Gesetzesanalyse für TechnikerGesetzesanalyse für TechnikerICS Cybersecurity DACH, Workshop A
Dr. Dennis‐Kenji KipkerIGMR
Universität Bremen
12.09.2016,Dortmund
Universität BremenGefördert vomFKZ: 16KIS0213 bis 16KIS0216
Folie 1
TOP 1 IT‐Sicherheit & Compliance: Das Recht alsTOP 1 IT‐Sicherheit & Compliance: Das Recht als Einfallstor für neue technische Vorgaben
TOP 2 IT‐Sicherheitsrecht 2016: Aktuelle Entwicklungen in Deutschland und Europa
TOP 3 IT‐Rechtspraxis – Rechtsverständnis und Rechtsanwendung: Einführung in die Systematik g g yund Auslegung gesetzlicher Vorschriften
TOP 4 IT‐Recht im Diskurs: Praxistipps, Austausch und Diskussion
Folie 2
TOP 1TOP 1
IT‐Sicherheit & Compliance: Das Recht als Einfallstor für neue technische Vorgaben
Folie 3
TOP 1: IT‐Sicherheit & ComplianceTOP 1: IT Sicherheit & Compliance
Was ist Compliance?Was ist Compliance? “Compliance” übersetzt: p EinhaltungÜb i tiÜbereinstimmung Regelbefolgung
Compliance somit nichts anderes als die Einhaltung und Befolgung von VorgabenEinhaltung und Befolgung von VorgabenOffener Begriff ohne starre Definition
Folie 4
g
TOP 1: IT‐Sicherheit & ComplianceTOP 1: IT Sicherheit & Compliance
Was ist Corporate Governance? “Corporate Governance” übersetzt: Grundsätze der Unternehmensführung Hintergrund: Unternehmensleitung hat Verantwortung für Gesellschaft,
Anteilseigner, Mitarbeiter und Kunden Umfasst inhaltlich u.a.:
Risikobewertung Transparenz Funktionsfähige Unternehmensstrukturen Wert‐ und Nachhaltigkeit unternehmerischer Entscheidungen Angemessene Interessenvertretung der verschiedenen Akteure eines Unternehmens
S it F tl A f b Zi l d di K t ll d U t h füh Somit: Festlegung von Aufgaben, Zielen und die Kontrolle der Unternehmensführung
Maßnahmen: Befolgung von anerkannten Standards und (branchenspezifischen) Regelwerken Entwicklung und Befolgung von eigenen Unternehmensleitlinien Entwicklung und Befolgung von eigenen Unternehmensleitlinien Einhaltung von gesetzlichen Vorschriften Implementierung von Leitungs‐ und Kontrollstrukturen zur Umsetzung und Überprüfung der
Maßnahmen
Folie 5
Compliance ist somit ein Bestandteil von Corporate Governance
TOP 1: IT‐Sicherheit & ComplianceTOP 1: IT Sicherheit & Compliance
Warum Compliance und Corporate Governance? Vorrangig: Vorteile für das Unternehmen in wirtschaftlicher Hinsichtg g
durch transparente, nachhaltige und kontrollierte Unternehmensführung Aber auch Abwendung möglicher Nachteile, die durch Nichteinhaltung
von Vorschriften & Best Practices entstünden:von Vorschriften & Best Practices entstünden: Straf‐ und Ordnungswidrigkeitenrecht (z.B. § 404 AktG; § 44 BDSG; § 43 BDSG) Gewerbeaufsichtsrechtliche Maßnahmen wegen Unzuverlässigkeit, z.B.
Entziehung der Gewerbeerlaubnis Ansprüche auf Unterlassung, Schadensersatz und Schmerzensgeld
(zivilrechtliche Haftung) Versicherungsbezogene Folgen (Leistungsfreiheit oder ‐minderung des
Versicherers, erhöhte Versicherungsprämien z.B. bei Cyber‐Versicherungen) Informationspflicht ggü. der Öffentlichkeit bei Datenlecks gem. § 42a BDSG
Folie 6
Informationspflicht ggü. der Öffentlichkeit bei Datenlecks gem. § 42a BDSG Reputationsverlust, mittelbare wirtschaftlich benachteiligende Konsequenzen
TOP 1: IT‐Sicherheit & ComplianceTOP 1: IT Sicherheit & Compliance
Was ist IT‐(Security)Compliance? Einhaltung derjenigen Vorgaben, die sich speziell mit IT‐Sicherheit, im weitesten Sinne auch Datenschutz, befassen
Unterschiedlichste Erkenntnisquellen für IT‐(Security)Compliance: Allgemeine gesetzliche Vorschriften (z B BSIG BDSG) Allgemeine gesetzliche Vorschriften (z.B. BSIG, BDSG) Branchenspezifische gesetzliche Vorschriften (z.B. für Banken, Versicherungen,
Industrie, IuK, Logistik, öffentliche Verwaltung) Normen und Standards Unternehmensinterne Vorgaben, vertragliche Bestimmungen und
Selbstverpflichtungen (Geheimhaltungsverpflichtung, Vertraulichkeitsvereinbarung)
“Soft Law” (z.B. Deutscher Corporate Governance‐Kodex – DCGK)
Daraus folgt auch: Keine kodifizierte Regelung der IT Sicherheit
Folie 7
Daraus folgt auch: Keine kodifizierte Regelung der IT‐Sicherheit Herausforderung für IT‐(Security)Compliance
TOP 1: IT‐Sicherheit & ComplianceTOP 1: IT Sicherheit & Compliance
Gesetzliche Erkenntnisquellen für die IT‐(Security)Compliance – Beispiele “von A bis Z”: AktG, § 91 AtG, §§ 7 ff., 44b BDSG, §§ 9, 9a, 11, 42a BSIG, §§ 3, 4, 7, 7a, 8a ff., , , , , EnWG, §§ 11 ff., 21e, 49 GmbHG, § 43 KWG § 25a KWG, § 25a TKG, §§ 109, 109a TMG, § 13 VAG, § 64a WpHG, § 33
Folie 8
… IT‐SiG, §§ … ???
