Bundesministerium des Innern. Per an: Berlin, Dortmund, Bayreuth, Stuttgart,

Transkript

1 Bundesministerium des Innern Per an: Berlin, Dortmund, Bayreuth, Stuttgart, Seite 1 von 5 Stellungnahme zum Referentenentwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom Sehr geehrte Damen und Herren, die deutschen Übertragungsnetzbetreiber (ÜNB) als Betreiber Europäischer Kritischer Infrastruktur haben den vorliegenden Entwurf des IT Sicherheitsgesetzes intensiv diskutiert. Grundsätzlich begrüßen die ÜNB das Ziel des Gesetzes, die signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland zu erreichen. Entscheidende Belange der Regelungsadressaten sollten jedoch angemessene Berücksichtigung finden. Wir bitten daher, die aus unserer Sicht unbedingt erforderlichen Änderungen zu berücksichtigen. Aus Sicht der Übertragungsnetzbetreiber sollte unbedingt gewährleistet sein, dass der Gesetzeswortlaut präzise und unmissverständlich formuliert ist, die Anrechnungsfähigkeit der zusätzlich entstehenden Kosten im Rahmen der Anreizregulierung gegeben ist, sensible und schutzbedürftige Daten ausgenommen bleiben bzw. nur in dem unbedingt erforderlichen Maße bereitgestellt werden müssen und die betrieblichen Abläufe berücksichtigt werden, indem die Umsetzung der Gesetzesanforderungen im Rahmen angemessener Fristen erfolgen kann. Im Einzelnen regen wir daher folgende Änderungen in dem aktuellen Entwurf an beziehungsweise geben die folgenden Hinweise. Udo Giegerich, Alexander Hartman Telefon: Rainer Joswig,

2 Seite 2 von 5 I. E. Erfüllungsaufwand E.2 Erfüllungsaufwand für die Wirtschaft Den ÜNB entstehen durch die Erfüllung der Anforderungen mitunter erhebliche Mehrkosten. Diese sind vor dem Hintergrund der möglichen Folgen eines langanhaltenden Stromausfalls in jedem Fall zweitrangig. Die zusätzlich entstehenden Aufwendungen können jedoch auch nicht pauschal den Betriebskosten der ÜNB zugeordnet werden. Vielmehr sind die zusätzlichen technischen und organisatorischen Aufwendungen im Rahmen der Netzentgeltkalkulation anzuerkennen. Udo Giegerich, Die ÜNB erachten es als notwendig, dass die Bundesnetzagentur (BNetzA) die Aufwendungen für die Umsetzung des IT-Sicherheitsgesetzes und des IT- Sicherheitskataloges ohne Zeitverzug anerkennen wird. Sollten aufgrund des IT- Sicherheitsgesetzes oder des IT-Sicherheitskataloges zusätzlich technische Umrüstungen notwendig sein, sind diese als Investitionsmaßnahmen nach 23 ARegV zu behandeln. Die ÜNB sehen daher unter anderem einen höheren Erfüllungsaufwand für die Wirtschaft, als im Gesetzentwurf angegeben. Zusätzliche Kosten für die Betreiber kritischer Infrastrukturen werden auftreten z.b. durch II. Meldewege und Meldepflicht und damit verbundene Verfügbarkeitsanforderungen, Anpassung des bestehenden unternehmensspezifischen IT-Sicherheitsstandards an die Anforderungen des IT-Sicherheitskatalogs, Zertifizierung beziehungsweise Auditierung und deren Nachweis gegenüber der BNetzA, Einführung und Beibehaltung eines Information Security Management, Risikomanagement, Business Continuity Management etc. als geforderte formale Vorgehensweise, Technische Maßnahmen und deren Betrieb. Art. 1 Änderung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik 1. 8a Absatz 1 Satz 1 BSIG Die ÜNB halten sowohl für das IT-Sicherheitsgesetz wie auch für den IT-Sicherheitskatalog eine Frist zu Umsetzung sowie Überprüfung von fünf Jahren für realistisch. 2. 8a Absatz 1 Satz 2 BSIG Der Stand der Technik ist ein unbestimmter Rechtsbegriff. Er ist stark branchen- und sektorenspezifisch. Daher werden die ÜNB ihr Verständnis von dem Stand der Technik in den entsprechenden ÜNB-Gremien einvernehmlich abstimmen. Die Vorgehensweise wäre analog zur Kommentierung des IT-Sicherheitskatalog der BNetzA. Wir bitten um eine Klarstellung, dass der Begriff durch die ÜNB konkretisiert werden kann. Der Einsatz fortschrittlicher Verfahren darf den sicheren Betrieb der kritischen Infrastruktur nicht gefährden. Daher muss auch immer die begründete Abweichung von als fortschrittlich angesehenen Verfahren zulässig sein. Alexander Hartman Rainer Joswig,

