– Herr Dr. Rath, der Bundestag hat das IT-Sicherheitsgesetz verabschiedet. Was ist das Ziel der Regulierung?Viele Anlagen und Systeme, wie beispielsweise Stromnetze, Banken, die Wasserversorgung und das Gesundheitssystem, werden heutzutage durch Computer gesteuert. Diese Systeme sind für die Allgemeinheit von erheblicher Bedeutung. Denn ein Ausfall dieser Systeme könnte die Versorgung der Bevölkerung binnen kürzester Zeit gefährden. Wie auch der Angriff auf die IT-Systeme des Bundestages gezeigt hat, nehmen Cyberangriffe immer weiter zu. Ziel der Regelung ist deshalb der Schutz kritischer Infrastrukturen vor solchen Attacken. Die Betreiber solcher Einrichtungen werden daher zu technischen Schutzmaßnahmen verpflichtet. Daneben treten Berichts- und Meldepflichten.- Wie wird der Kreis von Betreibern sogenannter kritischer Infrastruktur definiert?Der Adressatenkreis des Gesetzes soll über zwei Kriterien bestimmt werden: Maßgeblich ist zum einen die Zugehörigkeit der betreffenden Infrastruktur zu einem der sieben Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Zum anderen fordert das Gesetz, dass ein Ausfall einer solchen kritischen Infrastruktur einen erheblichen Versorgungsengpass beziehungsweise eine erhebliche Gefährdung der Allgemeinheit zur Folge hat. Um diese abstrakt formulierten Kriterien in der Praxis besser handhaben zu können, soll eine noch zu erlassende Rechtsverordnung den Adressatenkreis in Zukunft präziser festlegen. Schätzungen zufolge werden in Deutschland circa 2 000 Unternehmen betroffen sein.- Welche technischen Maßnahmen legt der Gesetzgeber Unternehmen nahe, um diese vor Cyberattacken zu schützen?Das Gesetz legt keine konkreten Maßnahmen fest. Es verpflichtet lediglich zur Ergreifung angemessener organisatorischer und technischer Vorkehrungen. Die Erarbeitung von Mindeststandards soll Aufgabe des Bundesamtes für Sicherheit in der Informationstechnik (BSI) werden. Zudem können branchenspezifische Schutzmaßnahmen anerkannt werden. Sämtliche Maßnahmen sind dabei regelmäßig an den Stand der Technik, also den aktuellen wissenschaftlichen Fortschritt, anzupassen. Diese Maßnahmen sind von den betroffenen Unternehmen innerhalb von zwei Jahren nach Erlass des Gesetzes umzusetzen.- Müssen die Betreiber kritischer Infrastrukturen künftig dann auch an das BSI berichten und es bei Störungen informieren?Zunächst besteht eine Berichtspflicht bei Sicherheitsmängeln in Bezug auf die Umsetzung der technischen und organisatorischen Maßnahmen. Zusätzlich sind Informationspflichten in den Fällen vorgesehen, in denen eine erhebliche Störung eines informationstechnischen Systems eingetreten ist und hierdurch die Funktionsfähigkeit der kritischen Infrastruktur beeinträchtigt wurde oder hätte werden können. Die Meldung hat grundsätzlich Angaben zur Störung und den (vermuteten) technischen Ursachen, der Art der betroffenen Anlage und regelmäßig auch der betroffenen Branche zu enthalten. Ist ein Rückschluss auf den Betreiber der kritischen Infrastruktur möglich, kann die Meldung anonym erfolgen. In den Fällen, in denen die Funktionsfähigkeit der kritischen Infrastruktur tatsächlich beeinträchtigt wurde, ist zusätzlich die Nennung des Betreibers erforderlich.- Die Betreiber kritischer Infrastrukturen stehen also künftig in der Nachweispflicht. Wie sollen die geforderten Nachweise gestaltet sein?Die Umsetzung ausreichender Schutzmaßnahmen muss alle zwei Jahre gegenüber dem BSI nachgewiesen werden. Dies kann beispielsweise durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Den Gesetzesmaterialien und dem Entwurf eines Sicherheitskataloges der Bundesnetzagentur für den Energiesektor kann entnommen werden, dass eine Zertifizierung nach ISO 27001 erhebliche Bedeutung erlangen wird. Dies gilt übrigens auch für Unternehmen, die nicht zum Kreis der Betreiber von kritischen Infrastrukturen gehören. Denn auch alle anderen Unternehmen müssen die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität ihrer Daten und Systeme sicherstellen.—-Dr. Michael Rath ist Fachanwalt für IT-Recht und Partner der Luther Rechtsanwaltsgesellschaft in Köln. Die Fragen stellte Sabine Wadewitz.