Die Meldepflichten von Unternehmen nach dem IT-Sicherheitsgesetz

Rechtsanwalt Beratung Kanzlei Hannover

Ihr Ansprechpartner
Rechtsanwalt Thomas Feil

Wir zeigen auf, was Sie zum IT-Sicherheitsgesetz und den darin enthaltenen Meldepflichten wissen müssen. Derzeit wird das IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) der Bundesregierung kontrovers diskutiert und von verschiedenen Experten analysiert. Der aktuelle Entwurf wurde von der Bundesregierung auf Vorschlag von Bundesinnenminister de Maizière am 17.12.2014 beschlossen und befindet sich derzeit noch im Gesetzgebungsverfahren.

Eine Umsetzung des Gesetzes hätte Änderungen verschiedener deutscher Gesetze wie dem Telemediengesetz, dem Telekommunikationsgesetz und dem Energiewirtschaftsgesetz zur Folge, was wiederum die meisten Unternehmen in allen Branchen in Deutschland betrifft. Das Gesetz soll die IT-Sicherheit erhöhen und erlegt daher den Unternehmen eine Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auf, für den Fall dass es zu Sicherheitsvorfällen in der IT kommt.

Wer unterliegt der Meldepflicht?

Die Meldepflicht soll dafür sorgen, dass die Sicherheit im Bereich IT effektiv für alle Unternehmen und auch für Private erhöht wird. Das IT-Sicherheitsgesetz (IT-SG) soll die notwendige IT-Sicherheit für kritische Infrastrukturen gesetzlich verordnen. Kritische Infrastrukturen seien in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen zu finden.

In der Gesetzesbegründung heißt es, dass die Rechtsverordnung qualitativ bestimmte Leistungen als kritisch einstuft und zudem Schwellenwerte festlegt. Genaueres lässt sich zu diesem Zeitpunkt dem Entwurf nicht entnehmen. Folglich lässt sich nicht mit Sicherheit sagen, welche Unternehmen betroffen sein sollen und welche nicht. Durch die Änderungen unter anderem im TMG durch das IT-SG wären effektiv aber alle Anbieter von Telemedien betroffen und das ist jedes Unternehmen, dass zumindest eine Internetpräsens hat und damit gewerblich auftritt.

Die betroffenen Unternehmen sollen verpflichtet werden, einen Mindeststandard an IT-Sicherheitsmaßnahmen einzuführen. Der Mindeststandard wiederum soll durch ein Expertengremium definiert werden. Relevante Parameter könnten sein die Vorgaben der ISO-Normen und des BSI-Grundschutzes sowie der Stand der Technik. Folglich wäre der Mindeststandard eine sich mit dem technischen Fortschritt verändernde Grenze, die nicht unterschritten werden darf. Die Einhaltung des Mindeststandards muss regelmäßig gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachgewiesen werden. Dies geht hervor aus § 8a des Entwurfes für das IT-Sicherheitsgesetz.

Nicht Betroffen sollen sein Kleinstunternehmen sowie Betreiber kritischer Infrastrukturen soweit sie anderen gesetzlichen Regelungen unterliegen, wie beispielsweise jene die dem Atomgesetz unterliegen. Allerdings erhalten auch diese Unternehmen eine Meldepflicht gegenüber dem BSI bzw. gegenüber der Bundesnetzagentur im Falle von Telekommunikationsunternehmen. Die Bundesnetzagentur meldet dann weiter an das BSI.

Nach § 13 des IT-Sicherheitsgesetzes ist das Bundesamt wiederum dem Bundesministerium des Innern zur Unterrichtung über seine Tätigkeit verpflichtet. Folglich unterliegen sowohl die betroffenen Unternehmen als auch die verantwortliche Behörde einer Meldepflicht. Eine Haftung würde daher aus Verstößen gegen besagte Pflicht beziehungsweise Nichterfüllung der Anforderungen resultieren.

Zur Frage wie die Haftung für Verstöße aussieht, liefert das Gesetz selbst keine Antworten. Haftungsfragen oder Bußgeldvorschriften sollen im Gesetz nicht festgelegt werden. Folglich bliebe es auch weiterhin bei den Regelungen der entsprechenden Gesetze wie dem BDSG, TMG, TKG und den relevanten Paragraphen des StGB.

Was genau muss gemeldet werden?

Ziel des Gesetzes ist die IT-Infrastrukturen besser gegen Angriffe aus dem Cyberraum, also bspw. gegen Hacker, Viren und Ähnliches, zu schützen. Neben erhöhten Sicherheitsstandards, die immer wieder aktualisiert werden sollen, soll dies auch über die Meldepflicht erreicht werden. Unternehmen, die einen Sicherheitsvorfall zu verzeichnen haben, sollen verpflichtet werden diesen dem BSI bzw. der Bundesnetzagentur zu melden. Das ist besonders wichtig wenn Vorfälle zu Beeinträchtigungen oder gar Ausfällen der kritischen Infrastruktur führen.

Da viele Unternehmen einen Imageschaden fürchten wenn jeder Vorfall gemeldet werden muss, hat man mit dem aktuellen Entwurf des Gesetzes bereits auf drängende Änderungswünsche reagiert. In Fällen, in denen einen Sicherheitsvorfall nicht zu größeren Störungen geführt hat, soll es für die Unternehmen möglich sein eine anonyme Meldung zu tätigen. So soll das Image des betroffenen Unternehmens geschützt werden ohne der Sicherheit im Wege zu stehen.

Auch das BSI erhält eine Meldepflicht. Es soll dem Bundesministerium des Innern zur Meldung verpflichtet sein und soll regelmäßig berichten. Außerdem soll auch ein jährlicher Aufklärungsbericht der Öffentlichkeit gegenüber erfolgen.

 

UPDATE

Wir bieten in Zusammenarbeit mit der Cyber Akademie aktuell ein Seminar zum IT-Sicherheitsgesetz an. Weitere Informationen finden Sie unter:

http://www.cyber-akademie.de

 
1 Star2 Stars3 Stars4 Stars5 Stars 6 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen