Mit der Änderung des BSI-Gesetzes durch Art. 1 des IT-Sicherheitsgesetzes sind Betreiber Kritischer Infrastrukturen ferner dazu verpflichtet, IT-Sicherheitsvorfälle unverzüglich zu melden. Dies betrifft erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von informationstechnischen Systemen, Komponenten oder Prozessen der Betreiber. Dabei wird eine Störung als erheblich eingestuft, wenn sie zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen führen könnte oder geführt hat.

Die Meldung muss über eine zuvor genannte Kontaktstelle an das BSI erfolgen. Betreiber öffentlicher Telekommunikationsnetze und Anbieter von Telekommunikationsdiensten sowie Betreiber von Energieversorgungsnetzen und Energieanlagen, die unter Aufsicht der Bundesnetzagentur (BNetzA) stehen, melden Störungen statt an das BSI an die BNetzA.[9]

Grundsätzlich kann die Meldung von Störungen zweistufig verlaufen. Dabei sollen zunächst alle ohne Rechercheaufwand erhobenen Umstände gemeldet und im Verlauf der weiteren Bearbeitung des Vorfalls weitere Informationen nachgereicht werden. Die Meldung muss Angaben zur Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der

betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers enthalten. Sofern die Störung nicht tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat, kann die Meldung pseudonym (also etwa über einen Branchenverband) erfolgen; in sonstigen Fällen ist die Nennung des Betreibers erforderlich. Generell sind die Regelungen des Bundesdatenschutzgesetzes anzuwenden.[10]

Aus Sicht der Regierung ist die Meldepflicht eine sinnvolle Sache. Zum einen führt sie dazu, dass sich die betroffenen Unternehmen strukturiert mit den Sicherheitsvorfällen beschäftigen. Zum anderen können die Meldungen dazu dienen, ein Lagebild der Angriffe sowie Informationen über besonders betroffene Technologien oder Branchen zu erhalten. Eine zentrale Koordination kann so möglicherweise helfen, die Ursache für Angriffe zu finden, insbesondere wenn mehrere Unternehmen betroffen sind. Die Meldepflicht bildet jedoch nach wie vor einen großen Unsicherheitsfaktor für Unternehmen, vor allem im Hinblick auf die Frage, wie viele Meldungen tatsächlich vorgenommen werden müssen und welche Kosten dadurch entstehen. KPMG hat diesen Punkt im Rahmen der Studie "IT-Sicherheit in Deutschland" analysiert: Je nach Auslegung der Vorfallsdefinition kann demnach die Meldepflicht über alle Betreiber gesehen mehrere hunderttausend Meldungen im Jahr zur Folge haben. Auf Basis der vorgesehenen Meldepflichten im ersten Referentenentwurf des IT-Sicherheitsgesetzes schätzten die Studienautoren die Bürokratiekosten für die betroffenen Unternehmen auf bis zu 1, 1 Mrd. Euro.[11]

Die im IT-Sicherheitsgesetz beinhalteten Meldepflichten sind von anderen gesetzlich festgeschriebenen Informationspflichten abzugrenzen. Das gilt insbesondere für § 42a BDSG, die "Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten". Die dort genannten meldepflichtigen Vorfälle dürften vielfach als IT-Sicherheitsvorfall im Sinne des IT-Sicherheitsgesetzes zu klassifizieren sein. Dabei muss berücksichtigt werden, dass es sich bei den Meldungsempfängern um unterschiedliche Adressaten handelt. So ist die Meldung gem. § 42a BDSG gegenüber der zuständigen Datenschutzaufsichtsbehörde sowie gegenüber dem Kreis der Betroffenen abzugeben. Bei einer Meldung nach den Vorgaben des IT-Sicherheitsgesetzes können dies hingegen – je nach Tatbestand – das BSI, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, die Bundesnetzagentur bzw. die für Telemedienangebote zuständigen Landesbehörden sein.

Daher müssen betroffene Unternehmen sorgfältig prüfen, ob nicht in Einzelfällen mehrere Meldepflichten tangiert sind. Kommen die Unternehmen ihren Meldepflichten nicht nach, handeln sie ordnungswidrig und sind somit bußgeldpflichtig. Im Falle des § 42a BDSG kann die Geldbuße gem. § 43 II Nr. 7 BDSG in Verbindung mit § 43 II 1 BDSG bis zu 300 000 Euro betragen.[12]

[11] KPMG AG Wirtschaftsprüfungsgesellschaft: IT-Sicherheit in Deutschland, Handlungsempfehlungen für eine zielorientierte Umsetzung des IT-Sicherheitsgesetzes, 2014. http://www.bdi.eu/download_content/KPMG_IT-Sicherheit_in_Deutschland.pdf (Stand: 8.9.2015), S. 27–34.
[12] Vgl. zu den ansonsten anfallenden Bußgeldern die Abschnitte "Telemedien- und Telekommunikationsgesetz" sowie "IT-Sicherheit und das Bußgeldrecht".

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Compliance Office Online 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge