close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

Hintergrundpapier Zum Kabinettsentwurf für ein IT

Einbetten
Hintergrundpapier
Zum Kabinettsentwurf für ein IT-Sicherheitsgesetz vom 17.12.2014
und zum europäischen Gesetzgebungsverfahren für eine Richtlinie
über Maßnahmen zur Gewährleistung einer hohen gemeinsamen
Netz- und Informationssicherheit in der Union (sogenannte NISRichtlinie).
eco – Verband der deutschen Internetwirtschaft e.V. versteht sich als
Interessenvertreter und Förderer aller Unternehmen, die mit dem Internet wirtschaftliche Wertschöpfung betreiben. Der Verband vertritt derzeit rund 800 Mitgliedsunternehmen. Hierzu zählen unter anderem ISP
(Internet Service Provider), Carrier, Hard- und Softwarelieferanten,
Content- und Service-Anbieter sowie Kommunikationsunternehmen.
eco ist damit der größte nationale Internet Service Provider-Verband
Europas.
I.
Einleitung
Im Februar 2013 stellte die Europäische Kommission eine Vorschlag für
eine Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (sogenannte
NIS-Richtlinie) vor. Im März 2014 einigte sich das Europäische Parlament auf eine leicht abgewandelte Fassung. Das Gesetzgebungsverfahren steht mit dem gerade laufenden Trilog-Verhandlungen nun zwar
kurz vor dem Abschluss, entscheidende Fragen sind aber noch zu klären. Die Bundesregierung hat am 17. Dezember 2014 den Kabinettsentwurf für ein IT-Sicherheitsgesetz beschlossen und vorgestellt. Das
Gesetz soll nach Abschluss des parlamentarischen Verfahrens in der
zweiten Jahreshälfte 2015 beschlossen werden und sofort in Kraft treten.
eco hat die Bestrebungen der Bundesregierung sowie der europäischen
Kommission, die IT-Sicherheit kritischer Infrastrukturen zu verbessern,
grundsätzlich begrüßt. Angesichts der zunehmenden umfassenden digitalen Durchdringung der Gesellschaft sind wirksame Maßnahmen zur
Verbesserung der IT-Sicherheit zum Schutz von Bürger, Staat und
Wirtschaft sinnvoll.
eco hat aber auch immer wieder die Notwendigkeit betont, nationale
Vorhaben zur Verbesserung der IT-Sicherheit sowohl in die europäischen als auch die internationalen Bestrebungen zur Verbesserung der
IT-Sicherheit einzubetten und die Regelungen eng abzustimmen. Denn
IT-Sicherheit ist im Zeitalter des Internet ein intrinsisch grenzüberschreitende Problematik. Daher ist es notwendig, international bzw. zumindest europäisch einheitliche und eng abgestimmte Regelungen und
Seite 1 von 5
Standards anzustreben. Ein „Flickenteppich“ unterschiedlichster nationaler Vorgaben zur IT-Sicherheit muss daher soweit möglich vermieden
werden.
Wir möchten die Gelegenheit nutzen, die Positionen der Internetwirtschaft hinsichtlich der gesetzlichen Bestrebungen zur IT-Sicherheit auf
nationaler und europäischer Ebene zu erläutern:
II.
Hintergrund
Parallele Gesetzgebungsverfahren zur IT-Sicherheit auf nationaler
und europäischer Ebene
Der Gesetzentwurf der Bundesregierung enthält Anforderungen an die
IT-Sicherheit kritischer Infrastrukturen, also solche Einrichtungen, die
für das Gemeinwesen von zentraler Bedeutung sind, z.B. die Energieoder Wasserversorgung. Betreiber kritischer Infrastrukturen sollen zukünftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche
IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Das BSI soll dann die zusammenlaufenden
Informationen auswerten und den Betreibern kritischer Infrastrukturen
zur Verfügung stellen.
