IT-Sicherheitsgesetz auf dem Weg

Berlin, 15.04.2015 — Der Bundestag hat am 20. März in erster Lesung den "Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme", kurz IT-Sicherheitsgesetz beraten. Am 20. April fand im Innenausschuss des Deutschen Bundestages eine öffentliche Anhörung zum IT-Sicherheitsgesetz statt. Das Gesetz soll noch vor der Sommerpause verabschiedet werden.

Im Mittelpunkt der geplanten Regelungen steht die Festlegung von Mindeststandards für die IT-Sicherheit in Deutschland. Das Gesetz soll u.a. regeln, welchen Anforderungen die IT-Sicherheit bestimmter Einrichtungen standhalten muss. Dabei geht es um sogenannte kritische Infrastrukturen - also Einrichtungen, "die für das Funktionieren unseres Gemeinwesens zentral sind", wie es im Entwurf heißt.

Darunter sollen Anlagen aus den Bereichen Energie, Informationstechnik, Telekommunikation, Transport und Verkehr (z.B. Logistik), Gesundheit (medizinische Versorgung sowie Versorgung mit Arzneimitteln und Medizinprodukten), Wasser, Ernährung (z.B. Lebensmitteleinzelhandel) sowie Finanz- und Versicherungswesen fallen.

Das Bundesministerium des Innern (BMI) soll durch Rechtsverordnung, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und der betroffenen Wirtschaftsverbände bestimmen, welche Einrichtungen, Anlagen oder Teile davon als kritische Infrastrukturen gelten. DER MITTELSTANDSVERBUND wird sich in diese Diskussion einbringen. Die Zahl der meldepflichtigen Betreiber kritischer Infrastrukturen soll bei maximal 2.000 Betreibern liegen.

Mit dem geplanten Gesetz sollen die Betreiber besonders gefährdeter Infrastrukturen verpflichtet werden, ihre Netze besser vor Hacker-Angriffen zu schützen. Neben der obligatorischen Meldung von IT-Sicherheitsvorfällen sollen zudem Mindeststandards für die IT-Sicherheit bei den Betreibern solcher IT-Infrastrukturen branchenweit festgelegt werden. Die Meldungen schwerwiegender Sicherheitsvorfälle sollen weitgehend in anonymisierter Form übermittelt werden. Damit sollen Reputationsverluste für die Unternehmen vermieden und die Bereitschaft zur Meldung gesteigert werden. Informationssammelstelle soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden.

Das Gesetz in seiner bisherigen Form stößt beim MITTELSTANDSVERBUND wegen der unklaren Auswirkungen auf die Mitgliedsunternehmen auf Kritik. Das Bestreben der Bundesregierung nach einem IT-Sicherheitsgesetz sei zwar verständlich, weil der technische Fortschritt die Gesellschaft auch verwundbarer gemacht habe, so der Hauptgeschäftsführer, Dr. Ludwig Veltmann. In den Kooperationen des Mittelstandes werde es keine Versorgungsengpässe geben. Die Mitgliedsunternehmen - etwa aus dem Lebensmittelhandel - können bei einem Cyberangriff weiter Waren in die Geschäfte ausliefern. "Wenn die Bundesregierung die IT des Lebensmittelhandels als kritische Infrastruktur definiert, dann schießt sie mit Kanonen auf Spatzen", erklärt Veltmann. Und der Pharmagroßhandel möge zwar eine kritische Infrastruktur betreiben, er müsse jedoch bereits heute schon strenge regulatorische Vorgaben erfüllen und unterliege dabei der staatlichen Aufsicht. "Zusätzliche, im schlimmsten Fall widersprüchliche Vorgaben dürfen an dieser Stelle nicht gemacht werden", fordert der MITTELSTANDSVERBUND-Hauptgeschäftsführer.

Laut Gesetzentwurf der Bundesregierung soll den Betreibern kritischer Infrastrukturen ein finanzieller Aufwand für die Einhaltung eines Mindestniveaus an IT-Sicherheit, den Nachweis der Erfüllung durch Sicherheitsaudits, die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT-Sicherheitsvorfälle an das BSI sowie das Betreiben einer unternehmensinternen Kontaktstelle entstehen. Letztere sollen Betreiber kritischer Infrastrukturen dem BSI innerhalb von sechs Monaten nach Inkrafttreten der Rechtsverordnung benennen. Betreiber, die dem gleichen Sektor angehören, sollen eine gemeinsame übergeordnete Ansprechstelle benennen können.

Die Betreiber sollen verpflichtet werden, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer IT-Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind.

Dazu sollen die Branchen selbst solche Standards entwickeln, die dann vom BSI genehmigt werden. Danach sollen die Unternehmen alle zwei Jahre nachweisen, dass sie die Anforderungen noch erfüllen. Der Nachweis soll durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.

Dass Bundesbehörden nicht von der gesetzlichen Definition kritischer Infrastrukturen erfasst werden und auch im Übrigen keinen vergleichbaren Pflichten zum Schutz ihrer Informationstechnik unterliegen sollen, sieht DER MITTELSTANDSVERBUND kritisch. Der Staat müsse mit gutem Beispiel vorangehen.

Konkrete Berechnungen der Gesamtkosten sollen erst mit Erlass der Rechtsverordnung erfolgen können, weil erst dann der Adressatenkreis der entsprechenden Verpflichtungen hinreichend konkret eingegrenzt und eine entsprechende Zahl meldepflichtiger Betreiber Kritischer Infrastrukturen benannt werden kann. Allein für die Erfüllung der Meldepflicht soll den Betreibern Kritischer Infrastrukturen laut Bundesregierung ein jährlicher Erfüllungsaufwand von insgesamt 9,24 Mio. Euro entstehen.

Für die Bundesregierung ist das IT-Sicherheitsgesetz eines der ersten konkreten Ergebnisse in Umsetzung der digitalen Agenda der Bundesregierung.

Weitere Informationen:

Download: Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme