Eckpunkte IT-Sicherheitsgesetz (Leseprobe / Auszug) Rechtsberatung. Steuerberatung. Luther.

Größe: px

Ab Seite anzeigen:

Download "Eckpunkte IT-Sicherheitsgesetz (Leseprobe / Auszug) Rechtsberatung. Steuerberatung. Luther."

Viktoria Kästner
vor 8 Jahren
Abrufe

1 Eckpunkte IT-Sicherheitsgesetz (Leseprobe / Auszug) Rechtsberatung. Steuerberatung. Luther.

2 Timeline Entwurf IT-Sicherheitsgesetz (1/3) Entwurf BMI KPMG-Studie im Auftrag Bitkom BMI Referentenentwurf Neuer BMI Referentenentwurf

3 Timeline (2/3) Beschluss der Bundesregierung Zuleitung Bundesrat Empfehlung der Ausschüsse Stellungnahme Bundesrat

4 Timeline (3/3) Stellungnahme ULD Vorlage Gesetzesentwurf im Bundestag Beschluss Erlass Rechtsverordnung

5 EU-Richtlinie zur Netz- und IT-Sicherheit Entwurf: Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (2013) Pflicht der Mitgliedstaaten, Abwehrbereitschaft zu erhöhen und Zusammenarbeit zu verbessern NIS-Strategie: Maßnahmen zur Erhöhung der Sicherheit, Risikobewertung, Reaktionsund Notfallpläne, Sensibilisierung, Schulung Gründung und Unterhaltung eines nationales Computer Emergency Response Team (CERT), Ausstattung mit sicherer Kommunikations- und Informationsinfrastruktur Unternehmen und öffentliche Verwaltungen müssen technische und organisatorische Maßnahmen umsetzen, um Sicherheit ihrer Netze und Informationssystems zu erreichen Maßnahmen nach Stand der Technik und Angemessenheit bzgl. Risiko Maßnahmen zur Minimierung der Auswirkungen von Sicherheitsvorfällen Ausnahme: Kleinunternehmer (weniger als 10 Personen oder Jahresumsatz < 2 Mio.) Sanktionen bei Nichteinhaltung

Schulung Gründung und Unterhaltung eines nationales Computer Emergency Response Team (CERT), Ausstattung mit sicherer Kommunikations- und Informationsinfrastruktur Unternehmen und öffentliche

6 Entwurf IT-Sicherheitsgesetz Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme Verbesserung der IT-Sicherheit bei Unternehmen zur Sicherung Vertraulichkeit, Integrität, Authenzität und Verfügbarkeit (z.b. einheitliche Mindeststandards, Meldepflichten bei Sicherheitsvorfällen) Schutz der Bürgerinnen und Bürger in einem sicheren Netz (z.b. Erhöhung der Sicherheitsstandards bei Telekommunikations- und Telediensteanbieter) Schutz der IT des Bundes (z.b. Verbindliche Vorgaben für die IT des Bundes) Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (z.b. stärkere Warnbefugnisse, internationale Zentralstelle, Audit-Rechte) Erweiterung Ermittlungszuständigkeiten des BKA bei Cybercrime (z.b. Ausweitung der Befugnisse bei der Strafverfolgung)

b. Verbindliche Vorgaben für die IT des Bundes) Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (z.b. stärkere Warnbefugnisse, internationale Zentralstelle, Audit-Rechte) Erweiterung Ermittlungszuständigkeiten des BKA bei Cybercrime (z.

7 Bundesamt für Sicherheit in der IT (BSI) Zentrale Meldestelle, 8b BSIG Einführung einer IT-Aufsicht BSI als zentrale Meldestelle und Koordinator, erstellt Lagebild Aufsichtsbehörde: BMI Warn- und Alarmierungskontakte bei KI-Betreiber mit jederzeitiger Erreichbarkeit Gemeinsame Ansprechstellen möglich ( SPOC des UP KRITIS) Kontaktstelle bereits 6 Monate nach Inkrafttreten notwendig Jederzeitige Erreichbarkeit Auskunftsrechte Dritter (kritisch)

bei KI-Betreiber mit jederzeitiger Erreichbarkeit Gemeinsame Ansprechstellen möglich ( SPOC des UP KRITIS)

8 Kritische Infrastrukturen (1/2) Vor-Definition : Kritische Infrastruktur Einrichtungen, Anlagen oder Teile von Einrichtungen und Anlagen, 1. aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen 2. die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Konkretisierung der Kritischen Infrastrukturen erfolgt erst durch Rechtsverordnung (zuständig: BMI) Ausnahmen Kultur & Medien, Verwaltung der Länder und Kommunen Kleinstunternehmer (< 10 Mitarbeiter, Jahresumsatz max. 2 Mio. EUR) werden nur noch von den Regelungen 8a und 8b ausgenommen.

die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche

9 Kritische Infrastrukturen (2/2) Methodik zur Einteilung der Kritischen Infrastrukturen Qualität: Wird mittels der Einrichtung/Anlage eine für die Gesellschaft kritische Dienstleistung erbracht? SEKTOR ENERGIE Stromversorgung (Branche: Elektrizität) Versorgung mit Kraftstoff (Branche: Mineralöl) SEKTOR INFORMATIONSTECHNIK UND TELEKOMMUNIKATION Verarbeitung und Speicherung von Daten (Branche: Informationstechnik) -> sogar Schlüsselrolle?? SEKTOR ERNÄHRUNG Versorgung mit Lebensmitteln (Branchen: Ernährungswirtschaft, Lebensmittelhandel) SEKTOR FINANZ- UND VERSICHERUNGSWESEN Zahlungsverkehr und Kartenzahlung (Branchen: Banken, Finanzdienstleister) Bargeldversorgung (Branche: Banken) SEKTOR TRANSPORT UND VERKEHR Transport von Gütern (Branchen: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik) SEKTOR GESUNDHEIT Medizinische Versorgung (Branchen: Medizinische Versorgung, Labore) Quantität: Hat ein Ausfall oder eine Beeinträchtigung der Einrichtung/Anlage unmittelbar oder mittelbar wesentliche negative Folgen für wichtige Schutzgüter (Leib, Leben, Gesundheit, Eigentum etc.) und die Funktionsfähigkeit des Gemeinwesens (= eine entsprechend große Zahl an Personen)? Definition eines spezifischen Schwellenwerts pro Sektor/Branche (Risikoabwägung) erst in der Rechtsverordnung

