GesetzesanalysefürTechnikerGesetzesanalyse für Techniker ·...

Gesetzesanalyse für TechnikerGesetzesanalyse für TechnikerICS Cybersecurity DACH, Workshop A

Dr. Dennis‐Kenji KipkerIGMR

Universität Bremen

12.09.2016,Dortmund

Universität BremenGefördert vomFKZ: 16KIS0213 bis 16KIS0216

Folie 1

TOP 1 IT‐Sicherheit & Compliance: Das Recht alsTOP 1 IT‐Sicherheit & Compliance: Das Recht als Einfallstor für neue technische Vorgaben

TOP 2 IT‐Sicherheitsrecht 2016: Aktuelle Entwicklungen in Deutschland und Europa

TOP 3 IT‐Rechtspraxis – Rechtsverständnis und Rechtsanwendung: Einführung in die Systematik g g yund Auslegung gesetzlicher Vorschriften

TOP 4 IT‐Recht im Diskurs: Praxistipps, Austausch und Diskussion

Folie 2

TOP 1TOP 1

IT‐Sicherheit & Compliance: Das Recht als Einfallstor für neue technische Vorgaben

Folie 3

TOP 1: IT‐Sicherheit & ComplianceTOP 1: IT Sicherheit & Compliance

Was ist Compliance?Was ist Compliance? “Compliance” übersetzt: p EinhaltungÜb i tiÜbereinstimmung Regelbefolgung

Compliance somit nichts anderes als die Einhaltung und Befolgung von VorgabenEinhaltung und Befolgung von VorgabenOffener Begriff ohne starre Definition

Folie 4

g


Was ist Corporate Governance? “Corporate Governance” übersetzt: Grundsätze der Unternehmensführung Hintergrund: Unternehmensleitung hat Verantwortung für Gesellschaft,

Anteilseigner, Mitarbeiter und Kunden Umfasst inhaltlich u.a.:

Risikobewertung Transparenz Funktionsfähige Unternehmensstrukturen Wert‐ und Nachhaltigkeit unternehmerischer Entscheidungen Angemessene Interessenvertretung der verschiedenen Akteure eines Unternehmens

S it F tl A f b Zi l d di K t ll d U t h füh Somit: Festlegung von Aufgaben, Zielen und die Kontrolle der Unternehmensführung

Maßnahmen: Befolgung von anerkannten Standards und (branchenspezifischen) Regelwerken Entwicklung und Befolgung von eigenen Unternehmensleitlinien Entwicklung und Befolgung von eigenen Unternehmensleitlinien Einhaltung von gesetzlichen Vorschriften Implementierung von Leitungs‐ und Kontrollstrukturen zur Umsetzung und Überprüfung der

Maßnahmen

Folie 5

Compliance ist somit ein Bestandteil von Corporate Governance


Warum Compliance und Corporate Governance? Vorrangig: Vorteile für das Unternehmen in wirtschaftlicher Hinsichtg g

durch transparente, nachhaltige und kontrollierte Unternehmensführung Aber auch Abwendung möglicher Nachteile, die durch Nichteinhaltung

von Vorschriften & Best Practices entstünden:von Vorschriften & Best Practices entstünden: Straf‐ und Ordnungswidrigkeitenrecht (z.B. § 404 AktG; § 44 BDSG; § 43 BDSG) Gewerbeaufsichtsrechtliche Maßnahmen wegen Unzuverlässigkeit, z.B.

Entziehung der Gewerbeerlaubnis Ansprüche auf Unterlassung, Schadensersatz und Schmerzensgeld

(zivilrechtliche Haftung) Versicherungsbezogene Folgen (Leistungsfreiheit oder ‐minderung des

Versicherers, erhöhte Versicherungsprämien z.B. bei Cyber‐Versicherungen) Informationspflicht ggü. der Öffentlichkeit bei Datenlecks gem. § 42a BDSG

Folie 6

Informationspflicht ggü. der Öffentlichkeit bei Datenlecks gem. § 42a BDSG Reputationsverlust, mittelbare wirtschaftlich benachteiligende Konsequenzen


Was ist IT‐(Security)Compliance? Einhaltung derjenigen Vorgaben, die sich speziell mit IT‐Sicherheit, im weitesten Sinne auch Datenschutz, befassen

Unterschiedlichste Erkenntnisquellen für IT‐(Security)Compliance: Allgemeine gesetzliche Vorschriften (z B BSIG BDSG) Allgemeine gesetzliche Vorschriften (z.B. BSIG, BDSG) Branchenspezifische gesetzliche Vorschriften (z.B. für Banken, Versicherungen,

Industrie, IuK, Logistik, öffentliche Verwaltung) Normen und Standards Unternehmensinterne Vorgaben, vertragliche Bestimmungen und

Selbstverpflichtungen (Geheimhaltungsverpflichtung, Vertraulichkeitsvereinbarung)

“Soft Law” (z.B. Deutscher Corporate Governance‐Kodex – DCGK)

Daraus folgt auch: Keine kodifizierte Regelung der IT Sicherheit

Folie 7

Daraus folgt auch: Keine kodifizierte Regelung der IT‐Sicherheit Herausforderung für IT‐(Security)Compliance


Gesetzliche Erkenntnisquellen für die IT‐(Security)Compliance – Beispiele “von A bis Z”: AktG, § 91 AtG, §§ 7 ff., 44b BDSG, §§ 9, 9a, 11, 42a BSIG, §§ 3, 4, 7, 7a, 8a ff., , , , , EnWG, §§ 11 ff., 21e, 49 GmbHG, § 43 KWG § 25a KWG, § 25a TKG, §§ 109, 109a TMG, § 13 VAG, § 64a WpHG, § 33

Folie 8

… IT‐SiG, §§ … ???


IT‐(Security)Compliance als interdisziplinäres Themenfeld:§§ 91 Ab 2 93 Ab 1 AktG §§ 91 Abs. 2, 93 Abs. 1 AktG: Der Vorstand hat geeignete Maßnahmen zu treffen, damit „den Fortbestand der

Gesellschaft gefährdende Entwicklungen“ frühzeitig erkannt werdenDi V d i li d h b b i ih G häf füh di S f l i Die Vorstandsmitglieder haben bei ihrer Geschäftsführung „die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“ anzuwenden

Kein Bezug zur IT‐Security aus dem Gesetzeswortlaut IT‐Security‐Bezug bei gesetzlichen Vorschriften nicht immer klar erkennbar Allgemeine gesellschaftsrechtliche Beobachtungs‐ und Sorgfaltspflichten

beziehen sich aber auch auf die Gewährleistung der IT‐Securitybeziehen sich aber auch auf die Gewährleistung der IT Security Zugang über sog. “unbestimmte Rechtsbegriffe” oder “Generalklauseln” Zweck: Implementierung außerhalb des Rechts stehender Sachverhalte in

Gesetze Besonders relevant für interdisziplinäre Sachverhalte wie IT‐Security Ausfüllung der unbestimmten Rechtsbegriffe kann v a durch technische

Folie 9

Ausfüllung der unbestimmten Rechtsbegriffe kann v.a. durch technische Normen & Standards erfolgen


