IT‐Sicherheitsrecht 2016IT Sicherheitsrecht 2016

Aktuelle nationale und internationale Rahmenbedingungen

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben

Aktuelle nationale Gesetzesänderungen durch dasGesetzesänderungen durch das IT‐Sicherheitsgesetz (IT‐SiG)

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben IT‐Sicherheit wird nicht kodifiziert geregeltZ hl i h Ei l h if Zahlreiche Einzelvorschriften

Abhängig vom jeweiligen Geschäfts‐ bzw. Infrastrukturbereich Beispiele „von A bis Z“: AktG, § 91 AtG §§ 7 ff 44b AtG, §§ 7 ff., 44b BDSG, §§ 9, 9a, 42a BSIG §§ 3 4 7 7a 8a ff BSIG, §§ 3, 4, 7, 7a, 8a ff. EnWG,  §§ 11 ff., 21e, 49 KWG, § 25a TKG, §§ 109, 109a TMG, § 13 IT‐SiG, §§ … ???

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben Zur Rechtsnatur des IT‐SiG: Artikelgesetz Artikelgesetz Kein Kodifikationscharakter! Ändert nur verschiedene Einzelgesetze, u.a.:

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) Atomgesetz (AtG) Energiewirtschaftsgesetz (EnWG) Energiewirtschaftsgesetz (EnWG) Telemediengesetz (TMG) Telekommunikationsgesetz (TKG)B d k i i l (BKAG) Bundeskriminalamtgesetz (BKAG)

Betrifft in erheblichem Maße auch, aber nicht nur KRITIS IT‐SiG in Kraft getreten am 25.07.2015 g Bestandteil von Cybersicherheitsstrategie der BReg Erweiterung v.a. der Befugnisse des BSI, allgemein insb. Warnmöglichkeit 

gem § 7 BSIG Untersuchung der Sicherheit in der IT § 7a BSIGgem. § 7 BSIG, Untersuchung der Sicherheit in der IT, § 7a BSIG

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben

IT‐SiG und KRITIS*AnwendungsbereichAnwendungsbereich

§§ 8a bis 8d BSIG als zentrale Neuerungen

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben Legaldefinition von KRITIS in § 2 Abs. 10 BSIG, kumulative Kriterien: 1. Sektorale Zugehörigkeit zu Energie, g g gInformationstechnik, TK, Transport, Verkehr, Gesundheit, Wasser, Ernährung, Finanz‐ + gVersicherungswesen

2. Sog. Fehlerfolgenerheblichkeit: Hohe Bedeutung . Sog. Fehlerfolgenerheblichkeit: Hohe edeutungfür das Funktionieren des Gemeinwesens, weil durch Ausfall oder Beeinträchtigung erhebliche g gVersorgungsengpässe oder Gefährdungen für die öff. Sicherheit einträten

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben Konkretisierung von KRITIS erfolgt gem. § 10 BSIG durch RVO des BMI (sog. KritisVO) Bestimmung, welche Einrichtungen, Anlagen oder Teile davon 

l KRITIS lals KRITIS gelten Kriterium: Bedeutung als kritisch anzusehende Dienstleistung (Qualität) + Versorgungsgrad (Quantität)(Qualität) + Versorgungsgrad (Quantität)

Anhörung von Wissenschaft, Betreibern und Wirtschaftsverbänden inkl. Einvernehmen verschiedener BM

§ 10 Abs. 1 S. 2 BSIG: „Der […] als bedeutend anzusehende Versorgungsgrad ist anhand von branchenspezifischen Schwellenwerten für jede wegen ihrer Bedeutung als kritisch anzusehende Dienstleistung im jeweiligen Sektor zu bestimmen “bestimmen.

