IT-Sicherheit als Wettbewerbsvorteil für Unternehmen Cyberkonferenz 2017 Dienstag, 27. Juni 2017 Rechtsanwalt Dr. Benjamin Wübbelt (www.twobirds.com) Rechtsrahmen für IT-Sicherheit 1
Ausgangssituation Rechtsrahmen für IT-Sicherheit nimmt immer konkretere Formen an. Noch vor wenigen Jahren keine nennenswerten regulatorischen Vorgaben bzgl. Architektur und Betrieb von IT-Anlagen. Vereinzelte sektorspezifische Normen mit erheblichem Vollzugsdefizit Derzeit Trendwende zu beobachten IT Sicherheitsrecht hat erheblichen rechtspolitischen Auftrieb erfahren. Stärkere branchenübergreifende Vernetzung führt zu immer neueren Innovationssprüngen (e-health, Car Connectivity, Smart Grid, Smart Home). Kehrseite ist stärkere Abhängigkeit und damit auch Verwundbarkeit. Häufigere Angriffswellen von immer professionelleren Angreifern IT-Sicherheit ist Voraussetzung für nachhaltige Digitalisierung. Bedrohungslage erfordert Tätigwerden des Gesetzgebers 3 Aktueller Rechtsrahmen für IT-Sicherheit IT-Sicherheit Datensicherheit NIS-RL IT-SiG DSAnpUG DS-GVO BSI-G Sektorspezifische Gesetze BSI-KritisV I BSI-KritisV II 4 2
BSI-G (geltende Fassung) vor Umsetzung der NIS-Richtlinie 25.07.2015 in Kraft getreten; Nukleus der heutigen IT-Regulierung Betrifft (noch) Betreiber von kritischen Infrastrukturen (sog. KRITIS- Betreiber) aus den genannten Sektoren (Energie, ITK, Wasser, Ernährung, Gesundheit, Transport/Verkehr sowie Finanz- Versicherungswesen) Welche Anlage/Einrichtung eine kritische Infrastruktur ist, regelt die BSI- KritisV (Korb 1 bereits im Mai 2016 in Kraft getreten; Korb 2. in Q2 2017). Achtung: Umsetzungsfristen laufen schon bzw. sind bereits abgelaufen. Unternehmen im Anwendungsbereich haben zahlreiche Pflichten zu erfüllen: Pflicht zur angemessenen Absicherung prozessrelevanter IT-Anlagen unter Berücksichtigung des Stands der Technik ( 8a Abs. 1 BSI-G) Nachweispflichten ggü dem BSI durch IT-Audits ( 8a Abs. 1 BSI-G) Einrichtung einer Kontaktstelle, die für das BSI jederzeit erreichbar ist ( 8b Abs. 3 BSI-G) Meldepflicht bei wesentlichen IT-Vorfällen ( 8b Abs. 4 BSI-G) 5 BSI-G (künftige Fassung) nach Umsetzung der NIS-Richtlinie NIS-Richtlinie ist im August 2016 in Kraft getreten. Starke Parallelen zum IT-Sicherheitsgesetz; verbleibender Umsetzungsbedarf erfolgt durch Anpassung des neuen BSI-G. Gesetzgebungsverfahren läuft derzeit, ist aber bereits weit fortgeschritten. Vorarbeit des Gesetzgebers zahlt sich aus; Umsetzung erfolgt ohne grundlegende Änderungen weit vor Ende der Umsetzungsfrist (Mai 2018). Zeugnis hoher rechtspolitischer Bedeutung des Themenkomplexes Wesentliche Änderungen: Einführung neuer Adressaten: Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, oder Cloud-Computing-Dienste) ( 8c BSI-G n. F.) Ausweitung der BSI-Befugnisse ( 8a Abs. 4 BSI-G n.f.) Mobile Incident Response Team (MIRT) ( 5a BSI-G n.f.) 6 3
