IT-Sicherheitsgesetz:

Transkript

1 Juni 2015 IT-Sicherheitsgesetz: Neue Anforderungen für Unternehmen im Bereich IT- Sicherheit? Aufgrund sich ständig weiter entwickelnder Bedrohungslagen im Internet (Stichwort: Cyberkriminalität ) hat sich die Bundesregierung bereits in ihrer Digitalen Agenda die Verbesserung des Schutzes der Privatsphäre im Netz sowie die Stärkung des Vertrauens in digitale Infrastrukturen als Basis für Innovation und Wachstum (Standortfaktor) auf die Fahnen geschrieben. 1 In Umsetzung eines Teils dieser Digitalen Agenda und überschattet von dem kürzlich erfolgten Hackerangriff auf das eigene IT-System 2 hat der Deutsche Bundestag vergangene Woche das von der Bundesregierung eingebrachte Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) beschlossen. Das Artikelgesetz zielt darauf ab, insbesondere das bestehende BSI-Gesetz 3 und darüber hinaus weitere Regelungen spezieller, die Datensicherheit betreffender Gesetze, wie beispielsweise Regelungen des Telemediengesetzes (TMG), des Telekommunikationsgesetzes (TKG), des Atomgesetzes (AtG) und des Energiewirtschaftsgesetzes (EnWG) zu ändern oder zu ergänzen. Durch die in dem Gesetz beschriebenen Maßnahmen sollen der Schutz und die Sicherheit von IT-Systemen, d.h. deren Integrität, Authentizität und Verfügbarkeit verbessert werden. Betreiber sogenannter kritischer Infrastrukturen sind nach dem Gesetz verpflichtet, spätestens zwei Jahre nach Inkrafttreten einer das Gesetz konkretisierenden Rechtsverordnung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbark eit, Integrität, Authentizität und Vertraulichk eit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Inhalt Ist mein Unternehmen betroffen?... 2 Welche Anforderungen gelten für mein Unternehmen?... 3 Betroffene KRITIS Betreiber haben... 3 Digitale Agenda der Bundesregierung, S. 30 ff. VI. Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft Gesetz über das Bundesamt für Sicherheit in der Informationstechnik Telekommunikations- Diensteanbieter (TKG) haben... 4 Geschäftsmäßige Telemedien- Diensteanbieter (TMG) haben... 4 Welche Sanktionen drohen meinem Unternehmen?... 4 Kritik am Gesetzesentwurf 5 Ausblick... 6 Nachfolgend stellen wir dar, auf welche Unternehmen sich die Regelungen des geplanten IT-Sicherheitsgesetzes beziehen, welche konkreten Verpflichtungen auf die Betroffenen zukommen und welche Sanktionen bei Nichteinhaltung des Gesetzes drohen Bereich IT-Sicherheit? 1

2 Ist mein Unternehmen betroffen? Von den Regelungen des BSI-Gesetzes erfasst sind nur Betreiber so genannter kritischer Infrastrukturen, die vom Gesetz als KRITIS bezeichnet werden. Darunter sollen Einrichtungen oder Anlagen aus folgenden Sektoren fallen: > Energie (Versorgung mit Strom, Erdgas und Mineralöl), > Informationstechnik und Telekommunikation (z.b. Anbieter von Cloud- Diensten), > Transport und Verkehr (z.b. Personen- sowie Güternah- und Fernverkehr), > Gesundheit (z.b. Impfstoffversorgung, Labore), > Wasser (z.b. Trinkwasserversorgung), > Ernährung (z.b. Life Science) sowie > Finanz- und Versicherungswesen (z.b. Zahlungsverkehr, Wertpapierabwicklung). Weitere Voraussetzung für die Anwendbarkeit der Regelungen des BSI- Gesetzes soll zudem sein, dass die entsprechende