20-08-14

Entscheidung über Anwendung von IT-Sicherheitsgesetz fällt in Brüssel, nicht in Berlin

Der diese Woche vom Bundesinnenministerium vorgelegte Gesetzesentwurf für ein IT-Sicherheitsgesetz sieht vor, dass Betreiber kritischer Infrastrukturen zukünftig Mindestniveaus ihrer IT-Sicherheit und Systemüberprüfungen („audits“) nachweisen und IT-Sicherheitsvorfälle melden müssen.

Damit folgt der Gesetzesentwurf dem bereits im Februar 2013 vorgelegten Richtlinienvorschlag der EU-Kommission über Maßnahmen zur Erhöhung der Netz- und Informationssicherheit [COM(2013) 48]. Das vorgeschlagene IT-Sicherheitsgesetz soll als Positionsleitlinie der Bundesregierung bei den laufenden Verhandlungen in Brüssel zum Richtlinienentwurf dienen.

Das Bundesinnenministerium gibt an, erst nach Anhörung von Vertretern der Wissenschaft, betroffener Betreiber und Wirtschaftsverbänden beschließen zu wollen, für welche Infrastrukturen und somit für wen letztlich das deutsche IT-Sicherheitsgesetz gelten soll.

Hier hat die EU jedoch ein Wort mitzureden: Im ursprünglichen EU-Kommissionsvorschlag sind nicht nur Betreiber kritischer Infrastrukturen, sondern auch Anbieter von Diensten der Informationsgesellschaft erfasst, etwa Suchmaschinen oder soziale Netze.

Auf welche Unternehmen die vorgeschlagene EU-Richtlinie – und damit auch das deutsche IT-Sicherheitsgesetz – letztlich Anwendung findet, wird vorrangig bei den anstehenden Trilogverhandlungen in Brüssel entschieden, und eben nicht in Berlin.

Fest steht aber schon jetzt: Die EU-Richtlinie wird nur eine Mindestharmonisierung darstellen. Die nationale Umsetzung der Richtlinie kann strenger ausfallen.

Eine verschärfte nationale Ausgestaltung hinsichtlich der betroffenen Unternehmen, die über die EU-Richtlinie hinausgeht („Gold-Plating“) kann zwar ein Wettbewerbsvorteil gegenüber anderen Mitgliedstaaten sein, etwa durch eine sichere Infrastruktur und einen hohen IT-Schutz.

Auf der anderen Seite kann sich ein Gold-Plating aber auch als ein Wettbewerbsnachteil herausstellen, etwa durch höhere Kosten für Unternehmen und mögliche Ausweichreaktionen auf andere Mitgliedstaaten mit geringeren branchenspezifischen Vorgaben.

Entgegen dem EU-Richtlinienvorschlag der Kommission schließt der deutsche Gesetzesentwurf die öffentliche Verwaltung von den Meldepflichten und den nachzuweisenden IT-Sicherheitsanforderungen aus.

Das Europäische Parlament hat in einer ersten Lesung den Mitgliedstaaten eine Wahlmöglichkeit diesbezüglich eingeräumt. Dass der deutsche Gesetzgeber diese Wahlmöglichkeit gleich in Anspruch nehmen will ist problematisch, denn so werden eine Vielzahl von wertvollen Informationen über IT-Sicherheitsvorfälle von der wichtigsten nationalen Infrastruktur, dem öffentlichen Sektor, nicht ausgewertet.

Ariane Kiesow, Wissenschaftliche Referentin, Fachbereich Telekommunikation