Wichtige technische Vorgaben im Bereich IT‐Security:Wichtige technische Vorgaben im Bereich IT Security: BSI Grundschutz‐Katalog (kostenfrei einsehbar) ISO/IEC 2700x‐Reihe Information technology – SecurityISO/IEC 2700x Reihe „Information technology Security techniques“ (kostenpflichtig beim Beuth‐Verlag bestellbar) Reihe generischer Normen zur Implementierung eines

Informationssicherheitsmanagementsystems (ISMS) ISO/IEC 27000 bis ISO/IEC 27008 ISO/IEC 27001 (Information security management systems – Requirements): / ( y g y q )

Bestimmung allgemeiner Anforderungen an ein ISMS, verknüpft mit entsprechenden Maßnahmen und Zielsetzungen im Bereich der Informationssicherheit

ISO/IEC 27002 (Code of practice for information security management): Zentraler Leitfaden für das Informationssicherheits‐Management mit detaillierten Ausführungen zur Umsetzung des ISMS, die auf best practices basieren

Folie 10

g g p

Ziel: Schaffung eines einheitlichen IT‐Sicherheitsstandards

TOP 2TOP 2

IT‐Sicherheitsrecht 2016:Aktuelle Entwicklungen in Deutschland und Europa

Folie 11

TOP 2: IT‐Sicherheitsrecht 2016 – nationale VorgabenTOP 2: IT Sicherheitsrecht 2016 nationale Vorgaben

Nationale rechtliche VorgabenSi h h izur IT‐Sicherheit

Das IT‐Sicherheitsgesetz (IT‐SiG)

Folie 12


Zur Rechtsnatur des IT‐SiG: Artikelgesetz Deshalb kein Kodifikationscharakter Ä d t hi d Ei l t Ändert nur verschiedene Einzelgesetze, u.a.:

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) Atomgesetz (AtG) Energiewirtschaftsgesetz (EnWG) Energiewirtschaftsgesetz (EnWG) Telemediengesetz (TMG) Telekommunikationsgesetz (TKG) Bundeskriminalamtgesetz (BKAG)

IT‐SiG in Kraft getreten am 25.07.2015 Betrifft in erheblichem Maße auch aber nicht nur Betrifft in erheblichem Maße auch, aber nicht nurKritische Infrastrukturen Z B auch allgemeine Befugniserweiterung des BSI gem § 7 BSIG

Folie 13

Z.B. auch allgemeine Befugniserweiterung des BSI gem. § 7 BSIG (Warnmöglichkeit), § 7a BSIG (Untersuchung der Sicherheit in der IT)


IT Si h h it t d K iti h I f t ktIT‐Sicherheitsgesetz und Kritische Infrastrukturen

Anwendungsbereich:Wer ist Betreiber einer Kritischen Infrastruktur

im Sinne des Gesetzes?

Folie 14


IT‐Sicherheit und Kritische Infrastrukturen: Kritische Infrastrukturen (§ 2 Abs. 10 BSIG) ≠ KRITIS (BMI, Nationale Strategie zum Schutz Kritischer Infrastrukturen, sog. KRITIS Strategie)KRITIS‐Strategie) KRITIS‐Definition weiter gefasst, auch Staat + Verwaltung, Medien + Kultur

Erfüllung kumulativer Kriterien für die Zuordnung als Kritische Infrastruktur im Sinne von § 2 Abs. 10 BSIG: 1. Sektorale Zugehörigkeit zu Energie, Informationstechnik, TK, Transport, Verkehr, Gesundheit, Wasser, Ernährung, Finanz‐ und Versicherungswesen +Versicherungswesen

2. Fehlerfolgenerheblichkeit: Hohe Bedeutung für das Funktionieren des Gemeinwesens, weil durch Ausfall oder Beeinträchtigung h bli h V ä d G fäh d fü öff tli h

Folie 15

erhebliche Versorgungsengpässe oder Gefährdungen für öffentliche Sicherheit


Anforderungen an die Bestimmung KritischerAnforderungen an die Bestimmung Kritischer Infrastrukturen: Sektorale Zugehörigkeit legt nur die grds betroffenen Kreise Sektorale Zugehörigkeit legt nur die grds. betroffenen Kreise fest

Konkretisierung erfolgt durch RVO gem. § 2 Abs. 10 S. 2 iVm. §Konkretisierung erfolgt durch RVO gem. § 2 Abs. 10 S. 2 iVm. §10 Abs. 1 BSIG (BSI‐KritisV) Bestimmung, welche Einrichtungen, Anlagen oder Teile der Sektoren Pflichtigkeit iSd. BSIG auslösen

Kriterien: Qualität + Quantität Qualität: Bedeutung als kritisch anzusehende Dienstleistung Qualität: Bedeutung als kritisch anzusehende Dienstleistung Quantität: Versorgungsgrad RVO entsteht im Einvernehmen mit Wissenschaft, Betreibern,

Folie 16

, ,Wirtschaftsverbänden, Bundesministerien


Anforderungen an die Bestimmung Kritischer Infrastrukturen: Auch öffentliche Stellen einschlägig? Ja, aber nicht als Kritische Infrastruktur im Sinne des Gesetzes!

Entgegen BMI KRITIS‐Definition kein Sektor „Staat und Verwaltung“ in § 2 Abs. 10 BSIG

Ebenso keine explizite Aufnahme in BSI‐KritisV Jedoch zu beachten: §§ 4, 5 BSIG

l l ld ll f d h h d BSI als zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes

Abwehr von Schadprogrammen und Gefahren für die

Folie 17

p gKommunikationstechnik des Bundes


Z i l BSI K i i V Zeitplan BSI‐KritisV: Korb 1: Korb 1: Energie, Wasser, Ernährung, IKT Ausgefertigt am 22.04.2016

Korb 2: Korb 2: Transport, Verkehr, Gesundheit, Finanz‐ und

h lVersicherungsdienstleistungen Fertigstellung geplant für Ende 2016

Folie 18

Inkrafttreten geschätzt für 1. Quartal 2017


Inhalte BSI‐KritisV: Basiert auf BSI‐Sektorstudien Bestimmung betroffener Betreiber in dreigeteiltem Bestimmung betroffener Betreiber in dreigeteiltem Ansatz:

1 W l h Di tl i t i d d f d ih 1. Welche Dienstleistungen sind gerade aufgrund ihrer Bedeutung als kritisch anzusehen? 2 Identifikation derjenigen Kategorien von Anlagen die 2. Identifikation derjenigen Kategorien von Anlagen, die für die Erbringung der in Schritt 1 ermittelten kritischen Dienstleistungen erforderlich sindg 3. Ermittlung, welche konkreten Anlagen oder Teile davon einen aus „gesamtgesellschaftlicher Sicht bedeutenden

Folie 19

Versorgungsgrad“ aufweisen


Beispiel Sektor Energie, § 2 BSI‐KritisV + Anhang 1 1. Schritt, § 2 Abs. 1 RVO: Kritische Infrastruktur im Sektor Energie sind:

Strom‐, Gas‐ Kraftstoff‐ undGas , Kraftstoff und Heizöl‐ sowie Fernwärmeversorgung