TOP 1: IT‐Sicherheit & ComplianceTOP 1: IT Sicherheit & Compliance
IT‐(Security)Compliance als interdisziplinäres Themenfeld:§§ 91 Ab 2 93 Ab 1 AktG §§ 91 Abs. 2, 93 Abs. 1 AktG: Der Vorstand hat geeignete Maßnahmen zu treffen, damit „den Fortbestand der
Gesellschaft gefährdende Entwicklungen“ frühzeitig erkannt werdenDi V d i li d h b b i ih G häf füh di S f l i Die Vorstandsmitglieder haben bei ihrer Geschäftsführung „die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“ anzuwenden
Kein Bezug zur IT‐Security aus dem Gesetzeswortlaut IT‐Security‐Bezug bei gesetzlichen Vorschriften nicht immer klar erkennbar Allgemeine gesellschaftsrechtliche Beobachtungs‐ und Sorgfaltspflichten
beziehen sich aber auch auf die Gewährleistung der IT‐Securitybeziehen sich aber auch auf die Gewährleistung der IT Security Zugang über sog. “unbestimmte Rechtsbegriffe” oder “Generalklauseln” Zweck: Implementierung außerhalb des Rechts stehender Sachverhalte in
Gesetze Besonders relevant für interdisziplinäre Sachverhalte wie IT‐Security Ausfüllung der unbestimmten Rechtsbegriffe kann v a durch technische
Folie 9
Ausfüllung der unbestimmten Rechtsbegriffe kann v.a. durch technische Normen & Standards erfolgen
TOP 1: IT‐Sicherheit & ComplianceTOP 1: IT Sicherheit & Compliance
Wichtige technische Vorgaben im Bereich IT‐Security:Wichtige technische Vorgaben im Bereich IT Security: BSI Grundschutz‐Katalog (kostenfrei einsehbar) ISO/IEC 2700x‐Reihe Information technology – SecurityISO/IEC 2700x Reihe „Information technology Security techniques“ (kostenpflichtig beim Beuth‐Verlag bestellbar) Reihe generischer Normen zur Implementierung eines
Informationssicherheitsmanagementsystems (ISMS) ISO/IEC 27000 bis ISO/IEC 27008 ISO/IEC 27001 (Information security management systems – Requirements): / ( y g y q )
Bestimmung allgemeiner Anforderungen an ein ISMS, verknüpft mit entsprechenden Maßnahmen und Zielsetzungen im Bereich der Informationssicherheit
ISO/IEC 27002 (Code of practice for information security management): Zentraler Leitfaden für das Informationssicherheits‐Management mit detaillierten Ausführungen zur Umsetzung des ISMS, die auf best practices basieren
Folie 10
g g p
Ziel: Schaffung eines einheitlichen IT‐Sicherheitsstandards
TOP 2TOP 2
IT‐Sicherheitsrecht 2016:Aktuelle Entwicklungen in Deutschland und Europa
Folie 11
TOP 2: IT‐Sicherheitsrecht 2016 – nationale VorgabenTOP 2: IT Sicherheitsrecht 2016 nationale Vorgaben
Nationale rechtliche VorgabenSi h h izur IT‐Sicherheit
Das IT‐Sicherheitsgesetz (IT‐SiG)
Folie 12
TOP 2: IT‐Sicherheitsrecht 2016 – nationale VorgabenTOP 2: IT Sicherheitsrecht 2016 nationale Vorgaben
Zur Rechtsnatur des IT‐SiG: Artikelgesetz Deshalb kein Kodifikationscharakter Ä d t hi d Ei l t Ändert nur verschiedene Einzelgesetze, u.a.:
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) Atomgesetz (AtG) Energiewirtschaftsgesetz (EnWG) Energiewirtschaftsgesetz (EnWG) Telemediengesetz (TMG) Telekommunikationsgesetz (TKG) Bundeskriminalamtgesetz (BKAG)
IT‐SiG in Kraft getreten am 25.07.2015 Betrifft in erheblichem Maße auch aber nicht nur Betrifft in erheblichem Maße auch, aber nicht nurKritische Infrastrukturen Z B auch allgemeine Befugniserweiterung des BSI gem § 7 BSIG
Folie 13
Z.B. auch allgemeine Befugniserweiterung des BSI gem. § 7 BSIG (Warnmöglichkeit), § 7a BSIG (Untersuchung der Sicherheit in der IT)
TOP 2: IT‐Sicherheitsrecht 2016 – nationale VorgabenTOP 2: IT Sicherheitsrecht 2016 nationale Vorgaben
IT Si h h it t d K iti h I f t ktIT‐Sicherheitsgesetz und Kritische Infrastrukturen
Anwendungsbereich:Wer ist Betreiber einer Kritischen Infrastruktur
im Sinne des Gesetzes?
Folie 14
TOP 2: IT‐Sicherheitsrecht 2016 – nationale VorgabenTOP 2: IT Sicherheitsrecht 2016 nationale Vorgaben
IT‐Sicherheit und Kritische Infrastrukturen: Kritische Infrastrukturen (§ 2 Abs. 10 BSIG) ≠ KRITIS (BMI, Nationale Strategie zum Schutz Kritischer Infrastrukturen, sog. KRITIS Strategie)KRITIS‐Strategie) KRITIS‐Definition weiter gefasst, auch Staat + Verwaltung, Medien + Kultur
Erfüllung kumulativer Kriterien für die Zuordnung als Kritische Infrastruktur im Sinne von § 2 Abs. 10 BSIG: 1. Sektorale Zugehörigkeit zu Energie, Informationstechnik, TK, Transport, Verkehr, Gesundheit, Wasser, Ernährung, Finanz‐ und Versicherungswesen +Versicherungswesen
2. Fehlerfolgenerheblichkeit: Hohe Bedeutung für das Funktionieren des Gemeinwesens, weil durch Ausfall oder Beeinträchtigung h bli h V ä d G fäh d fü öff tli h
Folie 15
erhebliche Versorgungsengpässe oder Gefährdungen für öffentliche Sicherheit
TOP 2: IT‐Sicherheitsrecht 2016 – nationale VorgabenTOP 2: IT Sicherheitsrecht 2016 nationale Vorgaben
Anforderungen an die Bestimmung KritischerAnforderungen an die Bestimmung Kritischer Infrastrukturen: Sektorale Zugehörigkeit legt nur die grds betroffenen Kreise Sektorale Zugehörigkeit legt nur die grds. betroffenen Kreise fest
Konkretisierung erfolgt durch RVO gem. § 2 Abs. 10 S. 2 iVm. §Konkretisierung erfolgt durch RVO gem. § 2 Abs. 10 S. 2 iVm. §10 Abs. 1 BSIG (BSI‐KritisV) Bestimmung, welche Einrichtungen, Anlagen oder Teile der Sektoren Pflichtigkeit iSd. BSIG auslösen
Kriterien: Qualität + Quantität Qualität: Bedeutung als kritisch anzusehende Dienstleistung Qualität: Bedeutung als kritisch anzusehende Dienstleistung Quantität: Versorgungsgrad RVO entsteht im Einvernehmen mit Wissenschaft, Betreibern,
Folie 16
, ,Wirtschaftsverbänden, Bundesministerien
TOP 2: IT‐Sicherheitsrecht 2016 – nationale VorgabenTOP 2: IT Sicherheitsrecht 2016 nationale Vorgaben
Anforderungen an die Bestimmung Kritischer Infrastrukturen: Auch öffentliche Stellen einschlägig? Ja, aber nicht als Kritische Infrastruktur im Sinne des Gesetzes!
