IT-Sicherheit wichtiges Ziel Referentenentwurf. weist noch Schwächen



Ähnliche Dokumente
Das IT-Sicherheitsgesetz

GPP Projekte gemeinsam zum Erfolg führen

Neue Kennzeichnungspflicht Die Button-Lösung kommt - Neuregelung der Hinweispflicht in Online-Shops -

zum Entwurf eines Gesetzes zur Änderung des Berufskraftfahrer-Qualifikations-Gesetzes

Im Folgenden werden einige typische Fallkonstellationen beschrieben, in denen das Gesetz den Betroffenen in der GKV hilft:

Stellungnahme. zum. Gesetzentwurf des Gesetzes zur besseren Vereinbarkeit von Familie, Pflege und Beruf (Referentenentwurf vom 9.

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

Newsletter Immobilienrecht Nr. 10 September 2012

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

IT-Sicherheitsgesetz:

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Nutzung dieser Internetseite

Fragen und Antworten zur Prüfmöglichkeit für ausländische Investitionen (Änderung des Außenwirtschaftsgesetzes und der Außenwirtschaftsverordnung)

DNotI. Fax - Abfrage. GrEStG 1 Abs. 3 Anteilsvereinigung bei Treuhandverhältnissen. I. Sachverhalt:

Inhalt. Einführung in das Gesellschaftsrecht

Stellungnahme der Bundesärztekammer

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

Der Datenschutzbeauftragte

Reformbedarf im UWG: Zur Umsetzung der UGP-Richtlinie. 10 Jahre UGP-Richtlinie: Erfahrungen und Perspektiven

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Der Schutz von Patientendaten

Telearbeit - Geltungsbereich des BetrVG

Hausarzt relevante medizinische Informationen übermittelt werden, sofern der Patient damit einverstanden ist und einen Hausarzt benennt.

Informationsblatt über die Meldepflichten nach 9 des Wertpapierhandelsgesetzes (WpHG) für Finanzdienstleistungsinstitute (Stand: 1.

Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?

STELLUNGNAHME. des. DVGW Deutsche Vereinigung des Gas- und Wasserfaches e. V. - Technisch-wissenschaftlicher Verein, Bonn

D i e n s t e D r i t t e r a u f We b s i t e s

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Ende von Vertragsbeziehungen

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten?

Änderung des IFRS 2 Anteilsbasierte Vergütung

Wenn Sie jünger als 18 sind, benötigen Sie vor dem Zugriff auf die Dienste die Zustimmung Ihrer Eltern.

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Lösung Fall 8 Anspruch des L auf Lieferung von Panini á 2,-

Die Gesellschaftsformen

MERKBLATT ZUR RUNDFUNKGEBÜHRENPFLICHT (GEZ) insbesondere für internetfähige PCs ab dem

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

6. Fall Geschäftsführung ohne Auftrag???

Auf der Bilanzpressekonferenz am 4. Juni hat Leben-Vorstand Guido. Schaefers Stellung bezogen zum geplanten Gesetzespaket der

Content Management System mit INTREXX 2002.

RECHT AKTUELL. GKS-Rechtsanwalt Florian Hupperts informiert über aktuelle Probleme aus dem Beamten- und Disziplinarrecht

Nicht über uns ohne uns

DAS NEUE GESETZ ÜBER FACTORING ( Amtsblatt der RS, Nr.62/2013)

Telefonmodem ISDN DSL VDSL. Telekom 1&1 Telefónica/O2. Vodafone Unitymedia HSE Medianet

Inbetriebsetzung von PV-Anlagen zum Jahresende

Was meinen die Leute eigentlich mit: Grexit?

ÜBER DIE ANWENDUNG DER GRUNDSÄTZE DER SUBSIDIARITÄT UND DER VERHÄLTNISMÄSSIGKEIT

Was sagt der Anwalt: Rechtliche Aspekte im BEM

Einrichtung eines VPN-Zugangs

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Befristung Inkrafttreten des TzBfG BeschFG Abs. 1; TzBfG 14 Abs. 2 Satz 1 und 2

Lösungsstichworte zu den Handelsregister-Fällen. Zu Fall 1: Anspruch des K gegen V auf Lieferung des Safts ( 433 I BGB)

Forschen - Schreiben - Lehren

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

Aktuelle Informationen und Verhandlungsergebnisse M+E Mitte Sonderbeilage zum Tarifabschluss

Landtag Brandenburg Drucksache 5/ Wahlperiode

Updateanleitung für SFirm 3.1

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

«Eine Person ist funktional gesund, wenn sie möglichst kompetent mit einem möglichst gesunden Körper an möglichst normalisierten Lebensbereichen

EU-Verordnung Nr. 1907/2006 (REACH)

Was taugt der Wertpapierprospekt für die Anlegerinformation?

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

Wichtiges Thema: Ihre private Rente und der viel zu wenig beachtete - Rentenfaktor

Qualitätsbedingungen schulischer Inklusion für Kinder und Jugendliche mit dem Förderschwerpunkt Körperliche und motorische Entwicklung

PowerPoint 2010 Mit Folienmastern arbeiten

Ohne Fehler geht es nicht Doch wie viele Fehler sind erlaubt?

Online Newsletter III

Wie funktioniert ein Mieterhöhungsverlangen?

Privatinsolvenz anmelden oder vielleicht sogar vermeiden. Tipps und Hinweise für die Anmeldung der Privatinsolvenz

Aufruf der Buchungssystems über die Homepage des TC-Bamberg

Merkblatt zu Befreiungsmöglichkeiten von dem kassenindividuellen Zusatzbeitrag der gesetzlichen Krankenkassen

Entwurf zum IT-Sicherheitsgesetz

Fall: (Obersatz zu den 5 W s )

Informationssicherheit als Outsourcing Kandidat

Auswirkung der neuen Rechtsprechung des Bundesarbeitsgerichts auf Urlaubsund Urlaubsabgeltungsansprüche von Langzeiterkrankten.

INFORMATIONSBLATT. Wohnsitzwechsel. Vorwort

10 Bundesverkehrsministerium verstößt gegen haushaltsrechtliche Vorschriften und unterrichtet den Haushaltsausschuss unzutreffend

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Gesetzliche Aufbewahrungspflicht für s

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Was ist clevere Altersvorsorge?

Auf Grund der unklaren Formulierung in 104 (1) Z 2 und 104 (3) regt atms an, weiterhin dem Informationsdiensteanbieter freizustellen, ob er eine

Jugendschutzgesetz (JuSchG) Die Besonderheit der "erziehungsbeauftragten" Person am Beispiel Diskotheken- und Gaststättenbesuch

Inhaltsübersicht Produktinformationsblatt zur Jahres-Reiserücktritts-Versicherung der Europäische Reiseversicherung AG

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Vorschlag für eine DURCHFÜHRUNGSVERORDNUNG DES RATES

Die beiden Seiten der Medaille beim -Marketing

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Muster des Monats: Belastungsvollmacht. 3 Belastungsvollmacht ( 1 )

infach Geld FBV Ihr Weg zum finanzellen Erfolg Florian Mock

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

IT Sicherheitsgesetz und die Praxis

Mobile Intranet in Unternehmen

Wichtig ist die Originalsatzung. Nur was in der Originalsatzung steht, gilt. Denn nur die Originalsatzung wurde vom Gericht geprüft.

Änderungen zum Jahreswechsel 2010

WIR MACHEN SIE ZUM BEKANNTEN VERSENDER

Professionelle Seminare im Bereich MS-Office

Ihr Mandant möchte einen neuen Gesellschafter aufnehmen. In welcher Höhe wäre eine Vergütung inklusive Tantieme steuerrechtlich zulässig?