2 Schritt § 2 Abs 2 4 Abs 5 Nr 1 RVO + Anhang 1 Teil 3 Spalte B: 2. Schritt, § 2 Abs. 2‐4, Abs. 5 Nr. 1 RVO + Anhang 1, Teil 3, Spalte B: Stromversorgung umfasst:

1. Erzeugung, 2. Übertragung und 3. Verteilung

In den Anlagenkategorien:In den Anlagenkategorien: 1. Erzeugungsanlage, Dezentrale Energieerzeugungsanlage, Speicheranlage, Anlage von Poolanbietern 2. Übertragungsnetz, Zentrale Anlage und System für den Stromhandel 3. Verteilernetz, Messstelle

3 Schritt § 1 Nr 4 + 5 § 2 Abs 5 Nr 2 RVO + Anhang 1 Teil 2 Teil 3 3. Schritt, § 1 Nr. 4 + 5, § 2 Abs. 5 Nr. 2 RVO + Anhang 1, Teil 2, Teil 3, Spalten C + D: Versorgungsgrad/Bemessungskriterium und branchenspezifische Schwellenwerte

Z B b i i S l i i i lli N N l i

Folie 20

Z.B. bei einer Stromerzeugungsanlage mit einer installierten Netto‐Nennleistung von => 420 MW = KRITIS im Sinne des BSIG (+)


Systematik der BSI‐KritisV: Systematik der BSI‐KritisV: § 1 Begriffsbestimmungen: Definitionen von Anlage, Betreiber, kritischer

Dienstleistung, Versorgungsgrad, branchenspezifischem Schwellenwert § 2 Sektor Energie: Benennung der wegen ihrer Bedeutung für das

Funktionieren des Gemeinwesens kritischen Dienstleistungen in diesem Sektor + Verweis auf den Anhang der RVO mit der Abbildung derSektor + Verweis auf den Anhang der RVO mit der Abbildung der branchenspezifischen Schwellenwerte

§ 3 Sektor Wasser: wie § 2, für Wasser § 4 Sektor Ernährung: wie § 2, für Ernährung § 5 Sektor Informationstechnik und Telekommunikation: wie § 2, für IuK § 6 Evaluierung: Evaluationsvorschrift zur Bewertung u a der § 6 Evaluierung: Evaluationsvorschrift zur Bewertung u.a. der

branchenspezifischen Kategorien und Schwellenwerte vier Jahre nach Inkrafttreten der RVO

Folie 21

§ 7 Inkrafttreten


Systematik der BSI‐KritisV – die Anhänge:y g Anhang 1 – Anlagenkategorien und Schwellenwerte im Sektor Energie:

Teil 1 Grundsätze und Fristen (u.a. zur Bestimmung des Versorgungsgrades) T il 2 B h f l E i l d b h ifi h S h ll Teil 2 Berechnungsformeln zur Ermittlung der branchenspezifischen Schwellenwerte

Teil 3 Anlagenkategorien und Schwellenwerte

Anhang 2 – Anlagenkategorien und Schwellenwerte im Sektor Wasser: wie Anhang 1, für Wasser

Anhang 3 – Anlagenkategorien und Schwellenwerte im Sektor Ernährung: wie Anhang 1 für Ernährungwie Anhang 1, für Ernährung

Anhang 4 – Anlagenkategorien und Schwellenwerte im Sektor Informationstechnik und Telekommunikation: wie Anhang 1, für IuK

Anhang … für weitere KRITIS‐Domänen gem. § 2 Abs. 10 BSIG: Transport und Verkehr, Gesundheit, Finanz‐ und Versicherungswesen

Weitere Informationen, insb. zu den Berechnungsgrundlagen finden sich

Folie 22

Weitere Informationen, insb. zu den Berechnungsgrundlagen finden sich in der Begründung zur RVO, S. 13 ff.


IT Si h h it t d K iti h I f t ktIT‐Sicherheitsgesetz und Kritische Infrastrukturen

Verantwortlichkeiten:Die §§ 8a bis 8d BSIG als zentrale Neuerungenfür die Betreiber Kritischer Infrastrukturen

Folie 23


§ 8a BSIG – Sicherheit in der Informationstechnik von § 8a BSIG Sicherheit in der Informationstechnik von KRITIS: Zielsetzung: Vermeidung von Störungen der IT‐Systeme die für dieZielsetzung: Vermeidung von Störungen der IT Systeme, die für die

Funktionsfähigkeit der Kritischen Infrastruktur maßgeblich sind Mittel: Von den Betreibern sind angemessene TOV zu treffen, die den

S d d T h ik i h l llStand der Technik einhalten sollen „Stand der Technik“ als unbestimmter Rechtsbegriff/Generalklausel:

Internationale, europäische + nationale Normen und Standards (ISMS gem.Internationale, europäische nationale Normen und Standards (ISMS gem. ISO/IEC 27001)

Spezifische Standards von Betreibern/Branchenverbänden in Abstimmung mit BSI/Hinzuziehung UP KRITIS (B3S)BSI/Hinzuziehung UP KRITIS (B3S)

Angemessenheit: Verhältnis von Aufwand und Bedrohung, insb. Kostenrelevanz

Folie 24

Nachweis TOV alle 2 Jahre durch Audits, Prüfungen, Zertifizierungen


§ 8b BSIG – Zentrale Stelle für die IT‐Sicherheit §Kritischer Infrastrukturen: BSI als zentrale Meldestelle für IT‐Sicherheit:

Informationssammlung und ‐auswertung: Sicherheitslücken, Schadprogramme, erfolgte oder versuchte Angriffe, Vorgehensweise von Angreifern

Auswirkungen von Angriffen auf die Verfügbarkeit von KRITIS analysierenAuswirkungen von Angriffen auf die Verfügbarkeit von KRITIS analysieren

Aktualisierung Lagebild Informationssicherheit KRITIS

Unterrichtung der Betreiber über Gefahren

U t i ht it tä di (A f i ht )b hö d Unterrichtung weiterer zuständiger (Aufsichts)behörden

Betreiberpflicht zur Einrichtung einer Kontaktstelle zur Krisenprävention und ‐bewältigung Frist: 6 Monate nach Inkrafttreten der BSI‐KritisV

Für 1. Korb (Energie, Wasser, Ernährung, IKT) Ablaufdatum 23.10.2016

Optional: Benennung einer gemeinsamen übergeordneten Anspruchstelle

Folie 25

Optional: Benennung einer gemeinsamen, übergeordneten Anspruchstelle möglich, soweit Zugehörigkeit zu gleicher Domäne


§ 8b BSIG – Meldepflicht:§ p Wann ist zu melden? Erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität, Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen InfrastrukturFunktionsfähigkeit der Kritischen Infrastruktur1. führen können oder2 geführt haben2. geführt haben

Erhebliche Störung: Bedroht Funktionsfähigkeit , Indiz: Kann nicht automatisiert oder mit wenig Aufwand behoben werdeng

Meldepflichtige Kategorien können sich an Anlage 1 zur Allgemeinen Verwaltungsvorschrift über das Meldeverfahren