Einrichtung oder Anlage für das Funktionieren des Gemeinwesens von so hoher Bedeutung ist, dass ihr Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit zur Folge hätte ( 2 Abs. 10 BSI- Gesetz nf). Die den einzelnen Sektoren unterfallenden Einrichtungen oder Anlagen sollen in einer Rechtsverordnung noch näher festgelegt werden. Die Festlegung soll auf Basis qualitativer Kontrollfrage: Wird mittels der Einrichtungen/Anlagen eine für die Gesellschaft k ritische Dienstleistung erbracht? sowie quantitativer Kontrollfrage: Hätte ein Ausfall oder eine Beeinträchtigung wesentliche Folgen für wichtige Schutzgüter und Funk tionsf ä- higkeit des Gemeinwesens? Kriterien erfolgen, die kumulativ erfüllt werden müssen. Insofern besteht momentan noch eine gewisse Unklarheit, welche Einrichtungen oder Anlagen letztlich dem BSI-Gesetz unterfallen werden. Dem Regelungsregime des BSI-Gesetzes in jedem Fall unterstellt sind die Betreiber von Kernanlagen. 4 Darüber hinaus ergeben sich durch das IT-Sicherheitsgesetz ähnliche Verpflichtungen (wie diejenigen des BSI-Gesetzes) auch für die Anbieter von Telekommunikationsdiensten (aus dem TKG 5 ) sowie für die Anbieter von Telemediendiensten (aus dem TMG 6 ). Laut Schätzung der Bundesregierung werden von dem Gesetz maximal Unternehmen betroffen sein; es wird von durchschnittlichen Kosten Gesetzesentwurf der Bundesregierung, Drucksache 18/4096 ( Gesetzesentwurf ), Artikel 2 Änderung des Atomgesetzes, 44b. Gesetzesentwurf, Artikel 5 Änderung des Telekommunikationsgesetzes, Abs Gesetzesentwurf, Artikel 4 Änderung des Telemediengesetzes, Abs Bereich IT-Sicherheit? 2

3 i.h.v. EUR 660 pro Meldung ausgegangen. 7 Die Kosten für eine möglicherweise erforderliche Aufrüstung der IT- und Telekommunikationsinfrastruktur werden in jedem Einzelfall zu ermitteln sein. Praktische Empfehlungen: > Um zu prüfen, ob Ihr Unternehmen dem IT-Sicherheitsgesetz unterfällt, beantworten Sie die folgenden Fragen: Fällt Ihr Unternehmen in einen der genannten Sektoren? Stellt eine von Ihrem Unternehmen betriebene Einrichtung oder Anlage eine kritische Dienstleistung für die Gesellschaft dar? Würde eine Beeinträchtigung Ihrer Dienstleistung eine wesentliche Auswirkung auf das Gemeinwesen haben? > Um zu prüfen, ob für Ihr Unternehmen die Anwendung der Regelungen des TMG oder TKG in Betracht kommt, beantworten Sie die folgenden Fragen: Erbringt Ihr Unternehmen Telekommunikationsdienstleistungen (dies könnte ggf. bereits bei einer Gestattung der Privatnutzung der Unternehmens IT durch die Mitarbeiter der Fall sein) oder Telemediendienstleistungen (insbesondere öffentliche Internetseiten)? Welche Anforderungen gelten für mein Unternehmen? Betroffene KRITIS Betreiber haben > binnen zwei Jahren nach Inkrafttreten der Rechtsverordnung angemessene organisatorische und technische Mindestanforderungen nach dem Stand der Technik zur Vermeidung von Beeinträchtigungen der für den KRITIS-Betrieb erforderlichen IT-Systeme und -Prozesse (d.h. nicht nur bzgl. personenbezogener Daten wie in 9 Bundesdatenschutzgesetz vorgesehen) einzuführen ( 8a Abs. 1 BSI- Gesetz nf). KRITIS Betreiber und Branchenverbände können insoweit branchenspezifische Sicherheitsstandards vorschlagen, die vom Bundesamt für Sicherheit in