IT-SiG und RechtsVO – Überregulierung verhindern
Am 12. Juli 2015 nahm der Bundestag den Gesetzentwurf der Bundesregierung zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) an. Bereits am 24. Juli 2015 wurde das IT-Sicherheitsgesetz im Bundesgesetzblatt veröffentlicht und trat am folgenden Tag in Kraft.
Entsprechend der Regelung zählen zu den Betreibern „Kritischer Infrastrukturen“ neben den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser sowie Finanz- und Versicherungswesen auch der Sektor Ernährung, dem laut Begründung die Branchen Ernährungswirtschaft und Lebensmittelhandel zugeordnet werden.
Demnach müssen Betreiber Kritischer Infrastrukturen künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Darüber hinaus wurden die Anforderungen an Anbieter von Telemediendiensten erhöht.
Die Pflicht zur Einhaltung von IT-Sicherheitsstandards („Stand der Technik“), zu denen die Betreiber per Gesetz jetzt verpflichtet werden, gilt jedoch erst zwei Jahre nach Inkrafttreten der Rechtsverordnung. Es drohen auch erst dann Bußgelder, wenn der Pflicht nicht nachgekommen wird.
Hingegen gilt die Meldepflicht für erhebliche IT-Sicherheitsvorfälle für Betreiber u.a. aus dem Bereich Ernährung bereits dann, wenn die anstehende Rechtsverordnung in Kraft tritt, die zurzeit im BMI erarbeitet wird.
Bereits seit Inkrafttreten des IT-Sicherheitsgesetzes (ab 25. Juli 2015) haben Anbieter gewerblicher Telemediendienste (z. B. Online-Shops) - soweit technisch möglich und wirtschaftlich zumutbar - technische und organisatorische Maßnahmen nach dem „Stand der Technik“ zu ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern.
Wer künftig als Betreiber einer Kritischen Infrastruktur zugeordnet werden kann, wird jedoch erst nach Verabschiedung der Rechtsverordnung konkret feststellbar sein. Die Verordnung soll hierfür messbare Kriterien (wie beispielsweise die Versorgung einer bestimmten Bevölkerungszahl mit spezifischen Leistungen) festlegen.
Vor diesem Hintergrund richten die Verbände im engen Austausch mit den IT-Sicherheitsexperten des Handels ihren Fokus bereits jetzt auf die Vorarbeiten zur Rechtsverordnung. Erste Gespräche mit den Zuständigen wurden bereits geführt. So sind der Erarbeitung messbarer Kriterien zur Bestimmung Kritischer Infrastrukturen unbedingt praxisnahe Gefährdungsszenarien zugrunde zu legen.
Mögliche Schwellenwerte sollten so festgelegt werden, dass in realistischer Betrachtung bei deren Überschreitung tatsächliche Risiken entstehen. Keinesfalls sollte die Branche mit einer weitreichenden Betroffenheit überzogen werden, die dann unnötige bürokratische Lasten auslöst, ohne das Schutzniveau tatsächlich zu erhöhen. Hierfür werden sich die Verbände weiter einsetzen.