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben

Zeitplanung KritisVOp g Korb 1: E i IKT E äh W Energie, IKT, Ernährung, Wasser Fertigstellung geplant für1. Quartal 2016UPDATE: Mitte März

Korb 2: Korb 2: Finanzen, Gesundheit, Transport, Verkehr Fertigstellung für Ende 2016 geplant Inkrafttreten geschätzt 1 Quartal 2017 Inkrafttreten geschätzt 1. Quartal 2017

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben BSI: „Messbare Kriterien wie z.B. der Marktanteil an der Versorgung einer bestimmten Region mit einerder Versorgung einer bestimmten Region mit einer bestimmten Leistung werden herangezogen.“

Mögliche inhaltliche Ausgestaltung KritisVO wird sich Mögliche inhaltliche Ausgestaltung KritisVO wird sich wohl anhand der bestehenden Sektorstudien bemessen

Rückgriff auf bereits vorhandene Informationen & W ö li h T b ll f !Werte möglich  Tabellenform!

Passt inhaltlich, da Aufschlüsselung nach Qualität und QuantitätQuantität

Passt auch in den Zeitplan, denn Sektorstudien für Korb 1 sind alle fertig, für Korb 2 noch nichtg,

Daher: Zur Vorbereitung schon jetzt ein Blick in die Sektorstudien äußerst sinnvoll!

Beispiel BSI Sektorstudie EnergieBeispiel BSI Sektorstudie Energie

Quelle: BSI

Kritische DL: StromversorgungKritische DL: Stromversorgung

Quelle: BSI

PS: Stromerzeugung  BP1: Brennstoffversorgung BP1: Brennstoffversorgung

Quelle: BSI

PS: Stromerzeugung  BP2: Ansteuerung von Anlagen BP2: Ansteuerung von Anlagen

Quelle: BSI

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben § 8a BSIG – Sicherheit in der Informationstechnik von KRITIS:

Regelt angemessene“ TOV die grds spätestens zwei Jahre nach Inkrafttreten der RVO Regelt „angemessene  TOV, die grds. spätestens zwei Jahre nach Inkrafttreten der RVO gem. § 10 BSIG von den Betreibern zu treffen sind

Maßnahmen müssen der Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit derjenigen IT‐Systeme dienen die für dieAuthentizität und Vertraulichkeit derjenigen IT‐Systeme dienen, die für die Funktionsfähigkeit von KRITIS maßgeblich sind

Maßnahmen sollen den Stand der Technik einhaltenI i l äi h i l N d S d d ( B ISMS ISO/IEC Internationale, europäische + nationale Normen und Standards (z.B. ISMS, ISO/IEC 27001)

Betreiber und Branchenverbände können in Abstimmung mit BSI spezifische Standards G äh l i d IT Si h h i f d hl ( B3S“)zur Gewährleistung der IT‐Sicherheitsanforderungen vorschlagen (sog. „B3S“)

UP KRITIS TOV sind angemessen, „wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu 

den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht“  in erster Linie Kostenrelevanz als Kriterium

TOV sind alle 2 Jahre nachzuweisen durch Audits, Prüfungen, Zertifizierungen Zu konkretisieren: Wer soll diese Nachweise durchführen?  Siehe auch: § 8a Abs. 4 BSIG

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben § 8b BSIG – Zentrale Stelle für IT‐Sicherheit von KRITIS:

BSI als zentrale Meldestelle für KRITIS in Angelegenheiten der Sicherheit in der Informationstechnik

Verschiedene entsprechende Aufgaben: Verschiedene entsprechende Aufgaben: Informationssammlung und ‐auswertung: Sicherheitslücken, Schadprogramme, erfolgte 

oder versuchte Angriffe, Vorgehensweise von Angreiferni k iff f di f b k i S l i Auswirkungen von Angriffen auf die Verfügbarkeit von KRITIS analysieren

Aktualisierung Lagebild Informationssicherheit KRITIS Unterrichtung der Betreiber über Gefahreng Unterrichtung weiterer zuständiger (Aufsichts)behörden

Betreiberpflicht zur Einrichtung einer Kontaktstelle zur Krisenprävention und ‐b äl i d i h lb 6 h O § 0 S Gbewältigung grds. innerhalb von 6 Monaten nach RVO gem. § 10 BSIG

