IT-Sicherheitsgesetz:

Transkript

1 IT-Sicherheitsgesetz: Neue Herausforderungen für Unternehmen und Behörden Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV Thomas Feil 09/2015 1

2 Thomas Feil 09/2015 2

3 Aufreger (Bundestag) Gerüchte Neues Gesetz: IT-Sicherheitsgesetz Thomas Feil 09/2015 3

4 Das Gesetzgebungsverfahren März 2013 Entwurf IT-SiG 17. Dezember 2014 Entwurf von Bundesregierung beschlossen und dem Bundesrat zugeleitet. Am 27. Februar 2015 wurde der Entwurf des IT-SiG dem Bundestag zugleitet. Am wurde das Gesetz in 2. und 3. Lesung im Bundestag verabschiedet. Am 24. Juli 2015 wurde das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) im Bundesgesetzblatt veröffentlicht. Das Gesetz trat am Samstag, den 25. Juli 2015 in Kraft. Thomas Feil 09/2015 4

5 Ausgangslage Thomas Feil 09/2015 5

6 Ziel des Gesetzes Sicherheit informationstechnischer Systeme in Deutschland vorantreiben Aktuellen und zukünftigen Gefährdungen wirksam begegnen Verstärkter Schutz der Bürger im Internet Stärkung des BSI und des BKA Hohes Sicherheitsniveau bei Kritischen Infrastrukturen (KRITIS) soll erreicht werden Betreiber von Kritischen Infrastrukturen sollen zur Einhaltung eines Mindestniveaus angehalten werden. Thomas Feil 09/2015 6

7 Keine 100%-ige IT-Sicherheit möglich, sondern nur Risikomanagement. Michael Hanke, Präsident BSI Thomas Feil 09/2015 7

8 Überblick über die rechtlichen Neuerungen IT-Sicherheitsgesetz ist ein Artikel-Gesetz Folgende Gesetze werden geändert: BSI-Gesetz Telemediengesetz Telekommunikationsgesetz Atomgesetz Betroffen sind maximal Unternehmen?! Es werden 7 Meldungen von IT-Sicherheitsvorfällen pro Jahr erwartet. Thomas Feil 09/2015 8

9 2 Begriffsbestimmungen BSIG (10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die 1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und 2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach 10 Absatz 1 näher bestimmt. Thomas Feil 09/2015 9

10 Umsetzung Verordnungsgebung Die nächsten Schritte Ende 2018 VO 1. Korb VO 2. Korb Energie IKT Ernährung Wasser Transport & Verkehr Finanzen Gesundheit (Studien 2. Korb) Umsetzung 1. Korb Weitere Umsetzung IT-SiG in allen Sektoren umgesetzt Thomas Feil 09/

11 KRITIS Pflichten Mindeststandards Meldepflichten Audits Thomas Feil 09/

12 Meldepflichten aus 8b BSIG neu 8b Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen (3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 eine Kontaktstelle für die Kommunikationsstrukturen nach 3 Absatz 1 Satz 2 Nummer 15 zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle. (4) Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen 1. führen können oder 2. geführt haben, über die Kontaktstelle unverzüglich an das Bundesamt zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat. Thomas Feil 09/

13 Thomas Feil 09/

14 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen (1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. (2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt 1. im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde. Thomas Feil 09/

15 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen (3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann bei Sicherheitsmängeln verlangen: 1. die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel. (4) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen. Thomas Feil 09/

16 13 Telemediengesetz (TMG) Nach Absatz 6 wird folgender Absatz 7 eingefügt: (7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und 2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens. Thomas Feil 09/

17 Wer ist vom TMG betroffen? Diensteanbieter definiert in 2 TMG Im Sinne dieses Gesetzes 1.ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt; bei audiovisuellen Mediendiensten auf Abruf ist Diensteanbieter jede natürliche oder juristische Person, die die Auswahl und Gestaltung der angebotenen Inhalte wirksam kontrolliert, Telemedien: (nahezu) alle Angebote im Internet, beispielsweise Webshops, Online-Auktionshäuser, Suchmaschinen, Webmail-Dienste, Informationsdienste (z. B. zu Wetter, Verkehrshinweisen), Podcasts, Chatrooms, Dating-Communitys und Webportale. Auch private Websites und Blogs gelten als Telemedien. Thomas Feil 09/

18 Konkrete Pflichten für Unternehmen und Behörden Was ist zu tun? Thomas Feil 09/

19 TMG und Wettbewerbsrecht 13 TMG wird als das Marktverhalten regelnde Norm gemäß 4 Nr. 11 UWG angesehen OLG Hamburg WRP 2013, 1203ff; OLG Köln vom , 6 U 70/09 Die Normen des Telemediengesetzes berechtigen im Allgemeinen zur Abmahnung (BGH vom , Az: I ZR 228/03) Allerdings bezieht sich die bisherige Rechtsprechung auf die Informationspflichten zur Anbieterkennzeichner Thomas Feil 09/

20 Thomas Feil 09/

21 Rechtsanwalt Thomas Feil Fachanwalt für Informationstechnologierecht und Arbeitsrecht Datenschutzschutzbeauftragter TÜV - Geschäftsführer Döhrbruch Hannover Tel 0511 / Fax 0511 / recht-freundlich.de Thomas Feil 09/