Entgegen BMI KRITIS‐Definition kein Sektor „Staat und Verwaltung“ in § 2 Abs. 10 BSIG
Ebenso keine explizite Aufnahme in BSI‐KritisV Jedoch zu beachten: §§ 4, 5 BSIG
l l ld ll f d h h d BSI als zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes
Abwehr von Schadprogrammen und Gefahren für die
Folie 17
p gKommunikationstechnik des Bundes
TOP 2: IT‐Sicherheitsrecht 2016 – nationale VorgabenTOP 2: IT Sicherheitsrecht 2016 nationale Vorgaben
Z i l BSI K i i V Zeitplan BSI‐KritisV: Korb 1: Korb 1: Energie, Wasser, Ernährung, IKT Ausgefertigt am 22.04.2016
Korb 2: Korb 2: Transport, Verkehr, Gesundheit, Finanz‐ und
h lVersicherungsdienstleistungen Fertigstellung geplant für Ende 2016
Folie 18
Inkrafttreten geschätzt für 1. Quartal 2017
TOP 2: IT‐Sicherheitsrecht 2016 – nationale VorgabenTOP 2: IT Sicherheitsrecht 2016 nationale Vorgaben
Inhalte BSI‐KritisV: Basiert auf BSI‐Sektorstudien Bestimmung betroffener Betreiber in dreigeteiltem Bestimmung betroffener Betreiber in dreigeteiltem Ansatz:
1 W l h Di tl i t i d d f d ih 1. Welche Dienstleistungen sind gerade aufgrund ihrer Bedeutung als kritisch anzusehen? 2 Identifikation derjenigen Kategorien von Anlagen die 2. Identifikation derjenigen Kategorien von Anlagen, die für die Erbringung der in Schritt 1 ermittelten kritischen Dienstleistungen erforderlich sindg 3. Ermittlung, welche konkreten Anlagen oder Teile davon einen aus „gesamtgesellschaftlicher Sicht bedeutenden
Folie 19
Versorgungsgrad“ aufweisen
TOP 2: IT‐Sicherheitsrecht 2016 – nationale VorgabenTOP 2: IT Sicherheitsrecht 2016 nationale Vorgaben
Beispiel Sektor Energie, § 2 BSI‐KritisV + Anhang 1 1. Schritt, § 2 Abs. 1 RVO: Kritische Infrastruktur im Sektor Energie sind:
Strom‐, Gas‐ Kraftstoff‐ undGas , Kraftstoff und Heizöl‐ sowie Fernwärmeversorgung
2 Schritt § 2 Abs 2 4 Abs 5 Nr 1 RVO + Anhang 1 Teil 3 Spalte B: 2. Schritt, § 2 Abs. 2‐4, Abs. 5 Nr. 1 RVO + Anhang 1, Teil 3, Spalte B: Stromversorgung umfasst:
1. Erzeugung, 2. Übertragung und 3. Verteilung
In den Anlagenkategorien:In den Anlagenkategorien: 1. Erzeugungsanlage, Dezentrale Energieerzeugungsanlage, Speicheranlage, Anlage von Poolanbietern 2. Übertragungsnetz, Zentrale Anlage und System für den Stromhandel 3. Verteilernetz, Messstelle
3 Schritt § 1 Nr 4 + 5 § 2 Abs 5 Nr 2 RVO + Anhang 1 Teil 2 Teil 3 3. Schritt, § 1 Nr. 4 + 5, § 2 Abs. 5 Nr. 2 RVO + Anhang 1, Teil 2, Teil 3, Spalten C + D: Versorgungsgrad/Bemessungskriterium und branchenspezifische Schwellenwerte
Z B b i i S l i i i lli N N l i
Folie 20
Z.B. bei einer Stromerzeugungsanlage mit einer installierten Netto‐Nennleistung von => 420 MW = KRITIS im Sinne des BSIG (+)
TOP 2: IT‐Sicherheitsrecht 2016 – nationale VorgabenTOP 2: IT Sicherheitsrecht 2016 nationale Vorgaben
Systematik der BSI‐KritisV: Systematik der BSI‐KritisV: § 1 Begriffsbestimmungen: Definitionen von Anlage, Betreiber, kritischer
Dienstleistung, Versorgungsgrad, branchenspezifischem Schwellenwert § 2 Sektor Energie: Benennung der wegen ihrer Bedeutung für das
Funktionieren des Gemeinwesens kritischen Dienstleistungen in diesem Sektor + Verweis auf den Anhang der RVO mit der Abbildung derSektor + Verweis auf den Anhang der RVO mit der Abbildung der branchenspezifischen Schwellenwerte
§ 3 Sektor Wasser: wie § 2, für Wasser § 4 Sektor Ernährung: wie § 2, für Ernährung § 5 Sektor Informationstechnik und Telekommunikation: wie § 2, für IuK § 6 Evaluierung: Evaluationsvorschrift zur Bewertung u a der § 6 Evaluierung: Evaluationsvorschrift zur Bewertung u.a. der
branchenspezifischen Kategorien und Schwellenwerte vier Jahre nach Inkrafttreten der RVO
Folie 21
§ 7 Inkrafttreten
TOP 2: IT‐Sicherheitsrecht 2016 – nationale VorgabenTOP 2: IT Sicherheitsrecht 2016 nationale Vorgaben
Systematik der BSI‐KritisV – die Anhänge:y g Anhang 1 – Anlagenkategorien und Schwellenwerte im Sektor Energie:
Teil 1 Grundsätze und Fristen (u.a. zur Bestimmung des Versorgungsgrades) T il 2 B h f l E i l d b h ifi h S h ll Teil 2 Berechnungsformeln zur Ermittlung der branchenspezifischen Schwellenwerte
Teil 3 Anlagenkategorien und Schwellenwerte
Anhang 2 – Anlagenkategorien und Schwellenwerte im Sektor Wasser: wie Anhang 1, für Wasser
Anhang 3 – Anlagenkategorien und Schwellenwerte im Sektor Ernährung: wie Anhang 1 für Ernährungwie Anhang 1, für Ernährung
Anhang 4 – Anlagenkategorien und Schwellenwerte im Sektor Informationstechnik und Telekommunikation: wie Anhang 1, für IuK
Anhang … für weitere KRITIS‐Domänen gem. § 2 Abs. 10 BSIG: Transport und Verkehr, Gesundheit, Finanz‐ und Versicherungswesen
Weitere Informationen, insb. zu den Berechnungsgrundlagen finden sich
Folie 22
Weitere Informationen, insb. zu den Berechnungsgrundlagen finden sich in der Begründung zur RVO, S. 13 ff.
TOP 2: IT‐Sicherheitsrecht 2016 – nationale VorgabenTOP 2: IT Sicherheitsrecht 2016 nationale Vorgaben
IT Si h h it t d K iti h I f t ktIT‐Sicherheitsgesetz und Kritische Infrastrukturen
Verantwortlichkeiten:Die §§ 8a bis 8d BSIG als zentrale Neuerungenfür die Betreiber Kritischer Infrastrukturen
Folie 23
TOP 2: IT‐Sicherheitsrecht 2016 – nationale VorgabenTOP 2: IT Sicherheitsrecht 2016 nationale Vorgaben
§ 8a BSIG – Sicherheit in der Informationstechnik von § 8a BSIG Sicherheit in der Informationstechnik von KRITIS: Zielsetzung: Vermeidung von Störungen der IT‐Systeme die für dieZielsetzung: Vermeidung von Störungen der IT Systeme, die für die
Funktionsfähigkeit der Kritischen Infrastruktur maßgeblich sind Mittel: Von den Betreibern sind angemessene TOV zu treffen, die den
S d d T h ik i h l llStand der Technik einhalten sollen „Stand der Technik“ als unbestimmter Rechtsbegriff/Generalklausel:
Internationale, europäische + nationale Normen und Standards (ISMS gem.Internationale, europäische nationale Normen und Standards (ISMS gem. ISO/IEC 27001)