Zusätzlich zu eigener Kontaktstelle Benennung einer gemeinsamen, übergeordneten Anspruchstelle möglich, soweit Zugehörigkeit zu gleicher g p g , g g gDomäne  Dann Austausch im Regelfall hierüber

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben § 8b BSIG – Meldepflicht:

W i ld ? E h bli h S ö d V fü b k i Wann ist zu melden? Erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität, Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse, die y , p ,zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit von KRITIS1 füh kö d1. führen können oder

2. geführt habenErhebliche Stör ng Bedroht F nktionsfähigkeit on KRITIS IndiErhebliche Störung: Bedroht Funktionsfähigkeit von KRITIS, Indiz: Können nicht automatisiert oder mit wenig Aufwand behoben werden

Meldepflichtige Kategorien können sich an Anlage 1 zur Allgemeinen Verwaltungsvorschrift über das Meldeverfahren 

§ 4 Ab 6 BSIG i tigem. § 4 Abs. 6 BSIG orientieren

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben Anlage 1 zur Allgemeinen Verwaltungsvorschrift über das Meldeverfahren 

gem. § 4 Abs. 6 BSIG, meldepflichtige Kategorien:g § , p g g Externer Angriff (DoS, Hacking, Passwortmissbrauch) Datenverlust (Hardwareverlust, unautorisierter Datenabfluss) Sicherheitslücke (Exploiting) Sicherheitslücke (Exploiting) Störung von Soft‐ oder Hardwarekomponenten (schwerwiegender 

Systemausfall, Überlastsituationen) Verstoß gegen IT‐Sicherheitsrichtlinien (Innentäter) Verstoß gegen IT Sicherheitsrichtlinien (Innentäter) Interne Ursachen (Sicherung, Kühlung, USV) Externe Einflüsse (Naturgewalten/höhere Gewalt) Besondere Erkenntnisse (nach Einschätzung des Meldenden) Besondere Erkenntnisse (nach Einschätzung des Meldenden) Bedürfnis nach einheitlicher Klassifikation für CERTs gegeben! (RVO?)

Was ist zu melden? Angaben zur Störung, den technischen Rahmenbedingungen, der vermuteten oder tatsächlichen Ursache, der Art der betroffenen Einrichtung oder Anlage und zur Branche des Betreibers

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben Benennung des konkreten Betreibers? Nur dann erforderlich, wenn die 

Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung derStörung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit von KRITIS geführt hat, andernfalls pseudonymisierteMeldung

W i t it d ld t D t ? BSI i t t l M ld t ll Was passiert mit den gemeldeten Daten? BSI ist zentrale Meldestelle, das bedeutet… Sammlung und Auswertung (z.T. zusammen mit BBK) Warn‐ und Alarmierungsmeldungen Aktualisierung Lagebild Informationssicherheit Information für Betreiber und (Aufsichts)behörden Information für Betreiber und (Aufsichts)behörden Langfristige Jahresberichte für die Öffentlichkeit

Wer muss nicht melden? § 8c BSIG – Anwendungsbereich/EU‐Recht: Keine Anwendung auf Kleinstunternehmen (Mitarbeiter < 10;  Jahresbilanz nicht größer als 2 Mio. €)

Bereichsausnahmen bei Sonderregelungen, dazu sogleich…g g , g

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben Sonderregelungen – Meldepflichten und TOV nach 

d G § 8 BSIGanderen Gesetzen, § 8c BSIG: Betreiber von TK‐Netzen oder TK‐Diensten  § 109 TKG § 109 TKG

Betreiber von Energieversorgungsnetzen oder ‐anlagen  § 11 E WG § 11 EnWG

Genehmigungsinhaber gem. Atomgesetz  § 44b ATG § 44b ATG

Es gilt somit: BSIG als allgemeine Vorgabe, falls keine Spezialgesetze für den jeweiligen InfrastrukturbereichSpezialgesetze für den jeweiligen Infrastrukturbereich greifen  Dieses Prinzip ist im Recht universell gültig (lex specialis)(lex specialis)

