duisberg. Bird & Bird LLP CODE Jahrestagung, 26. März 2015

2 Übersicht Über Bird & Bird Einleitung Ziele und Mittel EU Kontext Wesentliche neue Regelungen im BSIG TMG TKG Umsetzungskosten Fazit & Ausblick Seite 2

3 ÜberBird & Bird

4 Über Bird & Bird LLP 27 Büros und über Anwälte weltweit Weltweit führend im Technologiebereich Umfassende Beratung in allen Praxisgruppen Enge Zusammenarbeit mit Kanzleien in Europa, im Nahen Osten, in Asien und in den USA Abu Dhabi, Bratislava, Brüssel, Budapest, Kopenhagen, Dubai, Düsseldorf, Frankfurt, Den Haag, Hamburg, Helsinki, Hong Kong, London, Lyon, Madrid, Mailand, München, Paris, Peking, Prag, Rom, Shanghai, Singapur, Skanderborg, Stockholm, Sydney und Warschau Seite 4

5 Leaders in what's new "At the forefront of developments in data centers, cloud computing and agile software." Chambers Global 2014 Seite 5

6 ''It stands out as one of the best international firms ; a large specialist in this area." Chambers Global 2014

7 Einleitung

8 Einleitung Ziel und Mittel des Gesetzes Ziel: IT-Sicherheit in Deutschland verbessern Adressaten: Betreiber kritischer Infrastrukturen (KRITIS) Energie IT und TK Transport und Verkehr Gesundheit Wasser Ernährung Finanz- und Versicherungswesen Seite 8

9 Einleitung Ziel und Mittel des Gesetzes Mittel Verpflichtende IT Sicherheitsanforderungen Meldepflicht bei Sicherheitsvorfällen Informationen/ Warnung durch BSI Nichteinhaltung Ordnungswidrigkeit Umsetzungskosten? Erweiterung bestehender Gesetze, u.a. BSI-G, AtomG, EnergiewirtschaftsG, TMG, TKG, BKA-G Stärkung BSI und BKA Inkrafttreten Anfang 2016? Seite 9

10 Einleitung Europäischer Kontext EU Netz- und Informationssicherheitsrichtlinie (NIS) Nur Mindestharmonisierung, d.h. Europäischer "Flickenteppich" wahrscheinlich Wettbewerbsnachteil durch strengere Sicherheitsanforderungen? Ggfs. doppelter Umsetzungsbedarf Verfahrensstand: Verabschiedung für 07/2015 geplant; Umsetzung binnen 18 Monaten Seite 10

11 Wesentliche Neuerungen im BSI-Gesetz

12 Überblick zu neuen Regelungen im BSIG Definition "Kritische Infrastrukturen" mit VO-Ermächtigung ( 2, 10) IT Sicherheitsanforderungen an KRITIS-Betreiber ( 8a) Meldepflicht für Sicherheitsvorfälle ( 8b) Untersuchung von IT-Produkten ( 7a) Seite 12

13 Kritische Infrastrukturen + RechtsVO "Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die 1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und 2. von hoher Bedeutung [Qualität] für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe [Quantität] oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach 10 Absatz 1 näher bestimmt." Seite 13

14 Besonders kritische Prozesse besonders abzuschotten "Besonders kritische Prozesse bedürfen im Einzelfall besonderer Sicherheitsmaßnahmen durch Abschottung. Diese Prozesse sollten weder mit dem Internet oder öffentlichen Netzen verbunden noch von über das Internet angebotenen Diensten abhängig sein." (Gesetzesbegründung zu 8a BSI-G) Seite 14

15 Anforderungen an KRITIS-Betreiber Technische und organisatorische Vorkehrungen zur Vermeidung von Störungen/Ausfällen Angemessenheit (+), wenn (finanzieller) Aufwand nicht außer Verhältnis zu Ausfall/Beeinträchtigung steht "Stand der Technik" zu berücksichtigen Zertifizierung "branchenspezifischer Sicherheitsstandards" durch BSI Umsetzungsfrist: 2 Jahre nach Erlass der RVO; danach im Abstand von 2 Jahren nachzuweisen Seite 15

16 Meldepflicht für Sicherheitsvorfälle Zu melden sind: "[ ] erhebliche Störungen [ ], die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit [ ] führen können oder bereits geführt haben" Unbestimmtheit ("Störung/Beeinträchtigung")? auch potentielle Störungen? Regelbeispiele? Anonyme Meldung möglich, solange kein tatsächliche/r Ausfall/Beeinträchtigung Seite 16