Spezifische Standards von Betreibern/Branchenverbänden in Abstimmung mit BSI/Hinzuziehung UP KRITIS (B3S)BSI/Hinzuziehung UP KRITIS (B3S)
Angemessenheit: Verhältnis von Aufwand und Bedrohung, insb. Kostenrelevanz
Folie 24
Nachweis TOV alle 2 Jahre durch Audits, Prüfungen, Zertifizierungen
TOP 2: IT‐Sicherheitsrecht 2016 – nationale VorgabenTOP 2: IT Sicherheitsrecht 2016 nationale Vorgaben
§ 8b BSIG – Zentrale Stelle für die IT‐Sicherheit §Kritischer Infrastrukturen: BSI als zentrale Meldestelle für IT‐Sicherheit:
Informationssammlung und ‐auswertung: Sicherheitslücken, Schadprogramme, erfolgte oder versuchte Angriffe, Vorgehensweise von Angreifern
Auswirkungen von Angriffen auf die Verfügbarkeit von KRITIS analysierenAuswirkungen von Angriffen auf die Verfügbarkeit von KRITIS analysieren
Aktualisierung Lagebild Informationssicherheit KRITIS
Unterrichtung der Betreiber über Gefahren
U t i ht it tä di (A f i ht )b hö d Unterrichtung weiterer zuständiger (Aufsichts)behörden
Betreiberpflicht zur Einrichtung einer Kontaktstelle zur Krisenprävention und ‐bewältigung Frist: 6 Monate nach Inkrafttreten der BSI‐KritisV
Für 1. Korb (Energie, Wasser, Ernährung, IKT) Ablaufdatum 23.10.2016
Optional: Benennung einer gemeinsamen übergeordneten Anspruchstelle
Folie 25
Optional: Benennung einer gemeinsamen, übergeordneten Anspruchstelle möglich, soweit Zugehörigkeit zu gleicher Domäne
TOP 2: IT‐Sicherheitsrecht 2016 – nationale VorgabenTOP 2: IT Sicherheitsrecht 2016 nationale Vorgaben
§ 8b BSIG – Meldepflicht:§ p Wann ist zu melden? Erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität, Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen InfrastrukturFunktionsfähigkeit der Kritischen Infrastruktur1. führen können oder2 geführt haben2. geführt haben
Erhebliche Störung: Bedroht Funktionsfähigkeit , Indiz: Kann nicht automatisiert oder mit wenig Aufwand behoben werdeng
Meldepflichtige Kategorien können sich an Anlage 1 zur Allgemeinen Verwaltungsvorschrift über das Meldeverfahren
Folie 26
g ggem. § 4 Abs. 6 BSIG orientieren
TOP 2: IT‐Sicherheitsrecht 2016 – nationale VorgabenTOP 2: IT Sicherheitsrecht 2016 nationale Vorgaben
Anlage 1 zur Allgemeinen Verwaltungsvorschrift über das Meldeverfahren gem. § 4 Abs. 6 BSIG, meldepflichtige Kategorien:p g g Externer Angriff (DoS, Hacking, Passwortmissbrauch) Datenverlust (Hardwareverlust, unautorisierter Datenabfluss)( , ) Sicherheitslücke (Exploiting) Störung von Soft‐ oder Hardwarekomponenten (schwer‐Störung von Soft oder Hardwarekomponenten (schwerwiegender Systemausfall, Überlastsituationen)
Verstoß gegen IT‐Sicherheitsrichtlinien (Innentäter)g g ( ) Interne Ursachen (Sicherung, Kühlung, USV) Externe Einflüsse (Naturgewalten/höhere Gewalt)
Folie 27
( g / ) Besondere Erkenntnisse (nach Einschätzung des Meldenden)
TOP 2: IT‐Sicherheitsrecht 2016 – nationale VorgabenTOP 2: IT Sicherheitsrecht 2016 nationale Vorgaben
§ 8b BSIG – Meldepflicht (Fortsetzung): Was ist zu melden? Angaben zur Störung, den technischen Rahmenbedingungen,
der vermuteten oder tatsächlichen Ursache, der Art der betroffenen Einrichtung oder Anlage und zur Branche des Betreibers
Benennung des konkreten Betreibers? Nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit geführt hat, andernfalls pseudonymisierteMeldung
Was passiert mit den gemeldeten Daten? BSI ist zentrale Meldestelle, das bedeutet… Sammlung und Auswertung (z.T. zusammen mit BBK)Sammlung und Auswertung (z.T. zusammen mit BBK)
Warn‐ und Alarmierungsmeldungen
Aktualisierung Lagebild Informationssicherheit
I f i fü B ib d (A f i h )b hö d Information für Betreiber und (Aufsichts)behörden
Langfristige Jahresberichte für die Öffentlichkeit
Wer muss nicht melden? § 8c BSIG – Anwendungsbereich/EU‐Recht: Keine
Folie 28
Anwendung auf Kleinstunternehmen (Mitarbeiter < 10; Jahresbilanz nicht größer als 2 Mio. €) Ausnahme gilt auch für TOV
TOP 2: IT‐Sicherheitsrecht 2016 – nationale VorgabenTOP 2: IT Sicherheitsrecht 2016 nationale Vorgaben
§ 8c BSIG – Sonderregelungen/Meldepflichten § 8c S G So de ege u ge / e dep c teund TOV nach anderen Gesetzen: Betreiber von TK Netzen oder TK Diensten Betreiber von TK‐Netzen oder TK‐Diensten
§ 109 TKG
Betreiber von Energieversorgungsnetzen oder ‐anlagenBetreiber von Energieversorgungsnetzen oder anlagen § 11 EnWG
Genehmigungsinhaber gem. AtomgesetzGenehmigungsinhaber gem. Atomgesetz § 44b AtG
Nur falls keine Spezialgesetze für jeweiligen p g j gInfrastrukturbereich = BSIG anwendbar Universelles Rechtsprinzip (lex specialis‐Regel)
Folie 29
TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben
Europarechtliche Vorgabenp gzur IT‐Sicherheit
Folie 30
TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben
Auch hier wieder: IT‐Sicherheit wird nicht kodifiziert geregelt Zahlreiche Einzelvorschriften unterschiedliche Verbindlichkeit Zahlreiche Einzelvorschriften, unterschiedliche Verbindlichkeit Abhängig vom jeweiligen Geschäfts‐ bzw. Infrastrukturbereich Verschiedene Beispiele:
RL 2014/53/EU über die Harmonisierung der Rechtsvorschriften der Mitgliedstaaten über die Bereitstellung von Funkanlagen auf dem Markt (RED)
VO (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für l k i h k i i i k ( I AS VO)elektronische Transaktionen im Binnenmarkt (eIDAS VO)
RL 2013/40/EU über Angriffe auf Informationssysteme RL 2009/72/EG zum Elektrizitätsbinnenmarkt RL 2008/114/EG über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen
und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern RL 2006/32/EG zu Energieeffizienz und Energiedienstleistungen
RL 2002/58/EG üb l k i h K ik i (E P i RL) d 2009/136/EG RL 2002/58/EG über elektronische Kommunikationsnetze (E‐Privacy‐RL) und 2009/136/EG (Cookie‐RL)
Teils Überschneidungen mit EU‐Datenschutzrecht bei personenbezogenen Daten, vgl. nur Artt 29 ff Datenschutz‐Grundverordnung (DS‐GVO) Datensicherheit
Folie 31
Artt. 29 ff. Datenschutz‐Grundverordnung (DS‐GVO), Datensicherheit NIS‐RL???
TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben
NIS‐RL – Meilensteine: 07.02.2013: Vorschlag der Europäischen Kommission für eine NIS‐RL … 06 07 2016: Annahme der NIS RL durch das Europäische Parlament 06.07.2016: Annahme der NIS‐RL durch das Europäische Parlament 19.07.2016: Veröffentlichung im Amtsblatt der EU 08.08.2016: Inkrafttreten der neuen NIS‐RL 09.02.2017: Ablauf Frist für Vertretung in der Kooperationsgruppe und im
CSIRTs‐Netzwerk09 05 2018 Abl f U f i d R h d 09.05.2018: Ablauf Umsetzungsfrist der neuen Rechts‐ und Verwaltungsvorschriften für die EU‐Mitgliedstaaten
10.05.2018: Anwendung der neuen mitgliedstaatlichen Regelungen zur NISg g g g 09.11.2018: Ablauf Ermittlungsfrist Betreiber wesentlicher Dienste 09.05.2019: Kohärenzbericht zur Ermittlung der Betreiber wesentlicher
Di t
Folie 32
Dienste 09.05.2021: Erster Erfahrungsbericht der EU‐Kommission zur RL‐Umsetzung
TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben
NIS‐RL – Rechtsnatur: Zentraler Bestandteil der Cyber‐Sicherheitsstrategie der EU EU‐Richtlinie (RL) ≠ EU‐Verordnung (VO)EU Richtlinie (RL) EU Verordnung (VO) Art. 288 AEUV (Vertrag über die Arbeitsweise der EU):
„Die VO hat allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.“ Kein nationales Umsetzungsgesetz zur Wirksamkeit notwendig (z.B. EU‐DS‐GVO)
„Die RL ist für jeden Mitgliedstaat […] hinsichtlich des zu erreichenden Ziels j gverbindlich, überlässt jedoch den innerstaatlichen Stellen die Wahl der Form und der Mittel.“ Nationales Umsetzungsgesetz zur Wirksamkeit notwendig
Deutschland: Nationales Umsetzungsgesetz IT‐SiG 2“ Deutschland: Nationales Umsetzungsgesetz „IT‐SiG 2 , Novellierung einzelner Gesetze nach RL‐Erlass notwendig
Mindestharmonisierung: Deutschland kann auch ein höheres
Folie 33
Mindestharmonisierung: Deutschland kann auch ein höheres IT‐Sicherheitsniveau schaffen, als es die NIS‐RL vorgibt (Art. 3)
TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben
NIS RL Rechtspolitische Erwägungen: NIS‐RL – Rechtspolitische Erwägungen: NIS als zentraler Faktor für ein funktionierendes Gemeinwesen und die Wirtschaft
der EU Tragweite, Häufigkeit und Auswirkungen von Sicherheitsvorfällen nehmen zu EU‐weit koordinierte Cyber‐Sicherheitsstrategie setzt hinsichtlich aller
Mitgliedstaaten ein Mindestniveau vorausg Bestehende Fähigkeiten nicht ausreichend, um ein hohes Niveau von NIS in der EU
zu gewährleisten Uneinheitliches Schutzniveau der Mitgliedstaaten Uneinheitliches Schutzniveau der Mitgliedstaaten Fehlende gemeinsame Anforderungen für Betreiber von „wesentlichen Diensten“ NIS‐RL konzipiert als „umfassender Ansatz […], der gemeinsame
Mi d f d fü K i ä fb d lMindestanforderungen für Kapazitätsaufbau und ‐planung, Informationsaustausch, Zusammenarbeit sowie gemeinsame Sicherheitsanforderungen für Betreiber wesentlicher Dienste und Anbieter di italer Dienste beinhaltet“
Folie 34
digitaler Dienste beinhaltet“
TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben
NIS‐RL – Gegenstand und Anwendungsbereich (Artt. 1, 2): Richtet sich nicht unmittelbar an Private/Betreiber, sondern zunächst an die EU‐Mitgliedstaaten, die nationales Umsetzungsgesetz erlassenUmsetzungsgesetz erlassen
Diesbezügliche Pflichten der Mitgliedstaaten im Überblick: Festlegung nationale Strategie für NISFestlegung nationale Strategie für NIS Einrichtung einer Kooperationsgruppe zur strategischen Zusammenarbeit und für interstaatlichen Informationsaustausch
Einrichtung eines CSIRTs‐Netzwerks (Computer Security IncidentResponse Teams Network) zur Förderung der operativen interstaatlichen Zusammenarbeit im Bereich IT‐Securityy
Festlegung von Sicherheitsanforderungen und Meldepflichten für die Betreiber wesentlicher Dienste und für Anbieter digitaler Dienste
l h h b h d l
Folie 35
Benennung von nationalen IT‐Sicherheitsbehörden, zentralen Anlaufstellen und CSIRTs
TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben
Ausnahmen vom Anwendungsbereich für: Betreiber öffentlicher Kommunikationsnetze (RL 2002/21/EG) Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste (RL 2002/21/EG) Vertrauensdiensteanbieter (VO (EU) Nr. 910/2014) Verarbeitung personenbezogener Daten gem. EU‐Datenschutzrecht Allgemeine Festlegung, dass sektorspezifische Anforderungen des EU‐Rechts vorrangig sind (lex specialis)A d b i h b l Kl i h i d i h Anwendungsbereich bzgl. Kleinstunternehmen wird nicht durch RL selbst, sondern durch die Schwellenwerte zur Ermittlung der Betreiber wesentlicher Dienste beschränkt
Folie 36
Ermittlung der Betreiber wesentlicher Dienste beschränkt (Art. 5 Abs. 2, Art. 6)
TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben
NIS‐RL – Auszug Begriffsbestimmungen (Art. 4):W it f t B iff N t d I f ti t “ Weit gefasster Begriff sog. „Netz‐ und Informationssysteme“: Elektronische Kommunikationsnetze (Kabel; Funk; optische, elektromagnetische
Einrichtungen; Satellitennetze; „Internet“; Stromleitungen, soweit zur Signalübertragung genutzt; Hörfunk; Fernsehen)genutzt; Hörfunk; Fernsehen)
Vorrichtungen, die programmgesteuert und automatisiert Daten verarbeiten Digitale Daten, die in vorgenannten Einrichtungen verarbeitet werden
Betreiber esentlicher Dienste mfasst öffentliche ie pri ate Einri ht n en Betreiber wesentlicher Dienste: umfasst öffentliche wie private Einrichtungen Unter diesem Gesichtspunkt aber kein weiterer Anwendungsbereich als IT‐SiG, da auch hier im
Anhang II die Kategorie „Staat und Verwaltung“ nicht benannt wird
Digitaler Dienst: jede in der Regel gegen Entgelt elektronisch im Fernabsatz undDigitaler Dienst: jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung
Sicherheitsvorfall: alle Ereignisse, die tatsächlich nachteilige Auswirkungen auf die Sicherheit von Netz und Informationssystemen habenSicherheit von Netz‐ und Informationssystemen haben
Weitere technische Definitionen für IXP, DNS, TLD, Online‐Marktplatz und ‐suchmaschine, Cloud‐Computing‐Dienst
i k i i d h di hä bi
Folie 37
Weitere Konkretisierungen durch die Anhänge I bis III
TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben
NIS‐RL – Schutz wesentlicher Dienste (Artt. 5, 6, 14, 15): Mitgliedstaaten trifft die Pflicht bis zum 09 11 2018 Betreiber wesentlicher Dienste“ mit einer Mitgliedstaaten trifft die Pflicht, bis zum 09.11.2018 Betreiber „wesentlicher Dienste“ mit einer
Niederlassung in ihrem Hoheitsgebiet zu ermitteln „Wesentliche Dienste“ entsprechen in ihrem Sinn „Kritischen Infrastrukturen“ im Sinne des IT‐SiG Einschlägige Sektoren und Teilsektoren (Anhang II Qualität“): Einschlägige Sektoren und Teilsektoren (Anhang II, „Qualität ):
