Mit der EU-Richtlinie \u00fcber Netzwerk- und Informationssicherheit (kurz: NIS-Richtlinie) hatten Parlament und Rat im Sommer 2016 erstmals europ\u00e4isches IT-Sicherheitsrecht verabschiedet. Die Mitgliedsstaaten haben nun die Pflicht, das europ\u00e4ische Recht bis Mai 2018 in das jeweilige nationale Recht umzusetzen. Deutschland hatte bereits im Sommer 2015 ein erstes IT-Sicherheitsgesetz verabschiedet, das die europ\u00e4ische Rechtssetzung schon ein St\u00fcck weit vorweggenommen hatte. Entsprechend gering ist der Umsetzungsbedarf im deutschen Recht.<\/p>\n
Durch Kabinettbeschluss vom 25. Januar 2017 hat die Bundesregierung den Entwurf eines “NIS-Umsetzungsgesetzes” beschlossen. Mit diesem Gesetzesvorhaben soll die europ\u00e4ische Richtlinie in Deutschland umgesetzt werden. De facto ist dieser Gesetzentwurf ein zweiter Korb des IT-Sicherheitsgesetzes. Bei genauer Betrachtung geht er \u00fcber den zwingenden Umsetzungsbedarf des EU-Rechts hinaus.<\/p>\n
Im Einzelnen ergeben sich f\u00fcr Unternehmen folgende \u00c4nderungen:<\/p>\n
1)\u00a0\u00a0 \u00a0Betreiber kritischer Infrastrukturen haben keine gro\u00dfen \u00c4nderungen gegen\u00fcber dem 2015 verabschiedeten IT-Sicherheitsgesetz zu erwarten. Weder \u00e4ndert sich der Kreis der verpflichteten Unternehmen noch der Umfang der zu ergreifenden IT-Sicherheitsma\u00dfnahmen. Kleinere \u00c4nderungen ergeben sich bei der Meldepflicht von Cybersicherheitsvorf\u00e4llen. Eine wesentliche Neuerung ist die vom europ\u00e4ischen Recht geforderte Erweiterung der Befugnisse des BSI. Zuk\u00fcnftig sind dem BSI die Ergebnisse der regelm\u00e4\u00dfigen IT-Sicherheitsaudits zu \u00fcbermitteln. Das BSI soll zudem die M\u00f6glichkeit bekommen, vor Ort Inspektionen der IT-Sicherheit durchzuf\u00fchren.<\/p>\n
2)\u00a0\u00a0 \u00a0F\u00fcr Anbieter bestimmter digitaler Dienste werden IT-Sicherheitsanforderungen definiert, die denen kritischer Infrastrukturen vergleichbar sind: Online-Marktpl\u00e4tze (wie Amazon oder eBay), Online-Suchmaschinen (wie Google oder Bing) und Cloud-Dienste-Anbieter m\u00fcssen zuk\u00fcnftig definierte IT-Sicherheitsstandards einhalten und Vorf\u00e4lle an das BSI melden. Problematisch an dieser Regelung ist, dass sowohl der Kreis der Verpflichteten als auch das einzuhaltende Sicherheitsniveau und die Umst\u00e4nde der Meldepflicht durch das deutsche Recht nicht definiert werden. Hier sind sogenannte “Implementierungsrechtsakte” der EU-Kommission abzuwarten. Erst wenn diese EU-Vorschriften nicht oder nicht ausreichend kommen, beh\u00e4lt sich die Bundesregierung eine Regelung durch Verordnung vor.<\/p>\n
3)\u00a0\u00a0 \u00a0Ein wichtiger politischer Bestandteil des Gesetzentwurfs ist die rechtliche Grundlage f\u00fcr die sogenannten “Mobile Incident Response Teams” (MIRT) des BSI. Die neue deutsche Cybersicherheitsstrategie hatte die Aufstellung solcher Teams angek\u00fcndigt, das BSI hat daf\u00fcr entsprechende Ressourcen erhalten. Mit dem Gesetzentwurf soll nun die noch fehlende Rechtsgrundlage daf\u00fcr geschaffen werden, dass das BSI auf Anforderung von Unternehmen (und Beh\u00f6rden) bei Cyberangriffen vor Ort helfen kann – bei Abwehr, Wiederherstellung und Forensik. Die Unternehmen sollen keinen zwingenden Rechtsanspruch auf diese Hilfe haben; es soll vielmehr dem Ermessen des BSI \u00fcberlassen bleibe, in welchen “herausgehobenen F\u00e4llen” die Beh\u00f6rde vor Ort t\u00e4tig wird. Mit der Befugnis zum Einsatz vor Ort ist vor allem auch die Erlaubnis verbunden, in der IT des Unternehmens gespeicherte personenbezogene Daten zu erheben und zu verarbeiten und – in bestimmten F\u00e4llen – an andere Sicherheitsbeh\u00f6rden weiterzugeben.<\/p>\n
In Summe ergibt sich durch den Entwurf der Regierung eine deutliche St\u00e4rkung der Befugnisse des BSI, auch im Verh\u00e4ltnis zu anderen Sicherheitsbeh\u00f6rden, eine Festigung des Systems der IT-Sicherheit kritischer Infrastrukturen und – leider – eine Perpetuierung der rechtlichen Unsicherheiten f\u00fcr die Anbieter digitaler Dienste. Hier sind die Vorgaben aus Br\u00fcssel abzuwarten. Erneut aufgeschoben hat die Bundesregierung eine \u00dcberarbeitung der Vorschriften zur Haftung von Herstellern f\u00fcr Softwarem\u00e4ngel.<\/p>\n
Der Gesetzentwurf der Bundesregierung wird in den n\u00e4chsten Wochen von Bundesrat und Bundestag beraten, soll vor der Bundestagswahl verabschiedet werden und im Wesentlichen im Mai 2018 in Kraft treten.<\/p>\n
Gesetzentwurf Detaillierte Analyse Mit der EU-Richtlinie \u00fcber Netzwerk- und Informationssicherheit (kurz: NIS-Richtlinie) hatten Parlament und Rat im Sommer 2016 erstmals europ\u00e4isches IT-Sicherheitsrecht verabschiedet. Die Mitgliedsstaaten haben nun die Pflicht, das europ\u00e4ische Recht bis Mai 2018 in das jeweilige nationale Recht umzusetzen. Deutschland hatte … Continue reading
\nhttp:\/\/www.bmi.bund.de\/SharedDocs\/Pressemitteilungen\/DE\/2017\/01\/nis-umsetzungsgesetz.html<\/a><\/p>\n
\nhttp:\/\/www.cr-online.de\/blog\/2017\/01\/31\/2-korb-it-sicherheitsgesetz-bundesregierung-legt-nis-umsetzungsgesetz-vor\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"