Datenschutzrecht Regelungen zur IT-Sicherheit finden sich nicht nur im BSI-G. IT-Sicherheit auch im Datenschutzrecht immer bedeutsamer Grundsatz: Kein Datenschutz ohne IT-Sicherheit Noch 9 BDSG Verpflichtung zur Umsetzung von technischen und organisatorischen Maßnahmen (nicht bußgeldbewährt) Art. 5 und 32 DS-GVO messen IT-Sicherheit deutlich höheren Stellenwert zu. Personenbezogene Daten müssen nachhaltiger durch geeignete Sicherheitsmaßnahmen flankiert werden (zukünftig bußgeldbewährt). Zudem erweiterte Pflicht zur Meldung von Hacking Vorfällen an Behörde und Betroffene gem. Art. 33 f. DS-GVO, wenn personenbezogene Daten betroffen (sog. Data Breach Notification) 7 Künftige rechtliche Entwicklungen Rechtsrahmen befindet sich in vorläufiger Finalisierungsphase. Dem wird sich eine Bewertungsphase anschließen. Aber: Krypto-Trojaner WannaCry hat sichtbar gemacht, dass der Rechtsrahmen der IT-Sicherheit noch Anpassungsbedarf bereithält. Herstellerhaftung in Bezug auf Sicherheitsmängel, die beim Käufer oder deren Vertragspartner Schäden verursachen (bislang nur 7a BSI-G) Gütesiegel/Mindesthaltbarkeit für Cybersicherheit mit rechtsverbindlichen Leistungszusagen, die dann auch von Kunden eingefordert werden können 8 4
Wettbewerbsnachteile bei Non-Compliance Drohkulissen bei Non-Compliance Begehung von Ordnungswidrigkeiten (Bußgeldtatbestände) Verstoß gegen BSI-G Geldbuße bis zu EUR 100.000 Verstoß gegen DS-GVO Geldbuße bis zu EUR 20 Mio. oder bis zu 4 % des weltweit erzielten Jahresumsatzes u.u. Verwirklichung strafrechtlicher Tatbestände (z.b. 13, 27 StGB) 10 5
Drohkulissen bei Non-Compliance Erhöhtes zivilrechtliches Haftungsrisiko gegenüber Vertragspartnern/Kunden Die Einhaltung vertraglicher Pflichten ist infolge fahrlässig (mit- )verursachten IT-Sicherheitsvorfalls nicht mehr möglich. vertraglicher Schadensersatzanspruch/Vertragsstrafe gegenüber anderen Angegriffenen Es werden erfolgreiche Angriffswellen gegenüber Dritten gefahren, die bei Einhaltung gesetzlicher Verpflichtungen hätten gestoppt werden können. deliktischer Schadensersatzanspruch/Unterlassungsanspruch 11 gegenüber sonstigen Betroffenen Der IT-Sicherheitsvorfall resultiert aus einem Verstoß gegen die DS-GVO oder führt zu einem Verstoß gegen die DS-GVO (Meldepflicht) gesetzlicher Schadensersatzanspruch (materiell/immateriell) Drohkulissen bei Non-Compliance Nachteile im Wettbewerb um Aufträge IT-Sicherheit ist im B2B-Geschäftsverkehr zunehmend wichtiger und wird bei Vertragserstellung immer stärker nachgefragt. Nachteile im Wettbewerb um öffentliche Aufträge IT-Sicherheit spielt in förmlichen Vergabeverfahren immer wichtigere Rolle (Rechnungshof). IT-Vergabeverfahren entscheiden sich zunehmend im Bereich der IT-Sicherheit. Vergaberechtliche Einfallstore: Eignungskriterium (Vorlage von Zertifikaten) Vertragliche Ausführungsbestimmung gem. 128 GWB Bei klaren Vorstellungen des öffentlichen Auftraggebers auch als Bewertungskriterium (Umsetzungskonzepte) fakultativer Ausschlussgrund gem. 124 Abs. 1 Nr. 3 GWB (schwere Verfehlung im Rahmen beruflicher Tätigkeit) 12 6
Drohkulissen bei Non-Compliance Beispiele in EVB-IT Musterverträgen (hier: EVB-IT Systemvertrag): IT-Sicherheit ist damit nicht nur reines Compliance-Thema, sondern echter Wettbewerbsvorteil. 13 Dr. Benjamin Wübbelt Rechtsanwalt Carl-Theodor-Straße 6 40213 Düsseldorf www.twobirds.com Mail: Telefon: +49 (211) 2005-6224 Telefax: +49 (211) 2005-6011 benjamin.wuebbelt@twobirds.com 7