Energie (Elektrizität, Erdöl, Erdgas) Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr) Bankwesen (Kreditinstitute)
Fi k i f k (Bö ) Finanzmarktinfrastrukturen (Börsen) Gesundheitswesen (med. Versorgungseinrichtungen, Krankenhäuser, Privatkliniken) Trinkwasserlieferung und ‐versorgung Digitale Infrastruktur (IXPs, DNS‐Diensteanbieter, TLS‐Name‐Registries)
IT‐SiG: Ernährung IT‐SiG: Versicherungswesen
Kriterien für die Zuordnung eines Dienstes als „wesentlich“ („Quantität“): Unerlässlich zur Aufrechterhaltung kritischer gesellschaftlicher/wirtschaftlicher Tätigkeiteng g / g Bereitstellung abhängig von Netz‐ und Informationssystemen Sicherheitsvorfall bewirkt erhebliche Störung (u.a. gemessen an Nutzerzahl, Dominoeffekten, Marktanteil, Alternativmittel)
Mitgliedstaaten erstellen Liste wesentlicher Dienste: BSI‐KritisV
Folie 38
Liste ermittelter Betreiber mindestens alle zwei Jahre zu überprüfen Ziel: EU‐weit vereinheitlichter Bewertungsmaßstab zur Ermittlung kritischer Infrastrukturen
TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben
NIS RL Schutz wesentlicher Dienste (Artt 5 6 14 15): NIS‐RL – Schutz wesentlicher Dienste (Artt. 5, 6, 14, 15): Sicherheitsanforderungen: Geeignete, verhältnismäßige TOM unter Berücksichtigung des Stands
der Technik, Einbeziehung von Normen sowie technischen Leitlinien der ENISA (Art. 19) Berücksichtigung“ schwächer als § 8a BSIG jedoch Mindestharmonisierung „Berücksichtigung“ schwächer als § 8a BSIG, jedoch Mindestharmonisierung Förderung maximaler Dienstverfügbarkeit Schaffung einer inhaltlichen Meldepflicht der Betreiber bei Sicherheitsvorfällen mit erheblicher
Auswirkung auf die DienstverfügbarkeitAuswirkung auf die Dienstverfügbarkeit IT‐SiG geht weiter: Potenzielle Dienstbeeinträchtigung ausreichend, Mindestharmonisierung Kriterien zur Meldepflichtauslösung:
Betroffene Nutzerzahl Betroffene Nutzerzahl Dauer Geografische Ausbreitung NIS RL i ht Mö li hk it F tl EU it K it i d M ld fli ht lö NIS‐RL sieht Möglichkeit zur Festlegung EU‐weiter Kriterien der Meldepflichtauslösung vor
Meldung wird in transnationalen, EU‐weiten Informationsaustausch einbezogen Ggf. gibt nationale Behörde (BSI) Hinweise an Meldenden zur Bewältigung des Sicherheitsvorfalls
Mö li hk i b hö dli h U i h d Öff li hk i i Ei lfäll
Folie 39
Möglichkeit zur behördlichen Unterrichtung der Öffentlichkeit in Einzelfällen
TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben
NIS‐RL – Schutz wesentlicher Dienste (Artt 5 6 14 15):NIS‐RL Schutz wesentlicher Dienste (Artt. 5, 6, 14, 15): Art. 15 Abs. 1 NIS‐RL: Mitgliedstaaten stellen sicher, dass die Behörden bewerten können ob die Betreiber ihren PflichtenBehörden bewerten können, ob die Betreiber ihren Pflichten zu TOM und Meldung nachkommen Praxis: Wie soll/kann das realisiert werden? BReg: ca. 2.000 betroffene
Betreiber
Ebenso ist sicherzustellen, dass geeignete behördliche Ressourcen zur Überprüfung der SicherheitsanforderungenRessourcen zur Überprüfung der Sicherheitsanforderungen bereitstehen
Von den Mitgliedstaaten einzuräumende WeisungsbefugnisVon den Mitgliedstaaten einzuräumende Weisungsbefugnis der Behörden ggü. den Betreibern bei festgestellten Sicherheitsmängeln
Folie 40
TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben
NIS‐RL – Schutz der Anbieter digitaler Dienste (Artt. 16 17 18)16, 17, 18): Digitaler Dienst: Dienstleistung der Informationsgesellschaft; jede in der Regel gegen
Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines EmpfängersEntgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung
Konkretisiert durch Anhang III: Online‐Marktplatz, Online‐Suchmaschine, Cloud‐Computing‐DienstComputing Dienst
IT‐SiG: § 13 Abs. 7 TMG, bei geschäftsmäßig angebotenen Telemedien ist durch den Diensteanbieter unter Berücksichtigung des Standes der Technik sicherzustellen, dass Kein unerlaubter Zugriff auf technische Einrichtungen möglich ist Kein unerlaubter Zugriff auf technische Einrichtungen möglich ist Eine Absicherung gegen Datenschutzverletzungen und äußere Angriffe vorhanden ist
NIS‐RL: Geeignete, verhältnismäßige TOM von den Diensteanbietern zu treffen, um unter Berücksichtigung des Standes der Technik Risiken für NIS zu bewältigenunter Berücksichtigung des Standes der Technik Risiken für NIS zu bewältigen Risiko gem. Art. 4 Nr. 9: „Alle mit vernünftigem Aufwand feststellbaren Umstände oder Ereignisse, die
potenziell nachteilige Auswirkungen auf die Sicherheit von NIS haben“ Einbeziehung von Normen sowie technischen Leitlinien der ENISA (Art. 19)
Folie 41
NIS‐RL wohl inhaltlich etwas weiter gefasst, aber kategorisch eingegrenzt durch Anhang III, TMG hingegen betrifft sämtliche Telemedien
TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben
NIS‐RL – Schutz der Anbieter digitaler Dienste (Artt. 16, 17, 18):N b TOV hM ld fli ht d Di t bi t b i Si h h it fäll di Neben TOV auch Meldepflichten der Diensteanbieter bei Sicherheitsvorfällen, die erhebliche Auswirkungen auf die Bereitstellung haben
Zur Beurteilung der Erheblichkeit ähnliche Bemessungskriterien wie für „wesentliche Di “Dienste“
Bei Verknüpfung wesentlicher mit digitalen Diensten ebenso Meldepflicht, soweit der Sicherheitsvorfall beim digitalen Dienst eine Verfügbarkeitseinschränkung des wesentlichen Diensts zur Folge hat
Bei im öffentlichen Interesse liegenden Vorfall ist die behördliche Benachrichtigung der Öffentlichkeit möglich
Ausnahmen von der Meldepflicht: Anbieter verfügt nicht über Zugang zu den für die Vorfallsbewertung relevanten Informationen Kleinstunternehmen: Mitarbeiter < 10; Jahresbilanz nicht größer als 2 Mio. €
Möglichkeit zur nachträglichen behördlichen Überprüfung, falls Hinweise auf Nichteinhaltung von TOV und Meldepflicht bestehen
Anbieter digitaler Dienste ohne Sitz in der EU müssen einen Vertreter in der EU
Folie 42
gbenennen. Die gerichtliche Zuständigkeit bemisst sich nach dem Niederlassungsort des Vertreters
TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben
NIS‐RL – Meldung für unkritische gStrukturen (Art. 20): Freiwillige Meldemöglichkeit für: Freiwillige Meldemöglichkeit für:
Betreiber nicht‐wesentlicher Dienste Keine Anbieter digitaler Diensteg
Ebenso beschränkt auf Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Dienstverfügbarkeit haben
Bearbeitungsverfahren folgt demjenigen für Betreiber wesentlicher Dienste, jedoch: Bearbeitung nur, soweit kein unverhältnismäßiger Aufwand Ggf. nachrangig ggü. Pflichtmeldungen