der Informationstechnik ( BSI ) überprüft werden ( 8a Abs. 2 BSI-Gesetz nf). Im Übrigen bleibt das Gesetz durch die Verwendung unbestimmter Rechtsbegriffe ( angemessene Anforderungen, Stand der Technik ) recht vage; > mindestens alle zwei Jahre die Erfüllung dieser Mindestanforderungen mittels Sicherheitsaudits oder Zertifizierungen durch qualifizierte Zertifizierer nachzuweisen ( 8a Abs. 3 BSI-Gesetz nf); > dem BSI binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung eine Kontaktstelle für die Kommunikationsstrukturen nach 3 Abs. 1 S. 2 Nr. 15 BSI-Gesetz nf zu benennen, über die sie jederzeit erreichbar sind; > Störungen der IT-Systeme und -Prozesse an das BSI als zentrale zuständige Behörde zu melden ( 8b Abs. 4 BSI-Gesetz nf), sofern diese 7 Gesetzesentwurf, Begründung Allgemeiner Teil, III. 2. Bereich IT-Sicherheit? 3

4 erheblich sind. Störungen sind erheblich, wenn die Funktionsfähigkeit der jeweiligen KRITIS bedroht ist. Die Meldung muss Angaben zur Störung sowie zur vermuteten oder tatsächlichen Ursache, zur betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers enthalten. Telekommunikations-Diensteanbieter (TKG) haben > Beeinträchtigungen, die zu einer beträchtlichen Sicherheitsverletzung führen oder führen können, der Bundesnetzagentur unverzüglich zu melden und > bekanntwerdende Störungen von Datenverarbeitungssystemen an die Nutzer dieser Systeme zu melden. Geschäftsmäßige Telemedien-Diensteanbieter (TMG) haben unabhängig von ihrer wirtschaftlichen Bedeutung technische und organisatorische Vorkehrungen nach dem Stand der Technik zu treffen zum Schutz (a) vor unerlaubtem Zugriff auf die genutzten technischen Einrichtungen, (b) von personenbezogenen Daten und (c) gegen Störungen, auch durch äußere Angriffe. Die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens ist für die Umsetzung aller genannten Punkte ausreichend. Geschäftsmäßig ist ein Telemediendienst in der Regel dann, wenn es sich um einen entgeltlichen Dienst handelt. Nicht-kommerzielle Angebote von Telemediendiensten werden von den genannten Regelungen nicht erfasst. Praktische Empfehlungen: > Prüfen Sie, welche Anforderungen an die IT-Sicherheit derzeit in Ihrem Unternehmen bestehen: Welche internen Regelungen zur IT- Sicherheit gibt es (Richtlinien, SOPs, Vorschriften)? W urde die Einhaltung dieser Standards bereits durch interne oder externe Berater überprüft? Wurde intern oder extern festgestellt, inwieweit die internen Regelungen den gängigen Marktstandards in Ihrem Sektor genügen? > Entscheiden Sie, ob Ihr Unternehmen auf die möglicherweise bestehenden Meldepflichten vorbereitet ist: Welche internen Meldeprozesse gibt es bereits? Welche Maßnahmen wären nötig, um ein den gesetzlichen Vorgaben entsprechendes Meldesystem in Ihrem Unternehmen zu etablieren (Prozesse, Personal etc.)? Welche Sanktionen drohen meinem Unternehmen? Im Fall eines schuldhaften Verstoßes gegen das BSI-Gesetz drohen die folgenden Bußgelder: > bis zu EUR : Soweit einer Anordnung des BSI auf Übermittlung von Audit-, Prüfungs- oder Zertifizierungsergebnissen oder zur Beseitigung von Sicherheitsmängeln nicht Folge geleistet wird. > bis zu EUR : Soweit vorgeschriebene Vorkehrungen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen werden, soweit Bereich IT-Sicherheit? 4

