Bankensektor – Relevanz des IT-Sicherheitsgesetzes
"Am 24. Juli ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (ITSiG) in Kraft getreten. Das ITSiG ist ein so genanntes Artikelgesetz; es ändert mehrere Gesetze. Relevant für Banken sind in erster Linie die erheblichen Änderungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Ted Kroke, Partner bei Jones Day, erläutert die Auswirkungen in der Praxis."
„
Das ITSiG verpflichtet Betreiber so genannter Kritischer Infrastrukturen, organisatorische und technische IT-Sicherheitsstandards zu implementieren. Daneben führt das ITSiG Meldepflichten für die Betreiber gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ein. Verstöße können mit Bußgeldern von bis zu 100 000 Euro geahndet werden.
Inwieweit der Bankensektor betroffen ist, hängt davon ab, was als Kritische Infrastruktur anzusehen ist. Dass der Bankensektor betroffen ist, steht bereits auf Grund der gesetzlichen Definition des Begriffs „Kritische Infrastruktur““ fest. In der Definition wird der Bankensektor ausdrücklich in Bezug genommen. Die Konkretisierung des Begriffs wird aber erst in einer noch zu erlassenden Rechtsverordnung erfolgen. In der Rechtsverordnung sollen einzelne Dienstleistungen als kritisch spezifiziert werden. Für den Bankensektor werden in der Gesetzesbegründung zum ITSiG beispielhaft der Zahlungsverkehr, die Bargeldversorgung, die Kreditvergabe, der Geld- und Devisenhandel sowie der Wertpapier- und Derivathandel genannt. Zusätzlich soll in der zu erlassenden Rechtsverordnung für jede derartige Dienstleistung ein branchenspezifischer Schwellenwert festgelegt werden; d. h., die erforderliche Anzahl der vom Ausfall oder der Beeinträchtigung der Dienstleistung betroffenen Personen. Anhand dieser Dienstleistungen und Schwellenwerte kann dann jede Bank ermitteln, inwieweit sie Kritische Infrastrukturen betreibt und von den Änderungen des BSIG betroffen ist. Die Arbeiten an der Rechtsverordnung, inklusive der Anhörung der betroffenen Betreiber und Wirtschaftsverbände sind in vollem Gange.
Keine klaren Mindeststandards
Soweit eine Bank danach als Betreiber so genannter Kritischer Infrastrukturen anzusehen ist, hat sie innerhalb von zwei Jahren nach Erlass der Rechtsverordnung die Verpflichtung, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Nach der Gesetzesbegründung impliziert „soll“ eine Verpflichtung, von der die Betreiber nur in begründeten Ausnahmefällen abweichen dürfen. Bspw. können sicherheitsverbessernde Neuerungen vor der Implementierung unverändert auf ihre Systemverträglichkeit getestet werden. Das BSI wird für die Privatwirtschaft keine zur Einhaltung dieser Verpflichtung anwendbaren Mindeststandards definieren. Allerdings können Branchenverbände branchenspezifische Sicherheitsstandards vorschlagen, deren Eignung vom BSI auf Antrag festgestellt wird. Auch derartige Sicherheitsstandards sind fortlaufend an den Stand der Technik anzupassen.
Für Banken wird die praktische Relevanz der Verpflichtung zur Implementierung von IT-Sicherheitsstandards nach dem BSIG gering sein. Die bestehende IT-Regulierung nach §§ 25 a und b KWG und MaRisk enthält bereits vergleichbare Verpflichtungen. Neu sind aber die Verpflichtungen zum Nachweis der Implementierung der erforderlichen IT-Sicherheitsstandards gegenüber dem BSI und zur unverzüglichen Meldung erheblicher Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme an das BSI.
Der Nachweis der Implementierung ist mindestens alle zwei Jahre gegenüber dem BSI zu erbringen und zwar durch die Übermittlung einer Aufstellung der durchgeführten Audits, Prüfungen bzw. Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Insoweit kann das BSI noch Anforderungen an die Art und Weise der Durchführung der Audits, Prüfungen bzw. Zertifizierungen, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle festlegen. Das BSI kann auch Anordnungen zur Beseitigung von Sicherheitsmängeln treffen, muss dabei aber die ansonsten für den Betreiber zuständigen Aufsichtsbehörden einbeziehen.