Keine daraus resultierenden Verpflichtungen für die
Folie 43
Keine daraus resultierenden Verpflichtungen für die einmeldende Stelle
TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben
NIS‐RL – Nationaler Ordnungsrahmen (Artt. 7, 8, 9, 10):g ( , , , ) Jeder Mitgliedstaat bestimmt nationale NIS‐Strategie, für Deutschland:
Nationaler Plan zum Schutz der Informationsinfrastrukturen (NPSI), 2005, abgelöst durch Umfangreiche Cyber‐Sicherheitsstrategie der BReg von 2011Umfangreiche Cyber Sicherheitsstrategie der BReg von 2011
Benennung einer für NIS zuständigen Behörde: BSI Benennung einer zentralen Anlaufstelle für NIS: BSI
Dient als Verbindungsstelle zu transnationalen Zusammenarbeit Dient als Verbindungsstelle zu transnationalen Zusammenarbeit Zusammenarbeit mit Strafverfolgungs‐ und Datenschutzbehörden
Mitteilung der NIS‐Strategie und zuständiger nationaler Behörden an EU‐Kommission Veröffentlichung EU‐weiter ListeKommission, Veröffentlichung EU‐weiter Liste
Benennung mitgliedstaatlicher CSIRTs (Computer Security Incident Response Team) bzw. CERTs (Computer Emergency Response Team) CERT Bund angesiedelt beim BSI CERT‐Bund, angesiedelt beim BSI Erfüllt bereits die wesentlichen Anforderungen aus Anhang I NIS‐RL
Unterrichtung der Kommission über Tätigkeit der CSIRTsJäh li h Z i h b i ht d BSI f EU Eb üb ti l IT
Folie 44
Jährliche Zwischenberichte des BSI auf EU‐Ebene über nationale IT‐Sicherheitsvorfälle
TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben
NIS‐RL – Europäischer und internationaler Ordnungsrahmen (Artt. )11, 12, 13):
Einsetzung einer EU‐weiten Kooperationsgruppe zur strategischen Zusammenarbeit und zum zwischenstaatlichen Vertrauensaufbau für NIS
Zusammensetzung: Vertreter der Mitgliedstaaten EU‐Kommission ENISAENISA Möglichkeit der Beteiligung von Interessengruppen
Wesentliche Aufgaben: Erstellung von Arbeitsprogrammen/strategischen Leitlinien Informationsaustausch zur Verbesserung EU‐weiter Koordination und Zusammenarbeit Informationsaustausch hinsichtlich Awareness, Forschung + Entwicklung, Verfahren zur Ermittlung wesentlicher Dienste,
Meldepflichten Bewertung und Verbesserung nationaler NIS‐Strategien
Fö d äi h N Förderung europäischer Normung Sammlung von Informationen zur Koordination von IT‐Sicherheitsvorfällen Erstellung regelmäßiger Berichte zur Bewertung der transnationalen Zusammenarbeit
Einbindung der Kooperationsgruppe in internationale Übereinkünfte zu IT‐
Folie 45
Sicherheit/Datenschutz
TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben
NIS‐RL – Europäischer und internationaler Ordnungsrahmen (Artt. 11, 12, 13): Errichtung eines CSIRTs‐Netzwerks zur Förderung übernationaler, operativer
Z b i b h d d i l CSIRTZusammenarbeit, bestehend aus den nationalen CSIRTs Zusammensetzung aus Vertretern mitgliedstaatlicher CSIRTs und des CERT‐
EU, unterstützt durch die ENISA, Aufgaben des CSIRTs‐Netzwerks:
Planung operativer Zusammenarbeit der nationalen CSIRTs Informationsaustausch unter den CSIRTs Informationsaustausch unter den CSIRTs Ausarbeitung koordinierter Reaktionen für Sicherheitsvorfälle Unterstützung der Mitgliedstaaten bei der Bewältigung grenzüberschreitender
SicherheitsvorfälleSicherheitsvorfälle Unterrichtung der Kooperationsgruppe Auswertung der Übungen zur Netz‐ und Informationssicherheit
R l äßi B i ht d CSIRT N t k d E b i d
Folie 46
Regelmäßige Berichte des CSIRTs‐Netzwerks zu den Ergebnissen der interstaatlichen Zusammenarbeit
TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben
NIS RL Sanktionen (Art 21): NIS‐RL – Sanktionen (Art. 21):Verpflichtung der Mitgliedstaaten,Verpflichtung der Mitgliedstaaten, Sanktionsvorschriften bei Verstoß gegen di V b d RL ldie Vorgaben der RL zu erlassenMaßgabe: wirksam angemessen undMaßgabe: „wirksam, angemessen und abschreckend“ IT‐SiG: Wohl angemessene Regelung in
§ 14 BSIG und § 16 TMGFolie 47
§ 14 BSIG und § 16 TMG
TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben
NIS‐RL – was ist Betreibern zu empfehlen? NIS‐RL was ist Betreibern zu empfehlen? Umsetzung der Anforderungen durch das IT‐SiG wie gehabt Änderung/Erweiterung der Sektoren Kritischer Änderung/Erweiterung der Sektoren Kritischer Infrastrukturen gem. BSI‐KritisV durch NIS‐RL wohl nicht zu erwartenerwarten
Ebenso keine großen Änderungen im Bereich TOM/Meldepflicht für Betreiber zu erwarten/ p
Kein „doppelter Implementierungsaufwand“, lediglich Feinanpassungen
Im Mittelpunkt der NIS‐RL‐Umsetzung steht die Schaffung des zwischenstaatlichen, europäischen
Folie 48
Kooperationsrahmens, vermittelt durch das BSI
TOP 3
IT‐Rechtspraxis – Rechtsverständnis und Rechtsanwendung:
Einführung in die Systematik und AuslegungEinführung in die Systematik und Auslegung gesetzlicher Vorschriften
Folie 49
TOP 3: IT‐Rechtspraxis – Rechtsverständnis und ‐anwendungTOP 3: IT Rechtspraxis Rechtsverständnis und anwendung
Ein Überblick über die wichtigsten Anwendungs‐ Ein Überblick über die wichtigsten Anwendungs‐und Verständnisfragen der Gesetzesanalyse für T h ikTechniker: Normenhierarchie Kollisionsregeln GesetzgebungskompetenzenGesetzgebungskompetenzen Auslegungsmethoden und ‐tipps
S d k l U it b ti t Sonderkomplex: Umgang mit unbestimmten Rechtsbegriffen/Generalklauseln
G t ll / t A l f t ll i I t t
Folie 50
Gesetzesquellen/erste Anlaufstellen im Internet
TOP 3: IT‐Rechtspraxis – Rechtsverständnis und ‐anwendungTOP 3: IT Rechtspraxis Rechtsverständnis und anwendung
Normenhierarchie (vereinfacht):E ht Europarecht Primäres Gemeinschaftsrecht („ursprüngliches“ Recht): EUV, AEUV Sekundäres Gemeinschaftsrecht („abgeleitetes“ Recht):
Verordnung: Unmittelbar in allen Mitgliedstaaten unmittelbar gültigVerordnung: Unmittelbar in allen Mitgliedstaaten unmittelbar gültig Richtlinie: In den Zielen verbindlich, aber nationales Umsetzungsgesetz Entscheidungen/Beschlüsse: Nur für Empfänger unmittelbar verbindlich Empfehlungen/Stellungnahmen: Rechtsunverbindlich
Bundesrecht Grundgesetz (GG, Verfassung): Artt. 14, 12, 10, 2 Abs. 1 (ggf. i.V.m. 1 Abs. 1) Bundesgesetze (Gesetz im formellen Sinn): vom Deutschen Bundestag erlassen
Teils inhaltlich konkretisiert durch RVO, Satzung, Verwaltungsakt Rechtsverordnungen (Gesetz im materiellen Sinn): durch Bundesministerium erlassen Satzungen: autonome Rechtsetzung von mit Satzungsautonomie ausgestatteten öff. jur. Personen für
ihren Bereich; Unterscheidung von Satzung mit Innen‐ und Außenwirkungihren Bereich; Unterscheidung von Satzung mit Innen und Außenwirkung
Landesrecht Landesverfassungsrecht Landesgesetze
