Bundesministerium des Inneren

Paragrafzeichen mit kryptischen Zahlen im Hintergrund Quelle: Maksim Kabakou / shutterstock.com
Artikel · IT & Digitalpolitik

Rechtsrahmen für mehr Cyber-Sicherheit

IT- und Cyber-Sicherheit sind zu einer grundlegenden Voraussetzung für die persönliche Entfaltung des Einzelnen, für das Wirtschaftsleben in Deutschland und weltweit, und das Zusammen-leben miteinander geworden.

Rechtliche Vorgaben für mehr Cyber-Sicherheit schaffen die Voraussetzungen dafür, dass sich Bürger und Wirtschaft frei und sicher im digitalen Raum bewegen und der Nutzung der Informations- und Kommunikationstechnik vertrauen können.

IT-Sicherheitsgesetz

Als ein bedeutender Meilenstein der nationalen Digitalisierungspolitik ist im Juli 2015 das IT-Sicherheitsgesetz in Kraft getreten. Mit dem IT-Sicherheitsgesetz wurden verbindliche Mindestanforderungen und Meldepflichten für die Betreiber kritischer Infrastrukturen im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) eingeführt.

Zusätzlich erfolgten Rechtsänderungen im Telekommunikations- und Telemedienrecht zur Steigerung der Sicherheit im Internet allgemein. Die Rolle und Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden deutlich gestärkt. Damit wurde ein Rechts-rahmen geschaffen, bei dem Staat und Wirtschaft für mehr Cyber-Sicherheit zusammenarbeiten.

Schutz kritischer Infrastrukturen

Die bestehenden Regelungen werden durch die Verordnung zur Bestimmung von Kritischen Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) ergänzt. Diese soll Betreibern Kritischer Infrastrukturen in die Lage versetzten, anhand messbarer und nachvollziehbarer Kriterien zu prüfen, ob sie unter den Regelungsbereich des im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetzes fallen.

Erfasst werden die sieben KRITIS-Sektoren:

  • Energie
  • Wasser
  • Ernährung
  • Informations- und Kommunikationstechnik
  • Transport und Verkehr
  • Gesundheit
  • Finanz- und Versicherungswesen

NIS-Richtlinie

Auf europäischer Ebene wurde eine Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union geschaffen (Richtlinie(EU) 2016/1148). Die sogenannte NIS-Richtlinie sieht folgende Maßnahmen vor:

  • Aufbau von Kapazitäten für die Cyber-Sicherheit (nationale Strategien, Behörden und CERTs) in allen Mitgliedstaaten
  • stärkere Zusammenarbeit untereinander
  • Mindestanforderungen sowie Meldepflichten vergleichbar zum nationalen IT-Sicherheitsgesetz

Für die Umsetzung der Vorgaben der NIS-Richtlinie in Deutschland waren nur wenige Ergänzungen notwendig, die mit dem im Juni 2017 in Kraft getretenen Umsetzungsgesetz zur NIS-Richtlinie vorgenommen wurden. Zugleich wurden mit dem Umsetzungsgesetz eine Rechtsgrundlage für den Aufbau mobiler Incident Response Teams (MIRTs) beim BSI geschaffen. Zudem wurden im Telekommunikationsrecht die Möglichkeiten zum Erkennen und Abblocken von Cyber-Angriffen erweitert.