Fünfte Verordnung zur Änderung der Aufenthaltsverordnung

Transkript:

Stellungnahme der ANGA Verband Deutscher Kabelnetzbetreiber e.v. zu dem Referentenentwurf des Bundesministeriums des Innern für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme I. Einleitung und Zusammenfassung 1. Der Verband Deutscher Kabelnetzbetreiber e.v. (ANGA) Der Verband Deutscher Kabelnetzbetreiber e.v. (ANGA) vertritt die Interessen von über 180 Unternehmen der deutschen Breitbandkabelbranche, darunter Kabel Deutschland, Unitymedia KabelBW, Tele Columbus, PrimaCom, wilhelm.tel, Pepcom, Deutsche Telekabel und NetCologne. Die Kabelnetzbetreiber der ANGA versorgen direkt oder indirekt ca. 18 Millionen Kabelkunden in Deutschland. Aktuell nutzen 4,4 Millionen Haushalte ihren Kabelanschluss auch als breitbandigen Internetzugang und für Telefonie. 2. Hintergrund des Gesetzgebungsverfahrens Am 6. März 2013 hat das Bundesministerium des Innern einen Referentenentwurf für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vorgelegt und die betroffenen Branchenverbände aufgefordert, bis zum 5. April Stellung zu nehmen. Hintergrund des Entwurfs ist die Erhöhung bzw. Sicherung des bereits hohen Standards von IT-Sicherheit bei kritischen Infrastrukturen. Unter anderem sieht der Entwurf Änderungen im Telekommunikationsgesetz vor, die auch die Kabelnetzbetreiber als Betreiber von Telekommunikationsnetzen betreffen werden. Auch die vorgeschlagenen Neuerungen im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik werden Einfluss auf die Kabelnetzbetreiber haben. Die deutsche Kabelbranche unterstützt die Forderung, ein hohes Maß an IT-Sicherheit für kritische Infrastrukturen in Deutschland anzustreben. Mittlerweile sind alle lebenswichtigen Infrastrukturen abhängig von Informationstechnologie und entsprechend anfällig für Angriffe auf die zugrunde liegenden IT-Systeme. Der vorliegende Gesetzentwurf ist ein guter erster Schritt auf dem Weg in eine sicherere IT-Welt. Er weist allerdings noch einige Schwächen auf, die wir im Folgenden kommentieren wollen. IT-Sicherheit wichtiges Ziel Referentenentwurf weist noch Schwächen auf 3. Zusammenfassung der Forderungen - Telekommunikationsbranche aus allgemeinem Teil im BSI-GE herausnehmen. - Anwendungsbereich direkt im Gesetz nicht in einer Rechtsverordnung regeln. - Umsetzungsfrist angemessen ausgestalten. - Stand der Technik konkretisieren. - Beschränkung der Auditpflicht auf wesentliche Systeme und Systemkomponenten. - Beschränkung auf eine Meldestelle pro Branche im TK-Bereich: BNetzA - Konkretisierung, welche IT-Sicherheitsvorfälle die Meldepflicht im BSI-G auslösen. - Neue Meldepflicht im TKG beschränken auf schwerwiegenden Vorfälle. - Ermöglichung der Kundeninformation erfordert weitere gesetzliche Anpassungen.

