Gesetzesanalyse für Techniker - ICS Cybersecurity DACH, Workshop A 12.09.2016, Dortmund - ITS | KRITIS
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Gesetzesanalyse für Techniker
ICS Cybersecurity DACH, Workshop A
Dr. Dennis‐Kenji Kipker 12.09.2016,
IGMR Dortmund
Universität Bremen
Gefördert vom
FKZ: 16KIS0213
bis 16KIS0216
Folie 1TOP 1 IT‐Sicherheit & Compliance: Das Recht als
Einfallstor für neue technische Vorgaben
TOP 2 IT‐Sicherheitsrecht 2016: Aktuelle
Entwicklungen in Deutschland und Europa
TOP 3 IT‐Rechtspraxis – Rechtsverständnis und
Rechtsanwendung: g Einführungg in die Systematik
y
und Auslegung gesetzlicher Vorschriften
TOP 4 IT‐Recht im Diskurs: Praxistipps, Austausch und
Diskussion
Folie 2TOP 1
IT‐Sicherheit & Compliance:
Das Recht als Einfallstor für neue technische Vorgaben
Folie 3TOP 1: IT
IT‐Sicherheit
Sicherheit & Compliance
Was ist Compliance?
“Compliance”
p übersetzt:
Einhaltung
Übereinstimmung
Üb i ti
Regelbefolgung
Compliance somit nichts anderes als die
Einhaltung und Befolgung von Vorgaben
Offener Begriff
g ohne starre Definition
Folie 4TOP 1: IT
IT‐Sicherheit
Sicherheit & Compliance
Was ist Corporate Governance?
“Corporate Governance” übersetzt: Grundsätze der Unternehmensführung
Hintergrund: Unternehmensleitung hat Verantwortung für Gesellschaft,
Anteilseigner, Mitarbeiter und Kunden
Umfasst inhaltlich u.a.:
Risikobewertung
Transparenz
Funktionsfähige Unternehmensstrukturen
Wert‐ und Nachhaltigkeit unternehmerischer Entscheidungen
Angemessene Interessenvertretung der verschiedenen Akteure eines Unternehmens
S it Festlegung
Somit: F tl von Aufgaben,
A f b Zi l und
Zielen d die
di Kontrolle
K t ll der
d Unternehmensführung
U t h füh
Maßnahmen:
Befolgung von anerkannten Standards und (branchenspezifischen) Regelwerken
Entwicklung und Befolgung von eigenen Unternehmensleitlinien
Einhaltung von gesetzlichen Vorschriften
Implementierung von Leitungs‐ und Kontrollstrukturen zur Umsetzung und Überprüfung der
Maßnahmen
Compliance ist somit ein Bestandteil von Corporate Governance
Folie 5TOP 1: IT
IT‐Sicherheit
Sicherheit & Compliance
Warum Compliance und Corporate
Governance?
Vorrangig:
g g Vorteile für das Unternehmen in wirtschaftlicher Hinsicht
durch transparente, nachhaltige und kontrollierte Unternehmensführung
Aber auch Abwendung möglicher Nachteile, die durch Nichteinhaltung
von Vorschriften & Best Practices entstünden:
Straf‐ und Ordnungswidrigkeitenrecht (z.B. § 404 AktG; § 44 BDSG; § 43 BDSG)
Gewerbeaufsichtsrechtliche Maßnahmen wegen Unzuverlässigkeit, z.B.
Entziehung der Gewerbeerlaubnis
Ansprüche auf Unterlassung, Schadensersatz und Schmerzensgeld
(zivilrechtliche Haftung)
Versicherungsbezogene Folgen (Leistungsfreiheit oder ‐minderung des
Versicherers, erhöhte Versicherungsprämien z.B. bei Cyber‐Versicherungen)
Informationspflicht ggü. der Öffentlichkeit bei Datenlecks gem. § 42a BDSG
Reputationsverlust, mittelbare wirtschaftlich benachteiligende Konsequenzen
Folie 6TOP 1: IT
IT‐Sicherheit
Sicherheit & Compliance
Was ist IT‐(Security)Compliance?
Einhaltung derjenigen Vorgaben, die sich speziell mit IT‐
Sicherheit, im weitesten Sinne auch Datenschutz, befassen
Unterschiedlichste Erkenntnisquellen für IT‐
(Security)Compliance:
Allgemeine gesetzliche Vorschriften (z.B.
