Dr. Frank Jungfleisch, GesellschaftsrechtSebastian Hoegl, Gesellschaftsrecht

Bundestag verabschiedet IT-Sicherheitsgesetz

Am 12.06.2015 hat der Bundestag das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)" beschlossen. Das neue Gesetz schafft Rahmenbedingungen für eine verstärkte IT-Sicherheit und führt ein zentrales Meldewesen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ein.

Das Gesetz definiert erstmalig sogenannte „kritische Infrastrukturen". Nach dem Willen des Gesetzgebers handelt es sich dabei um Bereiche, die für die öffentliche Versorgung eine bedeutende Rolle spielen. Sie umfassen alle Einrichtungen, Anlagen oder Teile davon in den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, sowie Finanz- und Versicherungswesen. Die „kritischen Infrastrukturen" sollen allerdings noch durch eine Rechtsverordnung, die vom Bundesministerium des Inneren in Abstimmung mit den betroffenen Wirtschaftsverbänden zu erlassen ist, näher definiert werden.

Das Gesetz ermächtigt das BSI zur selbstständigen Ermittlung von Gefährdungspotentialen. Zudem verpflichtet es die Betreiber kritischer Infrastrukturen, spätestens zwei Jahre nach Inkrafttreten der erwähnten Rechtsverordnung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen zu treffen. Die Betreiber kritischer Infrastrukturen müssen darüber hinaus Kontaktstellen zum Informationsaustausch mit dem BSI bereithalten. Sie werden außerdem verpflichtet, Störungen unverzüglich an das BSI zu melden.

Das BSI wird zudem ermächtigt, Warnungen vor Sicherheitslücken und Schadprogrammen sowie Warnungen im Falle eines drohenden Verlustes von Daten oder eines unerlaubten Zugriffs auf Daten an die Öffentlichkeit zu richten.

Zu beachten ist, dass einige der Regelungen des neuen IT-Sicherheitsgesetzes nicht auf Kleinstunternehmen (Unternehmen mit weniger als 10 Mitarbeitern) anzuwenden sind. Darüber hinaus stellt das neue Gesetz bislang lediglich Rahmenbedingungen auf, die vielfach noch durch die erwähnte Rechtsverordnung konkretisiert werden müssen.

Im Zuge der Verabschiedung des IT-Sicherheitsgesetzes wurden auch Regelungen im Telemediengesetz (TMG) geändert, die für alle Webseitenbetreiber relevant sind. Diese werden in Zukunft verpflichtet sein, ihre Webseiten gemäß dem aktuellen Stand der Technik zu sichern. Sowohl Verstöße gegen das IT-Sicherheitsgesetz als auch gegen die nunmehr gesetzlich normierte Pflicht für Webseitenbetreiber können bußgeldbewehrt sein.

Die Gesetzesänderungen geben Unternehmen Anlass, die eigenen IT-Infrastrukturen und deren Sicherheit kritisch zu hinterfragen. Die Absicherung gegen Störungen und Angriffe von außen liegt zu allererst im Eigeninteresse des Unternehmens. Die Neuregelungen zeigen aber, dass der Gesetzgeber der Auffassung ist, dass es sich insoweit auch um Pflichten der Unternehmen handelt. Diese sollten daher insbesondere beobachten, welche Rechtsverordnungen in naher Zukunft durch das Bundesministerium des Inneren zur Konkretisierung des neuen Gesetzes erlassen werden.

Kontakt > mehr