II. Anmerkungen der Kabelbranche im Einzelnen 1. Änderung des BSI-Gesetzes, Artikel 1 des Gesetzentwurfs a) 2 BSI-GE: Das BSI-Gesetz soll nach dem Referentenentwurf künftig Regelungen für die Sicherheit der Informationstechnik kritischer Infrastrukturen schaffen. Unklar bleibt der Anwendungsbereich. Welche Infrastrukturen betroffen sein werden, umreißt der Entwurf nur skizzenartig in der entsprechenden Definition, die neu in 2 BSI-G eingefügt werden soll. Klar wird, dass jedenfalls auch der Sektor Informationstechnik und Telekommunikation geregelt werden soll. Welche bestimmten Einrichtungen, Anlagen oder Teile davon konkret in den Anwendungsbereich des Gesetzes fallen werden, soll in einer Rechtsverordnung definiert werden. Dies wird nach Ansicht der Kabelbranche dem Bestimmtheitsgrundsatz und der Wesentlichkeitsgarantie nicht gerecht: Eine so wichtige Frage wie die Eröffnung des Anwendungsbereichs eines Gesetzes darf der Gesetzgeber nicht in einer nachgelagerten Verordnung regeln. b) 8a BSI-GE: Darüber hinaus wirft auch der neu einzufügende 8a BSI-GE, der Pflichten für Betreiber kritischer Infrastrukturen statuiert, Probleme auf. Absatz 1: Die Umsetzungsfrist von nur 2 Jahren erscheint bei der erwarteten Fülle an Umsetzungsmaßnahmen in den unterschiedlichen Branchen als zu kurz. Neben den Standardisierungen in den einzelnen Bereichen muss seitens des BSI als zentrale Stelle die personelle Abdeckung gewährleistet werden. Absatz 2: Es muss deutlich werden, dass der Begriff Stand der Technik sich auf die jeweilige Branche bezieht. Die Verfahren in unterschiedlichen Infrastrukturen sind schließlich unterschiedlich und somit auch der jeweilige Stand der Technik. Absatz 3: Der Vorstoß des Entwurfs, die Erarbeitung von Sicherheitsstandards der Branche zu überlassen, wird von der Kabelbranche nachdrücklich begrüßt. Hierdurch wird ein hohes Sicherheitsniveau garantiert, das gleichzeitig den Bedürfnissen der einzelnen Branche gerecht wird. Dem BSI nur eine beratende und genehmigende Rolle zuzuweisen ist nur folgerichtig. Hierbei sollte das BSI vornehmlich auf die Vereinbarkeit mit internationalen Standards hinwirken, um nationale Alleingänge zu verhindern. Absatz 4: Zur Durchführung effektiver Auditverfahren muss klar sein, an welchen Standards sich die Überprüfung zu orientieren hat. Insbesondere die Detailtiefe muss vorab geregelt werden. Auch muss klar sein, für welche Systemkomponenten die Auditpflicht gilt; die betreffende Infrastruktur kann leicht aus mehreren tausend Systemen bestehen, was eine zeitnahe und zielführende Auswertung der Ergebnisse erschwert. Entsprechend sollte eine Beschränkung der Auditpflicht auf wesentliche Systeme und Systemkomponenten der betreffenden Infrastruktur erfolgen. Zu berücksichtigen ist hierbei, dass Auditverfahren in Produktinfrastrukturen ein erhebliches zusätzliches Ausfallrisiko schaffen und nicht ohne weiteres von Dritten durchgeführt werden dürfen. Es muss sichergestellt werden, dass geeignete Zertifizierungen als Substitut für Auditverfahren anerkannt sind: Unternehmen, die eine Zertifizierung eines internationalen Sicherheitsstandards erworben haben, dürfen nicht zu einer weiteren, dann überflüssigen, Überprüfung im Rahmen eines Auditverfahrens verpflichtet werden. Definition kritische Infrastrukturen muss gesetzlich geregelt werden Definition Stand der Technik muss ausdifferenziert werden Auditverfahren müssen beschränkt werden 2