5 keine oder keine rechtzeitige Meldung der Kontaktstelle erfolgt sowie soweit Störungsmeldungen nicht, nicht vollständig, nicht richtig oder nicht rechtzeitig gemacht werden. Darüber hinaus verschärfen die neuen Anforderungen die verkehrsüblichen Sorgfaltspflichten" von KRITIS Betreibern und führen somit zu einem erhöhten Haftungsrisiko bei Verletzung der einschlägigen Sicherheitsstandards. Ähnlich verhält es sich im Bereich des Telekommunikations- sowie des Telemediengesetzes. Hier können neben der allgemeinen Erhöhung der Sorgfaltsanforderungen von den zuständigen Behörden bei einer Verletzung der nunmehr erweiterten Pflichten der Diensteanbieter wie bisher bereits auch Bußgelder bis zu einer Höhe von EUR festgesetzt werden: > TKG: Beim Fehlen ordnungsgemäßer Meldungen von beträchtlichen Sicherheitsverletzungen von Telekommunikationsnetzen oder -diensten. > TMG: Beim Einsatz unzureichender technischer und organisatorischer Maßnahmen zum Schutz vor unerlaubtem Zugriff und von personenbezogenen Daten bei geschäftsmäßig angebotenen Telemedien. Praktische Empfehlungen: > Prüfen Sie insbesondere, inwieweit ein bestimmtes Verhalten in Ihrem Unternehmen möglicherweise mit Sanktionen belegt sein könnte: Bieten Sie Ihren Kunden Telekommunikationsdienste oder Telemediendienste an? > Bitte berücksichtigen Sie, dass auch bei fehlender hoheitlicher Sanktionsmöglichkeit das Risiko besteht, aufgrund eine s erhöhten Haftungsmaßstabs von Vertragspartnern oder Dritten in Anspruch genommen zu werden: Welche Risiken der Inanspruchnahme durch Vertragspartner oder Dritte gibt es für Ihr Unternehmen (vertragliche Schadenersatzansprüche, Produkthaftung, deliktische Haftung)? Inwiefern kann ich mein Haftungsrisiko reduzieren (z.b. Anpassung vertraglicher Haftungsklauseln, Überprüfung, ob eine vertragliche Reduzierung des Sorgfaltsmaßstabs möglich sein könnte)? Kritik am Gesetzesentwurf An dem Gesetzesentwurf wurde partiell heftige Kritik geübt. 8 Neben der Verwendung unbestimmter Rechtsbegriffe (KRITIS, Meldepflichten), deren nähere Konkretisierung unzulässiger Weise zum Teil erst durch eine Rechtsverordnung erfolgen soll, sei das Gesetz nicht genügend mit dem Datenschutzrecht verzahnt. Zudem führe der Gesetzesentwurf durch die geplanten Ände- 8 Jensen in ZD-Aktuell 2015, 04651; Roth in ZD 2015, ZD Jahr 2015 Seite 17; Stellungnahme des Bundesrats zum Gesetzesentwurf (Anlage 3 zu Drucksache 18/4096); html; Stellungnahme des Bundesrats zum Gesetzesentwurf (Anlage 3 zu Drucksache 18/4096). Bereich IT-Sicherheit? 5

6 rungen des TKG eine Vorratsdatenspeicherung durch die Hintertür ein. Schließlich wurde der Vorwurf laut, der deutsche Gesetzesentwurf sei nicht ausreichend mit dem europäischen Richtlinienentwurf zur Netz- und Informationssicherheit abgestimmt. Gleichwohl ist der Gesetzesentwurf in nahezu unveränderter Form vom Bundestag beschlossen worden. Positiv am Gesetzesentwurf hervorzuheben ist aus unserer Sicht, dass die Informationspflicht in beide Richtungen gelten wird, d.h. das BSI hat die KRI- TIS-Betreiber über diese betreffende IT-sicherheitsrelevanten Informationen (was auch Informationen hinsichtlich anderer Betreiber beinhalten kann) zu