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben Exkurs zu den Sonderregelungen ‐ § 11 EnWG: Gegenüber BSIG vorrangige Vorschrift für Betreiber von Gegenüber BSIG vorrangige Vorschrift für Betreiber von

1. Energieversorgungsnetzen 2. Energieanlagen

1 E i t b t ib 1. Energieversorgungsnetzbetreiber: Verpflichtung zum Betrieb eines sicheren, zuverlässigen und leistungsfähigen Netzes (Abs. 1)

Sicherer Netzbetrieb umfasst auch angemessenen Schutz gegen Sicherer Netzbetrieb umfasst auch angemessenen Schutz gegen Bedrohungen für TK‐ + EDV‐Systeme, die für Netzbetrieb notwendig sind (Abs. 1a, modifiziert durch IT‐SiG) Angemessener Schutz gegeben, soweit Sicherheitskatalog der BNetzA g g g , g

eingehalten und vom Betreiber dokumentiert EnWG selbst enthält keine Umsetzungsfrist, aber der Sicherheitskatalog: 

Abschluss Zertifizierung der Maßnahmen ist bis 31.01.2018 der BNetzA mitzuteilen Ansprechpartner zur IT‐Sicherheit war bis zum 30.11.2015 mitzuteilen an: IT‐ Ansprechpartner zur IT Sicherheit war bis zum 30.11.2015 mitzuteilen an: IT

Sicherheitskatalog@bnetza.de Soweit Betreiber der RVO nach § 10 Abs. 1 BSIG unterfallen, besteht eine eigene Meldepflicht gem. EnWG, vergleichbar mit BSIG (Abs. 1c, neu durch IT SiG)durch IT‐SiG)

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben 2. Energieanlagenbetreiber: Soweit Betreiber der RVO nach § 10 Abs 1 BSIG unterfallen + an Soweit Betreiber der RVO nach § 10 Abs. 1 BSIG unterfallen + an 

ein Energieversorgungsnetz angeschlossen sind, haben sie einen angemessenen Schutz gegen Bedrohungen für TK‐ und EDV‐S t äh l i t di fü i h A l b t i bSysteme zu gewährleisten, die für sicheren Anlagenbetrieb notwendig sind

Umsetzungsfrist: 2 Jahre nach Inkrafttreten der RVO (Abs. 1b, neu g ( ,durch IT‐SiG)

Hierzu soll ebenso ein Katalog von Sicherheitsanforderungen durch BNetzA und BSI erstellt werdendurch BNetzA und BSI erstellt werden

Angemessener Schutz gegeben, soweit Sicherheitskatalog der BNetzA gem. § 11 Abs. 1b EnWG eingehalten und vom Betreiber d kdokumentiert

Soweit Betreiber der RVO nach § 10 Abs. 1 BSIG unterfallen, besteht eine eigene Meldepflicht gem. EnWG, vergleichbar mit g p g , gBSIG (Abs. 1c, neu durch IT‐SiG)

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben IT‐Sicherheitskatalog der BNetzA gem. § 11 Abs. 1a EnWG –wesentliche regulatorische Vorgaben:wesentliche regulatorische Vorgaben: Erschienen:  August 2015 Ziel: Gewährleistung eines sicheren Netzbetriebs (IT‐Schutzziele) Maßnahmen:

Kernforderung ist Einrichtung eines ISMS nach DIN ISO/IEC 27001 + Zertifizierung der Maßnahmen durch unabhängige Drittstelle in g g ganschließender Kooperation mit der DAkkS Mindeststandard für IT-Sicherheit

Benennung Unternehmens-Ansprechpartner IT-Sicherheit an BNetzAg p p Teilnahme des Betreibers am UP KRITIS Geltungsbereich umfasst alle Komponenten für sicheren Netzbetrieb Einführung des PDCA Modells: Plan Do Check Act Definition von IT Einführung des PDCA-Modells: Plan-Do-Check-Act Definition von IT-

Sicherheit als fortlaufendem Prozess Detaillierte Vorgaben zur Implementierung des ISMS für konkreten