In jedem Falle sollte Klarheit darüber geschaffen werden, in welchem Verhältnis die Vorschrift zu 9a Satz 2 Bundesdatenschutzgesetz (BDSG) steht, in welchem ein Auditgesetz angekündigt wird, dessen Anwendungsbereich die vorbenannten Klarstellungen vorausgesetzt in weiten Teilen durch Absatz 4 abgedeckt sein dürfte. Verhältnis zu 9a Satz 2 BDSG muss geklärt werden Absatz 5: Ob Absatz 5 auf TK-Unternehmen anwendbar ist, hängt maßgeblich davon ab, ob 109, 109a TKG, in denen weitere Pflichten bei IT-Sicherheitsverletzungen für TK-Unternehmen geregelt sind, als Rechtsvorschriften über weitergehende Anforderungen interpretiert werden. Dies muss im Entwurf klargestellt werden. c) 8b BSI-GE: Die Erweiterung der Zuständigkeiten des BSI sowie die Schaffung neuer Meldepflichten für Betreiber kritischer Infrastrukturen ist ebenfalls nicht unproblematisch: Absatz 1: Eine zentrale Meldestelle für alle Fragen der IT-Sicherheit ist grundsätzlich begrüßenswert. Zur Vermeidung von Fehlern erscheint es sinnvoll, Informationen in einer Hand zu organisieren, analysieren und weiterzugeben. Allerdings besteht im Bereich Telekommunikation bereits eine Zuständigkeit der Bundesnetzagentur. Der BNetzA sind nach derzeitiger Rechtslage Vorfälle im Bereich IT-Sicherheit zu melden. Hier eine weitergehende Zuständigkeit des BSI zu schaffen, dürfte sich kontraproduktiv auswirken. Nicht nur schaffte eine solche Situation Unsicherheiten bzgl. der konkreten Zuständigkeit bei den Unternehmen, sie würde auch alle Nachteile mit sich bringen, die parallele Zuständigkeiten bergen. Absätze 3, 4 und 5: Die Pflicht zur Meldung von IT-Sicherheitsvorfällen ist TK- Unternehmen bereits bekannt. Aus der Formulierung im Referentenentwurf wird indes nicht deutliche, welche IT-Sicherheitsvorfälle die Meldepflicht auslösen. Als Beeinträchtigungen, die Auswirkungen auf die Funktionsfähigkeit der von ihnen betriebenen Infrastrukturen haben können kann im Zweifel jedes Vorkommnis subsumiert werden. Die gewählte hypothetische Betrachtung ( können ) macht jede Eingrenzung seitens des betroffenen Unternehmens unmöglich. Als zentraler Begriff des Gesetzentwurfs muss wesentlich deutlicher herausgearbeitet werden, welche Beeinträchtigungen welche Konsequenzen nach sich ziehen. Nur eine zentrale Meldestelle für TK- Branche: BNetzA Konkretisierung der meldepflichtigen Vorfälle 2. Änderung des TKG, Artikel 4 des Gesetzentwurfs Für Kabelnetzbetreiber als TK-Unternehmen haben auch die Änderungen in 109 und 109a des Telekommunikationsgesetzes Auswirkungen. Das TKG sieht bereits weitreichende Pflichten zur Gewährleistung der IT-Sicherheit sowie Meldepflichten im Falle von IT- Sicherheitsvorfällen vor. Diese sollen durch den Gesetzentwurf modifiziert und erweitert werden. a) Änderung in 109 TKG Durch die geplante Erweiterung in 109 Abs. 2 Satz 5 TKG-E soll künftig bei den von TK-Unternehmen zu ergreifenden IT-Sicherheitsmaßnahmen der Stand der Technik berücksichtigt werden. Die Regelung stellt damit das Korrelat zu der vorgeschlagenen Regelung in 8a Abs. 2 BSI-GE dar. Die Kabelbranche unterstützt das Ziel der Schaffung eines hohen Standes an IT- Sicherheit. Es erscheint aber fraglich, ob Maßnahmen nur, weil sie dem Stand der Technik entsprechen, auch tatsächlich wirksam bzw. die bestmöglichen Maßnahmen 3