Folie 26

g ggem. § 4 Abs. 6 BSIG orientieren


Anlage 1 zur Allgemeinen Verwaltungsvorschrift über das Meldeverfahren gem. § 4 Abs. 6 BSIG, meldepflichtige Kategorien:p g g Externer Angriff (DoS, Hacking, Passwortmissbrauch) Datenverlust (Hardwareverlust, unautorisierter Datenabfluss)( , ) Sicherheitslücke (Exploiting) Störung von Soft‐ oder Hardwarekomponenten (schwer‐Störung von Soft oder Hardwarekomponenten (schwerwiegender Systemausfall, Überlastsituationen)

Verstoß gegen IT‐Sicherheitsrichtlinien (Innentäter)g g ( ) Interne Ursachen (Sicherung, Kühlung, USV) Externe Einflüsse (Naturgewalten/höhere Gewalt)

Folie 27

( g / ) Besondere Erkenntnisse (nach Einschätzung des Meldenden)


§ 8b BSIG – Meldepflicht (Fortsetzung): Was ist zu melden? Angaben zur Störung, den technischen Rahmenbedingungen,

der vermuteten oder tatsächlichen Ursache, der Art der betroffenen Einrichtung oder Anlage und zur Branche des Betreibers

Benennung des konkreten Betreibers? Nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit geführt hat, andernfalls pseudonymisierteMeldung

Was passiert mit den gemeldeten Daten? BSI ist zentrale Meldestelle, das bedeutet… Sammlung und Auswertung (z.T. zusammen mit BBK)Sammlung und Auswertung (z.T. zusammen mit BBK)

Warn‐ und Alarmierungsmeldungen

Aktualisierung Lagebild Informationssicherheit

I f i fü B ib d (A f i h )b hö d Information für Betreiber und (Aufsichts)behörden

Langfristige Jahresberichte für die Öffentlichkeit

Wer muss nicht melden? § 8c BSIG – Anwendungsbereich/EU‐Recht: Keine

Folie 28

Anwendung auf Kleinstunternehmen (Mitarbeiter < 10; Jahresbilanz nicht größer als 2 Mio. €) Ausnahme gilt auch für TOV


§ 8c BSIG – Sonderregelungen/Meldepflichten § 8c S G So de ege u ge / e dep c teund TOV nach anderen Gesetzen: Betreiber von TK Netzen oder TK Diensten Betreiber von TK‐Netzen oder TK‐Diensten

§ 109 TKG

Betreiber von Energieversorgungsnetzen oder ‐anlagenBetreiber von Energieversorgungsnetzen oder anlagen § 11 EnWG

Genehmigungsinhaber gem. AtomgesetzGenehmigungsinhaber gem. Atomgesetz § 44b AtG

Nur falls keine Spezialgesetze für jeweiligen p g j gInfrastrukturbereich = BSIG anwendbar Universelles Rechtsprinzip (lex specialis‐Regel)

Folie 29

TOP 2: IT‐Sicherheitsrecht 2016 – europäische VorgabenTOP 2: IT Sicherheitsrecht 2016 europäische Vorgaben

Europarechtliche Vorgabenp gzur IT‐Sicherheit

Folie 30


Auch hier wieder: IT‐Sicherheit wird nicht kodifiziert geregelt Zahlreiche Einzelvorschriften unterschiedliche Verbindlichkeit Zahlreiche Einzelvorschriften, unterschiedliche Verbindlichkeit Abhängig vom jeweiligen Geschäfts‐ bzw. Infrastrukturbereich Verschiedene Beispiele:

RL 2014/53/EU über die Harmonisierung der Rechtsvorschriften der Mitgliedstaaten über die Bereitstellung von Funkanlagen auf dem Markt (RED)

VO (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für l k i h k i i i k ( I AS VO)elektronische Transaktionen im Binnenmarkt (eIDAS VO)

RL 2013/40/EU über Angriffe auf Informationssysteme RL 2009/72/EG zum Elektrizitätsbinnenmarkt RL 2008/114/EG über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen

und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern RL 2006/32/EG zu Energieeffizienz und Energiedienstleistungen

RL 2002/58/EG üb l k i h K ik i (E P i RL) d 2009/136/EG RL 2002/58/EG über elektronische Kommunikationsnetze (E‐Privacy‐RL) und 2009/136/EG (Cookie‐RL)

Teils Überschneidungen mit EU‐Datenschutzrecht bei personenbezogenen Daten, vgl. nur Artt 29 ff Datenschutz‐Grundverordnung (DS‐GVO) Datensicherheit

Folie 31

Artt. 29 ff. Datenschutz‐Grundverordnung (DS‐GVO), Datensicherheit NIS‐RL???


NIS‐RL – Meilensteine: 07.02.2013: Vorschlag der Europäischen Kommission für eine NIS‐RL … 06 07 2016: Annahme der NIS RL durch das Europäische Parlament 06.07.2016: Annahme der NIS‐RL durch das Europäische Parlament 19.07.2016: Veröffentlichung im Amtsblatt der EU 08.08.2016: Inkrafttreten der neuen NIS‐RL 09.02.2017: Ablauf Frist für Vertretung in der Kooperationsgruppe und im

CSIRTs‐Netzwerk09 05 2018 Abl f U f i d R h d 09.05.2018: Ablauf Umsetzungsfrist der neuen Rechts‐ und Verwaltungsvorschriften für die EU‐Mitgliedstaaten

10.05.2018: Anwendung der neuen mitgliedstaatlichen Regelungen zur NISg g g g 09.11.2018: Ablauf Ermittlungsfrist Betreiber wesentlicher Dienste 09.05.2019: Kohärenzbericht zur Ermittlung der Betreiber wesentlicher

Di t

Folie 32

Dienste 09.05.2021: Erster Erfahrungsbericht der EU‐Kommission zur RL‐Umsetzung


NIS‐RL – Rechtsnatur: Zentraler Bestandteil der Cyber‐Sicherheitsstrategie der EU EU‐Richtlinie (RL) ≠ EU‐Verordnung (VO)EU Richtlinie (RL) EU Verordnung (VO) Art. 288 AEUV (Vertrag über die Arbeitsweise der EU):

„Die VO hat allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.“ Kein nationales Umsetzungsgesetz zur Wirksamkeit notwendig (z.B. EU‐DS‐GVO)

„Die RL ist für jeden Mitgliedstaat […] hinsichtlich des zu erreichenden Ziels j gverbindlich, überlässt jedoch den innerstaatlichen Stellen die Wahl der Form und der Mittel.“ Nationales Umsetzungsgesetz zur Wirksamkeit notwendig

Deutschland: Nationales Umsetzungsgesetz IT‐SiG 2“ Deutschland: Nationales Umsetzungsgesetz „IT‐SiG 2 , Novellierung einzelner Gesetze nach RL‐Erlass notwendig

Mindestharmonisierung: Deutschland kann auch ein höheres

Folie 33

Mindestharmonisierung: Deutschland kann auch ein höheres IT‐Sicherheitsniveau schaffen, als es die NIS‐RL vorgibt (Art. 3)


NIS RL Rechtspolitische Erwägungen: NIS‐RL – Rechtspolitische Erwägungen: NIS als zentraler Faktor für ein funktionierendes Gemeinwesen und die Wirtschaft

der EU Tragweite, Häufigkeit und Auswirkungen von Sicherheitsvorfällen nehmen zu EU‐weit koordinierte Cyber‐Sicherheitsstrategie setzt hinsichtlich aller

