Das IT-Sicherheitsgesetz und seine Auswirkungen

Das neue IT-Sicherheitsgesetz fordert von Betreibern sogenannter „kritischer Infrastrukturen“, wie Energieversorgern, Banken und Netzbertreibern, ein „Mindestniveau an IT-Sicherheit“. Noch ist allerdings unklar, welche Unternehmen dies wirklich betrifft und was genau gefordert wird. Im Gespräch mit dem Mitglied der BDI-Hauptgeschäftsführung, Dieter Schweer, werden die noch offenen Fragen auf den Punkt gebracht.

Am 24. Juli 2015 trat das neue „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“ in Kraft. In einer derzeit in Arbeit befindlichen Rechtsverordnung, wird erst jetzt festgelegt, welche Unternehmen zu den Betreibern „kritischer Infratstrukturen“ (KRITIS) überhaupt gehören. Was hat das für Auswirkungen?

Dieter Schweer (DS): Man muss sich das mal vor Augen halten: es gibt ein fertiges Gesetz, bei dem Unternehmen noch nicht verbindlich wissen, ob sie eine KRITIS betreiben und damit von dem Gesetz betroffen sind. Das wird erst in der Rechtsverordnung festgelegt. Und die soll erst Ende 2016 vorgelegt werden. Bis dahin besteht für die Unternehmen eine große Ungewissheit, weil sie die geforderten Investitionen nicht einkalkulieren können.

Wieso wurde das Ihrer Meinung nach nicht direkt im Gesetz verankert?

DS: Für die Politik hat es den Vorteil, dass eine Rechtsverordnung im Nachhinein einfacher angepasst werden kann, als ein Gesetz. Für die Unternehmen hingegen birgt das große Unsicherheiten, weil es schwer bis gar nicht zu planen ist. Denn der Anwendungsbereich des Gesetzes ist bislang nicht hinreichend bestimmt und es ist niemanden bekannt, ob er unter das Gesetz fällt oder nicht.

In dem Gesetz werden konkrete Zahlen genannt, beispielsweise 2.000 Betreiber kritischer Infrastrukturen. Wo kommen diese Zahlen her?

DS: Die im Gesetz angegebene Zahl ist eine Höchstgrenze, den die Regierung für KRITIS-Betreiber angibt. Das IT-Sicherheitsgesetz definiert sieben Branchen, die in der Rechtsverordnung in zwei Körbe aufgeteilt werden. Einmal handelt es sich um die Branchen „Internet und Telekommunikation“, „Wasser“, „Energie“ und „Ernährung“. Im zweiten Korb befinden sich die Branchen „Transport und Logistik“, „Gesundheit“, „Finanz- und Versicherungswesen“.

Das Gesetz verpflichtet KRITIS-Betreiber, IT-Sicherheitsvorfälle zu melden. Doch eine genaue Definition zu derartigen Vorfällen findet man im Gesetzestext nicht. Wie ist das möglich?

DS: Für die Unternehmen ist es schwierig zu sagen, was ein erheblicher IT-Sicherheitsvorfall eigentlich ist. Deshalb ist es auch unklar, wann ein Vorfall gemeldet werden muss. Hier bedarf es genauerer Definitionen seitens des Gesetzgebers, um die Unsicherheiten diesbezüglich bei den Betreibern zu nehmen.

Das IT-Sicherheitsgesetz fordert ein „Mindestniveau an IT-Sicherheit“. Was lässt sich darunter verstehen und wie ist es definiert?

DS: Das Gesetz legt fest, dass die Branchen das Mindestniveau ihres Sicherheitsstandards zunächst selbst definieren. Die Anforderungen an die IT-Sicherheit in den unterschiedlichen Branchen sind auch unterschiedlich hoch, weshalb das durchaus Sinn macht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt im Anschluss gesondert fest, ob die gesetzlichen Anforderungen das Mindestniveau tatsächlich erfüllen. Alle zwei Jahre müssen die Unternehmen außerdem nachweisen, dass diese Mindestanforderungen auch weiterhin gewährleistet sind.

Bei der Umsetzung dieser Vorgaben entstehen ja auch Kosten. Wie hoch werden diese Ihrer Meinung nach schätzungsweise sein?

DS: Das ist schwer zu schätzen. Wir haben allerdings auf Grundlage des Entwurfs des IT-Sicherheitsgesetzes von 2013 eine KPMG-Studie in Auftrag gegeben. Sie belegt, dass die Bürokratiekosten für die Unternehmen bei insgesamt einer Millarde Euro pro Jahr liegen werden. Wir gehen deshalb davon aus, dass auch mit dem tatsächlich in Kraft getretenen Gesetz die Kosten für die Unternehmen annähernd hoch sein werden.

Ein Interesse der Unternehmen liegt sicherlich im Umsetzungszeitraum. Wenn die Rechtsverordnung vorliegt, welcher Zeitrahmen wird den Unternehmen dann für die Umsetzung eingeräumt?

DS: Die Energiebranche hat gerade einmal 12 Monate Zeit, um den Gesetzesvorgaben gerecht zu werden. Den übrigen Branchen wird dafür 24 Monate gegeben.

Das ist wirklich ein sehr kurzer Zeitraum, kann es da nicht knapp werden?

DS: Natürlich ist das viel zu wenig Zeit. Es werden ja auch kleine Unternehmen betroffen sein, die personell und finanziell nicht so gut aufgestellt sind. Deshalb fordert der BDI für alle Branchen einheitlich einen Zeitraum zur Umsetzung von drei Jahren.

Sprechen wir noch über die Haftung: Viele KRITIS-Betreiber geben ihre IT an Dienstleister ab. Gibt es in diesem Fall eine Haftungsverlagerung?

DS: Vermutlich werden die betroffenen Unternehmen die Sicherheitsanforderungen an ihre Zulieferer und Dienstleister weitergeben. Dann sind diese in der Pflicht, die Anforderungen des IT-Sicherheitsgesetzes zu erfüllen. Das lässt sich vertraglich klar zwischen den Unternehmen regeln.