6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten?
Europa: Entwurf einer Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit Verpflichtungen der Mitgliedsstaaten (MS) - Verpflichtende Kooperation zwischen MS wird u.a. von Deutschland kritisiert - Verpflichtendes Frühwarnsystem soll auf Wunsch einiger MS auf freiwillig herabgestuft werden Verpflichtungen für Unternehmen - Wer ist betroffen? Kritische Infrastrukturbetriebe (Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen) - aber nach jetzigem Stand keine Internetunternehmen - Pflichten? Verpflichtende IT-Mindeststandards: Orientierung an realtiv hohen existierenden Sicherheitslevels einiger MS? Meldepflicht: bei erheblichen Auswirkungen auf Kerndienste 1
Deutschland: Entwurf eines IT-Sicherheitsgesetzes IT- Sicherheitsgesetz: Verpflichtungen für Unternehmen - Mehr Sektoren als EU Richtlinie: kritische Infrastrukturen (KRITIS) und TK-Diensteanbieter sowie (eingeschränkt) Webseitenbetreiber - Meldepflicht: auch bei Vorfällen, die nur geeignet sind Kerndienste zu beeinträchtigen - Verpflichtende IT-Mindeststandards - Verpflichtende externe Sicherheits-Audits (alle 2 Jahre) 2
Deutschland Bereits bestehende Regulierung - Datenschutzrecht: Meldepflicht an Datenschutzbehörde, im Fall eines Verlustes sensibler personenbezogener Daten ( 42 a BDSG) - TK-Netzbetreiber/-diensteanbieter: (1) Verpflichtung Sicherung FMG und Datenschutz gem. Stand der Technik, allgem. Sicherung vor Zugriffen nach Angemessenheitsmaßstab; (2) Meldepflicht an BNetzA bei IT-Sicherheitsverletzungen, die erhebliche Auswirkungen auf Betrieb der Netze/Dienste haben ( 109 Abs. 5 S. 1 TKG) - Energie-Netzbetreiber: (1) Hoher Sicherheitsstandard nach Stand der Technik; (2) jährlicher Bericht über tatsächlich vorgefallene Störungen an BNetzA ( 52 EnWG) - Finanzdienstleister: (1) IT-Standards nach MaRisk ( 25a KWG) einzuhalten (u.a. Grundschutzkatalog BSI); (2) Keine spezielle Meldepflicht 3
USA US Executive Order (Februar 2013) - Erhöhter Informationsaustausch zwischen privatem Sektor und Regierung - National Institut of Standards and Technology hat freiwillige IT-Sicherheitsstandards + Risikominimierungsregeln für KRITIS zu entwickeln - Department of Homeland Security und betroffene Behörden entwickeln Programm, um KRITIS-Betreiber zur Umsetzung der Standards zu motivieren ( Vergabe öffentlicher Aufträge?) Cybersecurity Framework (Februar 2014) - Umsetzung der Executive Order (2013) durch NIST in Kooperation mit Industrie und Regierung - Freiwilliger Maßnahmenkatalog für KRITIS der IT-Standards, Guidelines und Best Practices enthält Draft Cyber Intelligence Sharing and Protection Act - Ziel: schnelleres Eingreifen gegen Cyber-Bedrohungen durch Informationsaustausch zwischen Regierung und TK-Unternehmen über Internetverkehr - 2012 im Senat gescheitert, 2013 vom Repräsentantenhaus wieder aufgenommen: weiterhin stark kritisiert 4
USA/ Deutschland/ Europa: Ad-hoc-Publizitätspflichten Cybersecurity Guidelines der US-amerikanischen Börsenaufsicht (SEC) - Leitlinie zu Veröffentlichungspflichten börsenenotierter Unternehmen bei Cyber-Angriffen und Cyber-Risiken (2011) - Gemeldet werden sollte jeder Cyber-Vorfall, der wesentliche Auswirkungen auf das Geschäft des Unternehmens hat Deutschland/ Europa 15 i.v.m. 13 WpHG: Verpflichtung der Emittenten zur unverzüglichen Veröffentlichung solcher Tatsachen, die den Börsenkurs der zugelassenen Wertpapiere eines Unternehmens erheblich beeinflussen (Insiderinformation). Publizitätspflicht soll verhindern, dass Informationen Insidern vorbehalten bleiben, die diese zu eigenem Vorteil ausnutzen könnten (Insiderhandel). Definition von Insiderinformation ist EU-weit harmonisiert Ab wann fällt eine Cyberattacke unter Insiderinformation? 5