Betreibertypus inkl Verweisen auf ISO/IEC 2700XBetreibertypus inkl. Verweisen auf ISO/IEC 2700X

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben

Quelle: BSI

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben

Quelle: BSI

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben Bußgeldvorschriften:

§ 14 BSIG (sanktioniert u.a. Missachtung der Meldepflicht, Maximum 100.000 €) § 149 Nr. 21a. TKG (Missachtung der Meldepflicht, Maximum 50.000 €)

Kosten für Betreiber: Kosten für Betreiber: Können im Einzelnen nicht im Vorfeld quantifiziert werden, insb. auch nicht für 

notwendige Zertifizierungen und Audits RVO nach § 10 BSIG soll weitere Hinweise liefern Zahl der meldepflichtigen KRITIS‐Betreiber soll deutschlandweit bei ca. 2.000 liegen Schätzung BReg: 7 Meldungen pro Betreiber pro Jahr Geschätzte Kosten pro Meldung: 660 € (11 Stunden Zeitaufwand, Stundensatz von 60 €) Nationaler Normenkontrollrat: „Bezifferbarer Mehraufwand für die Wirtschaft = 9 Mio. €“

Evaluation: Evaluation: Art. 10 IT‐SiG: Evaluierung der neuen Vorschriften zu KRITIS vier Jahre nach Inkrafttreten 

der RVO gem. § 10 BSIG

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben

Exkurs: Gesetz zur Digitalisierungder Energiewendeder Energiewende

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben Rechtspolitischer Hintergrund BMWi: Notwendigkeit eines energiewendetauglichen Smart Metering Fluktuierender Stromerzeugung soll Rechnung getragen werden insb Erneuerbarewerden, insb. Erneuerbare

Schaffung von Kapazität + Flexibilität zum Ausgleich/zur Abnahme volatilen erneuerbaren Stroms

Voraussetzung: Intelligentes Kommunikationsnetz Sichere standardisierte KommunikationsverbindungenI b h V t G äh l i t D t h t Insb. auch Voraussetzung: Gewährleistung von Datenschutz + Datensicherheit  Aufz. Stromverbrauch  Verhaltensmuster

Deutschland soll bei der Energiewende „Vorreiter“ werden Deutschland soll bei der Energiewende „Vorreiter  werden Umsetzung u.a. durch BSI zertifiziertes Smart Meter Gateway Rechtsrahmen soll „an Kosten + Nutzen orientierten Rolloutmit standardisierter + breit einsetzbarer Technik sicherstellen“

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben (Gesetzgebungs)verfahren:

EU‐RL 2006/32/EG über Endenergieeffizienz und Energiedienstleistungen EU RL 2006/32/EG über Endenergieeffizienz und Energiedienstleistungen EU‐RL 2009/72/EG über gemeinsame Vorschriften für den 

Elektrizitätsbinnenmarkt (MS gewährleisten intelligente Messsysteme) EnWG 2011 (Gesetz zur Neuregelung energiewirtschaftlicher EnWG 2011 (Gesetz zur Neuregelung energiewirtschaftlicher 

Vorschriften): Einführung des „intelligenten Zählers“ mit §§ 21c‐21i EnWG  Einbaupflichten z.B. für neue Gebäude, etc.

Kosten‐Nutzen‐Analyse von BMWi in 7/2013y / Ursprünglich Eckpunktepapier BMWi in 2/2015: Weitere Konkretisierung 

durch RVO‐Paket „Intelligente Netze“: U.a. MesssystemVO, DatenkommunikationsVO, „Rollout“‐VO („Wer ist wann zum Einbau 

fli h ?“)verpflichtet?“) Anstelle dessen 9/2015: Entwurf „Gesetz zur Digitalisierung der 

Energiewende“  Anhörungsverfahrenb hl ß l f 04.11.2015: BReg beschließt vom BMWi vorgelegten Entwurf

Was noch kommt: Beratung + Abstimmung BT und BR, Ausfertigung + Veröffentlichung BGBl. – Inkrafttreten

l i Geplant: Mai 2016

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben Gesetz‐E zur Digitalisierung der Energiewende

