Offene Fragen

Rechtsrahmen IT-Sicherheit – was in 2015 geschah und was das für 2016 bedeutet

22.02.2016
Von 


Dr. Söntje Julia Hilberg, LL.M. ist bei Deloitte Legal auf IT- und Datenschutzrecht spezialisiert. In ihrer Position als Head of IT Law hat sie umfassende Erfahrung in der Beratung nationaler und internationaler Unternehmen sowie der öffentlichen Hand in sämtlichen Rechtsfragen des IT- und Datenschutzrechts, insbesondere im Rahmen interdisziplinärer Projekte zur Konzeption und Umsetzung von IT-Strategien.  
In Sachen IT-Sicherheit haben EU und Deutschland in 2015 mit dem Entwurf einer Richtlinie zur IT-Sicherheit und dem deutschen IT-Sicherheitsgesetz Fahrt aufgenommen.
Das deutsche IT-Sicherheitsgesetz und die EU-Richtlinie NIS RL kommen sich teilweise in die Quere.
Das deutsche IT-Sicherheitsgesetz und die EU-Richtlinie NIS RL kommen sich teilweise in die Quere.
Foto: fotogestoeber - shutterstock.com

EU Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union („NIS-RL“)

Zum Jahresende 2015 hat die EU eine politische Einigung über den Entwurf einer Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union („NIS-RL“) erzielt. Die NIS-RL geht auf ein bereits am 7. Februar 2013 im Rahmen der EU-Strategie zur Cybersicherheit beschlossenes Richtlinienpapier der Europäischen Kommission zurück. Insgesamt stehen die mit der fortschreitenden Digitalisierung einhergehenden Themen auf europäischer Ebene hoch im Kurs. Unter Federführung der ENISA (European Union Agency for Network and Information Security) wurden verschiedene Initiativen im Zusammenhang mit der „Digital Single Market Strategy” angestoßen.

Inhaltlich enthält die NIS-RL insbesondere Regelungen zur Meldepflicht von Hackerangriffen und Sicherheits- und Datenschutzpannen bei Unternehmen aus den Bereichen Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.

Deutsches IT-Sicherheitsgesetz

Zwar hat Deutschland mit dem bereits am 25. Juli 2015 in Kraft getretenen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme („IT-Sicherheitsgesetz“) die Anforderungen der NIS-RL teilweise bereits umgesetzt. Aber es bestehen eine Reihe offener Fragen, insbesondere zum Anwendungsbereich des IT-Sicherheitsgesetzes sowie zu den Auswirkungen der NIS-RL.

Wie auch die NIS-RL sieht das IT-Sicherheitsgesetz für Betreiber sogenannter kritischer Infrastrukturen zum einen die Pflicht zur Einhaltung eines Mindestniveaus an IT-Sicherheit und zum anderen die Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle vor. Hinzu kommen weitere Pflichten für Telekommunikations- und Telemediendiensteanbieter. Welche Unternehmen konkret als Betreiber kritischer Infrastrukturen im Sinne des Gesetzes betroffen sind, wird erst noch durch Rechtsverordnungen zum IT-Sicherheitsgesetz konkretisiert werden. Das BMI (Bundesministerium des Innern) hat den Erlass erster Rechtsverordnungen für das erste Quartal 2016 angekündigt und bis Ende des Jahres 2016 sollen alle Rechtsverordnungen erlassen sein.

Die Übergangsfrist zur Umsetzung der Anforderungen gemäß IT-Sicherheitsgesetz beträgt zwei Jahre ab Erlass der jeweils einschlägigen Umsetzungsverordnung. Danach müssen Nachweise der Mindeststandards alle zwei Jahre im Rahmen von Zertifizierungen und Sicherheitsaudits erbracht werden. Bei Nichteinhaltung kann ein Bußgeld von bis zu 100.000 Euro festgesetzt werden.

Offene Fragen

Neben dem Kreis der Betroffenen sind auch noch einige Fragen im Hinblick auf das Verhältnis des IT-Sicherheitsgesetzes zu anderen Vorschriften offen. Dies betrifft das Verhältnis der neuen Meldepflichten zu bereits bestehenden Meldepflichten zum Beispiel nach Telemedien- und Telekommunikationsgesetz.

Weiterhin ergeben sich Fragen im Zusammenhang mit der Umsetzung der NIS-RL. Denn obwohl Deutschland mit dem IT-Sicherheitsgesetz schon wesentliche Teile der NIS-RL umgesetzt haben dürfte, werden sich wohl zukünftig noch einige Anpassungen ergeben. An einigen Stellen weicht das IT-Sicherheitsgesetz bereits jetzt von der NIS-RL ab. Dies betrifft insbesondere die Anwendung des IT-Sicherheitsgesetzes auf sämtliche Betreiber kritischer Infrastrukturen, unabhängig von deren Organisationsform. Damit sind insbesondere auch Einrichtungen des Bundes und damit öffentliche Stellen erfasst, wohingegen die NIS-RL lediglich private Unternehmen adressiert.

Zudem sollen laut NIS-RL die einzelnen Mitgliedstaaten eine einzige „zuständige nationale Behörde“ ernennen. Zwar ist in Deutschland das BSI (Bundesamt für Sicherheit in der Informationstechnik) federführend beim Thema IT-Sicherheit und gemäß IT-Sicherheitsgesetz zentrale Meldestelle. Allerdings sind weitere Bundesministerien und nachgeordnete Behörden, insbesondere BMI und BKA (Bundeskriminalamt), innvolviert und es wurden gemäß IT-Sicherheitsgesetz bereits mehr als 20 Millionen Euro für die zuständigen Sicherheitsbehörden eingeplant.

Ausblick

Sowohl die NIS-RL als auch das IT-Sicherheitsgesetz verfolgen “kooperative” Ansätze, mit denen die Zusammenarbeit zwischen Wirtschaft und Aufsicht zukünftig stärker in den Fokus gerät. Gerade im Bereich der IT-Sicherheit wird es zunehmend darauf ankommen, wie kooperativ und effektiv öffentliche Stellen und private Unternehmen zusammenwirken, insbesondere im Bereich Standardisierung und Zertifizierung.

Die EU-Kommission führt derzeit eine öffentliche Erhebung zum Thema Public-Private Partnership (PPP) im Bereich IT-Sicherheit durch. Ziel ist die Förderung der europäischen IT-Sicherheitsindustrie, insbesondere durch Standardisierung und Zertifizierung im Bereich IT-Sicherheit. Die Erhebung läuft noch bis März 2016, die Ergebnisse werden im Laufe des Jahres 2016 veröffentlicht.

Auch das IT-Sicherheitsgesetz sieht ausdrücklich eine Kooperation zwischen Wirtschaft und Aufsicht vor. Die einzuhaltenden Mindeststandards sollen nämlich durch die Branchen selbst entwickelt und dann vom BSI genehmigt werden. Dieses Konzept stellt eine klare Aufforderung und auch Chance dar, sich als Unternehmen frühzeitig in die Gestaltung der zukünftigen Anforderungen im Bereich IT-Sicherheit einzubringen. (mb)