Netz- und Informationssicherheit in der Union (sogenannte

Transkript

1 Hintergrundpapier Zum Kabinettsentwurf für ein IT-Sicherheitsgesetz vom und zum europäischen Gesetzgebungsverfahren für eine Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (sogenannte NIS- Richtlinie). Berlin, 13. Januar 2015 eco Verband der deutschen Internetwirtschaft e.v. versteht sich als Interessenvertreter und Förderer aller Unternehmen, die mit dem Internet wirtschaftliche Wertschöpfung betreiben. Der Verband vertritt derzeit rund 800 Mitgliedsunternehmen. Hierzu zählen unter anderem ISP (Internet Service Provider), Carrier, Hard- und Softwarelieferanten, Content- und Service-Anbieter sowie Kommunikationsunternehmen. eco ist damit der größte nationale Internet Service Provider-Verband Europas. I. Einleitung Im Februar 2013 stellte die Europäische Kommission eine Vorschlag für eine Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (sogenannte NIS-Richtlinie) vor. Im März 2014 einigte sich das Europäische Parlament auf eine leicht abgewandelte Fassung. Das Gesetzgebungsverfahren steht mit dem gerade laufenden Trilog-Verhandlungen nun zwar kurz vor dem Abschluss, entscheidende Fragen sind aber noch zu klären. Die Bundesregierung hat am 17. Dezember 2014 den Kabinettsentwurf für ein IT-Sicherheitsgesetz beschlossen und vorgestellt. Das Gesetz soll nach Abschluss des parlamentarischen Verfahrens in der zweiten Jahreshälfte 2015 beschlossen werden und sofort in Kraft treten. eco hat die Bestrebungen der Bundesregierung sowie der europäischen Kommission, die IT-Sicherheit kritischer Infrastrukturen zu verbessern, grundsätzlich begrüßt. Angesichts der zunehmenden umfassenden digitalen Durchdringung der Gesellschaft sind wirksame Maßnahmen zur Verbesserung der IT-Sicherheit zum Schutz von Bürger, Staat und Wirtschaft sinnvoll. eco hat aber auch immer wieder die Notwendigkeit betont, nationale Vorhaben zur Verbesserung der IT-Sicherheit sowohl in die europäischen als auch die internationalen Bestrebungen zur Verbesserung der IT-Sicherheit einzubetten und die Regelungen eng abzustimmen. Denn IT-Sicherheit ist im Zeitalter des Internet ein intrinsisch grenzüberschrei- Seite 1 von 5

2 tende Problematik. Daher ist es notwendig, international bzw. zumindest europäisch einheitliche und eng abgestimmte Regelungen und Standards anzustreben. Ein Flickenteppich unterschiedlichster nationaler Vorgaben zur IT-Sicherheit muss daher soweit möglich vermieden werden. Wir möchten die Gelegenheit nutzen, die Positionen der Internetwirtschaft hinsichtlich der gesetzlichen Bestrebungen zur IT-Sicherheit auf nationaler und europäischer Ebene zu erläutern: II. Hintergrund Parallele Gesetzgebungsverfahren zur IT-Sicherheit auf nationaler und europäischer Ebene Der Gesetzentwurf der Bundesregierung enthält Anforderungen an die IT-Sicherheit kritischer Infrastrukturen, also solche Einrichtungen, die für das Gemeinwesen von zentraler Bedeutung sind, z.b. die Energieoder Wasserversorgung. Betreiber kritischer Infrastrukturen sollen zukünftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Das BSI soll dann die zusammenlaufenden Informationen auswerten und den Betreibern kritischer Infrastrukturen zur Verfügung stellen. Abseits kritischer Infrastrukturen sollen darüber hinaus die Anforderungen an die IT-Sicherheit für Diensteanbieter im Telekommunikationsund Telemedienbereich erhöht werden. Telemediendienstanbieter sollen ungeachtet bereits bestehender Verpflichtungen etwa nach dem Bundesdatenschutzgesetz zusätzlich verpflichtetet werden, IT- Sicherheit nach dem jeweiligen Stand der Technik zu gewährleisten. Telekommunikationsunternehmen sollen zudem zusätzlich verpflichtet werden, ihre Kunden zu warnen, wenn der Anschluss eines Kunden für Angriffe missbraucht wird. Der Vorschlag der europäischen Kommission bzw. des europäischen Parlaments verfolgt letztendlich das gleiche Ziel wie das IT- Sicherheitsgesetz: Das Ziel der Kommission ist es, die Erhöhung der IT-Sicherheit der privaten Netze und Informationssysteme, die für das Funktionieren von Wirtschaft und Gesellschaft unverzichtbar sind, zu erreichen. Dazu will die Kommission die Mitgliedstaaten verpflichten, die Zusammenarbeit der Akteure untereinander zu erhöhen und die Abwehrbereitschaft bzw. Widerstandsfähigkeit gegen Angriffe und Beeinträchtigungen zu verbessern, um so die Funktionsfähigkeit kritischer Infrastrukturen sicherzustellen. Das Gesetzgebungsverfahren zur NIS- Richtlinie steht mit den gerade laufenden Trilog-Verhandlungen zwar Seite 2 von 5

