Eckpunkte IT-Sicherheitsgesetz (Leseprobe / Auszug) Rechtsberatung. Steuerberatung. Luther.
Timeline Entwurf IT-Sicherheitsgesetz (1/3) 5.3.2013 7.7.2013 18.3.2014 4.11.2014 Entwurf BMI KPMG-Studie im Auftrag Bitkom BMI Referentenentwurf Neuer BMI Referentenentwurf
Timeline (2/3) 17.12.2014 29.12.2014 27.1.2015 6.2.2015 Beschluss der Bundesregierung Zuleitung Bundesrat Empfehlung der Ausschüsse Stellungnahme Bundesrat
Timeline (3/3) 13.2.2015 27.2.2015 Stellungnahme ULD Vorlage Gesetzesentwurf im Bundestag Beschluss Erlass Rechtsverordnung
EU-Richtlinie zur Netz- und IT-Sicherheit Entwurf: Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (2013) Pflicht der Mitgliedstaaten, Abwehrbereitschaft zu erhöhen und Zusammenarbeit zu verbessern NIS-Strategie: Maßnahmen zur Erhöhung der Sicherheit, Risikobewertung, Reaktionsund Notfallpläne, Sensibilisierung, Schulung Gründung und Unterhaltung eines nationales Computer Emergency Response Team (CERT), Ausstattung mit sicherer Kommunikations- und Informationsinfrastruktur Unternehmen und öffentliche Verwaltungen müssen technische und organisatorische Maßnahmen umsetzen, um Sicherheit ihrer Netze und Informationssystems zu erreichen Maßnahmen nach Stand der Technik und Angemessenheit bzgl. Risiko Maßnahmen zur Minimierung der Auswirkungen von Sicherheitsvorfällen Ausnahme: Kleinunternehmer (weniger als 10 Personen oder Jahresumsatz < 2 Mio.) Sanktionen bei Nichteinhaltung
Entwurf IT-Sicherheitsgesetz Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme Verbesserung der IT-Sicherheit bei Unternehmen zur Sicherung Vertraulichkeit, Integrität, Authenzität und Verfügbarkeit (z.b. einheitliche Mindeststandards, Meldepflichten bei Sicherheitsvorfällen) Schutz der Bürgerinnen und Bürger in einem sicheren Netz (z.b. Erhöhung der Sicherheitsstandards bei Telekommunikations- und Telediensteanbieter) Schutz der IT des Bundes (z.b. Verbindliche Vorgaben für die IT des Bundes) Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (z.b. stärkere Warnbefugnisse, internationale Zentralstelle, Audit-Rechte) Erweiterung Ermittlungszuständigkeiten des BKA bei Cybercrime (z.b. Ausweitung der Befugnisse bei der Strafverfolgung)
Bundesamt für Sicherheit in der IT (BSI) Zentrale Meldestelle, 8b BSIG Einführung einer IT-Aufsicht BSI als zentrale Meldestelle und Koordinator, erstellt Lagebild Aufsichtsbehörde: BMI Warn- und Alarmierungskontakte bei KI-Betreiber mit jederzeitiger Erreichbarkeit Gemeinsame Ansprechstellen möglich ( SPOC des UP KRITIS) Kontaktstelle bereits 6 Monate nach Inkrafttreten notwendig Jederzeitige Erreichbarkeit Auskunftsrechte Dritter (kritisch)
Kritische Infrastrukturen (1/2) Vor-Definition : Kritische Infrastruktur Einrichtungen, Anlagen oder Teile von Einrichtungen und Anlagen, 1. aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen 2. die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Konkretisierung der Kritischen Infrastrukturen erfolgt erst durch Rechtsverordnung (zuständig: BMI) Ausnahmen Kultur & Medien, Verwaltung der Länder und Kommunen Kleinstunternehmer (< 10 Mitarbeiter, Jahresumsatz max. 2 Mio. EUR) werden nur noch von den Regelungen 8a und 8b ausgenommen.