Mitgliedstaaten ein Mindestniveau vorausg Bestehende Fähigkeiten nicht ausreichend, um ein hohes Niveau von NIS in der EU

zu gewährleisten Uneinheitliches Schutzniveau der Mitgliedstaaten Uneinheitliches Schutzniveau der Mitgliedstaaten Fehlende gemeinsame Anforderungen für Betreiber von „wesentlichen Diensten“ NIS‐RL konzipiert als „umfassender Ansatz […], der gemeinsame

Mi d f d fü K i ä fb d lMindestanforderungen für Kapazitätsaufbau und ‐planung, Informationsaustausch, Zusammenarbeit sowie gemeinsame Sicherheitsanforderungen für Betreiber wesentlicher Dienste und Anbieter di italer Dienste beinhaltet“

Folie 34

digitaler Dienste beinhaltet“


NIS‐RL – Gegenstand und Anwendungsbereich (Artt. 1, 2): Richtet sich nicht unmittelbar an Private/Betreiber, sondern zunächst an die EU‐Mitgliedstaaten, die nationales Umsetzungsgesetz erlassenUmsetzungsgesetz erlassen

Diesbezügliche Pflichten der Mitgliedstaaten im Überblick: Festlegung nationale Strategie für NISFestlegung nationale Strategie für NIS Einrichtung einer Kooperationsgruppe zur strategischen Zusammenarbeit und für interstaatlichen Informationsaustausch

Einrichtung eines CSIRTs‐Netzwerks (Computer Security IncidentResponse Teams Network) zur Förderung der operativen interstaatlichen Zusammenarbeit im Bereich IT‐Securityy

Festlegung von Sicherheitsanforderungen und Meldepflichten für die Betreiber wesentlicher Dienste und für Anbieter digitaler Dienste

l h h b h d l

Folie 35

Benennung von nationalen IT‐Sicherheitsbehörden, zentralen Anlaufstellen und CSIRTs


Ausnahmen vom Anwendungsbereich für: Betreiber öffentlicher Kommunikationsnetze (RL 2002/21/EG) Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste (RL 2002/21/EG) Vertrauensdiensteanbieter (VO (EU) Nr. 910/2014) Verarbeitung personenbezogener Daten gem. EU‐Datenschutzrecht Allgemeine Festlegung, dass sektorspezifische Anforderungen des EU‐Rechts vorrangig sind (lex specialis)A d b i h b l Kl i h i d i h Anwendungsbereich bzgl. Kleinstunternehmen wird nicht durch RL selbst, sondern durch die Schwellenwerte zur Ermittlung der Betreiber wesentlicher Dienste beschränkt

Folie 36

Ermittlung der Betreiber wesentlicher Dienste beschränkt (Art. 5 Abs. 2, Art. 6)


NIS‐RL – Auszug Begriffsbestimmungen (Art. 4):W it f t B iff N t d I f ti t “ Weit gefasster Begriff sog. „Netz‐ und Informationssysteme“: Elektronische Kommunikationsnetze (Kabel; Funk; optische, elektromagnetische

Einrichtungen; Satellitennetze; „Internet“; Stromleitungen, soweit zur Signalübertragung genutzt; Hörfunk; Fernsehen)genutzt; Hörfunk; Fernsehen)

Vorrichtungen, die programmgesteuert und automatisiert Daten verarbeiten Digitale Daten, die in vorgenannten Einrichtungen verarbeitet werden

Betreiber esentlicher Dienste mfasst öffentliche ie pri ate Einri ht n en Betreiber wesentlicher Dienste: umfasst öffentliche wie private Einrichtungen Unter diesem Gesichtspunkt aber kein weiterer Anwendungsbereich als IT‐SiG, da auch hier im

Anhang II die Kategorie „Staat und Verwaltung“ nicht benannt wird

Digitaler Dienst: jede in der Regel gegen Entgelt elektronisch im Fernabsatz undDigitaler Dienst: jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung

Sicherheitsvorfall: alle Ereignisse, die tatsächlich nachteilige Auswirkungen auf die Sicherheit von Netz und Informationssystemen habenSicherheit von Netz‐ und Informationssystemen haben

Weitere technische Definitionen für IXP, DNS, TLD, Online‐Marktplatz und ‐suchmaschine, Cloud‐Computing‐Dienst

i k i i d h di hä bi

Folie 37

Weitere Konkretisierungen durch die Anhänge I bis III


NIS‐RL – Schutz wesentlicher Dienste (Artt. 5, 6, 14, 15): Mitgliedstaaten trifft die Pflicht bis zum 09 11 2018 Betreiber wesentlicher Dienste“ mit einer Mitgliedstaaten trifft die Pflicht, bis zum 09.11.2018 Betreiber „wesentlicher Dienste“ mit einer

Niederlassung in ihrem Hoheitsgebiet zu ermitteln „Wesentliche Dienste“ entsprechen in ihrem Sinn „Kritischen Infrastrukturen“ im Sinne des IT‐SiG Einschlägige Sektoren und Teilsektoren (Anhang II Qualität“): Einschlägige Sektoren und Teilsektoren (Anhang II, „Qualität ):

Energie (Elektrizität, Erdöl, Erdgas) Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr) Bankwesen (Kreditinstitute)

Fi k i f k (Bö ) Finanzmarktinfrastrukturen (Börsen) Gesundheitswesen (med. Versorgungseinrichtungen, Krankenhäuser, Privatkliniken) Trinkwasserlieferung und ‐versorgung Digitale Infrastruktur (IXPs, DNS‐Diensteanbieter, TLS‐Name‐Registries)

IT‐SiG: Ernährung IT‐SiG: Versicherungswesen

Kriterien für die Zuordnung eines Dienstes als „wesentlich“ („Quantität“): Unerlässlich zur Aufrechterhaltung kritischer gesellschaftlicher/wirtschaftlicher Tätigkeiteng g / g Bereitstellung abhängig von Netz‐ und Informationssystemen Sicherheitsvorfall bewirkt erhebliche Störung (u.a. gemessen an Nutzerzahl, Dominoeffekten, Marktanteil, Alternativmittel)

Mitgliedstaaten erstellen Liste wesentlicher Dienste: BSI‐KritisV

Folie 38

Liste ermittelter Betreiber mindestens alle zwei Jahre zu überprüfen Ziel: EU‐weit vereinheitlichter Bewertungsmaßstab zur Ermittlung kritischer Infrastrukturen


NIS RL Schutz wesentlicher Dienste (Artt 5 6 14 15): NIS‐RL – Schutz wesentlicher Dienste (Artt. 5, 6, 14, 15): Sicherheitsanforderungen: Geeignete, verhältnismäßige TOM unter Berücksichtigung des Stands

der Technik, Einbeziehung von Normen sowie technischen Leitlinien der ENISA (Art. 19) Berücksichtigung“ schwächer als § 8a BSIG jedoch Mindestharmonisierung „Berücksichtigung“ schwächer als § 8a BSIG, jedoch Mindestharmonisierung Förderung maximaler Dienstverfügbarkeit Schaffung einer inhaltlichen Meldepflicht der Betreiber bei Sicherheitsvorfällen mit erheblicher

Auswirkung auf die DienstverfügbarkeitAuswirkung auf die Dienstverfügbarkeit IT‐SiG geht weiter: Potenzielle Dienstbeeinträchtigung ausreichend, Mindestharmonisierung Kriterien zur Meldepflichtauslösung:

Betroffene Nutzerzahl Betroffene Nutzerzahl Dauer Geografische Ausbreitung NIS RL i ht Mö li hk it F tl EU it K it i d M ld fli ht lö NIS‐RL sieht Möglichkeit zur Festlegung EU‐weiter Kriterien der Meldepflichtauslösung vor

Meldung wird in transnationalen, EU‐weiten Informationsaustausch einbezogen Ggf. gibt nationale Behörde (BSI) Hinweise an Meldenden zur Bewältigung des Sicherheitsvorfalls

Mö li hk i b hö dli h U i h d Öff li hk i i Ei lfäll

Folie 39

Möglichkeit zur behördlichen Unterrichtung der Öffentlichkeit in Einzelfällen


NIS‐RL – Schutz wesentlicher Dienste (Artt 5 6 14 15):NIS‐RL Schutz wesentlicher Dienste (Artt. 5, 6, 14, 15): Art. 15 Abs. 1 NIS‐RL: Mitgliedstaaten stellen sicher, dass die Behörden bewerten können ob die Betreiber ihren PflichtenBehörden bewerten können, ob die Betreiber ihren Pflichten zu TOM und Meldung nachkommen Praxis: Wie soll/kann das realisiert werden? BReg: ca. 2.000 betroffene

Betreiber

Ebenso ist sicherzustellen, dass geeignete behördliche Ressourcen zur Überprüfung der SicherheitsanforderungenRessourcen zur Überprüfung der Sicherheitsanforderungen bereitstehen

Von den Mitgliedstaaten einzuräumende WeisungsbefugnisVon den Mitgliedstaaten einzuräumende Weisungsbefugnis der Behörden ggü. den Betreibern bei festgestellten Sicherheitsmängeln

Folie 40


NIS‐RL – Schutz der Anbieter digitaler Dienste (Artt. 16 17 18)16, 17, 18): Digitaler Dienst: Dienstleistung der Informationsgesellschaft; jede in der Regel gegen

Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines EmpfängersEntgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung

Konkretisiert durch Anhang III: Online‐Marktplatz, Online‐Suchmaschine, Cloud‐Computing‐DienstComputing Dienst

IT‐SiG: § 13 Abs. 7 TMG, bei geschäftsmäßig angebotenen Telemedien ist durch den Diensteanbieter unter Berücksichtigung des Standes der Technik sicherzustellen, dass Kein unerlaubter Zugriff auf technische Einrichtungen möglich ist Kein unerlaubter Zugriff auf technische Einrichtungen möglich ist Eine Absicherung gegen Datenschutzverletzungen und äußere Angriffe vorhanden ist

NIS‐RL: Geeignete, verhältnismäßige TOM von den Diensteanbietern zu treffen, um unter Berücksichtigung des Standes der Technik Risiken für NIS zu bewältigenunter Berücksichtigung des Standes der Technik Risiken für NIS zu bewältigen Risiko gem. Art. 4 Nr. 9: „Alle mit vernünftigem Aufwand feststellbaren Umstände oder Ereignisse, die

potenziell nachteilige Auswirkungen auf die Sicherheit von NIS haben“ Einbeziehung von Normen sowie technischen Leitlinien der ENISA (Art. 19)

Folie 41

NIS‐RL wohl inhaltlich etwas weiter gefasst, aber kategorisch eingegrenzt durch Anhang III, TMG hingegen betrifft sämtliche Telemedien


NIS‐RL – Schutz der Anbieter digitaler Dienste (Artt. 16, 17, 18):N b TOV hM ld fli ht d Di t bi t b i Si h h it fäll di Neben TOV auch Meldepflichten der Diensteanbieter bei Sicherheitsvorfällen, die erhebliche Auswirkungen auf die Bereitstellung haben

Zur Beurteilung der Erheblichkeit ähnliche Bemessungskriterien wie für „wesentliche Di “Dienste“

Bei Verknüpfung wesentlicher mit digitalen Diensten ebenso Meldepflicht, soweit der Sicherheitsvorfall beim digitalen Dienst eine Verfügbarkeitseinschränkung des wesentlichen Diensts zur Folge hat

Bei im öffentlichen Interesse liegenden Vorfall ist die behördliche Benachrichtigung der Öffentlichkeit möglich

Ausnahmen von der Meldepflicht: Anbieter verfügt nicht über Zugang zu den für die Vorfallsbewertung relevanten Informationen Kleinstunternehmen: Mitarbeiter < 10; Jahresbilanz nicht größer als 2 Mio. €

Möglichkeit zur nachträglichen behördlichen Überprüfung, falls Hinweise auf Nichteinhaltung von TOV und Meldepflicht bestehen

Anbieter digitaler Dienste ohne Sitz in der EU müssen einen Vertreter in der EU

Folie 42

gbenennen. Die gerichtliche Zuständigkeit bemisst sich nach dem Niederlassungsort des Vertreters


NIS‐RL – Meldung für unkritische gStrukturen (Art. 20): Freiwillige Meldemöglichkeit für: Freiwillige Meldemöglichkeit für:

Betreiber nicht‐wesentlicher Dienste Keine Anbieter digitaler Diensteg

Ebenso beschränkt auf Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Dienstverfügbarkeit haben

Bearbeitungsverfahren folgt demjenigen für Betreiber wesentlicher Dienste, jedoch: Bearbeitung nur, soweit kein unverhältnismäßiger Aufwand Ggf. nachrangig ggü. Pflichtmeldungen

Keine daraus resultierenden Verpflichtungen für die

Folie 43

Keine daraus resultierenden Verpflichtungen für die einmeldende Stelle


NIS‐RL – Nationaler Ordnungsrahmen (Artt. 7, 8, 9, 10):g ( , , , ) Jeder Mitgliedstaat bestimmt nationale NIS‐Strategie, für Deutschland:

Nationaler Plan zum Schutz der Informationsinfrastrukturen (NPSI), 2005, abgelöst durch Umfangreiche Cyber‐Sicherheitsstrategie der BReg von 2011Umfangreiche Cyber Sicherheitsstrategie der BReg von 2011

Benennung einer für NIS zuständigen Behörde: BSI Benennung einer zentralen Anlaufstelle für NIS: BSI

Dient als Verbindungsstelle zu transnationalen Zusammenarbeit Dient als Verbindungsstelle zu transnationalen Zusammenarbeit Zusammenarbeit mit Strafverfolgungs‐ und Datenschutzbehörden

Mitteilung der NIS‐Strategie und zuständiger nationaler Behörden an EU‐Kommission Veröffentlichung EU‐weiter ListeKommission, Veröffentlichung EU‐weiter Liste

Benennung mitgliedstaatlicher CSIRTs (Computer Security Incident Response Team) bzw. CERTs (Computer Emergency Response Team) CERT Bund angesiedelt beim BSI CERT‐Bund, angesiedelt beim BSI Erfüllt bereits die wesentlichen Anforderungen aus Anhang I NIS‐RL

Unterrichtung der Kommission über Tätigkeit der CSIRTsJäh li h Z i h b i ht d BSI f EU Eb üb ti l IT

Folie 44

Jährliche Zwischenberichte des BSI auf EU‐Ebene über nationale IT‐Sicherheitsvorfälle


NIS‐RL – Europäischer und internationaler Ordnungsrahmen (Artt. )11, 12, 13):

Einsetzung einer EU‐weiten Kooperationsgruppe zur strategischen Zusammenarbeit und zum zwischenstaatlichen Vertrauensaufbau für NIS

Zusammensetzung: Vertreter der Mitgliedstaaten EU‐Kommission ENISAENISA Möglichkeit der Beteiligung von Interessengruppen

Wesentliche Aufgaben: Erstellung von Arbeitsprogrammen/strategischen Leitlinien Informationsaustausch zur Verbesserung EU‐weiter Koordination und Zusammenarbeit Informationsaustausch hinsichtlich Awareness, Forschung + Entwicklung, Verfahren zur Ermittlung wesentlicher Dienste,

Meldepflichten Bewertung und Verbesserung nationaler NIS‐Strategien

Fö d äi h N Förderung europäischer Normung Sammlung von Informationen zur Koordination von IT‐Sicherheitsvorfällen Erstellung regelmäßiger Berichte zur Bewertung der transnationalen Zusammenarbeit

Einbindung der Kooperationsgruppe in internationale Übereinkünfte zu IT‐

Folie 45

Sicherheit/Datenschutz


NIS‐RL – Europäischer und internationaler Ordnungsrahmen (Artt. 11, 12, 13): Errichtung eines CSIRTs‐Netzwerks zur Förderung übernationaler, operativer

Z b i b h d d i l CSIRTZusammenarbeit, bestehend aus den nationalen CSIRTs Zusammensetzung aus Vertretern mitgliedstaatlicher CSIRTs und des CERT‐

EU, unterstützt durch die ENISA, Aufgaben des CSIRTs‐Netzwerks:

Planung operativer Zusammenarbeit der nationalen CSIRTs Informationsaustausch unter den CSIRTs Informationsaustausch unter den CSIRTs Ausarbeitung koordinierter Reaktionen für Sicherheitsvorfälle Unterstützung der Mitgliedstaaten bei der Bewältigung grenzüberschreitender

SicherheitsvorfälleSicherheitsvorfälle Unterrichtung der Kooperationsgruppe Auswertung der Übungen zur Netz‐ und Informationssicherheit

R l äßi B i ht d CSIRT N t k d E b i d

Folie 46

Regelmäßige Berichte des CSIRTs‐Netzwerks zu den Ergebnissen der interstaatlichen Zusammenarbeit


NIS RL Sanktionen (Art 21): NIS‐RL – Sanktionen (Art. 21):Verpflichtung der Mitgliedstaaten,Verpflichtung der Mitgliedstaaten, Sanktionsvorschriften bei Verstoß gegen di V b d RL ldie Vorgaben der RL zu erlassenMaßgabe: wirksam angemessen undMaßgabe: „wirksam, angemessen und abschreckend“ IT‐SiG: Wohl angemessene Regelung in

§ 14 BSIG und § 16 TMGFolie 47

§ 14 BSIG und § 16 TMG


NIS‐RL – was ist Betreibern zu empfehlen? NIS‐RL was ist Betreibern zu empfehlen? Umsetzung der Anforderungen durch das IT‐SiG wie gehabt Änderung/Erweiterung der Sektoren Kritischer Änderung/Erweiterung der Sektoren Kritischer Infrastrukturen gem. BSI‐KritisV durch NIS‐RL wohl nicht zu erwartenerwarten

Ebenso keine großen Änderungen im Bereich TOM/Meldepflicht für Betreiber zu erwarten/ p

Kein „doppelter Implementierungsaufwand“, lediglich Feinanpassungen

Im Mittelpunkt der NIS‐RL‐Umsetzung steht die Schaffung des zwischenstaatlichen, europäischen

Folie 48

Kooperationsrahmens, vermittelt durch das BSI

TOP 3

IT‐Rechtspraxis – Rechtsverständnis und Rechtsanwendung:

Einführung in die Systematik und AuslegungEinführung in die Systematik und Auslegung gesetzlicher Vorschriften

Folie 49

TOP 3: IT‐Rechtspraxis – Rechtsverständnis und ‐anwendungTOP 3: IT Rechtspraxis Rechtsverständnis und anwendung

Ein Überblick über die wichtigsten Anwendungs‐ Ein Überblick über die wichtigsten Anwendungs‐und Verständnisfragen der Gesetzesanalyse für T h ikTechniker: Normenhierarchie Kollisionsregeln GesetzgebungskompetenzenGesetzgebungskompetenzen Auslegungsmethoden und ‐tipps

S d k l U it b ti t Sonderkomplex: Umgang mit unbestimmten Rechtsbegriffen/Generalklauseln

G t ll / t A l f t ll i I t t

Folie 50

Gesetzesquellen/erste Anlaufstellen im Internet


Normenhierarchie (vereinfacht):E ht Europarecht Primäres Gemeinschaftsrecht („ursprüngliches“ Recht): EUV, AEUV Sekundäres Gemeinschaftsrecht („abgeleitetes“ Recht):

Verordnung: Unmittelbar in allen Mitgliedstaaten unmittelbar gültigVerordnung: Unmittelbar in allen Mitgliedstaaten unmittelbar gültig Richtlinie: In den Zielen verbindlich, aber nationales Umsetzungsgesetz Entscheidungen/Beschlüsse: Nur für Empfänger unmittelbar verbindlich Empfehlungen/Stellungnahmen: Rechtsunverbindlich

Bundesrecht Grundgesetz (GG, Verfassung): Artt. 14, 12, 10, 2 Abs. 1 (ggf. i.V.m. 1 Abs. 1) Bundesgesetze (Gesetz im formellen Sinn): vom Deutschen Bundestag erlassen

Teils inhaltlich konkretisiert durch RVO, Satzung, Verwaltungsakt Rechtsverordnungen (Gesetz im materiellen Sinn): durch Bundesministerium erlassen Satzungen: autonome Rechtsetzung von mit Satzungsautonomie ausgestatteten öff. jur. Personen für

ihren Bereich; Unterscheidung von Satzung mit Innen‐ und Außenwirkungihren Bereich; Unterscheidung von Satzung mit Innen und Außenwirkung

Landesrecht Landesverfassungsrecht Landesgesetze

Folie 51

Rechtsverordnungen Satzungen


Kollisionsregeln:g 1. Lex superior‐Grundsatz: Die höherrangige Norm geht der niederrangigen Norm vor (vglNorm geht der niederrangigen Norm vor (vgl. Normenhierarchie; Vorrang des Bundesrechts: Art 31 GG)Art. 31 GG) 2. Lex specialis‐Grundsatz: Innerhalb von gleichrangigen Normen geht die spe iellere Normgleichrangigen Normen geht die speziellere Norm der allgemeinen vor 3. Lex posterior‐Grundsatz: Innerhalb von gleichrangigen und gleichermaßen speziellen