sind. Das Kriterium der Wirksamkeit sollte von daher mit in die Regelung des neuen Satz 5 aufgenommen werden. b) Änderungen in 109a TKG In 109a TKG soll ein neuer Absatz 4 eingefügt werden, der zusätzliche Meldepflichten bei IT-Sicherheitsvorfällen statuiert. Eine solche Meldepflicht besteht bereits in 109 Abs. 5 TKG. Sie verpflichtet TK-Unternehmen zur Meldung von Sicherheitsverletzungen einschließlich Störungen von Telekommunikationsnetzen oder -diensten [ ], sofern hierdurch beträchtliche Auswirkungen auf den Betrieb der Telekommunikationsnetze oder das Erbringen von Telekommunikationsdiensten entstehen. Die vorgeschlagene Regelung in dem neu einzufügenden 109a Abs. 4 gehen hierüber hinaus: Satz 1 und 2: Die neue Meldepflicht soll bestehen bei Beeinträchtigungen von Telekommunikationsnetzen und -diensten, die zu einer Störung der Verfügbarkeit der über diese Netze erbrachten Dienste oder zu einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssystemen der Nutzer oder Teilnehmer führen können und von denen der Netzbetreiber oder der Telekommunikationsdiensteanbieter Kenntnis erlangt [ ]. Von diesem Wortlaut umfasst wären alle auch nur hypothetisch möglichen ( können ) Verfügbarkeitsbeeinträchtigungen. Unberücksichtigt bleiben soll, wie lang andauernd und schwerwiegend eine Verfügbarkeitsbeeinträchtigung tatsächlich ist. Kurze Verfügbarkeitsbeeinträchtigungen lassen sich in TK-Netzen nie vollständig ausschließen, weswegen mit den Kunden auch nie eine 100%ige Verfügbarkeit vertraglich vereinbart wird. Zudem führt die Protokollierung und Meldung auch geringster Verfügbarkeitsstörungen zu einem nicht zu unterschätzenden Mehraufwand bei den Unternehmen. Eine Steigerung der IT-Sicherheit wird hierdurch kaum erzielt werden. Die aus 109 Abs. 5 TKG bekannte Einschränkung auf schwerwiegende Beeinträchtigungen sollte deshalb auch hier gelten. Meldepflicht nur bei schwerwiegenden Beeinträchtigungen Die Meldung von Beeinträchtigungen bei der BNetzA begrüßt die Kabelbranche. Die BNetzA als Regulierer für die TK-Branche ist der bekannte Ansprechpartner und sollte es jedenfalls für TK-Unternehmen auch bleiben. In diesem Zusammenhang sei erneut auf die Diskrepanzen bezüglich der zuständigen Stelle hingewiesen, die sich durch die Neu-Zuständigkeit des BSI aus dem BSI-GE ergeben. Eine Weitermeldung durch die BNetzA wie in Satz 2 vorgesehen, erscheint deshalb sinnvoll. Satz 3 und 4: Eine Information der Nutzer über von ihren Systemen ausgehende IT-Sicherheitsgefahren wird von der Kabelbranche begrüßt. Hierdurch kann eine weitere Ausbreitung etwa von Schadsoftware eingedämmt werden. Auch dass sich diese Hinweispflicht auf Abhilfemaßnahmen erstrecken soll, wird unterstützt, sofern der Hinweis wie im Gesetz vorgesehen technisch möglich und zumutbar ist. Es muss allerdings deutlich werden, dass TK-Unternehmen nicht verpflichtet sind, ihren Kunden die entsprechenden Hilfsmittel auch selbst zur Verfügung zu stellen. Möglich ist dem TK-Unternehmen immer nur die Information seines Vertragspartners, also des Teilnehmers. Da dieser nicht zwangsläufig auch der Nutzer des Anschlusses sein muss, besteht hier eine Diskrepanz, die durch Anpassung der Formulierung im Gesetzestext gelöst werden muss. Informationspflicht ggü. Teilnehmer bedarf weitergehender Regelungen 4