Folie 51
Rechtsverordnungen Satzungen
TOP 3: IT‐Rechtspraxis – Rechtsverständnis und ‐anwendungTOP 3: IT Rechtspraxis Rechtsverständnis und anwendung
Kollisionsregeln:g 1. Lex superior‐Grundsatz: Die höherrangige Norm geht der niederrangigen Norm vor (vglNorm geht der niederrangigen Norm vor (vgl. Normenhierarchie; Vorrang des Bundesrechts: Art 31 GG)Art. 31 GG) 2. Lex specialis‐Grundsatz: Innerhalb von gleichrangigen Normen geht die spe iellere Normgleichrangigen Normen geht die speziellere Norm der allgemeinen vor 3. Lex posterior‐Grundsatz: Innerhalb von gleichrangigen und gleichermaßen speziellen
Folie 52
Normen geht die jüngere Norm der älteren vor
TOP 3: IT‐Rechtspraxis – Rechtsverständnis und ‐anwendungTOP 3: IT Rechtspraxis Rechtsverständnis und anwendung
Gesetzgebungskompetenzen (Art. 70 ff. GG, vereinfacht): 1 Grundsatz: Gesetzgebungskompetenz bei den Ländern 1. Grundsatz: Gesetzgebungskompetenz bei den Ländern „Ausnahme“: Gesetzgebungskompetenz liegt beim Bund, soweit durch GG verliehendurch GG verliehen
Die Kompetenz kann beim Bund liegen infolge der 2. ausschließlichen (Artt. 71, 73 GG) oder( , ) 3. konkurrierenden (Artt. 72, 74 GG) Gesetzgebung
4. Soweit ein Themengebiet weder durch ausschließliche noch konkurrierende Gesetzgebung abgehandelt wird, liegt die Gesetzgebungskompetenz somit grds. bei den Ländern
Folie 53
TOP 3: IT‐Rechtspraxis – Rechtsverständnis und ‐anwendungTOP 3: IT Rechtspraxis Rechtsverständnis und anwendung
Ausschließliche Gesetzgebung, Artt. 71, 73 GG: Hier haben die Länder nur dann eine B f i G b i i d ü kli h d ä h i d B i i lBefugnis zur Gesetzgebung, soweit sie ausdrücklich dazu ermächtigt wurden, Beispiele: Schutz der Zivilbevölkerung Zeitbestimmung Luftverkehr Luftverkehr Eisenbahnverkehr Postwesen und Telekommunikation Kernenergieg
Konkurrierende Gesetzgebung, Artt. 72, 74 GG: Hier haben die Länder die Befugnis zur Gesetzgebung, soweit der Bund noch kein entsprechendes Gesetz erlassen hat, Beispiele:p Recht der Wirtschaft (Industrie, Energie, Bank‐, Börsen‐ und Versicherungswesen) Arbeitsrecht Sicherung der Ernährung, Lebensmittel Schifffahrt Straßenverkehr Abfallwirtschaft Naturschutz
Folie 54
Naturschutz Wasserhaushalt
TOP 3: IT‐Rechtspraxis – Rechtsverständnis und ‐anwendungTOP 3: IT Rechtspraxis Rechtsverständnis und anwendung
Auslegungsmethoden: Gesetzeswortlaut oftmals nur wenig aufschlussreich, z.B. § 9 BDSG: Verantwortliche Stellen haben TOM zu treffen
Deshalb: Auslegung von Gesetzen Was ist Auslegung? Interpretation von Rechtsvorschriften, um ih i i lihren Sinn zu ermitteln
Verschiedene Werkzeuge dafür (sog. „Auslegungsmethoden“):G ti h A l A d d ll i S h b h Grammatische Auslegung: Anwendung des allgemeinen Sprachgebrauchs zur Interpretation („Wortsinn“)
Systematische Auslegung: Der Aufbau des Gesetzes/der Rechtsvorschrift dient als d h lfVerständnishilfe
Teleologische Auslegung: Ermittlung der Aussage einer Vorschrift nach „Sinn und Zweck“ Welches Ziel soll mit einer Regelung erreicht werden?
Folie 55
Historische Auslegung: Was wollte der ursprüngliche Gesetzgeber mit der Schaffung der Regelung erreichen? Was war das „Gewollte“ oder „Intendierte“?
TOP 3: IT‐Rechtspraxis – Rechtsverständnis und ‐anwendungTOP 3: IT Rechtspraxis Rechtsverständnis und anwendung
A l i Auslegungstipps: Wichtig: Gesetze immer am Anfang beginnen, Vorschriften bis zum Ende lesen! Am Anfang von Gesetzestexten: Am Anfang von Gesetzestexten:
Systematische Gliederung Sinn und Zweck der Regelung Anwendungsbereich
ff d f Begriffsdefinitionen
Gesetze folgen Regel‐Ausnahme‐Prinzip: Am Anfang wird der Grundsatz dargestellt, am Ende die Ausnahmen
Mit den Gesetzesmaterialien arbeiten insb mit der Gesetzesbegründung Mit den Gesetzesmaterialien arbeiten, insb. mit der Gesetzesbegründung Viele abstrakte gesetzliche Vorgaben werden dort konkretisiert
Stets die Normenhierarchie beachten: Werden gesetzliche Vorschriften durch untergesetzliche Vorgaben konkretisiert? Fallbeispiel: BSI‐KritisV
Unterschiedliche Fassungen beachten, ist das Gesetz überhaupt noch in Kraft? Paradebeispiel: GPSG und ProdSG
Unterscheidung zwischen Verkündung und Inkrafttreten, Beachtung von Umsetzungsfristen:
Folie 56
Nicht jedes Gesetz entfaltet sofort sämtliche seiner Rechtswirkungen – siehe nur BSIG
TOP 3: IT‐Rechtspraxis – Rechtsverständnis und ‐anwendungTOP 3: IT Rechtspraxis Rechtsverständnis und anwendung
Umgang mit unbestimmten g gRechtsbegriffen/Generalklauseln: Bereits am Anfang dargestellt: IT‐Security als interdisziplinäres Themenfeld Bereits am Anfang dargestellt: IT‐Security als interdisziplinäres Themenfeld Gesetze als verhältnismäßig unflexible Regelungsmechanismen Laufend zu aktualisierende, technisch neue Vorgaben können nicht allein durch
gesetzliche Vorschriften adäquat abgebildet werden Deshalb Rückgriff auf “unbestimmte Rechtsbegriffe” bzw. “Generalklauseln” Implementierung technischer Sachverhalte in das Recht Implementierung technischer Sachverhalte in das Recht Dabei zur Auslegung insb. Rückgriff auf technische Normen und Standards Probleme:
Anwender letztlich für die Konkretisierung gesetzlicher Vorgaben verantwortlich Gesetzesbegründung kann maximal erste Anhaltspunkte liefern
I b b i G t k t bli t A d i f hl
Folie 57
Insb. bei neuen Gesetzen kann etablierte Anwendungspraxis fehlen Problematisch bei Ordnungswidrigkeiten, zivilrechtlicher Haftung
TOP 3: IT‐Rechtspraxis – Rechtsverständnis und ‐anwendungTOP 3: IT Rechtspraxis Rechtsverständnis und anwendung
Gesetzesquellen: Nationale und europäische Gesetze und Begründungen sind immer kostenfrei einsehbar! D: juris BMJ, https://www.gesetze‐im‐internet.de/ EU: EUR‐Lex http://eur‐lex europa eu/homepage htmlEU: EUR Lex, http://eur lex.europa.eu/homepage.html
Erste Anlaufstellen für Recht & Technik der IT‐Sicherheit: VDE/IGMR: IT‐Security Standards Collection, VDE/IGMR: IT Security Standards Collection, https://www.security‐standards.de/ BITKOM: Kompass der IT‐Sicherheitsstandards
Folie 58
BITKOM: Kompass der IT‐Sicherheitsstandards, http://www.kompass‐sicherheitsstandards.de/
TOP 4TOP 4
IT‐Recht im Diskurs: Praxistipps, Austausch und Diskussion
Folie 59
Dr. iur. Dennis‐Kenji KipkerInstitut für Informations‐, Gesundheits‐ und Medizinrecht (IGMR)
Universität BremenUniversitätsallee GW1
28359 BremenTel : 0421 218 66049Tel.: 0421 218 66049
Mail: kipker@uni‐bremen.de
Besuchen Sie unsere Website: www itskritis deBesuchen Sie unsere Website: www.itskritis.deFolgen Sie uns auf Twitter: @itskritis
Folie 60