3 kurz vor dem Abschluss, entscheidende Fragen sind aber noch zu klären. Informeller Trilog 2014 Am 10. Oktober 2014 hatte der Ausschuss der Ständigen Vertreter der Mitgliedstaaten (COREPER) der italienischen Ratspräsidentschaft das Mandat erteilt, mit dem Europäischen Parlament erste Sondierungsgespräche aufzunehmen. Ein erstes Treffen fand am 14. Oktober 2014 statt, ein zweiter, informeller Trilog, am 11. November Der dritte und letzte informelle Trilog war für den 9. Dezember 2014 vorgesehen, ist jedoch verschoben worden. Das letzte sogenannte room document, das Anfang Dezember 2014 zirkulierte, schlug einen harmonisierten Ansatz für den Anwendungsbereich, nach dem Vorbild der bestehenden Richtlinie zur Ermittlung und Ausweisung europäischer kritischen Infrastrukturen (2008/114/EG) vor. Im Zentrum der Verhandlungen steht das immer noch ungelöste Problem des Anwendungsbereichs der Richtlinie. Welche Einrichtungen sollen überhaupt als kritische Infrastrukturen gelten? Hier herrscht sowohl unter einigen Mitgliedstaaten, aber auch zwischen Rat und Europäischen Parlament Uneinigkeit. Das Problem des Anwendungsbereichs Der jüngste Vorschlag des Rates erlaubte es den Mitgliedstaaten, auf Grundlage von vorab definierten Kriterien festzulegen, ob und in welchem Ausmaß bestimmte Betreiber in vorab festgelegten Sektoren unter die in der Richtlinie vorgesehenen Auflagen für Sicherheitsstandards und Meldepflichten bei Vorfällen fallen. Das Europäische Parlament dagegen hat einen Ansatz ins Auge gefasst, bei dem alle Betreiber in allen vorab festgelegten Sektoren den im Gesetz festgelegten Verpflichtungen unterliegen. Allerdings sollen die Nachweispflichten für die Umsetzung der verlangten Sicherheitsmaßnahmen variieren. Weiterhin ungeklärt ist auch die Frage, welche Sektoren in die gesetzliche Bestimmungen einbezogen werden sollen. Offen ist derzeit, ob entsprechend der Empfehlung der Europäischen Kommission sogenannte Dienste der Informationsgesellschaft, also Internetdienste vom einfachen Blog bis zum weltweit agierenden Social-Media Dienst in eine entsprechende gesetzliche Liste der Verpflichteten aufgenommen werden sollten. Seite 3 von 5

4 Weitere ungelöste Punkte betreffen die Zielsetzung insbesondere die Reichweite der Kooperation zwischen den Mitgliedstaaten. Außerdem sind die Bestimmung der Art und Weise sowie Form und Kriterien hinsichtlich nationaler Meldepflichten bei einem sicherheitsrelevanten Vorfall und dem grenzüberschreitenden, europaweiten Austausch derzeit noch nicht abschließend geklärt. Ausblick Die ab dem 1. Januar 2015 amtierende lettische Ratspräsidentschaft hat die zeitnahe Verabschiedung und zügige Implementierung der Richtlinie in ihrem veröffentlichtem Arbeitsprogramm besonders hervorgehoben. Die NIS-Richtlinie könnte bei einer zügigen Einigung im zweiten Quartal 2015 in Kraft treten und müsste dann innerhalb der nächsten 18 Monate in nationales Recht umgesetzt werden. III. Position der Internetwirtschaft Kein nationales Vorpreschen, sondern europäische Harmonisierung Um Widersprüche zwischen dem nationalen IT-Sicherheitsgesetz und den europäischen Vorgaben zu vermeiden, muss eine enge Abstimmung und Verzahnung des nationalen IT-Sicherheitsgesetzes mit den europäischen Vorgaben erfolgen, bevor auf nationaler Ebene gesetzliche Verpflichtungen und Regelungen geschaffen werden. Die Bundesregierung ist hier in der Pflicht, den Unternehmen Rechts- und Planungssicherheit zu gewährleisten. Sonst besteht die Gefahr, dass das IT-Sicherheitsgesetz bald wieder an die europäischen Vorgaben angepasst und geändert werden muss. Diese Fragen, insbesondere die notwendige rechtssichere Einbettung in das europäische Regelwerk, müssen im Rahmen des jetzt anstehenden parlamentarischen Verfahrens beantwortet werden. Offene Fragen bestehen noch angesichts des europäischen Gesetzgebungsverfahrens für eine Richtlinie zur Gewährleistung einer hohen gemeinsamen Netzwerk- und Informationssicherheit (NIS-Richtlinie). Zusammenfassung der Positionen: Notwendig ist eine europäische Harmonisierung der Bestimmungen zur IT-Sicherheit kritischer Infrastrukturen, kein nationales Vorpreschen. Bevor ein nationales IT-Sicherheitsgesetz als quasi vorweggenommenes Umsetzungsgesetz für eine noch nicht ganz fertiggestellte Richtlinie verabschiedet wird, sollte die Bundesregie- Seite 4 von 5

5 rung den inhaltlichen Gleichklang, also eine europäische Einbettung und Abstimmung, sicherstellen, sodass die Unternehmen Rechts- und Planungssicherheit haben. Erstes Ziel muss eine starke europaweite Harmonisierung der Verpflichtungen und Anforderungen für Betreiber kritischer Infrastrukturen sein. Konzentration des Anwendungsbereichs auf kritische Infrastrukturen beibehalten. Keine Sonderregelungen für sämtliche Dienste der Informationsgesellschaft, sondern ein am jeweiligen Ausfallrisiko orientierter Ansatz. Die Identifizierung und Festlegung sogenannter kritischer Infrastrukturen benötigt präzise gesetzliche Kriterien. Berücksichtigung bereits bestehender Verpflichtungen gemäß den allgemeinen EU-Datenschutzvorschriften sowie branchenspezifischer Verpflichtungen etwa für Anbieter elektronischer Kommunikation. Grenzüberschreitenden Informationsaustausch und Kooperation der Aufsichtsbehörden sicherstellen. Seite 5 von 5