Geklärt werden muss außerdem, wer die Kosten für die zusätzlichen Informationen zu tragen hat. Unverhältnismäßig wäre, die Kosten auf die TK-Unternehmen abzuwälzen. Aus der Informationsbereitstellung darf sich außerdem keine Haftung für etwaige Schäden beim Kunden ergeben. Es muss klar sein, dass mit der Informationspflicht auch das Recht einhergeht, zu diesem Zwecke personenbezogene Daten erheben und verwenden zu dürfen. Benötigt werden hier Bestandsdaten (des Teilnehmers) und Verkehrsdaten (des Nutzers), um die Störung zunächst zu erkennen und anschließend zu kommunizieren. Um Störungen sicher identifizieren zu können, ist es außerdem erforderlich dass sich der Diensteanbieter im erforderlichen Umfang Kenntnis von Informationen verschaffen darf, die dem Fernmeldegeheimnis unterliegen. Entsprechend ist eine Anpassung in 88 Abs. 3 Satz 1 TKG erforderlich. Das Verhältnis von 109a Abs. 4 TKG-E zu 100 Abs. 1 TKG muss dahingehend klargestellt werden, dass nicht das Stadium einer Störung i.s.d. 100 Abs. 1 TKG erreicht sein muss, sondern ein sehr viel früheres Stadium betroffen sein kann. Auch das Verhältnis zu 96 Abs. 3 TKG muss geklärt werden: Der Dienstanbieter sollte im Rahmen der Informationsbereitstellung auch auf eigene Sicherheitsprodukte hinweisen dürfen. c) Künftiges Verhältnis TKG BSI-G Das Konzept der Gewährleistung von IT-Sicherheit ist in der TK-Branche seit geraumer Zeit gesetzlich verankert, bekannt und in der Praxis ausgefüllt. Die vorgeschlagenen Regelungen würden ein weiteres, zu den Regeln im TKG paralleles Regelwerk schaffen. Zwar sollen durch die Neuerungen im BSI-G alle kritischen Infrastrukturen geregelt werden. Durch die Einbeziehung von Telekommunikationsnetzen kommt es im TK-Bereich allerdings zu diversen Unsicherheiten. Dies betrifft wie oben aufgezeigt nicht nur die Frage der zuständigen Behörde BNetzA und/oder BSI sondern maßgeblich auch den Begriff der meldepflichtigen IT-Sicherheitsvorfälle. TKG als lex specialis vorrangig allgemeine Regelungen für TK- Branche im BSI-G nicht nötig Aus Sicht der Kabelbranche wäre es deshalb wünschenswert, wenn TK- Unternehmen aus dem Anwendungsbereich des allgemeinen Teils im BSI-GE herausgenommen würden. Eine Verschlechterung des IT-Sicherheitsstandards wird hiermit nicht einhergehen: Die bereichsspezifischen Regelungen im TKG verhindern dies. 3. Erfüllungsaufwand für die Wirtschaft Der Gesetzentwurf geht davon aus, dass bei Unternehmen, die bereits heute auf Grund regulativer Vorgaben oder auf freiwilliger Basis ein hohes Niveau an IT-Sicherheit einhalten, auch durch die neuen Regelungen keine gesonderten Kosten entstehen werden. Obwohl Kabelnetzbetreiber bereits ein solches hohes Niveau an IT-Sicherheit gewährleisten, gehen wir davon aus, dass dennoch nicht unerhebliche Mehrkosten auf die Unternehmen zukommen werden. Durch die neue Meldepflicht für theoretisch jede Verfügbarkeitsbeeinträchtigung sowie die obligatorische Durchführung von Auditverfahren werden Prozesse erforderlich, die derzeit in den Unternehmen nicht implementiert sind. Dies wird selbstverständlich Kosten verursachen. Hier muss der Gesetzestext deutlich konkretisiert werden, um die Belastungen für die Branche auf das tatsächlich erforderliche Maß zu beschränken. Erfüllungsaufwand muss auf das erforderliche Maß beschränkt werden 5

4. Berücksichtigung Europäischer Gesetzgebungsbestrebungen Die EU-Kommission hat Anfang Februar dieses Jahres einen Entwurf für eine Richtlinie über Maßnahmen zur Sicherstellung eines hohen IT-Sicherheitsniveaus in der EU veröffentlicht. Der Entwurf befasst sich mit vielen Punkten, die auch im BMI-Entwurf adressiert werden. Aus Gründen der Rechtssicherheit und Effizienz sollten die auf EU-Ebene gefassten oder noch zu fassenden Ziele bei nationalen Gesetzgebungsverfahren berücksichtigt werden. Es sollte unbedingt verhindert werden, dass kurzfristig national verabschiedete Regelungen nach kurzer Zeit von europäischen Regeln in Frage gestellt werden. Die dann erforderlich werdenden gesetzgeberischen Anpassungen würden bei den Unternehmen, die technische Vorkehrungen und andere Umsetzungen durchführen müssen, zu einem erheblichen Mehraufwand führen. Nationalen Alleingang verhindern Berlin/Köln, den 4. April 2013 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback