BMI: Entwurf zum Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vorgestellt

Das Bundesministerium des Inneren (BMI) hat am 5.3.2013 den Referentenentwurf für ein „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (PDF) vorgestellt. Mit dem Gesetz will das BMI durch bestimmte Verpflichtungen, die man besonders wichtigen öffentlichen Einrichtungen und privaten Unternehmen auferlegt, die mit einem Ausfall der IT einhergehenden Risiken reduzieren. Der Gesetzentwurf wird nun beraten, mit den verschiedenen Fachgruppen (etwa dem BITKOM) diskutiert und anschließend im parlamentarischen Verfahren ggf. mit etwaigen Änderungen verabschiedet.

Adressaten des Gesetzes sollen nach § 2 Abs. 10 BSI-Gesetz-RefE (aktueller Stand BSI-Gesetz) die Betreiber sog. kritischer Infrastrukturen sein, ausführende Stelle für die Durchsetzung des Gesetzes wird das Bundesamt für Sicherheit in der Informationstechnik (BSI). Hierbei handelt es sich um die „in der Rechtsverordnung nach § 10 Absatz 1 näher bestimmten Einrichtungen, Anlagen oder Teile davon in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind und durch deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit eintreten würden. […]“.

Durch § 8a Abs. 1 BSI-Gesetz-RefE werden die Betreiber der kritischen Infrastrukturen dazu verpflichtet, „binnen zwei Jahren nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen zum Schutz derjenigen informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen.“ Dabei wird der Stand der Technik in § 8a Abs. 2 BSI-Gesetz-RefE definiert als „der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität und Vertraulichkeit gesichert erscheinen lässt,“ wobei „insbesondere [auf] vergleichbare Verfahren, Einrichtungen und Betriebsweisen“ abgestellt werden kann, „die mit Erfolg in der Praxis erprobt wurden“. Ergänzend kann nach § 8a Abs. 3 BSI-Gesetz-RefE auf vom BSI anerkannte branchenspezifische Sicherheitsstandards abgestellt werden.

Die Wirksamkeit der ergriffenen Maßnahmen muss von den Betreibern der kritischen Infrastrukturen nach § 8a Abs. 4 BSI-Gesetz-RefE mindestens alle zwei Jahre durch Sicherheitsaudits von anerkannten Auditoren bestätigt werden. Die Durchführung der Sicherheitsaudits sowie dabei ggf. festgestellte Sicherheitsmängel sind dem BSI mitzuteilen und „auf Verlangen“ des BSI unverzüglich zu beseitigen (obwohl sich die Beseitigungspflicht bereits aus § 8a Abs. 1 BSI-Gesetz-RefE auch ohne Verlangen des BSI ergeben dürfte). Zudem sind nach § 8b Abs. 4 BSI-Gesetz-RefE von den Betreibern „schwerwiegende Beeinträchtigungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse, das heißt Beeinträchtigungen, die Auswirkungen auf die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen haben können, unverzüglich“ an das BSI zu melden. Weitergehende Informationspflichten sieht der neue § 109a Abs. 4 TKG-RefE für Betreiber öffentlicher Telekommunikationsnetze oder öffentlich zugänglicher Telekommunikationsdienste vor.

Für die Betreiber von Telemediendiensten i.S.d. Telemediengesetzes (TMG) sieht der Referentenentwurf eine abgeschwächte Verpflichtung zu Sicherheitsmaßnahmen vor, die in § 13 Abs. 7 TMG-RefE verankert werden soll. Danach sollen Diensteanbieter für „geschäftsmäßig in der Regel gegen Entgelt angebotene Telemedien technische Vorkehrungen oder sonstige Maßnahmen zum Schutz von Telekommunikations- und Datenverarbeitungssystemen gegen unerlaubten Zugriff zu treffen, soweit dies technisch möglich und zumutbar ist. Dabei ist der Stand der Technik zu berücksichtigen.“ Anders als im BSI-Gesetz wird im TMG der Stand der Technik aber nicht definiert; auch eine Verweisung auf § 8a Abs. 2 BSI-Gesetz-RefE fehlt hier.

Insgesamt lässt der Referentenentwurf eine Vielzahl an Fragen offen. Dies betrifft nicht nur die Frage, was konkret „kritische Infrastrukturen“ sind, weil der Gesetzgeber diese Festlegung dem Verordnungsgeber überlassen hat, ohne zugleich einen Entwurf für eine solche Verordnung oder gar nur eine konkrete Vorstellung von deren Inhalt zur Verfügung zu stellen. Ob diese Delegation auf den Verordnungsgeber verfassungsrechtlich mit Blick auf die Reichweite der sich aus dem Referentenentwurf ergebenden Verpflichtungen überhaupt zulässig ist, bedarf noch der Klärung. Hinzu kommt, dass das Verhältnis des neuen Gesetzes zu den vorhandenen Regulierungen, insb. für den Bereich der Telekommunikation, noch ungeklärt sind und hier ggf. gegenläufige, zumindest aber nicht deckungsgleiche Verpflichtungen für die Betreiber verpflichtet werden, die im Ergebnis das Sicherheitsniveau nicht erhöhen.

Schreibe einen Kommentar