Abseits kritischer Infrastrukturen sollen darüber hinaus die Anforderungen an die IT-Sicherheit für Diensteanbieter im Telekommunikationsund Telemedienbereich erhöht werden. Telemediendienstanbieter sollen ungeachtet bereits bestehender Verpflichtungen etwa nach dem
Bundesdatenschutzgesetz zusätzlich verpflichtetet werden, ITSicherheit nach dem jeweiligen Stand der Technik zu gewährleisten.
Telekommunikationsunternehmen sollen zudem zusätzlich verpflichtet
werden, ihre Kunden zu warnen, wenn der Anschluss eines Kunden für
Angriffe missbraucht wird.
Der Vorschlag der europäischen Kommission bzw. des europäischen
Parlaments verfolgt letztendlich das gleiche Ziel wie das ITSicherheitsgesetz: Das Ziel der Kommission ist es, die Erhöhung der
IT-Sicherheit der privaten Netze und Informationssysteme, die für das
Funktionieren von Wirtschaft und Gesellschaft unverzichtbar sind, zu
erreichen. Dazu will die Kommission die Mitgliedstaaten verpflichten,
die Zusammenarbeit der Akteure untereinander zu erhöhen und die
Abwehrbereitschaft bzw. Widerstandsfähigkeit gegen Angriffe und Beeinträchtigungen zu verbessern, um so die Funktionsfähigkeit kritischer
Infrastrukturen sicherzustellen. Das Gesetzgebungsverfahren zur NISRichtlinie steht mit den gerade laufenden Trilog-Verhandlungen zwar
kurz vor dem Abschluss, entscheidende Fragen sind aber noch zu klären.
Seite 2 von 5
Informeller Trilog 2014
Am 10. Oktober 2014 hatte der Ausschuss der Ständigen Vertreter der
Mitgliedstaaten (COREPER) der italienischen Ratspräsidentschaft das
Mandat erteilt, mit dem Europäischen Parlament erste Sondierungsgespräche aufzunehmen. Ein erstes Treffen fand am 14. Oktober 2014
statt, ein zweiter, informeller Trilog, am 11. November 2014. Der dritte
und letzte informelle Trilog war für den 9. Dezember 2014 vorgesehen,
ist jedoch verschoben worden. Das letzte sogenannte „room
document”, das Anfang Dezember 2014 zirkulierte, schlug einen harmonisierten Ansatz für den Anwendungsbereich, nach dem Vorbild der
bestehenden Richtlinie zur Ermittlung und Ausweisung europäischer
kritischen Infrastrukturen (2008/114/EG) vor.
Im Zentrum der Verhandlungen steht das immer noch ungelöste Problem des Anwendungsbereichs der Richtlinie. Welche Einrichtungen sollen überhaupt als kritische Infrastrukturen gelten? Hier herrscht sowohl
unter einigen Mitgliedstaaten, aber auch zwischen Rat und Europäischen Parlament Uneinigkeit.
Das Problem des Anwendungsbereichs
Der jüngste Vorschlag des Rates erlaubte es den Mitgliedstaaten, auf
Grundlage von vorab definierten Kriterien festzulegen, ob und in welchem Ausmaß bestimmte Betreiber in vorab festgelegten Sektoren unter die in der Richtlinie vorgesehenen Auflagen für Sicherheitsstandards
und Meldepflichten bei Vorfällen fallen.
Das Europäische Parlament dagegen hat einen Ansatz ins Auge gefasst, bei dem alle Betreiber in allen vorab festgelegten Sektoren den
im Gesetz festgelegten Verpflichtungen unterliegen. Allerdings sollen
die Nachweispflichten für die Umsetzung der verlangten Sicherheitsmaßnahmen variieren.
Weiterhin ungeklärt ist auch die Frage, welche Sektoren in die gesetzliche Bestimmungen einbezogen werden sollen. Offen ist derzeit, ob entsprechend der Empfehlung der Europäischen Kommission sogenannte
Dienste der Informationsgesellschaft, also Internetdienste vom einfachen Blog bis zum weltweit agierenden Social-Media Dienst in eine entsprechende gesetzliche Liste der Verpflichteten aufgenommen werden
sollten.
