Aktueller Channel Fokus:

Digital Workplace & Mobility

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme

IT Sicherheitsgesetz 2.0 – wird der digitale Raum überreguliert?

| Autor / Redakteur: Thomas Repka / Sarah Gandorfer

Das geplante IT-Sicherheitsgesetz ist eine Reaktion auf bekanntgewordene Hackerangriffe und Sicherheitslücken.
Das geplante IT-Sicherheitsgesetz ist eine Reaktion auf bekanntgewordene Hackerangriffe und Sicherheitslücken. (Bild: © tronixAS - stock.adobe.com)

Mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) will die Bundesregierung IT-Systeme und digitale Infrastrukturen in Deutschland zu den sichersten weltweit machen. Demnächst kommt es zu einer Überarbeitung des Erlasses.

Die Bundesregierung hat sich im Koalitionsvertrag auf die Fahnen geschrieben, die IT-Sicherheit für Bürger und Unternehmen zu erhöhen und möchte dafür ein IT-Sicherheitsgesetz 2.0 auf den Weg bringen. Ein erster Entwurf vom Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde bereits geleakt und gibt Anlass, sich mit den geplanten Regelungsinhalten auseinanderzusetzen.

Rechtspolitisch ist zu berücksichtigen, dass das geplante Gesetz auch eine Reaktion auf bekanntgewordene Hackerangriffe und Sicherheitslücken ist. Die Zielsetzung des Gesetzesvorhabens ist damit klar: Cyberangriffe sollen vermieden werden und User sollen sich auf IT-Systeme, die sie täglich nutzen, verlassen können.

Neue Befugnisse für das BSI

Um diese Ziele zu erreichen, soll insbesondere das BSI eine ganze Reihe von erweiterten Befugnissen erhalten. Danach darf das BSI künftig erweitere Anordnungen an Provider erlassen, Prüfungen der Sicherheit an das Internet angeschlossener Hardware und Untersuchungen von IT-Produkten vornehmen.

Hersteller von IT-Produkten müssen dem BSI nach dem Gesetzesentwurfs zukünftig „erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit“ melden. Es droht – ähnlich wie im Datenschutzrecht – eine Welle von vorsorglichen Meldungen. Wie die Behörde die befürchtete Flut von Meldungen bearbeiten will, ist unklar.

Betreiber von IT-Systemen künftig stärker in der Pflicht

Zudem sollen nach dem Entwurf Betreiber von IT-Systemen stärker als bislang in die Pflicht genommen werden. Hierzu gehören erweiterte Meldepflichten bei Sicherheitsvorfällen, die Implementierung von (Früh)-Warnsystemen für Cyberangriffe sowie die Pflicht zur Einholung sogenannter Vertrauenswürdigkeitserklärungen für Kernkomponenten der IT-Infrastruktur. Erfasst sind börsennotierte Unternehmen und solche aus den Bereichen Energiewirtschaft, Rüstungswirtschaft, Kultur und Medien. Noch dazu soll das BSI die Kompetenz erhalten, bestimmten Unternehmen wegen ihrer „Cyberkritikalität“ zusätzliche Verpflichtungen aufzuerlegen.

Bußgelder wie im Datenschutzrecht

Zähne bekommt das Gesetzesvorhaben durch verschärfte Straf- und Bußgeldvorschriften. So soll der Bußgeldrahmen deutlich erhöht werden – Bußgelder dürften danach bis zu 4 Prozent des globalen Umsatzes eines Unternehmens betragen. Dass ein solches Instrumentarium wirkt, zeigt die parallele Vorschrift im neuen Datenschutzrecht (Art. 83 DSGVO): sowohl die Anzahl der Bußgeldverfahren als auch die ausgesprochenen Strafen haben sich deutlich erhöht. Derzeit können die Behörden wohl nur fehlende Kapazitäten und Ressourcen aufhalten, weit mehr Bußgeldverfahren anzustrengen. Gleiches droht nun auch im Bereich der IT-Sicherheit. Neue Straftatbestände betreffen den Bereich der unbefugten Benutzung von IT-Systemen (Hacking) und das Betreiben von Darknet-Marktplätzen.

Führt das alles zu höherer IT-Sicherheit?

Ob diese geplanten Maßnahmen zu tatsächlich höherer Sicherheit von IT-Systemen führen, lässt sich derzeit nur schwer abschätzen. Es besteht die Gefahr, dass das Gesetz ein reines Bürokratiemonster wird, ohne einen tatsächlichen Nutzen für User, Bürger und Unternehmen zu haben. Mit der geplanten Gesetzesverschärfung einhergehen muss daher in jedem Fall eine Erhöhung der Ressourcen des BSI, damit die Behörde die neuen Befugnisse und Sanktionsmöglichkeiten auch ausüben und umsetzen kann. Dass genau daran die Umsetzung gut gemeinter Regelungen schlussendlich scheitern kann, zeigt ebenfalls das Datenschutzrecht.

Über den Autor

Thomas Repka ist Rechtsanwalt und bei der Kanzlei Rose & Partner.
Thomas Repka ist Rechtsanwalt und bei der Kanzlei Rose & Partner. (Bild: Rose & Partner)

Thomas Repka ist Rechtsanwalt und bei der Kanzlei Rose & Partner tätig. Seine Schwerpunkte liegen im IT- und Datenschutzrecht. Er berät Unternehmen, Online-Händler und Dienstleister insbesondere bei IT-Projekten und der Gestaltung von Software- und Providerverträgen sowie bei datenschutzrechtlichen Projekten. Zu seinen Mandanten gehören kleine und mittelständische Unternehmen bis hin zu Konzernen. Nach seinem Studium in Hamburg mit dem Schwerpunkt Informations- und Kommunikationsrecht absolvierte er sein Referendariat am OLG Celle mit Stationen in internationalen Wirtschaftskanzleien. Im Jahr 2018 schloss er sich Rose & Partner an.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46161912 / Recht)