(z B BSIG,
BSIG BDSG)
Branchenspezifische gesetzliche Vorschriften (z.B. für Banken, Versicherungen,
Industrie, IuK, Logistik, öffentliche Verwaltung)
Normen und Standards
Unternehmensinterne Vorgaben, vertragliche Bestimmungen und
Selbstverpflichtungen (Geheimhaltungsverpflichtung,
Vertraulichkeitsvereinbarung)
“Soft Law” (z.B. Deutscher Corporate Governance‐Kodex – DCGK)
Daraus folgt auch: Keine kodifizierte Regelung der IT
IT‐Sicherheit
Sicherheit
Herausforderung für IT‐(Security)Compliance
Folie 7TOP 1: IT
IT‐Sicherheit
Sicherheit & Compliance
Gesetzliche Erkenntnisquellen für die IT‐
(Security)Compliance – Beispiele “von A bis Z”:
AktG, § 91
AtG, §§ 7 ff., 44b
BDSG, §§ 9, 9a, 11, 42a
BSIG,, §§ 3,, 4,, 7,, 7a,, 8a ff.
EnWG, §§ 11 ff., 21e, 49
GmbHG, § 43
KWG § 25a
KWG,
TKG, §§ 109, 109a
TMG, § 13
VAG, § 64a
WpHG, § 33
…
IT‐SiG, §§ … ???
Folie 8TOP 1: IT
IT‐Sicherheit
Sicherheit & Compliance
IT‐(Security)Compliance als interdisziplinäres Themenfeld:
§§ 91 Abs.
Ab 2,2 93 Abs.
Ab 1 AktG:
AktG
Der Vorstand hat geeignete Maßnahmen zu treffen, damit „den Fortbestand der
Gesellschaft gefährdende Entwicklungen“ frühzeitig erkannt werden
Die
Di VVorstandsmitglieder
d i li d h haben
b b beii ih
ihrer G
Geschäftsführung
häf füh „die
di Sorgfalt
S f l eines
i
ordentlichen und gewissenhaften Geschäftsleiters“ anzuwenden
Kein Bezug zur IT‐Security aus dem Gesetzeswortlaut
IT‐Security‐Bezug bei gesetzlichen Vorschriften nicht immer klar erkennbar
Allgemeine gesellschaftsrechtliche Beobachtungs‐ und Sorgfaltspflichten
beziehen sich aber auch auf die Gewährleistung der ITIT‐Security
Security
Zugang über sog. “unbestimmte Rechtsbegriffe” oder “Generalklauseln”
Zweck: Implementierung außerhalb des Rechts stehender Sachverhalte in
Gesetze
Besonders relevant für interdisziplinäre Sachverhalte wie IT‐Security
Ausfüllung der unbestimmten Rechtsbegriffe kann vv.a. a durch technische
Normen & Standards erfolgen
Folie 9TOP 1: IT
IT‐Sicherheit
Sicherheit & Compliance
Wichtige technische Vorgaben im Bereich IT
IT‐Security:
Security:
BSI Grundschutz‐Katalog (kostenfrei einsehbar)
ISO/IEC 2700x
2700x‐Reihe
Reihe „Information
Information technology – Security
techniques“ (kostenpflichtig beim Beuth‐Verlag bestellbar)
Reihe generischer Normen zur Implementierung eines
Informationssicherheitsmanagementsystems (ISMS)
ISO/IEC 27000 bis ISO/IEC 27008
ISO/IEC
/ 27001 ((Information securityy management
g systems
y – Requirements):
q )
Bestimmung allgemeiner Anforderungen an ein ISMS, verknüpft mit
entsprechenden Maßnahmen und Zielsetzungen im Bereich der
Informationssicherheit
ISO/IEC 27002 (Code of practice for information security management): Zentraler
Leitfaden für das Informationssicherheits‐Management mit detaillierten
Ausführungen
g zur Umsetzungg des ISMS, die auf best practices
p basieren
Ziel: Schaffung eines einheitlichen IT‐Sicherheitsstandards
Folie 10TOP 2
IT‐Sicherheitsrecht 2016:
Aktuelle Entwicklungen in Deutschland und Europa
Folie 11TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – nationale Vorgaben
Nationale rechtliche Vorgaben
zur IT‐Sicherheit
Si h h i
Das IT‐Sicherheitsgesetz (IT‐SiG)
Folie 12TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – nationale Vorgaben
Zur Rechtsnatur des IT‐SiG:
Artikelgesetz
Deshalb kein Kodifikationscharakter
Ändert
Ä d t nur verschiedene
hi d Ei
Einzelgesetze,
l t u.a.:
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG)
Atomgesetz (AtG)
Energiewirtschaftsgesetz (EnWG)
Telemediengesetz (TMG)
Telekommunikationsgesetz (TKG)
Bundeskriminalamtgesetz (BKAG)
IT‐SiG in Kraft getreten am 25.07.2015
Betrifft in erheblichem Maße auch
auch, aber nicht nur
Kritische Infrastrukturen
ZZ.B.
B auch allgemeine Befugniserweiterung des BSI gem
gem. § 7 BSIG
(Warnmöglichkeit), § 7a BSIG (Untersuchung der Sicherheit in der IT)
Folie 13TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – nationale Vorgaben
IT Si h h it
IT‐Sicherheitsgesetz
t und
d Kritische
K iti h Infrastrukturen
I f t kt
Anwendungsbereich:
Wer ist Betreiber einer Kritischen Infrastruktur
im Sinne des Gesetzes?
Folie 14TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – nationale Vorgaben
IT‐Sicherheit und Kritische Infrastrukturen:
Kritische Infrastrukturen (§ 2 Abs. 10 BSIG) ≠ KRITIS (BMI,
Nationale Strategie zum Schutz Kritischer Infrastrukturen, sog.
KRITIS Strategie)
KRITIS‐Strategie)
KRITIS‐Definition weiter gefasst, auch Staat + Verwaltung, Medien +
Kultur
Erfüllung kumulativer Kriterien für die Zuordnung als Kritische
Infrastruktur im Sinne von § 2 Abs. 10 BSIG:
1. Sektorale Zugehörigkeit zu Energie, Informationstechnik, TK,
Transport, Verkehr, Gesundheit, Wasser, Ernährung, Finanz‐ und
Versicherungswesen +
2. Fehlerfolgenerheblichkeit: Hohe Bedeutung für das Funktionieren
des Gemeinwesens, weil durch Ausfall oder Beeinträchtigung
erhebliche
h bli h V Versorgungsengpässe
ä oder
d G Gefährdungen
fäh d fü
für öff
öffentliche
tli h
Sicherheit
Folie 15TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – nationale Vorgaben
Anforderungen an die Bestimmung Kritischer
Infrastrukturen:
Sektorale Zugehörigkeit legt nur die grds.
grds betroffenen Kreise
fest
Konkretisierung erfolgt durch RVO gem. § 2 Abs. 10 S. 2 iVm. §
10 Abs. 1 BSIG (BSI‐KritisV)
Bestimmung, welche Einrichtungen, Anlagen oder Teile der Sektoren
Pflichtigkeit iSd. BSIG auslösen
Kriterien: Qualität + Quantität
Qualität: Bedeutung als kritisch anzusehende Dienstleistung
Quantität: Versorgungsgrad
RVO entsteht im Einvernehmen mit Wissenschaft,, Betreibern,,
Wirtschaftsverbänden, Bundesministerien
Folie 16TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – nationale Vorgaben
Anforderungen an die Bestimmung Kritischer
Infrastrukturen:
Auch öffentliche Stellen einschlägig?
Ja, aber nicht als Kritische Infrastruktur im Sinne des
Gesetzes!
Entgegen BMI KRITIS‐Definition kein Sektor „Staat und
Verwaltung“ in § 2 Abs. 10 BSIG
Ebenso keine explizite Aufnahme in BSI‐KritisV
Jedoch zu beachten: §§ 4, 5 BSIG
BSI als
l zentrale
l Meldestelle
ld ll ffür d
die Sicherheit
h h in d der
Informationstechnik des Bundes
Abwehr von Schadprogrammen
p g und Gefahren für die
Kommunikationstechnik des Bundes
Folie 17TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – nationale Vorgaben
Zeitplan
Z i l BSIBSI‐KritisV:
KiiV
Korb 1:
Energie, Wasser, Ernährung, IKT
Ausgefertigt am 22.04.2016
Korb 2:
Transport, Verkehr, Gesundheit, Finanz‐ und
Versicherungsdienstleistungen
h l
Fertigstellung geplant für Ende 2016
Inkrafttreten geschätzt für 1. Quartal 2017
Folie 18TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – nationale Vorgaben
Inhalte BSI‐KritisV:
Basiert auf BSI‐Sektorstudien
Bestimmung betroffener Betreiber in dreigeteiltem
Ansatz:
1.