unterrichten. Ausblick Das beschlossene Gesetz wird im nächsten Schritt dem Bundesrat zugeleitet. Da es sich um ein Einspruchs- und nicht um ein Zustimmungsgesetz handelt, ist damit zu rechnen, dass es in der vorliegenden Fassung zeitnah nach Entschließung des Bundesrats verabschiedet wird und damit in Kraft tritt. Einen theoretischen Einspruch des Bundesrats könnte der Bundestag faktisch überstimmen. Nach uns vorliegenden Informationen soll die angesprochene Rechtsverordnung im Juli oder August dieses Jahres erlassen werden. Bereich IT-Sicherheit? 6

7 Waren diese Informationen für Sie hilfreich? Wenn Sie zu den oben genannten Themen Fragen, Feedback oder Anregungen haben, melden Sie sich gern bei uns. Kontakte Bei weiteren Fragen kontaktieren Sie bitte: Dr. Daniel A. Pauly, Partner, Frankfurt/Main Dr. Konrad Berger, Counsel, München Dr. Ingemar Kartheuser, Managing Associate, Frankfurt/Main Vadim Friedinger Associate, Frankfurt/Main Autoren: Dr. Daniel A. Pauly, Vadim Friedinger Diese Veröffentlichung verfolgt ausschließlich den Zweck, bestimmte Themen anzusprechen und erhebt keinen Anspruch auf Vollständigkeit; diese Veröffentlichung stellt keine Rechtsberatung dar. Sollten Sie weitere Fragen bezüglich der hier angesprochenen oder hinsichtlich anderer rechtlicher Themen haben, so wenden Sie sich bitte an Ihren Ansprechpartner bei Linklaters LLP oder an den Herausgeber. Linklaters LLP. Alle Rechte vorbehalten 2014 Linklaters LLP ist eine in England und Wales unter OC registrierte Limited Liability Partnership, die als Anwaltskanzlei durch die Solicitors Regulation Authority zugelassen ist und deren Bestimmungen unterliegt. Der Begriff "Partner" bezeichnet in Bezug auf die Linklaters LLP Gesellschafter sowie Mitarbeiter der LLP oder der mit ihr verbundenen Kanzleien oder sonstigen Gesellschaften mit entsprechender Position und Qualifikation. Eine Liste der Namen der Gesellschafter der Linklaters LLP und der Personen, die zwar nicht Gesellschafter sind, aber als Partner bezeichnet werden, sowie ihrer jeweiligen fachlichen Qualifikation steht am eingetragenen Sitz der Firma in One Silk Street, London EC2Y 8HQ, England, oder unter zur Verfügung. Bei diesen Personen handelt es sich um deutsche oder ausländische Rechtsanwälte, die an ihrem jeweiligen Standort als nationale, europäische oder ausländische Anwälte registriert sind. Wichtige Informationen bezüglich unserer aufsichtsrechtlichen Stellung finden Sie unter Ihre Kontakt-Daten sind in unserer Datenbank gespeichert. Sie werden von unseren verschiedenen internationalen Büros ausschließlich für interne Zwecke und für diese oder ähnliche Marketing -Aktionen genutzt. Eine Weitergabe an Dritte für deren Zwecke findet nicht statt. Wenn Sie diese Publikation nicht mehr erhalten möchten oder Ihre Daten nicht korrekt sind, teilen Sie uns dies bitte per an mit. Linklaters ist seit dem 1. Mai 2007 eine Limited Liability Partnership (LLP) englischen Rechts. Die Bezug nahme auf Linklaters in diesem Dokument meint Linklaters LLP und ggf. verbundene Gesellschaften weltweit. Mainzer Landstraße Frankfurt am Main Postfach Frankfurt am Main Telefon (+49) Telefax (+49) Prinzregentenplatz München Postfach München Telefon (+49) Telefax (+49) linklaters.de