1. Der aktuelle nationale und europäische Cybersecurity-Rechtsrahmen
Nachdem zum 8. August 2016 die Richtlinie 2016/1148 „über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union“ (kurz: NIS-RL) der EU als zentraler Bestandteil der europäischen Cyber-Sicherheitsstrategie in Kraft getreten ist, begannen für die Mitgliedstaaten verschiedene Umsetzungsfristen zu laufen, die mit dem neuen Rechtsakt zur Schaffung eines höheren IT-Sicherheitsniveaus für die Betreiber von wesentlichen und Anbieter von digitalen Diensten verbunden sind. Zentraler Termin für die EU-Mitgliedstaaten ist dabei der 9. Mai 2018. Spätestens zu diesem Zeitpunkt müssen die neuen, durch die NIS-RL geforderten Rechts- und Verwaltungsvorschriften umgesetzt sein. Diese Verpflichtung ist auf die Rechtsnatur der Richtlinie zurückzuführen: Gem. Art. 288 AEUV ist sie im Hinblick auf das in ihr vorgeschriebene, zu erreichende Ziel verbindlich, überlässt den innerstaatlichen Stellen jedoch die Wahl von Form und Mitteln in Bezug auf ebenjene Zielerreichung. Daraus folgt die rechtliche Konsequenz, dass sich die NIS-RL zunächst an die Organe der EU-Mitgliedstaaten richtet, die den europäischen Rechtsakt mittels eines nationalen Umsetzungsgesetzes in eigenstaatliches Recht transferieren müssen. Für Deutschland geschieht dies durch das „Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“. Durch dieses Gesetz erfahren einige der Rechtsvorschriften, die bereits durch das IT-Sicherheitsgesetz (IT-SiG) als Artikelgesetz im Juli 2015 neu geschaffen oder novelliert wurden, eine (erneute) Anpassung. Überraschend dabei ist die Kürze der Zeit, innerhalb derer der Entwurf des nationalen Umsetzungsgesetzes für die NIS-RL von Seiten des Bundesinnenministeriums vorgelegt wurde. Deutlich wird hierdurch nicht nur, dass das Thema Cybersecurity durch die verschiedenen und teils prominenten Ereignisse in 2016 einen erheblichen rechtspolitischen Auftrieb erhalten hat, sondern auch, dass dem Gesetzgeber daran gelegen ist, für die zahlreichen, durch die neuen Regelungen betroffenen Betreiber und Diensteanbieter so früh wie möglich Rechtssicherheit zu schaffen. Parallel dazu werden die Vorgaben zum Anwendungsbereich der europäischen und nationalen IT-Sicherheitsregelungen durch die BSI-KritisV konkretisiert. Der erste „Korb“ dieser Verordnung, der die Sektoren Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation (IKT) abbildet, wurde am 22. April 2016 ausgefertigt, die Konkretisierungen für den zweiten Korb mit den Sektoren Transport, Verkehr, Gesundheit sowie Finanz- und Versicherungsdienstleistungen werden aller Voraussicht nach zum 1. Quartal 2017 fertig gestellt sein. Auch damit liegt Deutschland gut im Zeitplan, denn die NIS-RL schreibt in Art. 5. Abs. 1 vor, dass die Mitgliedstaaten die Ermittlung der Betreiber von so genannten „wesentlichen Diensten“ erst bis zum 9. November 2018 abgeschlossen haben müssen.