Kritische Infrastrukturen (2/2) Methodik zur Einteilung der Kritischen Infrastrukturen Qualität: Wird mittels der Einrichtung/Anlage eine für die Gesellschaft kritische Dienstleistung erbracht? SEKTOR ENERGIE Stromversorgung (Branche: Elektrizität) Versorgung mit Kraftstoff (Branche: Mineralöl) SEKTOR INFORMATIONSTECHNIK UND TELEKOMMUNIKATION Verarbeitung und Speicherung von Daten (Branche: Informationstechnik) -> sogar Schlüsselrolle?? SEKTOR ERNÄHRUNG Versorgung mit Lebensmitteln (Branchen: Ernährungswirtschaft, Lebensmittelhandel) SEKTOR FINANZ- UND VERSICHERUNGSWESEN Zahlungsverkehr und Kartenzahlung (Branchen: Banken, Finanzdienstleister) Bargeldversorgung (Branche: Banken) SEKTOR TRANSPORT UND VERKEHR Transport von Gütern (Branchen: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik) SEKTOR GESUNDHEIT Medizinische Versorgung (Branchen: Medizinische Versorgung, Labore) Quantität: Hat ein Ausfall oder eine Beeinträchtigung der Einrichtung/Anlage unmittelbar oder mittelbar wesentliche negative Folgen für wichtige Schutzgüter (Leib, Leben, Gesundheit, Eigentum etc.) und die Funktionsfähigkeit des Gemeinwesens (= eine entsprechend große Zahl an Personen)? Definition eines spezifischen Schwellenwerts pro Sektor/Branche (Risikoabwägung) erst in der Rechtsverordnung
Sicherheitsstandards und TOM Sicherheitsstandards, 8a BSIG Angemessene organisatorische und technische Vorkehrungen Schutz der informationstechnischen Systeme, Komponenten und Prozesse: überall dort Absicherungsmaßnahmen, wo Informationstechnik Einfluss auf die Erbringung der Dienstleistung hat Ggfls. auch infrastrukturelle oder personelle Maßnahmen erforderlich Bei besonders kritischen Prozessen sogar Abschottung notwendig (keine Verbindung mit Internet oder öffentlichen Netzen) Maßstab: Risikoadäquanz und Stand der Technik Verpflichtung bleibt auch bei einem Outsourcing bestehen Dokumentation insbesondere durch Sicherheits- und Notfallkonzepte (bzw. Datenschutzkonzept) Branchenspezifische Sicherheitsstandards können auf Antrag anerkannt werden ( kooperativer Ansatz ) ISO 27001-Familie als Best Practice?
Standards und Dokumentation Sicherheitsstandards, 8a BSIG Nachweispflicht Mindestens alle zwei Jahre Auflistung durchgeführter Sicherheitsaudits, Prüfungen oder Zertifizierungen von nachweislich qualifizierten Prüfern (etwa ISO-zertifiziert oder bspw. Wirtschaftsprüfer) Dokumentation 1. Umsetzung branchen- und technologiespezifischer Maßnahmen einschließlich etwaiger Sicherheitsmängel 2. Information Security Management System 3. Identifikation kritischer Cyber-Assets 4. Angriffsprävention und erkennung 5. Business Continuity Management
Aktive Meldepflichten Meldepflicht bei erheblichen Störungen Meldepflichten nach 8b BSIG Definition: Die eingesetzte Technik kann die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder es wurde versucht, entsprechend auf sie einzuwirken) Beispiele: Sicherheitslücken, Schadprogramme, versuchte oder abgewehrte Angriffe, außergewöhnliche und unerwartete technische Defekt Meldungen sollen stufenweise erfolgen, also zunächst Meldung der Informationen, die ohne Rechercheaufwand zur Verfügung stehen Nicht meldepflichtig, wenn die Störungen nicht zu einer Beeinträchtigung der Funktionsfähigkeit führen können (also bspw. automatisiert oder mit geringem Aufwand beseitigt werden können), keine Meldung bei tagtäglich vorkommenden Ereignissen wie Spam, übliche Schadsoftware, Hardwareausfälle in üblichem Rahmen etc. Wenn kein (konkreter) Ausfall oder tatsächliche Beeinträchtigung der KI ist auch pseudonyme Meldung möglich (BSI soll Kriterien für Meldepflicht weiterentwickeln) Nichteinhaltung der Meldepflichten derzeit nicht sanktioniert
Ausblick? Studie zur Umsetzung des IT-Sicherheitsgesetzes von KPMG im Auftrag des BDI (6/2014) Monetäre Folgen des IT-Sicherheitsgesetzes 1,1 Mrd. zusätzliche Bürokratiekosten nur durch die Einführung der Meldepflichten (Schätzung) Personalkosten (erhöhter Personalaufwand) IT-Infrastrukturkosten Kostenrisiken durch Reputationsschäden Kosten durch Mindestsicherheitsstandards Änderungsbedarf? - Schon teilweise umgesetzt Präzisierung der Meldepflichten erforderlich ( wer, wann, wie genau zu melden hat) Pseudonymisierung der Meldung (via Treuhänder?) Mehr Transparenz zur Verwendung der Meldungen Betreffend die einzuführenden IT- Mindestsicherheitsstandards u.a.: Berücksichtigung der Rolle der Zulieferer und Ausrüster Sanktionen?
Ihr Ansprechpartner Dr. Michael Rath Rechtsanwalt Fachanwalt für IT-Recht Partner Luther Rechtsanwaltsgesellschaft mbh Anna-Schneider-Steig 22 50678 Köln Phone: +49 221 9937 25795 Fax: +49 221 9937 110 E-Mail: michael.rath@luther-lawfirm.com 14