Zweites IT-Sicherheitsgesetz: Bundesregierung beschließt NIS-Umsetzungsgesetz

Mit der EU-Richtlinie über Netzwerk- und Informationssicherheit (kurz: NIS-Richtlinie) hatten Parlament und Rat im Sommer 2016 erstmals europäisches IT-Sicherheitsrecht verabschiedet. Die Mitgliedsstaaten haben nun die Pflicht, das europäische Recht bis Mai 2018 in das jeweilige nationale Recht umzusetzen. Deutschland hatte bereits im Sommer 2015 ein erstes IT-Sicherheitsgesetz verabschiedet, das die europäische Rechtssetzung schon ein Stück weit vorweggenommen hatte. Entsprechend gering ist der Umsetzungsbedarf im deutschen Recht.

Durch Kabinettbeschluss vom 25. Januar 2017 hat die Bundesregierung den Entwurf eines “NIS-Umsetzungsgesetzes” beschlossen. Mit diesem Gesetzesvorhaben soll die europäische Richtlinie in Deutschland umgesetzt werden. De facto ist dieser Gesetzentwurf ein zweiter Korb des IT-Sicherheitsgesetzes. Bei genauer Betrachtung geht er über den zwingenden Umsetzungsbedarf des EU-Rechts hinaus.

Im Einzelnen ergeben sich für Unternehmen folgende Änderungen:

1)    Betreiber kritischer Infrastrukturen haben keine großen Änderungen gegenüber dem 2015 verabschiedeten IT-Sicherheitsgesetz zu erwarten. Weder ändert sich der Kreis der verpflichteten Unternehmen noch der Umfang der zu ergreifenden IT-Sicherheitsmaßnahmen. Kleinere Änderungen ergeben sich bei der Meldepflicht von Cybersicherheitsvorfällen. Eine wesentliche Neuerung ist die vom europäischen Recht geforderte Erweiterung der Befugnisse des BSI. Zukünftig sind dem BSI die Ergebnisse der regelmäßigen IT-Sicherheitsaudits zu übermitteln. Das BSI soll zudem die Möglichkeit bekommen, vor Ort Inspektionen der IT-Sicherheit durchzuführen.

2)    Für Anbieter bestimmter digitaler Dienste werden IT-Sicherheitsanforderungen definiert, die denen kritischer Infrastrukturen vergleichbar sind: Online-Marktplätze (wie Amazon oder eBay), Online-Suchmaschinen (wie Google oder Bing) und Cloud-Dienste-Anbieter müssen zukünftig definierte IT-Sicherheitsstandards einhalten und Vorfälle an das BSI melden. Problematisch an dieser Regelung ist, dass sowohl der Kreis der Verpflichteten als auch das einzuhaltende Sicherheitsniveau und die Umstände der Meldepflicht durch das deutsche Recht nicht definiert werden. Hier sind sogenannte “Implementierungsrechtsakte” der EU-Kommission abzuwarten. Erst wenn diese EU-Vorschriften nicht oder nicht ausreichend kommen, behält sich die Bundesregierung eine Regelung durch Verordnung vor.

3)    Ein wichtiger politischer Bestandteil des Gesetzentwurfs ist die rechtliche Grundlage für die sogenannten “Mobile Incident Response Teams” (MIRT) des BSI. Die neue deutsche Cybersicherheitsstrategie hatte die Aufstellung solcher Teams angekündigt, das BSI hat dafür entsprechende Ressourcen erhalten. Mit dem Gesetzentwurf soll nun die noch fehlende Rechtsgrundlage dafür geschaffen werden, dass das BSI auf Anforderung von Unternehmen (und Behörden) bei Cyberangriffen vor Ort helfen kann – bei Abwehr, Wiederherstellung und Forensik. Die Unternehmen sollen keinen zwingenden Rechtsanspruch auf diese Hilfe haben; es soll vielmehr dem Ermessen des BSI überlassen bleibe, in welchen “herausgehobenen Fällen” die Behörde vor Ort tätig wird. Mit der Befugnis zum Einsatz vor Ort ist vor allem auch die Erlaubnis verbunden, in der IT des Unternehmens gespeicherte personenbezogene Daten zu erheben und zu verarbeiten und – in bestimmten Fällen – an andere Sicherheitsbehörden weiterzugeben.

In Summe ergibt sich durch den Entwurf der Regierung eine deutliche Stärkung der Befugnisse des BSI, auch im Verhältnis zu anderen Sicherheitsbehörden, eine Festigung des Systems der IT-Sicherheit kritischer Infrastrukturen und – leider – eine Perpetuierung der rechtlichen Unsicherheiten für die Anbieter digitaler Dienste. Hier sind die Vorgaben aus Brüssel abzuwarten. Erneut aufgeschoben hat die Bundesregierung eine Überarbeitung der Vorschriften zur Haftung von Herstellern für Softwaremängel.

Der Gesetzentwurf der Bundesregierung wird in den nächsten Wochen von Bundesrat und Bundestag beraten, soll vor der Bundestagswahl verabschiedet werden und im Wesentlichen im Mai 2018 in Kraft treten.

Gesetzentwurf
http://www.bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2017/01/nis-umsetzungsgesetz.html

Detaillierte Analyse
http://www.cr-online.de/blog/2017/01/31/2-korb-it-sicherheitsgesetz-bundesregierung-legt-nis-umsetzungsgesetz-vor/