Die Pflicht zur unverzüglichen Meldung erheblicher Störungen betrifft alle Störungen, die zu einer Beeinträchtigung der Funktionsfähigkeit der erbrachten kritischen Dienstleistung führen können bzw. geführt haben. Übliche Vorkommnisse, die automatisiert durch die implementierten IT-Sicherheitsvorkehrungen abgewehrt werden, sind nicht meldepflichtig. Meldungen können pseudonymisiert erfolgen, solange die Störung nicht zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat. Ansonsten muss die Meldung unter Nennung des Betreibers erfolgen. Die Meldungen ermöglichen es dem BSI, frühzeitig möglicherweise ebenfalls betroffene Betreiber Kritischer Infrastrukturen zu warnen. Den Verpflichtungen steht also insbesondere der Vorteil gegenüber, dass die Betreiber nun zwangsweise ihr Know-how über IT-Sicherheitsvorfälle teilen. Es bleibt abzuwarten, ob hierdurch die gewünschte Verbesserung der IT Sicherheit erreicht wird.
„
ARTIKEL DIESER AUSGABE
Hengeler unterstützt RWE bei der Neuaufstellung
"Hengeler Mueller berät den Energieversorger RWE bei dessen umfassenden gesellschaftsrechtlichen Neuorganisation. Aktiv sind die Partner Hartwin Bungert (Gesellschaftsrecht), Thomas Schmidt-Kötters... mehr
Heuking begleitet Jungheinrich beim Mias-Kauf
"Jungheinrich baut unter der Federführung des Heuking Kühn Lüer Wojtek-Partners Stefan Duhnkrack (M&A, Hamburg) seine Position als Anbieter von Logistiksystemen weiter aus. Dafür... mehr
Norton Rose berät Helaba bei Air-Lingus-Darlehen
"Norton Rose Fulbright berät die Landesbank Hessen-Thüringen Girozentrale (Helaba) als Mandated Lead Arranger und Bookrunner bei einem 600 Mio. Euro-Darlehen zur Übernahme der irischen... mehr
IPH kauft Kistepfennig Gruppe mit Taylor Wessing
"Das französische Unternehmen IPH übernimmt mit den Taylor Wessing-Partnern Christian Traichel (Corporate/M&A), Adrian Birnbach (Real Estate), Martin Rothermel (Commercial, alle... mehr
CMS-Compliance-Studie – Beratungsbedarf weiter hoch
Im Bereich Compliance ist der Beratungsbedarf weiterhin hoch. Dies belegt das Compliance-Barometer 2015 der Kanzlei CMS Hasche Sigle. Für die Erhebung sind Compliance-Verantwortliche... mehr
Unangenehme Überraschung aus Karlsruhe
"Während bei Grundstückskaufverträgen regelmäßig die vereinbarte Gegenleistung die Bemessungsgrundlage für die Grunderwerbsteuer bildet, findet in anderen Fällen (Anteilskauf, Einbringung,... mehr
GvW holt sich Partner von Görg
"Seit August ist Wolfram Desch neuer Equity-Partner bei der Kanzlei Graf von Westphalen." mehr
Olswang-Partner geht zu Fish & Richardson
"Herbert Kunz, bislang Patentanwalt bei Olswang, ist bei Fish & Richardson als Managing Partner eingestiegen." mehr
Ausbau bei Rödl & Partner
"Markus Plum verstärkt das Team von Rödl & Partner. Der Wirtschaftsprüfer und Steuerberater wechselte von der Stiftung der Cellitinnen zur hl. Maria in die Kölner Niederlassung." mehr
Latham stärkt sich erneut mit Clifford-Partner
"Latham & Watkins verstärkt sich mit einer neuen Partnerin für Bank- und Finanzrecht. Alexandra Hagelüken wechselt in das Frankfurter Büro der Kanzlei. Hagelüken kommt von Clifford... mehr