Aktueller Stand zu BSI-Kritisverordnung und IT-Sicherheitsgesetz

Am 29.06.2017 erfolgte die offizielle Veröffentlichung des deutschen Umsetzungsgesetzes zur sogenannten NIS-Richtlinie (Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union). Ebenfalls Teil der damit rechtskräftigen Veröffentlichung im Bundesgesetzblatt ist die Erste Verordnung zur Änderung der BSI-Kritisverordnung, mit der man sich in Einklang mit dem IT-Sicherheitsgesetz vom bestehenden System der Selbstregulierung im Bereich KRITIS (=Kritische Infrastrukturen) entfernt. Was hat es mit der plötzlichen Regulierung in der IT-Sicherheit und der neuen „Verordnung zur Verordnung“ auf sich? Wir geben einen Überblick.

Was bisher geschah

Die maßgebliche Gangart im Bereich gesetzlich regulierter IT-Sicherheit wurde mit dem am 25.07.2015 in Kraft getretenen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) bestimmt. Das IT-Sicherheitsgesetz nimmt als sogenanntes Artikelgesetz Änderungen und Ergänzungen in anderen Gesetzen vor, neben dem BSI-Gesetz etwa auch im Energiewirtschaftsgesetz, TKG, TMG und SGB. Das europäische Vorhaben NIS-Richtlinie lief von Anfang an eher schleppend voran: Das EU-Parlament und der Europäische Rat hatten zum Zeitpunkt des in Kraft getretenen IT-Sicherheitsgesetzes gerade einmal die letzte Trilog-Verhandlung abgeschlossen. Ein gutes Jahr später als das IT-Sicherheitsgesetz, wurde am 19.Juli 2016 schließlich die lang erwartete Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen – die NIS-Richtlinie – im Amtsblatt der EU veröffentlicht. Im August 2016 trat das Gesetz in Kraft, wobei die Umsetzung in nationales Recht gem. Artikel 25 Abs. 1 NIS-Richtlinie bis 9. Mai 2018 erfolgen muss. Hieran schließt auch die neue BSI-Kritisverordnung an, die weitere Konkretisierungen zur Bestimmung KRITIS vornimmt und weitere Sektoren bestimmt, wie sie auch die NIS-Richtlinie vorsieht.

Deutschland mit Vorsprung

Im Rahmen der europäischen Cyber-Sicherheitsstrategie – also der rechtsdogmatischen Grundlage, auf der auch die NIS-Richtlinie basiert – hat der deutsche Gesetzgeber mit dem IT-Sicherheitsgesetz bereits früher als andere europäische Staaten eine gesetzliche Grundlage im Bereich Cybersicherheit geschaffen. Durch eine analoge Ausrichtung an der europäischen Strategie sind viele der EU-Vorgaben bereits im IT-Sicherheitsgesetz enthalten. Die Regelungen gleichen sich mehrheitlich, etwa bei konkreten Sicherheitsanforderungen und der verpflichtenden Meldung von Sicherheitsvorfällen. Während die NIS-Richtlinie von „wesentlichen Diensten“ spricht, erstreckt sich das IT-Sicherheitsgesetz primär auf KRITIS. Gemeint sind gleichermaßen solche Infrastrukturen und Dienste, die einerseits wichtige Dienstleistungen für das Gemeinwohl bereitstellen und aufgrund infrastruktureller Vernetzung einer besonderen Bedrohungslage ausgesetzt sind. Die letzten Angleichungen auf nationaler Ebene erfolgen durch Umsetzungsgesetze und Verordnungen. Am 27.01.2017 wurde der erste Gesetzentwurf zur Umsetzung der NIS-Richtlinie veröffentlicht, der am 27.04.2017 vom Bundestag beschlossen wurde. Das Gesetz wurde schließlich am 29.06.2017 im Bundesgesetzblatt veröffentlicht und trat demgemäß am 30.06.2017 in Kraft. Gleiches gilt für die enthaltene Verordnung zur Änderung der bestehenden BSI-Kritisverordnung, die betroffenen Unternehmen dabei hilft, zu identifizieren, ob Sie zu den Betreibern Kritischer Infrastrukturen im Sinne des Gesetzes zählen. Sofern dies der Fall ist, muss dem BSI eine Kontaktstelle benannt werden.

BSI-Kritisverordnung

Die sogenannte BSI-Kritisverordnung regelt in erster Linie, welche Branchen oder Sektoren überhaupt dem IT-Sicherheitsgesetz und damit dem BSI-Gesetz unterfallen. Neben reinen textlichen Anpassungen, erweitert der 2. Korb die Verordnung nun um die Bereiche Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr und enthält Anlagen, in denen Schwellenwerte festgelegt und Formulierungen konkretisiert werden. Gemäß Artikel 1 Nr. 3 der Verordnung werden etwa nach § 5 die folgenden §§ 6 bis 8 in die BSI-Kritisverordnung eingefügt, um die bestehenden bereichsspezifischen Anforderungen der NIS-Richtlinie und des IT-Sicherheitsgesetzes zu konkretisieren (in Auszügen):

§6
Sektor Gesundheit

(1) Wegen ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens sind im Sektor Gesundheit kritische Dienstleistungen im Sinne des § 10 Absatz 1 Satz 1 des BSI-Gesetzes:

1. die stationäre medizinische Versorgung;
2. die Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, die Verbrauchsgüter sind;
3. die Versorgung mit verschreibungspflichtigen Arzneimitteln und Blut- und Plasmakonzentraten zur Anwendung im oder am menschlichen Körper;
4. die Laboratoriumsdiagnostik.