Informationstechnik) -> sogar Schlüsselrolle?

10 Sicherheitsstandards und TOM Sicherheitsstandards, 8a BSIG Angemessene organisatorische und technische Vorkehrungen Schutz der informationstechnischen Systeme, Komponenten und Prozesse: überall dort Absicherungsmaßnahmen, wo Informationstechnik Einfluss auf die Erbringung der Dienstleistung hat Ggfls. auch infrastrukturelle oder personelle Maßnahmen erforderlich Bei besonders kritischen Prozessen sogar Abschottung notwendig (keine Verbindung mit Internet oder öffentlichen Netzen) Maßstab: Risikoadäquanz und Stand der Technik Verpflichtung bleibt auch bei einem Outsourcing bestehen Dokumentation insbesondere durch Sicherheits- und Notfallkonzepte (bzw. Datenschutzkonzept) Branchenspezifische Sicherheitsstandards können auf Antrag anerkannt werden ( kooperativer Ansatz ) ISO Familie als Best Practice?

auch infrastrukturelle oder personelle Maßnahmen erforderlich Bei besonders kritischen Prozessen sogar Abschottung notwendig (keine Verbindung mit Internet oder öffentlichen Netzen) Maßstab:

11 Standards und Dokumentation Sicherheitsstandards, 8a BSIG Nachweispflicht Mindestens alle zwei Jahre Auflistung durchgeführter Sicherheitsaudits, Prüfungen oder Zertifizierungen von nachweislich qualifizierten Prüfern (etwa ISO-zertifiziert oder bspw. Wirtschaftsprüfer) Dokumentation 1. Umsetzung branchen- und technologiespezifischer Maßnahmen einschließlich etwaiger Sicherheitsmängel 2. Information Security Management System 3. Identifikation kritischer Cyber-Assets 4. Angriffsprävention und erkennung 5. Business Continuity Management

12 Aktive Meldepflichten Meldepflicht bei erheblichen Störungen Meldepflichten nach 8b BSIG Definition: Die eingesetzte Technik kann die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder es wurde versucht, entsprechend auf sie einzuwirken) Beispiele: Sicherheitslücken, Schadprogramme, versuchte oder abgewehrte Angriffe, außergewöhnliche und unerwartete technische Defekt Meldungen sollen stufenweise erfolgen, also zunächst Meldung der Informationen, die ohne Rechercheaufwand zur Verfügung stehen Nicht meldepflichtig, wenn die Störungen nicht zu einer Beeinträchtigung der Funktionsfähigkeit führen können (also bspw. automatisiert oder mit geringem Aufwand beseitigt werden können), keine Meldung bei tagtäglich vorkommenden Ereignissen wie Spam, übliche Schadsoftware, Hardwareausfälle in üblichem Rahmen etc. Wenn kein (konkreter) Ausfall oder tatsächliche Beeinträchtigung der KI ist auch pseudonyme Meldung möglich (BSI soll Kriterien für Meldepflicht weiterentwickeln) Nichteinhaltung der Meldepflichten derzeit nicht sanktioniert

technische Defekt Meldungen sollen stufenweise erfolgen, also zunächst Meldung der Informationen, die ohne Rechercheaufwand zur Verfügung stehen Nicht meldepflichtig, wenn die Störungen nicht zu

13 Ausblick? Studie zur Umsetzung des IT-Sicherheitsgesetzes von KPMG im Auftrag des BDI (6/2014) Monetäre Folgen des IT-Sicherheitsgesetzes 1,1 Mrd. zusätzliche Bürokratiekosten nur durch die Einführung der Meldepflichten (Schätzung) Personalkosten (erhöhter Personalaufwand) IT-Infrastrukturkosten Kostenrisiken durch Reputationsschäden Kosten durch Mindestsicherheitsstandards Änderungsbedarf? - Schon teilweise umgesetzt Präzisierung der Meldepflichten erforderlich ( wer, wann, wie genau zu melden hat) Pseudonymisierung der Meldung (via Treuhänder?) Mehr Transparenz zur Verwendung der Meldungen Betreffend die einzuführenden IT- Mindestsicherheitsstandards u.a.: Berücksichtigung der Rolle der Zulieferer und Ausrüster Sanktionen?

Reputationsschäden Kosten durch Mindestsicherheitsstandards Änderungsbedarf?

14 Ihr Ansprechpartner Dr. Michael Rath Rechtsanwalt Fachanwalt für IT-Recht Partner Luther Rechtsanwaltsgesellschaft mbh Anna-Schneider-Steig Köln Phone: Fax:

Luther Rechtsanwaltsgesellschaft mbh Anna-Schneider-Steig 22

Ähnliche Dokumente

IT-Sicherheitsgesetz:

IT-Sicherheitsgesetz: Neue Herausforderungen für Unternehmen und Behörden Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV Thomas Feil 09/2015 1 Thomas Feil