Übersicht: Informationsflüsse und Schutzprozesse in der IT-Sicherheit Kritischer Infrastrukturen
Aus aktuellem Anlass und aufgrund von Nachfragen von verschiedenen Stellen wird hier nunmehr ein „Off-Topic“ platziert: Die Vorstellung der nationalen und europäischen rechtlichen Rahmenbedingungen, wie sie aktuell vorrangig für die Betreiber von Kritischen Infrastrukturen gelten. Durch das IT-Sicherheitsgesetz (IT-SiG), welches im Juli 2015 in Kraft trat, wurden auf nationaler Ebene verschiedene Paragraphen vor allem im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) geändert. Die Neuerungen sehen unter anderem vor, dass die Betreiber von Kritischen Infrastrukturen verschiedene technische und organisatorische Anforderungen erfüllen müssen, um einem angemessenen Niveau an IT-Sicherheit gerecht zu werden. Vorrangig sind dabei insbesondere die technischen und organisatorischen Vorkehrungen (TOV) gem. § 8a BSIG und die Meldepflichten gem. § 8b BSIG zu beachten. Durch das IT-SiG wurden vor allem auch die Befugnisse des BSI gestärkt, welches nunmehr zum zentralen Knotenpunkt der IT-Sicherheit in Deutschland avanciert ist.
Auf europäischer Ebene befindet sich zurzeit darüber hinaus die Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (NIS-RL) im Gesetzgebungsverfahren. Nach Beendigung des Gesetzgebungsverfahrens, womit zurzeit Ende 2015/Anfang 2016 zu rechnen ist, werden durch die EU ebenso verschiedene Maßnahmen angeordnet, um die IT-Sicherheit auf europäischer Ebene zu verbessern. Während das IT-SiG sich auf den nationalen Rechtsraum konzentriert, sollen durch das europäische Regelwerk transnationale Mechanismen des Informationsaustausches, u.a. unter Einbindung der ENISA, realisiert werden. Die Verpflichtungen aus der NIS-RL betreffen den deutschen Gesetzgeber; dieser hat im Rahmen einer Umsetzungsfrist von 18 Monaten die europäischen Vorgaben in nationales Recht umzusetzen.
Die im Folgenden zum freien Download zur Verfügung stehende Präsentation soll einen ersten Orientierungspunkt zu den neuen gesetzlichen Regelungen liefern. Sie ist zur freien Weiterverbreitung bestimmt und möchte die wesentlichen Neuerungen systematisiert veranschaulichen. Entstanden ist sie im Rahmen einer durch das BMBF geförderten Forschung. In die rechtlichen Betrachtungen einbezogen wird auch der IT-Sicherheitskatalog der BNetzA gem. § 11 Abs. 1a EnWG. Gleichwohl die wissenschaftliche Ausarbeitung mit größtmöglicher Sorgfalt erstellt wurde, können Fehler dennoch nicht vollständig ausgeschlossen werden. Eine Garantie für Vollständigkeit und Richtigkeit wird deshalb nicht übernommen. Ferner ersetzt diese Präsentation keine qualifizierte Rechtsberatung für den Einzelfall.
Der aktuelle Rechtsrahmen zur IT-Sicherheit in Deutschland: Der ursprüngliche Gesetzentwurf und die geänderte Fassung sind an dieser Stelle inklusive der jeweiligen Begründungen abrufbar.
Link zum Download der Präsentation: Dennis-Kenji_Kipker_IT-Sicherheitsrecht_11_2015_PUBL
UPDATE vom 13.11.2015: Working-Paper zum IT-SiG und den wesentlichen rechtlichen Anforderungen: Dennis-Kenji Kipker Working Paper zum IT-SiG STAND 13.11.2015
UPDATE vom 20.05.2016: Übersichtsposter zu den Schutzzielen und Informationsflüssen nach IT-SiG und NIS-RL
Please see for an English version here.
