Am 12. Juni 2015 wurde der Regierungsentwurf des IT-Sicherheitsgesetzes in angepasster Form verabschiedet. Der Gesetzesentwurf wurde bereits im März 2013 vorgestellt und kontrovers diskutiert. Aufgrund der zunehmenden Digitalisierung wurde das IT-Sicherheitsgesetz vor dem Hintergrund geschaffen, Teile der Daseinsvorsorge als sog. „kritische Infrastruktur“ in besonderem Maße zu schützen. Der Anwendungsbereich erstreckt sich somit beispielsweise auf Unternehmen, Organisationen und Institutionen aus den Sektoren der Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung und sowie Finanz- und Versicherungswesen.

Mit dem Gesetzesentwurf sollen grundlegende Mindeststandards für IT-Systeme geschaffen werden, um die IT-Sicherheit nicht durch leichtfertige eingeräumte Risiken durch Angriffe und Missbrauch zu gefährden. Die Zielsetzung der Datensicherheit, welche eine gemeinsame Schnittmenge mit dem Datenschutz aufweist, ist es die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicher zu stellen. Die Mindeststandards sind im Rahmen von technischen und organisatorischen Maßnahmen nach dem „aktuellen Stand der Technik“ auszugestalten. Inwieweit die Maßnahmen als angemessen einzustufen sind und den abstrakten Handlungsvorgaben des Gesetzgebers entsprechen, muss noch eruiert werden.

Die Kompetenzen des Bundesamt für Sicherheit in der Informationstechnik (BSI), der Bundesnetzagentur und des Bundeskriminalamtes wurden angehoben. Vor allem das BSI wird stärker eingebunden, indem z.B. die Betreiber der kritischen Infrastruktur mindestens aller zwei Jahre bei diesem nachzuweisen müssen, dass ausreichende Schutzmaßnahmen getroffen wurden. Als Nachweis der Geeignetheit der Maßnahmen und für die Ermittlung der defizitären Schwachstellen müssen Ergebnisse von Auditierungen, Prüfungen und Zertifizierungen (z.B. ISO 27001 Informationssicherheitsmanagementsystem) vorgehalten werden. Das BSI kann sich zur Unterstützung der IT-Sicherheit z.B. durch Sicherungsupdates Produkt- und Systemhersteller in zumutbaren Umfang heranziehen, wenn keine berechtigten Interessen der Hersteller entgegenstehen.

Zudem wurden Meldepflichten eingeführt, um eine Transparenz bei IT-Sicherheitsvorfällen zu schaffen und die potentiell Betroffenen zu informieren. Eine meldepflichtige Störung liegt vor, wenn eine erhebliche Bedrohung der Funktionsfähigkeit der kritischen Dienstleistung erfolgen und nicht durch die auf dem aktuellen Stand der Technik ergriffenen Maßnahmen verhindert werden kann.

Weiterhin wurde im Rahmen der Abwehr von Gefahren für die Kommunikationstechnik des Bundes zu diesem Zweck ein Zugriff auf die Verkehrsdaten durch das BSI gestattet.

Neben der Steigerung des Risikobewusstseins wurden im überarbeiteten Gesetzesentwurf Sanktionen in Form von Bußgeldern bis zu 100.000 € festgelegt. Die Bußgelder drohen, wenn beispielsweise keine ausreichenden technischen und organisatorischen Schutzmaßnahmen vorgehalten werden oder die Meldung von IT-Sicherheitsvorfällen nicht rechtzeitig erfolgt. Das IT-Sicherheitsgesetz stellt zudem klar, dass die Verantwortung für die IT-Sicherheit nicht ausgelagert werden kann.

Der Umfang der neu gefassten Regelungen im Zusammenhang mit dem IT-Sicherheitsgesetz erstreckt sich auch auf das Telemedien- und Telekommunikationsgesetz. Es wurden Regelungen ergänzt, die die Pflichten des Dienstanbieters konkretisieren z.B. müssen angemessene Vorkehrungen getroffen werden, um das Einschleusen von Viren, Trojanern und anderen Schadprogrammen zu verhindern. Diese Änderungen betreffen demzufolge nicht nur kritische Infrastrukturen sondern auch alle Diensteanbieter die geschäftsmäßig Telemedien (z.B. Betreiber einer Internetseite, Onlineshop)  anbieten.

Es ist festzuhalten, dass das IT-Sicherheitsgesetz in erster Linie den Forderungen der „Digitalen Agenda“ im Rahmen der Industrie 4.0. nachkommt, indem im Bereich der IT-Systeme von Sektoren mit großer Bedeutung für das Gemeinwesen Abwehr-, Nachweis- und Meldepflichten eingeführt werden. Dennoch ist zu erwarten, dass die nicht unmittelbar im Adressatenkreis dieses Gesetzes fungierenden Unternehmen aufgrund der ausstrahlenden Wirkung sich zumindest mittelbar an die wirtschaftlich Vorgaben des IT-Sicherheitsgesetzes richten müssen. Unabhängig davon, ist es die Pflicht eines jeden Unternehmens für die grundlegenden Datenschutz- und IT-sicherheitsrechtlichen Vorgaben zu sensibilisieren und den Mitarbeitern die wichtigsten Rahmenbedingungen vorzugeben.

Aufgrund der teilweise fehlenden Konkretisierung und der unbestimmten Rechtsbegriffe wie „kritische Infrastruktur oder „erhebliche Störung“ bedarf das IT-Sicherheitsgesetz der weiteren Präzisierung durch die geplante Rechtsverordnung.

Gerne stehen wir Ihnen für Rückfragen zur Verfügung.