Stellungnahmen

Deutschen Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)

Das österreichische Bundesministerium für Wissenschaft, Forschung und Wirtschaft (BMWFW) führt im Rahmen des europäischen Informationsverfahrens bis 21.02.2015 eine öffentliche Konsultation über den deutschen Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) durch. Der deutsche Gesetzesentwurf entspricht den Grundsätze des von der EU-Kommission vorgeschlagenen Entwurfs einer Richtlinie über Netz- und Informationssicherheit („NIS-RL“). Wir gehen daher davon aus, dass das deutsche Gesetzt indirekt Einfluss auf die Umsetzung der NIS-RL in Österreich haben könnte.

Der ursprüngliche Gesetzesentwurf wurde von Vertretern der Gesellschaft und der Industrie sehr scharf kritisiert, da dieser die Speicherung von Nutzerdaten zur Störungsbekämpfung durch Telemediendienstanbieter vorsah, die einer Vorratsdatenspeicherung gleichgekommen wären. Der kritisierte § 15 Abs. 9 Telemediengesetz, der eine Speicherung von Daten bis zu sechs Monate ermöglichte, hat sich jedoch im Rahmen der weiteren Gesetzesverhandlungen vom Entwurf nicht durchsetzen können und ist auch im Entwurf nicht mehr enthalten.

Bitte finden Sie anbei den Entwurf des deutschen IT-Sicherheitsgesetzes. Ein den öEB vergleichbares Dokument mit Erläuterungen („Begründung“) findet sich im PFD-Dokument ab Seite 20.

Die wesentlichen Punkte des Gesetzesentwurfes stellen sich wie folgt dar:

Mit Artikel 1 werden Änderungen des BSI-Gesetzes vorgeschlagen. Die wesentlichen Regelungen sind (Seiten 9 - 17):

• Etablierung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen. (§4 und §8b Abs 1 und 2)
• Ausweitung der Warnbefugnisse des BSI im Falle eines Verlustes oder eines unerlaubten Zugriffs auf Daten. (§ 7)
• Befugnis des BSI zur Untersuchung von informationstechnischen Produkten, Systemen und Diensten.(§7a)
• Meldung bedeutender IT-Störungen: Die Betreiber „kritischer Infrastrukturen“ im Sinne des BSI-Gesetzes sollen dem BSI unverzüglich bedeutende IT-Störungen, die Auswirkung auf die Versorgungssicherheit haben können, melden. (§8a)
• Ausnahme vom Anwendungsbereich (§ 8c):
  • Kleinstunternehmen (weniger als 10 Mitarbeiter, bis zu 2 Mio. Euro Jahresumsatz)
  • Betreiber von öffentlichen Telekommunikationsnetzen und –diensten sind von den Anforderungen zur Umsetzung von technischen Vorkehrungen zur Vermeidung von Störungen nach § 8a BSI-Gesetz sowie von den Meldepflichten nach § 8b Abs. 3-5 BSI-Gesetz ausgenommen, da bereits gleichwertige Bestimmungen im <link http: www.jusline.de _blank externallinkklein>§ 109 dt. TKG existieren.

Mit Artikel 4 werden Änderungen im Telemediengesetz (TMG) vorgeschlagen (Seite 14):

• Die Dienstanbieter haben technische Vorkehrungen oder sonstige Maßnahmen zum Schutz der Systeme gegen unerlaubten Zugriff nach dem Stand der Technik zu treffen. (§13)
• Aufnahme von Bußgeldvorschriften beim Verstoß.(§16)

Mit Artikel 5 werden Änderungen im dt. Telekommunikationsgesetz (dTKG) vorgeschlagen (Seiten 15 – 17):

• Befugnis für Telekomanbieter zur Erhebung und Verwendung von Nutzungsdaten zur Erkennung und Beseitigung mit Störungen und Missbrauch der genutzten technischen Einrichtungen. (§ 100 Abs. 1)
• Verpflichtung der Telekommunikationsanbieter zu angemessenen technischen Vorkehrungen und Maßnahmen, die der Stand der Technik entsprechen, zum Schutz von Fernmeldegeheimnis und zum Schutz personenbezogener Daten. (§ 109 Abs 2 und 4)
• Ausweitung der Meldepflichten: Meldung von Vorfällen, die potenziell zu beträchtlichen Sicherheitsverletzungen von Datenverarbeitungssystemen führen können. Bislang war solche Meldung nur bei tatsächlich aufgetretenen Störungen vorgesehen. (§ 109 Abs 5)
• Verpflichtung der Telekommunikationsanbieter zur unverzüglichen Benachrichtigung der Nutzerinnen und Nutzer über Schadprogramme und zur Bereitstellung technischer Hilfsmittel für ihre Erkennung und Beseitigung. (§ 109a)
• Bußgeldvorschrift beim Verstoß gegen die erweiterten Meldepflichten.(§ 149)

Mit Artikel 7 wird eine Änderung des BKA-Gesetzes vorgeschlagen, mit der die Zuständigkeit des BKA für die Wahrnehmung polizeilicher Aufgaben auf Fälle erweitert wird, in denen sich die Tat gegen Behörden oder Einrichtungen des Bundes richtet.