1 Welche
W l h Dienstleistungen
Di tl i t sind
i d gerade
d aufgrund
f d ihrer
ih
Bedeutung als kritisch anzusehen?
2.
2 Identifikation derjenigen Kategorien von Anlagen,
Anlagen die
für die Erbringung der in Schritt 1 ermittelten kritischen
Dienstleistungen
g erforderlich sind
3. Ermittlung, welche konkreten Anlagen oder Teile davon
einen aus „gesamtgesellschaftlicher Sicht bedeutenden
Versorgungsgrad“ aufweisen
Folie 19TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – nationale Vorgaben
Beispiel Sektor Energie, § 2 BSI‐KritisV + Anhang 1
1. Schritt, § 2 Abs. 1 RVO: Kritische Infrastruktur im Sektor Energie sind:
Strom‐,
Gas‐, Kraftstoff
Gas Kraftstoff‐ und
Heizöl‐ sowie
Fernwärmeversorgung
2. Schritt § 2 Abs.
2 Schritt, Abs 2‐4,
2 4 Abs.
Abs 5 Nr.
Nr 1 RVO + Anhang 1
1, Teil 3
3, Spalte B:
Stromversorgung umfasst:
1. Erzeugung, 2. Übertragung und 3. Verteilung
In den Anlagenkategorien:
1. Erzeugungsanlage, Dezentrale Energieerzeugungsanlage, Speicheranlage, Anlage von Poolanbietern
2. Übertragungsnetz, Zentrale Anlage und System für den Stromhandel
3. Verteilernetz, Messstelle
3 Schritt § 1 Nr.
3. Schritt, 5 § 2 Abs.
Nr 4 + 5, Abs 5 Nr.
Nr 2 RVO + Anhang 1
1, Teil 2
2, Teil 3
3,
Spalten C + D:
Versorgungsgrad/Bemessungskriterium und branchenspezifische Schwellenwerte
ZZ.B.
B bbeii einer
i SStromerzeugungsanlage
l mit
i einer
i iinstallierten
lli N
Netto‐Nennleistung
N l i von =>
420 MW = KRITIS im Sinne des BSIG (+)
Folie 20TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – nationale Vorgaben
Systematik der BSI‐KritisV:
§ 1 Begriffsbestimmungen: Definitionen von Anlage, Betreiber, kritischer
Dienstleistung, Versorgungsgrad, branchenspezifischem Schwellenwert
§ 2 Sektor Energie: Benennung der wegen ihrer Bedeutung für das
Funktionieren des Gemeinwesens kritischen Dienstleistungen in diesem
Sektor + Verweis auf den Anhang der RVO mit der Abbildung der
branchenspezifischen Schwellenwerte
§ 3 Sektor Wasser: wie § 2, für Wasser
§ 4 Sektor Ernährung: wie § 2, für Ernährung
§ 5 Sektor Informationstechnik und Telekommunikation: wie § 2, für IuK
§ 6 Evaluierung: Evaluationsvorschrift zur Bewertung u
u.a.
a der
branchenspezifischen Kategorien und Schwellenwerte vier Jahre nach
Inkrafttreten der RVO
§ 7 Inkrafttreten
Folie 21TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – nationale Vorgaben
Systematik
y der BSI‐KritisV – die Anhänge:
g
Anhang 1 – Anlagenkategorien und Schwellenwerte im Sektor Energie:
Teil 1 Grundsätze und Fristen (u.a. zur Bestimmung des Versorgungsgrades)
Teil
T il 2 Berechnungsformeln
B h f l zur EErmittlung
i l d
der b
branchenspezifischen
h ifi h SSchwellenwerte
h ll
Teil 3 Anlagenkategorien und Schwellenwerte
Anhang 2 – Anlagenkategorien und Schwellenwerte im Sektor Wasser:
wie Anhang 1, für Wasser
Anhang 3 – Anlagenkategorien und Schwellenwerte im Sektor Ernährung:
wie Anhang 1,
1 für Ernährung
Anhang 4 – Anlagenkategorien und Schwellenwerte im Sektor
Informationstechnik und Telekommunikation: wie Anhang 1, für IuK
Anhang … für weitere KRITIS‐Domänen gem. § 2 Abs. 10 BSIG: Transport
und Verkehr, Gesundheit, Finanz‐ und Versicherungswesen
Weitere Informationen, insb. zu den Berechnungsgrundlagen finden sich
in der Begründung zur RVO, S. 13 ff.