Folie 52

Normen geht die jüngere Norm der älteren vor


Gesetzgebungskompetenzen (Art. 70 ff. GG, vereinfacht): 1 Grundsatz: Gesetzgebungskompetenz bei den Ländern 1. Grundsatz: Gesetzgebungskompetenz bei den Ländern „Ausnahme“: Gesetzgebungskompetenz liegt beim Bund, soweit durch GG verliehendurch GG verliehen

Die Kompetenz kann beim Bund liegen infolge der 2. ausschließlichen (Artt. 71, 73 GG) oder( , ) 3. konkurrierenden (Artt. 72, 74 GG) Gesetzgebung

4. Soweit ein Themengebiet weder durch ausschließliche noch konkurrierende Gesetzgebung abgehandelt wird, liegt die Gesetzgebungskompetenz somit grds. bei den Ländern

Folie 53


Ausschließliche Gesetzgebung, Artt. 71, 73 GG: Hier haben die Länder nur dann eine B f i G b i i d ü kli h d ä h i d B i i lBefugnis zur Gesetzgebung, soweit sie ausdrücklich dazu ermächtigt wurden, Beispiele: Schutz der Zivilbevölkerung Zeitbestimmung Luftverkehr Luftverkehr Eisenbahnverkehr Postwesen und Telekommunikation Kernenergieg

Konkurrierende Gesetzgebung, Artt. 72, 74 GG: Hier haben die Länder die Befugnis zur Gesetzgebung, soweit der Bund noch kein entsprechendes Gesetz erlassen hat, Beispiele:p Recht der Wirtschaft (Industrie, Energie, Bank‐, Börsen‐ und Versicherungswesen) Arbeitsrecht Sicherung der Ernährung, Lebensmittel Schifffahrt Straßenverkehr Abfallwirtschaft Naturschutz

Folie 54

Naturschutz Wasserhaushalt


Auslegungsmethoden: Gesetzeswortlaut oftmals nur wenig aufschlussreich, z.B. § 9 BDSG: Verantwortliche Stellen haben TOM zu treffen

Deshalb: Auslegung von Gesetzen Was ist Auslegung? Interpretation von Rechtsvorschriften, um ih i i lihren Sinn zu ermitteln

Verschiedene Werkzeuge dafür (sog. „Auslegungsmethoden“):G ti h A l A d d ll i S h b h Grammatische Auslegung: Anwendung des allgemeinen Sprachgebrauchs zur Interpretation („Wortsinn“)

Systematische Auslegung: Der Aufbau des Gesetzes/der Rechtsvorschrift dient als d h lfVerständnishilfe

Teleologische Auslegung: Ermittlung der Aussage einer Vorschrift nach „Sinn und Zweck“ Welches Ziel soll mit einer Regelung erreicht werden?

Folie 55

Historische Auslegung: Was wollte der ursprüngliche Gesetzgeber mit der Schaffung der Regelung erreichen? Was war das „Gewollte“ oder „Intendierte“?


A l i Auslegungstipps: Wichtig: Gesetze immer am Anfang beginnen, Vorschriften bis zum Ende lesen! Am Anfang von Gesetzestexten: Am Anfang von Gesetzestexten:

Systematische Gliederung Sinn und Zweck der Regelung Anwendungsbereich

ff d f Begriffsdefinitionen

Gesetze folgen Regel‐Ausnahme‐Prinzip: Am Anfang wird der Grundsatz dargestellt, am Ende die Ausnahmen

Mit den Gesetzesmaterialien arbeiten insb mit der Gesetzesbegründung Mit den Gesetzesmaterialien arbeiten, insb. mit der Gesetzesbegründung Viele abstrakte gesetzliche Vorgaben werden dort konkretisiert

Stets die Normenhierarchie beachten: Werden gesetzliche Vorschriften durch untergesetzliche Vorgaben konkretisiert? Fallbeispiel: BSI‐KritisV

Unterschiedliche Fassungen beachten, ist das Gesetz überhaupt noch in Kraft? Paradebeispiel: GPSG und ProdSG

Unterscheidung zwischen Verkündung und Inkrafttreten, Beachtung von Umsetzungsfristen:

Folie 56

Nicht jedes Gesetz entfaltet sofort sämtliche seiner Rechtswirkungen – siehe nur BSIG


Umgang mit unbestimmten g gRechtsbegriffen/Generalklauseln: Bereits am Anfang dargestellt: IT‐Security als interdisziplinäres Themenfeld Bereits am Anfang dargestellt: IT‐Security als interdisziplinäres Themenfeld Gesetze als verhältnismäßig unflexible Regelungsmechanismen Laufend zu aktualisierende, technisch neue Vorgaben können nicht allein durch

gesetzliche Vorschriften adäquat abgebildet werden Deshalb Rückgriff auf “unbestimmte Rechtsbegriffe” bzw. “Generalklauseln” Implementierung technischer Sachverhalte in das Recht Implementierung technischer Sachverhalte in das Recht Dabei zur Auslegung insb. Rückgriff auf technische Normen und Standards Probleme:

Anwender letztlich für die Konkretisierung gesetzlicher Vorgaben verantwortlich Gesetzesbegründung kann maximal erste Anhaltspunkte liefern

I b b i G t k t bli t A d i f hl

Folie 57

Insb. bei neuen Gesetzen kann etablierte Anwendungspraxis fehlen Problematisch bei Ordnungswidrigkeiten, zivilrechtlicher Haftung


Gesetzesquellen: Nationale und europäische Gesetze und Begründungen sind immer kostenfrei einsehbar! D: juris BMJ, https://www.gesetze‐im‐internet.de/ EU: EUR‐Lex http://eur‐lex europa eu/homepage htmlEU: EUR Lex, http://eur lex.europa.eu/homepage.html

Erste Anlaufstellen für Recht & Technik der IT‐Sicherheit: VDE/IGMR: IT‐Security Standards Collection, VDE/IGMR: IT Security Standards Collection, https://www.security‐standards.de/ BITKOM: Kompass der IT‐Sicherheitsstandards

Folie 58

BITKOM: Kompass der IT‐Sicherheitsstandards, http://www.kompass‐sicherheitsstandards.de/

TOP 4TOP 4

IT‐Recht im Diskurs: Praxistipps, Austausch und Diskussion

Folie 59

Dr. iur. Dennis‐Kenji KipkerInstitut für Informations‐, Gesundheits‐ und Medizinrecht (IGMR)

Universität BremenUniversitätsallee GW1

28359 BremenTel : 0421 218 66049Tel.: 0421 218 66049

Mail: kipker@uni‐bremen.de

Besuchen Sie unsere Website: www itskritis deBesuchen Sie unsere Website: www.itskritis.deFolgen Sie uns auf Twitter: @itskritis

Folie 60

GesetzesanalysefürTechnikerGesetzesanalyse für Techniker ·...

Documents

Transcript of GesetzesanalysefürTechnikerGesetzesanalyse für Techniker ·...