II. Die zentralen Neuregelungs- und Änderungsvorschläge im Gesetzentwurf des BMI
…
1. Schutz von Anbietern „digitaler Dienste“ gem. § 8c BSIG-E
…
2. IT-Notfall-Unterstützungsleistungen des BSI in herausgehobenen Fällen gem. § 5a BSIG-E
…
3. Konfliktfeld IT-Sicherheit und Datenschutz
…
4. Anpassung der TOV nach § 8a BSIG für die Betreiber von Kritischen Infrastrukturen
…
5. Anpassung der Meldepflicht nach § 8b BSIG an den EU-Rahmen, neuer Fokus auf die Funktionsfähigkeit der Kritischen Infrastruktur
…
6. Anpassungen im KRITIS-Anwendungsbereich nach § 8c BSIG (neu: § 8d BSIG-E)
…
7. Erweiterung der Verordnungsermächtigungen des BMI nach § 10 BSIG
…
8. Gesetzliche Implementierung der europäischen Cybersecurity-Kooperation
…
9. Anpassung und Erweiterung der Sonderregelungen für die Telematikinfrastruktur, § 291b SGB V
…
III. Bezifferbarer Erfüllungsaufwand für die Wirtschaft
…
IV. Fazit und Ausblick
Nach Inkrafttreten der NIS-RL im August 2016 konnten bereits einige Spekulationen darüber angestellt werden, wie die nationale Umsetzung der europäischen Vorgaben zur IT-Sicherheit erfolgen würde. Nach Veröffentlichung des entsprechenden Referentenentwurfes des Bundesministeriums des Innern im Dezember 2016 gab es nur wenig Überraschendes: Die Änderungen im BSIG, im AtG und im EnWG liegen allesamt im erwartbaren Rahmen und die Maßgaben für die betroffenen Betreiber erfahren keine wesentlichen Anpassungen, lediglich die Anforderungen, die durch die Änderungen des SGB V an die Gesellschaft für Telematik gestellt werden, wurden durch das IT-SiG von 2015 nur am Rande betrachtet. Die zentralsten Neuerungen im BSIG betreffen sowohl den § 5a wie auch den § 8c: Ersterer regelt die Unterstützungsleistungen des BSI zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit von IT-Systemen in herausgehobenen Fällen durch Mobile Incident Response Teams (MIRT), letzterer die neuen Anforderungen an die IT-Security für die Anbieter von digitalen Diensten.
Deutlich wird mit dem Umsetzungsgesetz zur NIS-RL zudem, dass sich die bisherige gesetzgeberische Vorarbeit in Deutschland für den Bereich der IT-Security auszahlt: So konnte nicht nur das IT-SiG Einfluss auf die inhaltliche Ausgestaltung der europäischen NIS-RL nehmen, sondern Deutschland konnte sich ebenso im Bereich der IT-Sicherheit gesetzlich als europäischer Vorreiter etablieren. Für die betroffenen Unternehmen steht deshalb nicht wie teils befürchtet ein „doppelter Implementierungsaufwand“ ins Haus, lediglich im Hinblick auf die Konkretisierung des Anwendungsbereichs der Regelungen zu Kritischen Infrastrukturen durch die BSI-KritisV könnten sich infolge des neuen Bezugs zum Europarecht neben einigen sonstigen Feinanpassungen Erweiterungen ergeben. Einen erheblichen Aufwand dürfte die nationale Umsetzung der NIS-RL aber für die beteiligten Behörden bedeuten. Hier steht Europa nicht nur vor der Herausforderung, ein faktisch ungleiches IT-Sicherheitsniveau in den Mitgliedstaaten durch ein Gesetz anzugleichen, sondern ebenso den transnationalen Informationsaustausch und das dazu notwendige Vertrauen in die zwischenstaatliche Zusammenarbeit zu stärken. Hierzu ist es wichtiger denn je, dass sich Gesetzgebung und Verwaltung, Wissenschaft und Anwendungspraxis bestmöglich aufeinander abstimmen.
Fünf Jahre nach seinem Inkrafttreten wird das Umsetzungsgesetz zur NIS-RL einer Evaluierung gemäß dem Arbeitsprogramm der Bundesregierung zur besseren Rechtsetzung unterzogen.
Dieser Beitrag entstand im Rahmen des vom BMBF geförderten Forschungsschwerpunkts „IT-Sicherheit für Kritische Infrastrukturen“ (ITS|KRITIS) als Bestandteil der Hightech-Strategie der Bundesregierung. Der Volltext erscheint in Kürze in der Zeitschrift für Multimediarecht (MMR) im beck-Verlag. Eine Praxisfassung ist für die Mitglieder des BMBF-Förderschwerpunktes kostenfrei bestellbar bzw. kann auf der Projektwebsite zum Download angefordert werden.
Kontakt:
Dr. Dennis-Kenji Kipker
Universität Bremen
Institut für Informations-, Gesundheits- und Medizinrecht (IGMR)
Vernetzte IT-Sicherheit Kritischer Infrastrukturen (VeSiKi)
Universitätsallee GW1
28359 Bremen
Tel.: 0421 218 66049
Fax: 0421 218 66052