17 Untersuchung von IT-Produkten Befugnis, IT-Produkte/Systeme zu Beratungs-und Warnungszwecken zu untersuchen Auf dem Markt bereitgestellte sowie zur Bereitstellung vorgesehene Produkte Untersuchung kann durch Dritte erfolgen (sofern keine entgegenstehenden Interessen der Hersteller) Zielkonflikt mit Geheimnisschutz? Zweckbindung bzgl. der Erkenntnisse Stellungnahmen der Hersteller möglich Seite 17

18 Wesentliche Neuerungen im TMG

19 Sicherheitsanforderungen für Telemediendiensteanbieter( 13 Abs. 7 TMG) Adressat: Diensteanbieter, die geschäftsmäßig Telemedien anbieten (weites Verständnis) Technische und organisatorische Vorkehrungen, um sicherzustellen, dass Kein unerlaubter Zugriff Schutz personenbezogener Daten Schutz gegen äußere Angriffe Regelbeispiel: Verschlüsselungsverfahren Stand der Technik, aber nur soweit technisch möglich und wirtschaftlich zumutbar Seite 19

20 Wesentliche Neuerungen im TKG

21 Verschärfung der technischen Schutzmaßnahmen ( 109 Abs. 2 TKG) Berücksichtigung des Stands der Technik: nunmehr auch bei technischen und organisatorischen Maßnahmen zur IT- Sicherheit ( 109 Abs. 2 TKG) Änderungen des Sicherheitskatalogs ( 109 Abs. 6 TKG)? Überprüfung Umsetzung des Sicherheitskonzepts durch BNetzA: Bislang nur Befugnis und keine Pflicht Nunmehr Pflicht zur regelmäßigen Überprüfung (ca. alle 2 Jahre) Seite 21

22 Erweiterung der Meldepflicht ( 109 Abs. 5 TKG) Ausweitung der Meldepflicht auf Beeinträchtigungen, die zu beträchtlichen Sicherheitsverletzungen führen können Ziel: Früherkennung Bestimmtheit Adressat: weiterhin BNetzA, die an das BSI weiterleitet Keine Möglichkeit der anonymen Meldung Seite 22

23 Informationspflicht gegenüber Nutzern ( 109a Abs. 4 TKG) Informationspflicht gegenüber Nutzern, sofern Störungen vom Nutzersystem ausgehen Inhalt: Hinweis auf angemessene, wirksame und zugängliche Mittel, mit denen Störungen erkannt und beseitigt werden können nur soweit bekannt Keine Untersuchungspflicht Keine Ermächtigung zur Datenerhebung Seite 23

24 Zusammenfassung Sicherheitsanforderungen Neu: für KI-Betreiber, Telemediendiesteanbieter Ausweitung für TK-Anbieter Meldepflichten Neu: für KI-Betreiber Ausweitung für TK-Anbieter BSI kann IT-Produkte untersuchen und warnen TK Betreiber haben Nutzer über Störungen, die von ihren Systemen ausgehen, informieren Seite 24

25 Umsetzungskosten

26 Umsetzungskosten ein weites Feld Bürokratiekosten sehr unterschiedlich eingeschätzt Gesetzesentwurf: EUR 32,9 Mio. p.a. und einmal EUR 7,15 Mio. KPMG Studie 2013: EUR 1,1 Milliarden p.a. Unterschiedliche Parameter Aber: da kommt einiges auf die Wirtschaft und öffentlichen Institutionen zu Sicherheit kommt sicher nicht zum Nulltarif! Seite 26

27 Fazit und Ausblick

28 Fazit & Ausblick Umfangreicher Umsetzungsbedarf für KRITIS-Betreiber inkl. TMG- und TK-Anbieter Einige Branchen schon weit vorne Hoher Beratungsbedarf durch unbestimmte Rechtsbegriffe Investitionen Gesetzgebungsverfahren und EU Prozess verfolgen Seite 28

29 "Die 'top' IT-Praxis von Bird & Bird rund um Alexander Duisberg agiert auf 'sehr hohem Niveau'." Legal A 'guru" on matters involving online commerce, cloud computing, big data, data protection and software and services distribution" Who's Who Legal 2015 Dr. Alexander Duisberg Steering Group Tech & Comms Bird & Bird LLP, München alexander.duisberg@twobirds.com Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated businesses.