Deutschland darf den zweiten Schritt nicht vor dem ersten tun – die parallelen Gesetzgebungsverfahren zur IT-Sicherheit auf nationaler und europäischer Ebene müssen eng miteinander abgestimmt werden, so lautete eine zentrale eco Position, die am Dienstagmorgen unter den Teilnehmern des ersten eco Politikfrühstücks in 2015 diskutiert wurde. Unter den rund 30 Gästen aus Politik und Wirtschaft befanden sich neben Mitgliedsunternehmen, auch Vertreter der Bundesministerien und Mitglieder des Deutschen Bundestages sowie deren Mitarbeiter.
Oliver Süme, eco Vorstand Politik & Recht warnte auch in seiner Funktion als Präsident des europäischen Providerdachverbands EuroISPA vor einem „Flickenteppich“ unterschiedlicher nationaler Vorgaben zur IT-Sicherheit, der entstehen könnte, da neben Deutschland auch mehrere andere EU-Mitgliedstaaten derzeit an eigenen IT-Sicherheitsgesetzen arbeiteten. Dies könne zu erheblicher Rechtsunsicherheit bei betroffenen Unternehmen führen. IT-Sicherheit sei eine grenzüberschreitende Herausforderung, die nach europäischen beziehungsweise globalen Lösungen und Standards verlange.
Süme sieht hier die Bundesregierung in der Pflicht, sich für eine Harmonisierung der IT-Sicherheitsregeln im Rahmen der geplanten europäischen Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (NIS-Richtlinie) einzusetzen und den Unternehmen so Rechts- und Planungssicherheit zu garantieren. Alexander Meißner, Referent für Telekommunikationsrecht im Bundesinnenministerium betonte, dass sich das Ministerium der Herausforderung bewusst sei und ebenfalls eine möglichst weitgehende Harmonisierung zwischen IT-Sicherheitsgesetz und NIS-Richtlinie anstrebe um so wenig Doppelaufwand wie möglich für die betroffenen Unternehmen zu produzieren. Angesichts des dringenden Handlungsbedarfs wolle man aber nicht auf Brüssel warten, sondern mit dem nationalen IT-Sicherheitsgesetz Fakten schaffen und Anstöße für die NIS-Richtlinie geben.
Fokus sollte auf Kritischen Infrastrukturen liegen
Ein zweiter Diskussionsschwerpunkt drehte sich um den Anwendungsbereich des IT-Sicherheitsgesetzes und der NIS Richtlinie, also die bis jetzt ungeklärte Frage, welche Sektoren in die gesetzlichen Bestimmungen der sogenannten kritischen Infrastrukturen einbezogen werden sollen. Noch klärungsbedürftig ist derzeit, inwieweit Dienste der Informationsgesellschaft, also Internetdienste vom einfachen Blog bis zum weltweit agierenden Social-Media Dienst, in den Anwendungsbereich eibezogen werden sollten. Die Identifizierung und Festlegung sogenannter kritischer Infrastrukturen benötigt präzise gesetzliche Kriterien. eco empfiehlt in diesem Zusammenhang die Konzentration des Anwendungsbereichs auf kritische Infrastrukturen beizubehalten und keine Sonderregelungen für sämtliche Dienste der Informationsgesellschaft zu schaffen. Das Bundesinnenministerium beabsichtigt, dass die Definition der betroffenen Sektoren der kritischen Infrastrukturen im Rahmen der Rechtsverordnung in enger Abstimmung mit der Wirtschaft erfolgen werde.
Der am 17. Dezember 2014 von der Bundesregierung beschlossene Kabinettsentwurf für ein IT-Sicherheitsgesetz wird nun in das parlamentarische Verfahren eingebracht und in den zuständigen Ausschüssen beraten. Nach Abschluss des parlamentarischen Verfahrens, voraussichtlich Mitte dieses Jahres, soll das IT-Sicherheitsgesetz verabschiedet und dann unverzüglich in Kraft treten.
Die Lettische EU-Ratspräsidentschaft strebt sowohl für die NIS-Richtlinie als auch für die EU-Datenschutzgrundverordnung eine zeitnahe Einigung im Rat an. Das Gesetzgebungsverfahren zur europäischen NIS-Richtlinie steht damit kurz vor dem Abschluss. Die NIS-Richtlinie könnte bei einer zügigen Einigung im Rahmen der Trilog-Verhandlungen im zweiten Quartal 2015 verabschiedet werden und müsste dann innerhalb der nächsten 18 Monate in nationales Recht umgesetzt werden.
Lesen Sie ergänzend zur Diskussion das Hintergrundpapier zum Kabinettsentwurf für ein IT-Sicherheitsgesetz und zum europäischen Gesetzgebungsverfahren zur NIS-Richtlinie sowie die aktuelle eco Stellungnahme zum Referentenentwurf des IT-Sicherheitsgesetzes.