Planungsunsicherheit für deutsche Wirtschaft

"Ende Dezember hat das Bundeskabinett den Entwurf für ein IT-Sicherheitsgesetz beschlossen. Er bringt für viele Unternehmen Planungs- und Rechtsunsicherheit, ob die neuen Pflichten für sie gelten werden. „Den betroffenen Unternehmen wird für die Umsetzung einiger Aufwand entstehen, verbunden mit erheblichen Kosten"", sagt Hendrik Schöttle, Partner bei Osborne Clarke."

„

Der Gesetzentwurf richtet sich an die Betreiber kritischer Infrastrukturen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Sicherheitswesen – aber nur an Unternehmen mit mindestens zehn Mitarbeitern, die einen Jahresumsatz von mehr als zwei Mio. Euro haben. Was unter dem Begriff der „Kritischen Infrastruktur““ zu verstehen ist, soll noch durch eine Rechtsverordnung konkretisiert werden. „Bis dahin besteht für viele Unternehmen Planungs- und Rechtsunsicherheit im Hinblick auf die Frage, ob die neuen Pflichten für sie gelten werden““, so Schöttle. „Die Unternehmen müssen für einen angemessenen Schutz ihrer IT sorgen.““ Sicherheitsvorfälle sind dem Bundesamt für Sicherheit der Informationstechnik (BSI) zu melden. Es ist nun eine abgestufte Meldepflicht vorgesehen: Die namentliche Nennung des Betreibers ist nur dann erforderlich, wenn eine erhebliche Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der kritischen Infrastruktur geführt hat. Bei einer nur potenziellen Sicherheitsbeeinträchtigung greift eine anonyme Meldepflicht. „Wann einzelne Sicherheitsfälle als schwerwiegend einzustufen sind, dürfte in der Praxis aber schwierig abzuschätzen sein““, warnt der IT-Spezialist. „Die Betreiber kritischer Infrastrukturen sind nach dem Gesetzentwurf verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen zu implementieren.““ Die Erfüllung dieser Vorgaben müssen die Unternehmen mindestens alle zwei Jahre gegenüber dem BSI (bzw. im Fall von Telekommunikationsdienstleistern gegenüber der Bundesnetzagentur) durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachweisen. Laut Gesetzentwurf soll den Unternehmen dafür ein jährlicher Aufwand von insgesamt ca. 9,24 Mio. Euro entstehen.

Eine ähnliche Stoßrichtung wie das IT-Sicherheitsgesetz hat ein im Februar 2013 von der EU-Kommission vorgestellter Entwurf einer Richtlinie zur Netz- und Informationssicherheit. Möglicherweise wird der deutsche Gesetzgeber im weiteren Gesetzgebungsverfahren noch nachbessern müssen, um eine kohärente Umsetzung der Vorgaben der Richtlinie zu erreichen.

„