(2) Die stationäre medizinische Versorgung wird in den Bereichen Aufnahme, Diagnose, Therapie, Unterbringung/Pflege und Entlassung erbracht.

(…)

§7
Sektor Finanz- und Versicherungswesen

(1) Wegen ihrer besonderen Bedeutung für das

Funktionieren des Gemeinwesens sind im Sektor Finanz- und Versicherungswesen kritische Dienstleistungen im Sinne des § 10 Absatz 1 Satz 1 des BSI-Gesetzes:

1. die Bargeldversorgung;
2. der kartengestützte Zahlungsverkehr;
3. der konventionelle Zahlungsverkehr;
4. die Verrechnung und die Abwicklung von Wertpapier- und Derivatgeschäften;
5. Versicherungsdienstleistungen.

(…)

§8
Sektor Transport und Verkehr

(1) Wegen ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens ist im Sektor Transport und Verkehr die Versorgung der Allgemeinheit mit Leistungen zum Transport von Personen und Gütern (Personen- und Güterverkehr) kritische Dienstleistung im Sinne des § 10 Absatz 1 Satz 1 des BSI-Gesetzes.

(2) Der Personen- und Güterverkehr wird durch die Verkehrsträger Luftverkehr, Schienenverkehr, Binnen- und Seeschifffahrt, Straßenverkehr sowie

verkehrsträgerübergreifend im öffentlichen Personennahverkehr (ÖPNV) und in der Logistik erbracht.

(…)

Welche Neuerungen ergeben sich?

Neuerungen ergeben sich zum jetzigen Zeitpunkt aus dem Umsetzungsgesetz im Zusammenspiel mit der neuen Verordnung zur BSI-Kritisverordnung. Geregelt wird auch der Umgang „digitaler Dienste“. Die geforderten Klarstellungen sind jedoch im Umsetzungsgesetz und auch im 2. Korb der BSI-Kritisverordnung nicht enthalten. Der Gesetzgeber verweist hier auf zukünftige, noch ausstehende Rechtsakte der EU-Kommission, die in den nächsten Monaten für weitere Detaillierungen sorgen sollen. Zum jetzigen Zeitpunkt folgt man den Vorgaben und zudem auch der Definition der NIS-Richtlinie, womit die nachfolgenden Kategorien als „digitale Dienste“ verstanden werden:

• Online-Marktplätze
• Online-Suchmaschinen
• Cloud-Computing-Dienste

Betroffene Unternehmen müssen folgende Punkte beim Schutz der IT-Infrastrukturen und – Systeme in Zukunft besonders berücksichtigen:

• der Sicherheit der Systeme und Anlagen,
• der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen (SIM),
• dem Betriebskontinuitätsmanagement (BCM),
• der Überwachung, Überprüfung und Erprobung,
• der Einhaltung internationaler Normen.

Zusätzliche Anforderungen ergeben sich über alle Bereiche hinweg bei den Meldepflichten, wobei ab einer bestimmten Beeinträchtigungsstufe zukünftig alle verantwortlichen IT-Störungen gemeldet werden müssen. Erhebliche Störungen der IT-Infrastruktur sind etwa dann zu melden, wenn ein Ausfall der Anlage droht. KRITIS Betreiber treffen zudem erweiterte Nachweispflichten. Das BSI kann derzeit die KRITIS Betreiber nur dann überprüfen, sofern Mängel nachgewiesen werden. Nach Artikel 15 der NIS-Richtlinie kann das BSI KRITIS-Betreiber auch dann überprüfen, wenn keine konkreten Mängel nachgewiesen wurden. Das nationale Umsetzungsgesetz fordert deshalb, dass Audits, Prüfungen oder Zertifizierungen zwecks Nachweis jederzeit vorgelegt werden können. Informationssicherheitsmanagementsysteme (ISMS) dürften hier nach wie vor eine gute Grundlage darstellen, um routinemäßige (interne) Prüfprozesse zu implementieren, mit deren Hilfe man stets auskunftsfähig ist. Im Zuge der neuen Befugnisse des BSI sind nämlich auch Kontrollbesuche der Behörde möglich (ähnlich der datenschutzrechtlichen Aufsichtsbehörde). Außerdem soll die operative Gefahrenabwehr zentraler Bestandteil des BSI werden, indem die lange vorgesehenen Mobile Incident Response Teams geschaffen werden (siehe CSIRTs nach NIS-Richtlinie). Hiernach kann das BSI in besonders schweren Fällen („herausgehobene Fälle“) erstmals selbst aktiv tätig werden und z.B. ein Krankenhaus bei der Wiederherstellung der IT-Infrastruktur unterstützen oder technische Vor-Ort-Beratung eines Energiebetreibers anbieten, der von einer Schadsoftware à la WannaCry betroffen ist.