Nun hat das deutsche IT-Sicherheitsgesetz seinen zweiten Geburtstag gefeiert (am 25.07.2017) und wir wollen das zum Anlass nehmen, seine Entwicklung und aktuelle Wirksamkeit kurz und kritisch zu beleuchten. Bereits seit Mitte der 2000er Jahre arbeiten Bundesregierung und Wirtschaft an einem Umsetzungsplan zum Schutz kritischer Infrastrukturen vor Cyber-Attacken (UP KRITIS), der in seiner rechtlichen Umsetzung dann

als das IT-Sicherheitsgesetz bekannt geworden ist.

Hintergrund zum IT-Sicherheitsgesetz

Bevor wir uns mit dem Inhalt auseinandersetzen, klären wir zunächst ein paar formale Aspekte: Das IT-Sicherheitsgesetz (IT-Sig) ist ein so genanntes Mantel- oder Artikelgesetz. Damit werden Gesetze bezeichnet, die gleichzeitig mehrere Fachgesetze ändern und bei denen jedes betroffene Gesetz einen Artikel bekommt (daher der Name), unter dem die jeweiligen Änderungen und Ergänzungen zu dem Fachgesetz zusammengefasst werden. Das IT-Sig hat insgesamt 11 Artikel und nimmt dabei Einfluss auf folgende bestehende Gesetzgebungen:

– Das BSI-Gesetz
– Das Atomgesetz
– Das Energiewirtschaftsgesetz
– Das Telemediengesetz
– Das Telekommunikationsgesetz
– Das Bundesbesoldungsgesetz
– Das Bundeskriminalgesetz
– Das Gesetz zur Strukturreform des Gebührenrechts des Bundes

Im Weiteren basiert das IT-Sig auf zwei Rechtsverordnungen, ohne deren Ausgestaltung die ganze Gesetzgebung ein Papiertiger bleibt. Denn erst in diesen Rechtsverordnungen wird festgelegt, was denn eine kritische Infrastruktur im Sinne des Gesetzes ist und welche Unternehmen/Organisationen damit unter diese Rechtsprechung fallen. Die erste dieser Verordnungen ist seit dem 03.05.2016 in Kraft und formuliert die Bedingungen für die Sektoren (das IT-Sig spricht von Sektoren im Sinne von Branchen) Energie, Wasser, Ernährung und IKT. Damit haben die Betroffenen aus diesen Sektoren nun bis zum 03.05.2018 Zeit, die sich daraus ergebenden Vorgaben zu erfüllen, bzw. nachzuweisen.

Die zweite Rechtsverordnung sollte bereits zu Beginn dieses Jahres verfügbar sein und die Sektoren Transport und Verkehr, Gesundheit und Finanz- und Versicherungswesen umfassen. Einer der hier wohl strittigen Punkte ist die Frage, ob auch Geldautomaten Teil einer kritischen Infrastruktur sind und somit z.B. jeder Phishing-Angriff auf diese zu einem Meldevorfall führt. Auch wenn die offizielle Sprachregelung noch den Frühling 2017 nennt, wird eine Veröffentlichung wohl noch etwas auf sich warten lassen. Auch hier haben die Betroffenen dann 2 Jahre Zeit, um eine erfolgreiche Umsetzung der damit verbundenen Maßnahmen nachzuweisen.

Zu guter Letzt sei bei den Formalien noch kurz auf die unterschiedlichen Zuständigkeiten als Melde- und Prüfungsstelle hingewiesen. Für die Sektoren Energie und öffentliche Telekommunikation ist die Bundesnetzagentur zuständig, für alle anderen Sektoren das Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese Zweiteilung ist nicht zuletzt dem Umstand geschuldet, dass sich die Bundesregierung gegenüber der Wirtschaft zu einer Entbürokratisierung verpflichtet hat, bzw. keine Ausweitung der bestehenden Bürokratie durch neue Verfahren zusichert (One-in, one-out Regelung). Und da die Bundesnetzagentur bereits mit der Regulierung und der Kontrolle zur Einhaltung der Gesetze und Zuständigkeiten in den genannten Sektoren beauftragt ist, erschie