IT-Sicherheitsgesetz für Industrie und Wirtschaft

Peter Heyers • • IT-Recht

Seit dem 25. Juli 2015 ist das IT-Sicherheitsgesetz in Kraft. Es soll in Deutschland IT-Systeme durch Verbesserung ihrer Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität schützen. Dadurch sollen Infrastrukturanbieter wir Wasser- und Energieversorger, Verkehrs- und Telekommunikationsunternehmen vor Cyberattacken bewahrt werden. Für die IT-Wirtschaft sind insbesondere die Änderungen des BSI-Gesetzes (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) von bedeutendem Interesse.

Nach dem neuen IT-Sicherheitsgesetz sind Kritische Infrastrukturen Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden (§ 2 Abs. 10 Satz 1 BSI-Gesetz).

Problematisch ist, dass der Gesetzgeber nicht definiert, was die „hohe Bedeutung für das Funktionieren des Gemeinwesens″ zum Inhalt hat. Das Bundesministerium des Innern soll den Begriff durch Rechtsverordnung konkretisieren und Schwellenwerte dafür festlegen. Kleinstunternehmen (§ 8c Abs. 1 BSI-Gesetz) sind glücklicherweise ausgenommen. Auch die Betreiber von öffentlichen Telekommunikationsnetzen, Energieversorgungsnetzen oder Genehmigungsinhaber nach dem Atomgesetz (§ 8c Abs. 2 und 3 BSI-Gesetz) sind ausgenommen, da für diese bereits jetzt Spezialgesetze gelten wie TKG, EnWG, AtG). Die Hersteller von IT-Produkten und Systemen (hierzu zählt auch Software), die Kritische Infrastruktur Anwendungen anbieten, müssen bereits jetzt die Vorgaben einhalten. Dabei genügt für die Anwendung des BSI-Gesetz schon, dass Soft- oder Hardware zufälligerweise in einer Kritischen Infrastruktur genutzt wird, wie z. B. eine Textverarbeitung. Die Betreiber kritischer Infrastrukturen müssen Binnen zwei Jahren nach Inkrafttreten angemessene organisatorische und technische Vorkehrungen zur Störungsvermeidung treffen (§ 8a Abs. 1 Satz 1, 3 BSI-Gesetz). Dem BSI können Betreiber und ihre Branchenverbände dabei Sicherheitsstandards unterbreiten, die vom BSI überprüft und für geeignet befunden werden können (§ 8a Abs. 2 BSI-Gesetz). Die Betreiber müssen die umgesetzten Vorkehrungen mindestens alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachweisen. (§ 8a Abs. 3 BSI-Gesetz).

Bei erhebliche Störungen muss dies dem BSI gemeldet werden, auch wenn nur Funktionsfähigkeit betroffen sein kann (§ 8b Abs. 4 BSI-Gesetz). Dem BIS müssen eingerichtete Kontaktstellen übermittelt werden (§ 8b Abs. 3 BSI-Gesetz). Das BSI erhält nach § 8b Abs. 6 BSI-Gesetz die Befugnis, die Mitwirkung zu verlangen und zwar bei den Herstellern betroffener IT-Produkte und –Systemen. Das BSI darf IT-Produkte und -Systeme untersuchen, worunter nach der Gesetzesbegründung des IT-Sicherheitsgesetzes auch das Reverse-Engineering von Software fällt (§ 7a Abs. 1 BSI-Gesetz), und Sicherheitslücken veröffentlichen. Auch wenn Produkte nicht vorrangig für Kritische Infrastrukturen entwickelt werden, wird zukünftig sicherlich die IT-Sicherheitsstandard dadurch angehoben.

Letztlich ist damit in IT-Projekten auf eine angemessene Vertragsgestaltung auch bei „normalen“ IT-Projekten, die jedoch einen Dual-Use ermöglichen, die Vorgaben des IT-Sicherheitsgesetztes anzuwenden. Bußgeldbescheide haben IT-Unternehmen vom BSI nicht zu befürchten. Allerdings drohen Bußgelder von bis zu 100.000 Euro (§ 14 Abs. 2 BSI-Gesetz) den Betreibern Kritischer Infrastrukturen. Sollte diese darauf beruhen, dass IT-Hersteller, IT-Dienstleister oder Berater Fehler verursacht haben, die kausal für dieses Bußgeld waren, werden diese sicherlich zum Schadensersatz verpflichtet. Bevor hier jedoch Rechtsprechung vorliegt, ist in IT-Projekten, diesbezüglich große Vorsicht bei der Vertragsgestaltung angesagt.