3 Seite 3 von a Absatz 1 Satz 3 BSIG Das Risikomanagement umfasst unternehmerische Risiken nicht jedoch die Folgen eines vollständigen Ausfalls der Kritischen Infrastruktur. Insofern würden hier wesentlich weitreichendere Folgen angenommen, was nahezu jeden Aufwand als verhältnismäßig erscheinen lässt und damit signifikant höhere Kosten bedingt, deren Anerkennung nicht gesichert ist. Die hier genannte Norm suggeriert somit eine Eingrenzung, die für ÜNB faktisch keine Eingrenzung darstellt. 4. 8a Absatz 3 Satz 1, 2 BSIG Die ÜNB halten sowohl für das IT-Sicherheitsgesetz, wie auch für den IT-Sicherheitskatalog eine Frist zu Umsetzung sowie Überprüfung von fünf Jahren für realistisch. Die im IT-Sicherheitskatalog vorgeschlagene Zertifizierung zum Nachweis der Erfüllung der Anforderungen wird von den ÜNB als geeignet angesehen. Wir bitten daher um eine Vereinheitlichung der Nachweispflichten im Sinne des IT-Sicherheitskatalogs. 5. 8a Absatz 3 Satz 3 BSIG Bei einer nachgewiesenen Zertifizierung kann auf die Übermittlung von Sicherheitsmängeln verzichtet werden. Sollte eine Zertifizierung nicht fristgerecht vorliegen, so werden wir die ursächlichen Sicherheitsmängel an das Bundesamt für Sicherheit in der Informationstechnik (BSI) übermitteln. Da die übermittelten Informationen sehr vertrauliche Inhalte enthalten, muss die Wahrung dieser Vertraulichkeit durch das BSI garantiert werden. Wir bitten um entsprechende Berücksichtigung. 6. 8a Absatz 3 Satz 4 BSIG Wenn das BSI die Beseitigung von Sicherheitsmängeln verlangt, so muss dies in Abstimmung mit dem Betreiber der kritischen Infrastruktur erfolgen. Dabei sind die Belange des Betreibers der kritischen Infrastruktur hinsichtlich der technischen und organisatorischen Umsetzbarkeit, des Zeitrahmens sowie der Versorgungssicherheit und Kostentragung zu berücksichtigen. 7. 8b Absatz 2 Nummer 4 BSIG Die ÜNB wünschen sich Zugang zu geeigneten Informationen des BSI hinsichtlich des Lagebildes wie auch zur Sicherung ihrer Informationstechnik. 8. 8b Absatz 4 BSIG Im Widerspruch zum Gesetzestext ist in der Begründung die Funktionstüchtigkeit des Betreibers aufgeführt. Damit wären möglicherweise auch IT-Systeme betroffen, die für den Betrieb der kritischen Infrastruktur selbst nicht erforderlich sind. Die ÜNB bitten um Korrektur der Begründung. Udo Giegerich, Alexander Hartman Rainer Joswig,

