Falschmeldung? Müssen Bundesverwaltungen auch Bedrohungen nach dem IT-Sicherheitsgesetz melden?

In einigen Meldungen war zu lesen, dass nach der Verabschiedung des IT-Sicherheitsgesetzes durch den Bundestag nunmehr auch die Bundesbehörden unter den Anwendungsbereich des IT-Sicherheitsgesetzes fallen. Es wird dabei Bundesinnenminister de Maizière zitiert, dass das Gesetz ein wichtiger Schritt zur Stärkung der IT-Systeme in unserem Land sei. Ergänzt werden entsprechende Meldungen durch den Hinweis, dass auch die Bundesverwaltung Bedrohungen melden muss.

In der eigentlichen Definition zu Kritischen Infrastrukturen in § 2 Abs. 10 BSI-Gesetz findet sich kein Hinweis, dass die öffentliche Verwaltung ausgenommen ist. Auch durch den Änderungsantrag der Koalitionsfraktionen wurde die ursprüngliche Gesetzesbegründung nicht geändert. In dem Text heißt es (BT-Drs. 18/4096, S. 24):

Nicht zu den vom BSI-Gesetz adressierten Kritischen Infrastrukturen gehören die Verwaltung von Regierung und Parlament sowie die öffentliche Bundesverwaltung und die von ihr eingesetzte Technik …“

Auch für die Verwaltung der Länder und Kommunen soll das Gesetz nicht gelten, da der Bund für Länder und Kommunen keine Gesetzgebungskompetenz besitzt.

Diese Grundsätze sind auch durch den kurz vor der Verabschiedung des Gesetzes eingebrachten Änderungsantrag nicht ausgehebelt worden. Die Meldepflichten in § 8b BSI-Gesetz, die im Rahmen des IT-Sicherheitsgesetzes neu verfasst worden sind, beziehen sich allein auf die Betreiber Kritischer Infrastrukturen. Danach haben Betreiber Kritischer Infrastrukturen erhebliche Störungen in ihren informationstechnischen Systemen dem Bundesamt zu melden. Die Meldung soll über die Kontaktstelle des Unternehmens erfolgen. Ergänzt wurde allerdings in dem Änderungsantrag, dass gemäß § 5 Abs. 1 Satz 4 BSI-Gesetz die Bundesbehörden verpflichtet sind, das Bundesamt bei Maßnahmen zu unterstützen und dem Bundesamt behördeninterne Protokolldaten zur Verfügung zu stellen. Weiterhin wurde in § 8 Abs. 1 BSI-Gesetz dem Bundesamt die Autorität eingeräumt Mindeststandards für die Sicherheit der Informationstechnik des Bundes zu erarbeiten. Diese Mindeststandards können dann vom Bundesinnenministerium ganz oder teilweise als Verwaltungsvorschriften für alle Stellen des Bundes erlassen werden und insoweit die IT-Sicherheit auch in der Bundesverwaltung weiterentwickeln.

Eine Meldepflicht der Bundesverwaltung findet sich im Gesetz aber nicht.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*