Wieder Artikelgesetz (vgl. IT‐SiG) Erlass Messstellenbetriebsgesetz (MsbG) mit 77 §§ zzgl. Anlage, geplante 

Aufhebung Messzugangsverordnung (Art. 12) Änderungen von:

M d Ei h d Mess‐ und Eichverordnung Energiewirtschaftsgesetz Stromnetzentgeltverordnung Stromnetzzugangsverordnung Stromnetzzugangsverordnung Energiewirtschaftskostenverordnung Niederspannungsanschlussverordnung Niederdruckanschlussverordnung Stromgrundversorgungsverordnung Gasgrundversorgungsverordnung Anreizregulierungsverordnung

d Gasnetzzugangsverordnung Kraft‐Wärme‐Kopplungsgesetz Erneuerbare‐Energien‐Gesetz

In vielen Fällen aber nur entsprechender Verweis auf das neueMsbG bzw In vielen Fällen aber nur entsprechender Verweis auf das neue MsbG bzw. ergänzende Regelungen!

IT Sicherheit nationale RechtsvorgabenIT‐Sicherheit – nationale Rechtsvorgaben Gesetz über den Messstellenbetrieb und die D t k ik ti i i t lli t E i tDatenkommunikation in intelligenten Energienetzen –MsbG‐E: Vorgaben zum Anwendungsbereich Vorgaben zum Anwendungsbereich Begriffsbestimmungen (u.a. Anlagen‐ und Messstellenbetreiber, intelligentes Messsystem, Smart‐Meter‐Gateway)

Rechte und Pflichten im Zusammenhang mit dem Messstellenbetrieb und dessen FinanzierungMessstellenbetrieb und dessen Finanzierung

Technische Vorgaben zur Gewährleistung von Datenschutz und Datensicherheit durch den Einsatz vom Smart‐Meter‐Gateways

Regelungen zur Datenkommunikation in intelligenten Energienetzen

Verordnungsermächtigungen Verordnungsermächtigungen

IT Sicherheit (nationale) RechtsvorgabenIT‐Sicherheit – (nationale) RechtsvorgabenSpeziell: Datenschutz und Smart‐Metering Grundlagen des EU‐Datenschutzrechts: Grundlagen des EU Datenschutzrechts:

Zurzeit: RL 95/46/EG (DS‐RL), RL 2002/58/EG (E‐Privacy‐RL): Art. 17 DS‐RL; BDSG + TKG Zukünftig: EU‐DS‐GVO, Inkrafttreten Mitte 2016: unmittelbare Geltung

Risikobasierter Compliance‐Ansatz Beinhaltet auch Datenschutz‐Folgenabschätzung (Data Privacy Impact Assessment, DPIA)

Ursprünglich Art. 32a EU‐DS‐GVO‐E, Einhaltung der Risikogrundsätze: Durchführung Risikoanalyse bei Verarbeitung personenbezogener Daten von mehr als 5.000 Personen innerhalb eines Jahres

Siehe nunmehr Art. 33 EU‐DS‐GVO‐E nach Trilog: Datenschutzfolgenabschätzung bei Verwendung neuer Technologien mit hohen Risiken für die Persönlichkeit

Bei DV i.R.d. Smart Metering ein solch hohes DS‐Risiko im Regelfall wohl nicht auszuschließen (siehe DPIA‐Empfehlung der Kommission Ewg. Nr. 4 f.)

DPIA umfasst gesamte DV von Erhebung bis Löschung im Smart‐Metering‐Bereich, insb. auch DPIA umfasst gesamte DV von Erhebung bis Löschung im Smart Metering Bereich, insb. auch Datensicherheit, vgl. auch entsprechende Vorlage der EU‐Kommission

Denkbare Zukunft nach DPIA‐Assessment (2 Jahre) und Inkrafttreten EU‐DS‐GVO: 1. Integration des DPIA weiterhin direkt über EU‐Recht, P: keine spez. Bedrohungslage nach Art. 33 Abs. 

