Planungsunsicherheit für deutsche Wirtschaft und Verwaltungsaufwand von rund EUR 10 Mio.: Kabinettsentwurf des IT-Sicherheitsgesetzes beschlossen

Am 17. Dezember 2014 hat das Bundeskabinett den Entwurf für ein IT-Sicherheitsgesetz beschlossen. Der Entwurf weicht in einigen Punkten vom Referentenentwurf ab. Er bringt für viele Unternehmen Planungs- und Rechtsunsicherheit, ob die neuen Pflichten für sie gelten werden. Den betroffenen Unternehmen wird für die Umsetzung einiger Aufwand entstehen, verbunden mit erheblichen Kosten.

Kritische Infrastrukturen

Der Entwurf zielt vornehmlich auf einen höheren Schutz von kritischen Infrastrukturen und IT-Systemen sowie der Bürger im Internet ab, Hintergrund ist unter anderem die zunehmende Abhängigkeit der Unternehmen vom Internet. Insbesondere die Rechte des Bundesamtes für Sicherheit der Informationstechnik (BSI) sollen in diesem Zusammenhang als zukünftige zentrale (Melde-)Stelle für IT-Sicherheit stark erweitert werden. Der Gesetzesentwurf war zuvor kontrovers diskutiert worden. Während ein erster Referentenentwurf von der Industrie abgelehnt wurde, führte ein Folgeentwurf wiederum zu Protesten von Datenschützern.

Der Gesetzesentwurf richtet sich an die Betreiber kritischer Infrastrukturen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Sicherheitswesen. Adressaten des Gesetzes sind Unternehmen mit mindestens 10 Mitarbeitern, die einen Jahresumsatz von mehr als zwei Millionen Euro haben. Was unter dem Begriff der „Kritischen Infrastruktur“ zu verstehen ist, soll durch eine noch zu erlassende Rechtsverordnung konkretisiert werden. Bis dahin besteht für viele Unternehmen Planungs- und Rechtsunsicherheit im Hinblick auf die Frage, ob die neuen Pflichten für sie gelten werden. Laut der Begründung des Kabinettentwurfs sollen nicht mehr als 2.000 Unternehmen betroffen sein.

Abgestufte Meldepflicht

Nach dem Gesetzesentwurf sind die betroffenen Unternehmen verpflichtet, für einen angemessen Schutz ihrer IT zu sorgen. Sicherheitsvorfälle sind dem BSI zu melden. Während nach einem früheren, wesentlich strengeren Gesetzesentwurf eine umfassende Meldepflicht unter Nennung des Namens des betroffenen Unternehmens gelten sollte, ist nun eine abgestufte Meldepflicht vorgesehen: Die namentliche Nennung des Betreibers ist nur dann erforderlich, wenn eine erhebliche Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der kritischen Infrastruktur geführt hat. Liegt nur eine potentielle Sicherheitsbeeinträchtigung vor, ist eine anonyme Meldepflicht vorgesehen.

Wann einzelne Sicherheitsfälle als schwerwiegend und folglich als meldepflichtig einzustufen sind, dürfte in der Praxis schwierig abzuschätzen sein. Es bleibt abzuwarten, welche Kriterien für meldungsrelevante Sicherheitsvorfälle das BSI hier in Zukunft aufstellen wird. Im Hinblick auf die anonyme Meldepflicht, welche aufgrund der Bedenken der Industrie eingeführt wurde, wird noch zu klären sein, wie sichergestellt werden kann, dass eine Enttarnung des Meldepflichtigen ausgeschlossen ist.

Großer Aufwand, hohe Kosten

Die Betreiber kritischer Infrastrukturen sind nach dem Gesetzesentwurf zudem verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen zu implementieren. Die Erfüllung dieser Vorgaben müssen die Unternehmen mindestens alle zwei Jahre gegenüber dem BSI (bzw. im Fall von Telekommunikationsdienstleistern gegenüber der Bundesnetzagentur) in Form von Sicherheitsaudits, Prüfungen oder Zertifizierungen nachweisen.

Von der Wirtschaft wurde vor allem kritisiert, dass die Umsetzung der Sicherheitskonzepte und die neuen Meldepflichten zu hohen Kosten und bürokratischem Aufwand führen werden. Auch wird bezweifelt, dass sich allein durch eine Meldepflicht die Sicherheit kritischer Infrastrukturen tatsächlich erhöhen lässt. Der Gesetzesentwurf enthält erstmals Angaben zu den geschätzten Kosten: Danach sollen den Betreibern kritischer Infrastrukturen für die Erfüllung der Meldepflicht ein jährlicher Aufwand von insgesamt ca. EUR 9,24 Mio. entstehen.

Keine Speicherung von Nutzerdaten

In dem vorangegangenen Referentenentwurf vom November 2014 fand sich noch eine Regelung, nach welcher Unternehmen dazu befugt sein sollten, Nutzerdaten ein halbes Jahr zu speichern. Man erhoffte sich, auf diese Weise etwaige Störungen sowie den Missbrauch von Telemediendiensten eingrenzen und beseitigen zu können. Kritiker befürchteten damit jedoch die erneute Einführung der Vorratsdatenspeicherung durch die Hintertür. Sie setzten sich durch, die Regelung wurde aus dem nun beschlossenen Gesetzesentwurf gestrichen.

Weiteres Verfahren

Der Gesetzesentwurf muss nun im nächsten Schritt Bundestag und Bundesrat passieren. Weitere Änderungen an dem Entwurf sind also nicht ausgeschlossen.

Das Gesetzgebungsverfahren um das IT-Sicherheitsgesetz hat insgesamt eine etwas längere Vorgeschichte: Bereits im Jahr 2007 wurde die Arbeitsgruppe UP KRITIS gegründet, eine öffentlich-private Kooperation zwischen Betreibern kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen. Sah man zu dieser Zeit noch keinen gesteigerten Bedarf einer gesetzlichen Regelung der IT-Sicherheit, stellte die Bundesregierung im Zuge der zunehmenden globalen Vernetzung und verstärkten Abhängig der Unternehmen vom Internet 2011 eine Cyber-Sicherheitsstrategie für Deutschland vor. Im März 2013 wurde schließlich der erste Gesetzesentwurf veröffentlicht – der von der Wirtschaft teilweise heftig kritisiert wurde. Mit dem Ende der 17. Legislaturperiode des deutschen Bundestages endete jedoch auch das Gesetzgebungsverfahren. Als einer der Kernpunkte der „Digitalen Agenda 2014-2017“ der Bundesregierung wurde das IT-Sicherheitsgesetz jedoch 2014 in Form eines neuen Entwurfs ins Rennen geschickt.

Neben dem IT-Sicherheitsgesetz gibt es auch auf europäischer Ebene Überlegungen, die IT-Sicherheit gesetzlich zu regeln: Die Kommission hat im Februar 2013 den Entwurf einer Richtlinie zur Netz- und Informationssicherheit vorgestellt. Kritisiert wird in diesem Zusammenhang, dass der deutsche Gesetzesentwurf nicht mit dem Richtlinienentwurf abgestimmt ist. Möglicherweise wird der deutsche Gesetzgeber hier noch einmal nachbessern müssen, um eine kohärente Umsetzung der europäischen Vorgaben zu erreichen. Die weitere Entwicklung und der Verlauf des noch nicht abgeschlossenen Gesetzgebungsverfahrens bleiben insofern abzuwarten.