4 Seite 4 von d BSIG, 11 Absatz 1c EnWG Aufgrund der geringen Anzahl der Übertragungsnetzbetreiber und der von diesen eingesetzten Systemtechnik sind Rückschlüsse auf einen Betreiber kritischer Infrastruktur trotz Anonymisierung leicht möglich. Daher sind Informationen der ÜNB besonders vertraulich zu behandeln. Wir bitten um entsprechende Berücksichtigung Absatz 1a Satz 1 EnWG Udo Giegerich, Die Änderung des Satz 1 lässt eine Erweiterung des Scope ggü. dem zurzeit vorliegenden Entwurf des IT-Sicherheitskatalogs und damit verbundener Aufwände vermuten. Eine Präzisierung ist notwendig Absatz 1c Satz 1 EnWG Durch Verkettung von Beeinträchtigungen lässt sich häufig eine Gefährdung des Energieversorgungsnetzes konstruieren. Wir bitten um eine Präzisierung, ab welcher Schwelle eine Meldung erforderlich ist Absatz 1c Satz 2 EnWG 11 Absatz 1c Satz1 und 2 EnWG gehen über die Regelung aus 8b Absatz 4 Satz 3 BSIG hinaus. Wir bitten um Gleichbehandlung. III. Begründung In Bezug auf die Begründung der Änderung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik haben die ÜNB folgende Anmerkungen. 1. A.III.2 Erfüllungsaufwand für die Wirtschaft Da für die ÜNB die Regelungen aus Artikel 4 ausschlaggebend sind, entsteht somit ebenfalls Erfüllungsaufwand. Die ÜNBs sehen u.a. die in unserer Kommentierung zu E.2 Erfüllungsaufwand für die Wirtschaft genannten Kosten. Diese Kosten gehen über reine Bürokratiekosten hinaus. IV. Begründung zu den einzelnen Vorschriften 1. Zu 8a (Sicherheit in der Informationstechnik Kritischer Infrastrukturen) Die ÜNB weisen darauf hin, dass die Forderung zur Abschottung sensibler IT-Bereiche vom Internet beziehungsweise öffentlichen Netzen einerseits und die Transparenz- und Marktanforderungen andererseits einen Zielkonflikt darstellen. Die Auflösung dieses Zielkonfliktes ist in der Regel mit hohen Aufwand und hohen Kosten verbunden. Dennoch lässt sich das einhergehende Restrisiko nicht vollständig ausschließen. Alexander Hartman Rainer Joswig,

5 Seite 5 von 5 2. Zu 8b (Zentrale Stelle für die Sicherheit in der Informationstechnik der Betreiber Kritischer Infrastrukturen) Die ÜNB haben Dienstleister unter Vertrag. Die in der Begründung beschriebenen Forderungen müssten demensprechend an die Dienstleister weitergegeben werden und somit die SLAs angepasst werden. Außer den dadurch generierten Mehrkosten wird es vermutlich Dienstleister geben, die einer Anpassung des SLA nicht zustimmen werden. Die ÜNB teilen sich europaweit IT-Systeme. Es ist nicht auszuschließen, dass es Partnerunternehmen gibt, die die Forderungen des IT-Sicherheitsgesetzes nicht einhalten können, da sie ggf. widersprüchlichen Regelwerken unterliegen. Hinsichtlich der Meldeschwelle besteht Klärungsbedarf. Bei einem IT-Betrieb treten gelegentlich Abweichungen vom Regelbetrieb auf und es wäre möglicherweise in vielen Fällen ein Konstrukt denkbar, dass die Abweichung unter der Annahme widriger Umstände zu einer Beeinträchtigung führen kann. Die Kriterien für Beeinträchtigungen, die meldepflichtig im Sinne des Gesetzentwurfes sind, sollten konkretisiert werden. Aus Sicht der ÜNB sollten nur schwerwiegende Beeinträchtigungen zur Meldung kommen, die unmittelbare Auswirkungen auf die Versorgungssicherheit haben können. Udo Giegerich, Alexander Hartman Rainer Joswig,