2 EU‐DS‐GVO ursprünglicher Vorschlag der Kommission von 2014 bezog sich auf alte Gesetzeslage!2 EU DS GVO  ursprünglicher Vorschlag der Kommission von 2014 bezog sich auf alte Gesetzeslage! 2. Falls keine gültige EU‐Grundlage (Auslegungspraxis + „Blacklist“ gem. Art. 33 Abs. 2a): EU‐RL und 

Integration in nationales Recht möglich, naheliegend ebenso: Auslegung und Erweiterung MsBG, siehe insb. § 22 ff. (Schutzprofile und technische RL, Zertifizierungen)  oder RVO des Bundes, vgl. § 74 MsbG

IT Sicherheit internationale RechtsvorgabenIT‐Sicherheit – internationale Rechtsvorgaben

Ri h li i d EU üb M ß hRichtlinie der EU über Maßnahmen zur Gewährleistung einer hohenGewährleistung einer hohen gemeinsamen Netz‐ und 

Informationssicherheit in der Union (NIS RL)(NIS‐RL)

IT Sicherheit internationale RechtsvorgabenIT‐Sicherheit – internationale Rechtsvorgaben Auch hier wieder: IT‐Sicherheit wird nicht kodifiziert geregelt Zahlreiche Einzelvorschriften unterschiedliche Verbindlichkeit Zahlreiche Einzelvorschriften, unterschiedliche Verbindlichkeit Abhängig vom jeweiligen Geschäfts‐ bzw. Infrastrukturbereich Verschiedene Beispiele: RL 2014/53/EU über die Harmonisierung der Rechtsvorschriften der 

Mitgliedstaaten über die Bereitstellung von Funkanlagen auf dem Markt (RED)

VO (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS VO)

RL 2002/58/EG über elektronische Kommunikationsnetze (E‐Privacy‐RL) und 2009/136/EG (Cookie‐RL)

RL 2006/32/EG zu Energieeffizienz und Energiedienstleistungen RL 2009/72/EG zum Elektrizitätsbinnenmarkt Teils Überschneidungen mit EU‐Datenschutzrecht bei 

personenbezogenen Daten, vgl. nur Art. 30 EU‐DS‐GVO‐Ep g g NIS‐RL???

IT Sicherheit internationale RechtsvorgabenIT‐Sicherheit – internationale Rechtsvorgaben NIS‐RL – Zeitplan: 07.02.2013: Vorschlag der Europäischen Kommission für eine NIS‐RL … 29 06 2015: Vierte Trilog Sitzung zwischen Kommission Rat und EP 29.06.2015: Vierte Trilog‐Sitzung zwischen Kommission, Rat und EP, 

Einvernehmen über die Hauptprinzipien für die NIS‐RL Ausarbeitung des politischen Konsens in konkrete Rechtsvorschriften, g p ,

um endgültige Einigung herbeizuführen (u.a. 142 Änderungswünsche des RL‐Vorschlags)

18 12 2015 A h d Stä di V t t (AStV) d EU 18.12.2015: Ausschuss der Ständigen Vertreter (AStV) der EU‐Mitgliedstaaten billigt informelle Einigung mit EP bzgl. NIS‐RL

Was steht noch an? Abschließende Überarbeitung RL‐Text, förmliche g ,Annahme EU‐Rat und EU‐Parlament

Inkrafttreten für Frühjahr 2016 wahrscheinlich Umsetzungsfrist nationales Recht: 21 Monate danach (Art. 21)

IT Sicherheit internationale RechtsvorgabenIT‐Sicherheit – internationale Rechtsvorgaben NIS‐RL – Rechtsnatur: Zentraler Bestandteil der Cyber Sicherheitsstrategie der EU Zentraler Bestandteil der Cyber‐Sicherheitsstrategie der EU EU‐Richtlinie (RL) ≠ EU‐Verordnung (VO) Art. 288 AEUV (Vertrag über die Arbeitsweise der EU): Art. 288 AEUV (Vertrag über die Arbeitsweise der EU):

„Die VO hat allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.“  Kein nationales Umsetzungsgesetz zur Wirksamkeit notwendig (z B EU‐DS‐nationales Umsetzungsgesetz zur Wirksamkeit notwendig (z.B. EU‐DS‐GVO).

