Mit den Stimmen der Koalitionsparteien hat der Bundestag am 12. Juni 2015 das IT-Sicherheitsgesetz (BT-Drucksache 18/4096) beschlossen, wobei der ursprüngliche Entwurf der Bundesregierung durch Anträge der Unions- und SPD-Fraktion noch geändert wurde (BT-Drucksache 18/5121). Das Gesetz trat am 25. Juli 2015 in Kraft.
Was ist die Zielsetzung dieses Gesetzes?
Die IT-Infrastruktur im Geltungsbereich des Gesetzes soll effektiver gegen die steigende Anzahl von Cyberangriffen geschützt werden. Dies soll dadurch erreicht werden, dass Betreiber solcher (kritischer) Infrastrukturen zwingend einen Mindeststandard bezüglich der IT-Sicherheit einhalten müssen. Weiterhin besteht die Pflicht, erfolgte Angriffe auf die eigenen System dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Dieser wertet die Informationen aus und stellt den Betreibern der IT-Infrastruktur Hilfe zur Verbesserung der Sicherheit zur Verfügung.
Darüber hinaus sollen durch das Gesetz die Kundendaten von Online-Shop besser durch unbefugten Zugriff geschützt werden, indem man die Betreiber der Seiten zu verbesserten technischen und organisatorischen Maßnahmen zwingt.
An wen richtet sich das Gesetz?
Das IT-Sicherheitsgesetz hat folgende primäre Adressaten:
- Betreiber von Webangeboten
- Telekommunikationsunternehmen
- Betreiber kritischer Infrastrukturen (wer genau als solch ein Betreiber eingestuft wird, wird erst noch durch Rechtsverordnung festgelegt, jedoch sind dem Grunde nach folgende Bereiche betroffen: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen)
Welche Verpflichtungen ergeben sich für die betroffenen Unternehmen?
Die Betreiber von Webangeboten müssen ab Inkrafttreten des Gesetzes technische und organisatorische Maßnahmen nach dem „Stand der Technik“ ergreifen, um unerlaubte Zugriffe auf Einrichtungen und Daten als auch Störungen zu verhindern.
Telekommunikationsunternehmen müssen ab sofort nicht nur Ausfälle, sondern auch Beeinträchtigungen (an die Bundesnetzagentur) melden, die zu Sicherheitsverletzungen führen können. Weiterhin müssen die Nutzer der Systeme vom jeweiligen TK-Unternehmen auf die Beeinträchtigungen hingewiesen und (wenn möglich) Hilfsmittel zur Beseitigung angeboten werden.
Die Betreiber kritischer Infrastrukturen müssen ihre IT nach dem Stand der Technik absichern erhebliche IT-Sicherheitsvorfälle an das BSI melden.
Verstoßen Unternehmen gegen die gesetzlichen Auflagen, kann dies mit Bußgeldern bis zu 100.000,00 € geahndet werden.
Gelten die Regelungen auch für Webseiten von Privatpersonen oder Vereinen?
Nein, das Gesetz gilt nur für gewerbliche Anbieter.
Wie ist das Gesetz zu bewerten?
Das Gesetz ist die schlechte Umsetzung einer per se guten Idee. Die globale IT-Sicherheitslage zwingt sowohl private wie auch staatliche Stellen zu einem Ausbau ihrer IT-Sicherheitssysteme. Dass dabei kritische Bereiche wie insbesondere die Energieversorgung, Krankenhäuser, das Telekommunikations- und das Verkehrswesen einen besonderen Schutz benötigen, liegt auf der Hand. Es zeugt allerdings von einem desolaten Sicherheitsverständnis vieler Unternehmen, wenn der Gesetzgeber die Unternehmen unter Androhung von Bußgeldern zum Aufbau einer sicheren IT-Infrastruktur zwingen muss. Das Gesetz verwendet weiterhin unbestimmte Begriffe wie „Stand der Technik“ oder „erheblich“. Dadurch dürften sich für die Umsetzung des Gesetzes erhebliche Schwierigkeiten ergeben, da diese Begriffe nicht definiert sind und in jedem Einzelfall anders ausgelegt werden können.
Dies zeigt sich z.B. schon daran, dass der Begriff der „kritischen Infrastruktur“ erst durch eine Rechtsverordnung definiert werden muss.
Angesichts der teilweise gravierenden Sicherheitslücken bei Unternehmen (und staatlichen Stellen wie dem Bundestag) ist das Gesetz im Ergebnis aber notwendig. Es bleibt zu hoffen, dass die Unternehmen dies zum Anlass nehmen, ihre eigene IT-Infrastruktur kritisch zu hinterfragen.
Falls Sie Fragen zu dem Artikel oder dem IT-Recht haben, kontaktieren Sie uns einfach per E-Mail unter wagner(at)webvocat.de oder telefonisch unter 0681/ 95 82 82-0.
Wir helfen Ihnen schnell und kompetent.
Ihr Ansprechpartner für weitere Fragen ist:
Rechtsanwalt Alexander Wolf
WAGNER Rechtsanwälte webvocat® - Small.Different.Better