Weitere ungelöste Punkte betreffen die Zielsetzung insbesondere die
Reichweite der Kooperation zwischen den Mitgliedstaaten. Außerdem
sind die Bestimmung der Art und Weise sowie Form und Kriterien hinSeite 3 von 5
sichtlich nationaler Meldepflichten bei einem sicherheitsrelevanten Vorfall und dem grenzüberschreitenden, europaweiten Austausch derzeit
noch nicht abschließend geklärt.
Ausblick
Die ab dem 1. Januar 2015 amtierende lettische Ratspräsidentschaft
hat die zeitnahe Verabschiedung und zügige Implementierung der
Richtlinie in ihrem veröffentlichtem Arbeitsprogramm besonders hervorgehoben. Die NIS-Richtlinie könnte bei einer zügigen Einigung im zweiten Quartal 2015 in Kraft treten und müsste dann innerhalb der nächsten 18 Monate in nationales Recht umgesetzt werden.
III.
Position der Internetwirtschaft
Kein nationales „Vorpreschen“, sondern europäische Harmonisierung
Um Widersprüche zwischen dem nationalen IT-Sicherheitsgesetz und
den europäischen Vorgaben zu vermeiden, muss eine enge Abstimmung und Verzahnung des nationalen IT-Sicherheitsgesetzes mit den
europäischen Vorgaben erfolgen, bevor auf nationaler Ebene gesetzliche Verpflichtungen und Regelungen geschaffen werden. Die Bundesregierung ist hier in der Pflicht, den Unternehmen Rechts- und Planungssicherheit zu gewährleisten. Sonst besteht die Gefahr, dass das
IT-Sicherheitsgesetz bald wieder an die europäischen Vorgaben angepasst und geändert werden muss. Diese Fragen, insbesondere die
notwendige rechtssichere Einbettung in das europäische Regelwerk,
müssen im Rahmen des jetzt anstehenden parlamentarischen Verfahrens beantwortet werden. Offene Fragen bestehen noch angesichts des
europäischen Gesetzgebungsverfahrens für eine Richtlinie zur Gewährleistung einer hohen gemeinsamen Netzwerk- und Informationssicherheit (NIS-Richtlinie).
Zusammenfassung der Positionen:
•
•
Notwendig ist eine europäische Harmonisierung der Bestimmungen zur IT-Sicherheit kritischer Infrastrukturen, kein nationales
„Vorpreschen“.
Bevor ein nationales „IT-Sicherheitsgesetz“ als quasi vorweggenommenes „Umsetzungsgesetz“ für eine noch nicht ganz fertiggestellte Richtlinie verabschiedet wird, sollte die Bundesregierung den inhaltlichen Gleichklang, also eine europäische Einbettung und Abstimmung, sicherstellen, sodass die Unternehmen
Rechts- und Planungssicherheit haben.
Seite 4 von 5
•
•
•
•
•
•
Erstes Ziel muss eine starke europaweite Harmonisierung der
Verpflichtungen und Anforderungen für Betreiber kritischer Infrastrukturen sein.
Konzentration des Anwendungsbereichs auf kritische Infrastrukturen beibehalten.
Keine Sonderregelungen für sämtliche Dienste der Informationsgesellschaft, sondern ein am jeweiligen Ausfallrisiko orientierter
Ansatz.
Die Identifizierung und Festlegung sogenannter kritischer Infrastrukturen benötigt präzise gesetzliche Kriterien.
Berücksichtigung bereits bestehender Verpflichtungen gemäß
den allgemeinen EU-Datenschutzvorschriften sowie branchenspezifischer Verpflichtungen etwa für Anbieter elektronischer
Kommunikation.
Grenzüberschreitenden Informationsaustausch und Kooperation
der Aufsichtsbehörden sicherstellen.
____________________________
Seite 5 von 5
Autor
Document
Kategorie
Uncategorized
Seitenansichten
1
Dateigröße
216 KB
Tags
1/--Seiten
melden