Änderungsantrag der Fraktionen der CDU/CSU und der SPD zum IT-Sicherheitsgesetz (Entwurf)

Rechtsanwalt Beratung Kanzlei Hannover

Ihr Ansprechpartner
Rechtsanwalt Thomas Feil

Die Bundestagsfraktionen der CDU/CSU und der SPD haben einen Änderungsantrag zum Entwurf des IT-Sicherheitsgesetz eingereicht. Dieser sieht einige Änderungen am bereits bekannten Entwurf vor, insbesondere ist nun von einer Bußgeldvorschrift die Rede. Wir zeigen auf, welche der angestrebten Änderungen von besonderer Bedeutung sein könnten.

Protokolldaten aus der internen IT der Bundesbehörden

Um IT-Bedrohungen neuerer Art sicher entgegentreten zu können, benötigt laut Änderungsantrag das BSI die Protokolldaten aus der internen IT der Bundesbehörden. Über einen solchen Zugang zu diesen Datensätzen verfügt das BSI derzeit nicht, auch gibt es bisher keine rechtliche Handhabe zugunsten des BSI, die Bundesbehörden zur Herausgabe der Prokolldaten zu verpflichten. Daher soll – so der Änderungsantrag – das IT-Sicherheitsgesetz dahingehend ergänzt werden, dass der Zugang des BSI zu den behördeninternen Protokolldaten sichergestellt ist. Die Protokolldaten der Bundesgerichte wiederum sollen dabei zwecks Sicherung der richterlichen Unabhängigkeit nur einvernehmlich erhoben werden dürfen.

Um einen solchen, vom Änderungsantrag vorgesehenen Zugang zu behördeninternen Protokolldaten der IT zu gewährleisten, müssen die Bundesbehörden wohl zukünftig ihre eigene IT auf die (mögliche) Arbeit des BSI anpassen.

Mitwirkungspflicht der Hersteller von IT-Produkten und IT-Systemen

Im Änderungsvorschlag ist davon die Rede, dass in der Praxis bei IT-Sicherheitsvorfällen häufig seitens der Hersteller von sicherheitsrelevanten IT-Produkten und IT-Systemen nicht schnell genug reagiert wird. Gemeint sind insbesondere erforderliche Sicherheitsupdates für die kritischen Infrastrukturen. Der Änderungsantrag sieht daher u.a. eine Anordnungsbefugnis des BSI gegenüber Herstellern von sicherheitsrelevanten IT-Produkten und IT-Systemen vor, um diese Hersteller in “zumutbarem Umfang” zur Mitwirkung an der Beseitigung oder Vermeidung von Störungen kritischer Infrastrukturen zu verpflichten.

Das IT-Sicherheitsgesetz scheint sich also – zumindest indirekt – auch auf die Hersteller von sicherheitsrelevanter IT beziehen zu wollen. Hersteller solcher IT müssen sich daher schon jetzt mit dem geplanten IT-Sicherheitsgesetz auseinandersetzen, um im Zweifelsfall auf die Anordnungen des BSI angemessen reagieren zu können.

Bußgeldvorschrift geplant

Der wohl interessanteste Punkt des Änderungsvorschlags zum Entwurf des IT-Sicherheitsgesetzes betrifft die Bußgeldvorschriften. Das BSI-Gesetz soll um die Möglichkeit bußgeldbewehrter Sanktionen ergänzt werden, welche für den Fall der Nichteinhaltung der Pflichten für Betreiber von kritischen Infrastrukturen einschlägig sein sollen. Die Geldbuße soll laut Änderungsvorschlag bis zu 100.000 Euro betragen können. Zuständig für diese Bußgelder soll das BSI sein.

Es zeigt sich also, dass kurz vor Inkrafttreten des IT-Sicherheitsgesetzes doch noch Sanktionsmöglichkeiten einen Weg in das Gesetz finden könnten. Dies ist insbesondere deshalb interessant, da viele Beobachter des Gesetzgebungsvefahrens die bisherigen Entwürfe zum IT-Sicherheitsgesetz als eher “zahnlosen Tiger” empfanden, da es an Sanktionen für die Nichteinhaltung der auferlegten Pflichten für Betreiber kritischer Infrastrukturen fehlte. Nun müssen die Betreiber solcher Infrastrukturen schon allein aufgrund der drohenden Bußgeldhöhe die Gesetzesbestrebungen ernst nehmen und sich entsprechend vorbereiten.

Für weitere Informationen empfehlen wir den Videoblog der Cyberakademie zum Thema IT-Sicherheitsgesetz: http://www.cyber-akademie.de/?page_id=4845

 

UPDATE: Neues Video

 

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*