IT-Sicherheitsgesetz: Neue IT-Sicherheitsstandards

Rechtsanwalt Beratung Kanzlei Hannover

Ihr Ansprechpartner
Rechtsanwalt Thomas Feil

In dem neuen § 8a BSI-Gesetz (BSIG) sind Regelungen zur Sicherheit der Informationstechnik Kritischer Infrastrukturen enthalten. Der Gesetzgeber erwartet, dass die Betreiber Kritischer Infrastrukturen angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen in der Informationstechnik ergreifen. Eine Verpflichtung entsteht erst spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Abs. 1 BSIG. Die entsprechende Rechtsverordnung ist bisher noch nicht erlassen worden.

Mit den entsprechenden Maßnahmen soll die Verfügbarkeit, die Integrität, die Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse sichergestellt werden. Wichtig ist dem Gesetzgeber, dass die Funktionsfähigkeit der Kritischen Infrastrukturen erhalten bleiben und bei allen Maßnahmen der Stand der Technik eingehalten wird.

Der Gesetzgeber hat gesehen, dass nicht für alle Bereiche und Sektoren gleiche organisatorische und technische Vorkehrungen gefordert werden können. Deshalb spricht das Gesetz in § 8a Abs. 1 BSIG von angemessenen organisatorischen und technischen Vorkehrungen. Der erforderliche Aufwand darf nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur stehen.

Es wird erwartet, dass die Betreiber Kritischer Infrastrukturen und ihre Branchenverbände branchenspezifische Sicherheitsstandards vorschlagen. Diese sollen vom BSI geprüft und gegebenenfalls als geeignet festgestellt werden. Dabei soll auch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sowie die zuständigen Aufsichtsbehörden mit beteiligt werden.

Die Anforderungen des Gesetzgebers gehen aber noch weiter. Die Betreiber Kritischer Infrastrukturen müssen mindestens alle zwei Jahre die Erfüllung der Anforderungen auf geeigneter Weise nachweisen. Ein solcher Nachweis kann beispielsweise durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.

Auch in diesem Zusammenhang hat der Gesetzgeber eine Informationspflicht festgelegt. Die Betreiber Kritischer Infrastrukturen müssen eine Aufstellung der durchgeführten Audits, Prüfungen und Zertifizierungen mit den dabei aufgedeckten Sicherheitsmängeln an das Bundesamt übermitteln. Das Bundesamt hat dann die Befugnis, die Beseitigung der entsprechenden Sicherheitsmängel von den Betreibern zu verlangen.

In der Gesetzesbegründung wird betont, dass es den Initiatoren des Gesetzes nicht nur um die Erfassung der informationstechnischen Systeme geht, sondern auch informationstechnische Komponenten und informationstechnische Prozesse im Hinblick auf die IT-Sicherheit abgesichert werden sollen. Soweit Prozesse besonders kritisch sind, geht der Gesetzgeber im Einzelfall auch davon aus, dass diese abgeschottet werden. Solche Prozesse sollen weder mit dem Internet oder öffentlichen Netzen verbunden sein, noch von über dem Internet angebotenen Diensten abhängig sein.

Deutlich betont der Gesetzgeber in der Bundestagsdrucksache 18/4096, S. 26, dass bei outgesourcten IT-Dienstleistungen der Betreiber der Kritischen Infrastrukturen verantwortlich bleibt. Er muss dann auch für angemessene organisatorische und technische Vorkehrungen sorgen, auch wenn ein externer Dienstleister eingeschaltet ist.

Mit dem Änderungsantrag der Fraktion CDU/CSU und SPD kurz vor Verabschiedung des Gesetzes am 12.06.2015 gab es noch eine Änderung in § 8a Abs. 1 BSIG. In der ursprünglichen Version hieß es, dass der Stand der Technik eingehalten werden muss. Nunmehr formuliert der Gesetzgeber, dass der Stand der Technik eingehalten werden soll. Hintergrund dieser Änderung ist der Umstand, dass nicht alle Maßnahmen, die aus reiner IT-Sicherheitssicht als Stand der Technik anzusehen sind, tatsächlich ergriffen werden können. Aus Sicht der IT-Sicherheit kann es beispielsweise sinnvoll sein, zeitnah Sicherheits-Updates von Betriebssystemen einzuspielen. Allerdings ist bei komplexen IT-Systemen häufig unklar, welche Auswirkungen auf die Prozesse entstehen, wenn solche Sicherheits-Updates eingespielt werden. Letztendlich kann dann durch das Einspielen solcher Updates ein Ausfall Kritischer Infrastrukturen eintreten. Dies soll nicht mit dem Gesetz bezweckt werden. Aus diesem Grund wurde eine gewisse Flexibilität in der Umsetzung der Maßnahmen durch die Änderung des Verbes in ein „soll“ vorgenommen. Grundsätzlich besteht also die Verpflichtung, Maßnahmen nach dem Stand der Technik zu ergreifen. In Ausnahmefällen oder wie der Gesetzgeber in seiner Begründung formuliert „in begründeten Ausnahmefällen“, darf davon abgewichen werden.

Weiterhin schlägt der Gesetzgeber vor, dass im Hinblick auf die Angemessenheit der erforderliche Aufwand, insbesondere die von einem Betreiber aufzuwendenden Kosten, mit in Sicherheits- und Notfallkonzepte aufgenommen werden. So kann die Umsetzung der Mindestanforderung dokumentiert werden.

Es wird erwartet, dass branchenspezifische Sicherheitsstandards erarbeitet werden. In der Gesetzesbegründung wird dabei auf den kooperativen Ansatz des Gesetzes verwiesen, wie er in der nationalen Strategie zum Schutz Kritischer Infrastrukturen festgeschrieben wurde. Entsprechende Branchenarbeitskreise existieren bereits. Allerdings steht es Betreibern frei, abweichend von branchenspezifischen Sicherheitsstands eigene, den Stand der Technik berücksichtigende Maßnahmen zu ergreifen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*