„Die RL ist für jeden Mitgliedstaat […] hinsichtlich des zu erreichenden Ziels verbindlich überlässt jedoch den innerstaatlichenerreichenden Ziels verbindlich, überlässt jedoch den innerstaatlichen Stellen die Wahl der Form und der Mittel.“  Nationales Umsetzungsgesetz zur Wirksamkeit notwendig.

D t hl d N ti l U t t d IT SiG i d Deutschland: Nationales Umsetzungsgesetz das IT‐SiG, wird daher nach NIS‐RL‐Erlass novelliert

Mindestharmonisierung: Deutschland kann auch ein höheres gIT‐Sicherheitsniveau schaffen, als es die NIS‐RL vorgibt

IT Sicherheit internationale RechtsvorgabenIT‐Sicherheit – internationale Rechtsvorgaben NIS‐RL – rechtspolitische Erwägungen: Zielsetzung: Gewährleistung einer hohen NIS. „Hierbei geht es um die Erhöhung der Sicherheit des Internets und der privaten Netze und Informationssysteme die für das FunktionierenNetze und Informationssysteme, die für das Funktionieren unserer Gesellschaften und Volkswirtschaften unverzichtbar sind.“

Mittel: „NIS soll erreicht werden, indem die Mitgliedstaaten verpflichtet werden, ihre Abwehrbereitschaft zu erhöhen und ihre Zusammenarbeit untereinander zu verbessern, und indem die Betreiber kritischer Infrastrukturen und die öffentlichen Verwaltungen verpflichtet werden geeignete Schritte zurVerwaltungen verpflichtet werden, geeignete Schritte zur Beherrschung von Sicherheitsrisiken zu unternehmen und den zuständigen nationalen Behörden gravierende Sicherheitsvorfälle zu melden.“

IT Sicherheit internationale RechtsvorgabenIT‐Sicherheit – internationale Rechtsvorgaben NIS‐RL – wesentliche regulatorische Aspekte im Überblick:

Gegenüber IT‐SiG immer noch eingeschränkte Definition von KRITIS, Annex II: Energie (Elektrizität, Öl, Gas) Transport (Luft, Schiene, Wasser, Straße) Banken/Finanzmarktinfrastrukturen Gesundheit (inkl öff Krankenhäuser Privatkliniken) Gesundheit (inkl. öff. Krankenhäuser, Privatkliniken) Wasserversorgung Digitale Infrastruktur (IXPs, DNS‐Provider, TLD‐Registraturen) Jeweils weiter konkretisiert durch EU‐VOen/RLen

Jeder Mitgliedstaat der EU soll nationale NIS‐Strategie ausarbeiten Bestimmung mindestens einer für NIS zuständigen nationalen Behörde (BSI) Verpflichtung zur Einrichtung eines nationalen CERTs (BSI als CERT‐Bund) Aufbau einer Kooperationsgruppe zwischen EU Kommission und nationalen IT Behörden sowie Aufbau einer Kooperationsgruppe zwischen EU‐Kommission und nationalen IT‐Behörden sowie 

der ENISA Einrichtung eines übernationalen CERT‐Netzwerks Anforderungen an KRITIS‐Betreiber für IT‐Sicherheitsmaßnahmen Meldepflicht für KRITIS‐Betreiber bei erheblichen Sicherheitsvorfällen Verpflichtung zu Sicherheitsüberprüfungen Sanktionsmöglichkeiten Nicht übernommen hingegen Einrichtung eines sicheren Systems für den Nicht übernommen hingegen: Einrichtung eines sicheren Systems für den 

Informationsaustausch, Frühwarnkompetenz, NIS‐Kooperationsplan

Haben Sie vielen Dank für Ihre Aufmerksamkeit

Dr. Dennis‐Kenji Kipker, IGMR an der Universität Bremen Tel.: 0421 218‐66049 | Mail: kipker@uni‐bremen.de