Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – Referentenentwurf des BMI

Referentenentwurf des BMI für ein IT-Sicherheitsgesetz – Eckpunkte des Gesetzentwurfes

Festlegung von Mindeststandards für den Betrieb von IT- Anlagen bei Betreibern von Anlagen und Einrichtungen der Kritischen Infrastruktur nach dem Stand der Technik innerhalb von zwei Jahren,

Einführung von Sicherheitsaudits bei Betreibern von Anlagen und Einrichtungen der kritischen Infrastrukturen, Telekommunikationsanbietern sowie Telemediendiensteanbietern,

Laufende Sammlung und Meldung der Erkenntnisse aus Sicherheitsvorfällen im IT-Bereich kritischer Infrastrukturen und deren Auswertung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI),

Telekommunikationsanbieter werden verpflichtet, die betroffenen Nutzer über bekannte Störungen und mögliche Risiken in den von ihnen betriebenen Systemen und deren Behebung zeitnah zu informieren.

Neben der bereits nach §§ 303 StGB bestehenden Zuständigkeit, Ausweitung der Zuständigkeiten des Bundeskriminalamtes auf Tatbestände, die in §§ 202a, 202b, 202c, 263a und 303a StGB beschrieben sind, sofern sich diese Straftaten gegen die innere und äußere Sicherheit der Bundesrepublik Deutschland oder gegen sicherheitsempfindliche Stellen von lebenswichtigen Einrichtungen richten.

Einstufung von Anlagen und Einrichtungen als kritische Infrastrukturen durch das Bundesministerium des Innern (BMI) im Benehmen mit anderen Ressorts.

Erfüllungsaufwand für die Wirtschaft

Die Einhaltung von Mindeststandards an IT-Sicherheit werden bei den Betreibern kritischer Infrastrukturen, Telekommunikationsanbietern und Telemediendiensteanbietern zu Mehraufwendungen führen, die bisher kein ausreichendes Schutzniveau etabliert haben. Weitere Kosten entstehen für die Betreiber kritischer Infrastrukturen, Telekommunikationsanbieter und Telediensteanbietern durch die künftig vorgeschriebenen Sicherheitsaudits.

Erfüllungsaufwand für die Verwaltung

Das Bundesamt für die Sicherheit in der Informationstechnik wird zur Erfüllung seiner zusätzlichen Aufgaben nach diesem Gesetz 99 zusätzliche Planstellen erhalten.

Das Bundeskriminalamt wird zur Erfüllung seiner Aufgaben nach dem erweiterten Aufgabenspektrum nach diesem Gesetz zusätzliche 105 Planstellen erhalten.

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe wird zusätzlich 2 weitere Planstellen erhalten.

Künftige Informationspflichten

Errichtung einer zentralen Meldestelle für sicherheitsrelevante Ereignisse im IT-Bereich beim Bundesamt für die Sicherheit in der Informationstechnik,

Unterrichtung der Betreiber von Anlagen und Einrichtungen der kritischen Infrastrukturen sowie Telekommunikationsanbietern und Telemediendiensteanbietern über Sicherheitslücken,Schadprogramme erfolgten oder versuchten Angriffen auf IT-Systeme durch das BSI,

Einrichtung von Warn- und Alarmierungskontakten durch die durch das Gesetz betroffenen

Unternehmen. Jederzeitige Erreichbarkeit zum BSI ist sicherzustellen.

Unverzügliche Meldung schwerwiegender Ereignisse durch betroffene Unternehmen an das BSI.

Praxishinweise

Die Umsetzung dieses Gesetzes in die tägliche Praxis bei Betreibern kritischer Infrastrukturen und Unternehmen des Telekommunikations- und Telemediensektors wird zu erhöhtem technischen und administrativen Aufwand führen.

Die im Gesetz statuierten Meldeverpflichtungen der Unternehmen werden zu einer Verdichtung und Aktualisierung des Lagebildes der IT-Sicherheit in Deutschland führen. Aber auch Unternehmen des KMU-Sektors sollten der Absicherung ihrer betrieblichen Systeme mehr Beachtung schenken, auch wenn dies mit erhöhten Kosten verbunden ist.

Mit dem Inkrafttreten dieses Gesetzes wird die Bundesrepublik Deutschland ihre Sicherheitsmaßnahmen den bereits bei Partnern in der EU eingeführten Standards angleichen. Ob damit ein ähnliches Schutzniveau erreicht werden kann, wird die tägliche Praxis zeigen.