Einblick ins IT-Sicherheitsgesetz. Monika Sekara Rechtsanwältin in Hamburg Fachanwältin für IT-Recht

Transkript

1 Einblick ins IT-Sicherheitsgesetz Monika Sekara Rechtsanwältin in Hamburg Fachanwältin für IT-Recht

2 Themenüberblick: Hintergrund und Zweck der gesetzlichen Neuregelung Kritische Infrastrukturen: Wer gehört dazu? Allgemeine Pflichten für Betreiber kritischer Infrastrukturen Empfehlungen und Vorgaben der UP Kritis Sektorenspezifische Anforderungen Ausblick: Wie geht es weiter?

3 Hintergrund und Zweck der gesetzlichen Neuregelung

4 Was regelt das IT-Sicherheitsgesetz?

5 Zusammenfassung zum IT-Sicherheitsgesetz: Seit 25. Juli 2015 in Kraft. Zweck: Vereinheitlichung der IT-Sicherheit. Mindestniveaus an IT-Sicherheit Meldung von Sicherheitsvorfällen an das BSI. technische und organisatorische Sicherheitsmaßnahmen nach Stand der Technik Verstoß ist bußgeldbewehrt. Kein unerlaubter Zugriff auf und keine Störungen von technische Einrichtungen Sicherheitskonzept

6 Kritische Infrastrukturen: Wer gehört dazu?

7 Definition kritische Infrastrukturen ( 2 Abs. 10 BSIG): Einrichtungen, Anlagen oder Teile davon, die folgenden Sektoren angehören: Finanz- u. Versicherungs -wesen Energie Ernährung ITK Wasser Transport und Verkehr Gesundheit und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind.

8 Weitere Konkretisierung des IT-Sicherheitsgesetzes: BSI-KritisV: ab Sektoren- und branchenspezifisch über UP KRITIS. Verpflichtungen nach BSIG gelten nicht für:» Kleinstunternehmen, Kultur- u. Medien,» TK-DL,» Betreiber von Energieversorgungsnetzen oder anlagen,» Inhaber von Genehmigungen nach AtomG,» Ministerien, Verwaltung, Sicherheitsverwaltung,» Betreiber, die aufgrund von Spezialvorschriften vergleichbare Anforderungen erfüllen müssen (Vorrang spezieller Regelungen!). z. B. für die Telematikinfrastruktur im Gesundheitswesen, weil dort bald vergleichbare, speziellere Vorschriften geschaffen werden sollen.

9 Definition nach BSI-KritisV: Für die Betreiber von Kernkraftwerken und TK- Unternehmen ergibt sich dies bereits direkt aus dem Gesetz. Def. Kritische Dienstleistungen in den Sektoren:» Energie: Versorgung mit Gas, Strom, Kraftstroff und Heizöl und Fernwärme.» Wasser: Trinkwasserversorgung, Abwasserentsorgung» Ernährung: Lebensmittelversorung.» Informationstechnik u. TK: Sprach- und Datenübertragung, Datenspeicherung und verarbeitung. Definiert sind auch die jeweils kritischen Anlagen. Bis Ende 2016: Änderungsverordnung für Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen geregelt werden.

10 Allgemeine Pflichten für Betreiber Kritischer Infrastrukturen

11 Welche Aufgaben des BSI kennen Sie? Welche Anforderungen an die KRITIS kennen Sie?

12 Aufgaben des BSI: Beratung der Betreiber ( 3 Abs. 3 BSIG). Warnungen der Öffentlichkeit ( 7 Abs. 1 BSIG). Empfehlen von Sicherheitsmaßnahmen sowie Einsatz von Sicherheitsprodukten ( 7 Abs. 1 Nr. 2 BSIG). Untersuchung von Produkten und Systemen und Veröffentlichung der Erkenntnisse ( 7a BSIG). Zentrale Meldestelle ( 8b Abs. 1 BSIG). Auswerten, Sammeln, Analysen der Informationen zu Sicherheitsrisiken und Unterrichten der Aufsichtsbehörden ( 8b Abs. 2 BSIG).

13 Verpflichtungen f. Betreiber krit. Infrastrukturen ( 8a BSIG): Inerhalb von 2 Jahren ab Inkrafttreten BSI-KritisV (bis ) = TOM:» Verfügbarkeit,» Integrität,» Authentizität,» Vertraulichkeit. Nach dem Stand der Technik. Angemessen = Verhältnismäßigkeit zw. Aufwand u. Folgen eines Ausfalls / einer Beeinträchtigung. Branchenspezifische Sicherheitsstandards und Maßnahmen zur Störungsbeseitigung. Nachweis: Alle 2 Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen.

14 Verpflichtungen f. Betreiber krit. Infrastrukturen ( 8b BSIG): Binnen 6 Monaten nach Inkrafttreten der BSI-KRITISV: Benennung der Kontaktstelle für BSI (bis ). Unverzügliche Meldung von Störungen. Gleicher Sektor: Gemeinsame übergeordnete Kontaktstelle.

15 Empfehlungen und Vorgaben der UP Kritis

16 Vorgaben/Empfehlungen nach UP-Kritis: Risikomanagement 4 Phasen des Risikomanagements:» Vorplanung (plan)» Risikoanalyse (do)» Risikobewertung (check)» Maßnahmen (act)

17 Sektorenspezifische Anforderungen

18 Anbieter gewerblicher Telemedien und TK-Anbieter: Telemedien:» Gilt für alle Dienstanbieter, unabhängig von KRITIS» z. B. Alle Onlineshops, Cloud-Dienste.» Regelungen im TMG ( 13 Abs. 7 TMG).» Bei Störungen = jede Art der Beeinträchtigung der Verfügbarkeit.» Pflicht zum Ergreifen von Sicherungsmaßnahmen gegen unerlaubten Zugriff, Schutz von personenbezogenen Daten und gegen äußere Störungen.» Nach Stand der Technik, im Rahmen des technisch Möglichen und wirtschaftlich zumutbaren.» Mögliche Maßnahme = Verschlüsselungsverfahren (auch Authentifizierungsverfahren).» Dienstanbieter sind zu Softwareaktualisierungen und Sicherheitspatches verpflichtet.» Haftung möglich, wenn sich Hacker Zugriff zu Systemen verschafft.

19 Anbieter gewerblicher Telemedien und TK-Anbieter: TK-Anbieter:» z. B. Internet-Zugangsanbieter, auch Arbeitgeber, die private Nutzung erlauben/dulden, Betreiber öffentlicher WLANs (z. B. Hotel, Stores).» Regelungen im TKG» Pflicht zur Daten- und Informationssicherheit» nach Stands der Technik» Sicherheitskonzept» Meldung von Beeinträchtigungen (Störungen) an Bundesnetzagentur (nicht pseudonym!).» Benachrichtigung der Nutzer, wenn Störung von deren Systemen ausgehen sowie Hinweis auf Beseitigung (z. B. Botnetze).» Bußgeld bei Nichterfüllung.

20