Folie 22TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – nationale Vorgaben
IT Si h h it
IT‐Sicherheitsgesetz
t und
d Kritische
K iti h Infrastrukturen
I f t kt
Verantwortlichkeiten:
Die §§ 8a bis 8d BSIG als zentrale Neuerungen
für die Betreiber Kritischer Infrastrukturen
Folie 23TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – nationale Vorgaben
§ 8a BSIG – Sicherheit in der Informationstechnik von
KRITIS:
Zielsetzung: Vermeidung von Störungen der IT‐Systeme
IT Systeme, die für die
Funktionsfähigkeit der Kritischen Infrastruktur maßgeblich sind
Mittel: Von den Betreibern sind angemessene TOV zu treffen, die den
S dd
Stand der TTechnik
h ik einhalten
i h l sollen
ll
„Stand der Technik“ als unbestimmter Rechtsbegriff/Generalklausel:
Internationale, europäische + nationale Normen und Standards (ISMS gem.
ISO/IEC 27001)
Spezifische Standards von Betreibern/Branchenverbänden in Abstimmung mit
BSI/Hinzuziehung UP KRITIS (B3S)
Angemessenheit: Verhältnis von Aufwand und Bedrohung, insb.
Kostenrelevanz
Nachweis TOV alle 2 Jahre durch Audits, Prüfungen, Zertifizierungen
Folie 24TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – nationale Vorgaben
§ 8b BSIG – Zentrale Stelle für die IT‐Sicherheit
Kritischer Infrastrukturen:
BSI als zentrale Meldestelle für IT‐Sicherheit:
Informationssammlung und ‐auswertung: Sicherheitslücken, Schadprogramme, erfolgte
oder versuchte Angriffe, Vorgehensweise von Angreifern
Auswirkungen von Angriffen auf die Verfügbarkeit von KRITIS analysieren
Aktualisierung Lagebild Informationssicherheit KRITIS
Unterrichtung der Betreiber über Gefahren
Unterrichtung
U t i ht weiterer
it zuständiger
tä di (A
(Aufsichts)behörden
f i ht )b hö d
Betreiberpflicht zur Einrichtung einer Kontaktstelle zur Krisenprävention
und ‐bewältigung
Frist: 6 Monate nach Inkrafttreten der BSI‐KritisV
Für 1. Korb (Energie, Wasser, Ernährung, IKT) Ablaufdatum 23.10.2016
Optional: Benennung einer gemeinsamen
gemeinsamen, übergeordneten Anspruchstelle
möglich, soweit Zugehörigkeit zu gleicher Domäne
Folie 25TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – nationale Vorgaben
§ 8b BSIG – Meldepflicht:
p
Wann ist zu melden? Erhebliche Störungen der Verfügbarkeit,
Integrität, Authentizität, Vertraulichkeit der
informationstechnischen Systeme, Komponenten oder
Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der
Funktionsfähigkeit der Kritischen Infrastruktur
1. führen können oder
2 geführt haben
2.
Erhebliche Störung: Bedroht Funktionsfähigkeit , Indiz: Kann
nicht automatisiert oder mit wenigg Aufwand behoben werden
Meldepflichtige Kategorien können sich an Anlage 1 zur
Allgemeinen
g Verwaltungsvorschrift
g über das Meldeverfahren
gem. § 4 Abs. 6 BSIG orientieren
Folie 26TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – nationale Vorgaben
Anlage 1 zur Allgemeinen Verwaltungsvorschrift
über das Meldeverfahren gem. § 4 Abs. 6 BSIG,
meldepflichtige
p g Kategorien:
g
Externer Angriff (DoS, Hacking, Passwortmissbrauch)
Datenverlust ((Hardwareverlust,, unautorisierter Datenabfluss))
Sicherheitslücke (Exploiting)
Störung von Soft‐
Soft oder Hardwarekomponenten (schwer‐
(schwer
wiegender Systemausfall, Überlastsituationen)
Verstoß ggegen
g IT‐Sicherheitsrichtlinien ((Innentäter))
Interne Ursachen (Sicherung, Kühlung, USV)
Externe Einflüsse (Naturgewalten/höhere
( g / Gewalt))
Besondere Erkenntnisse (nach Einschätzung des Meldenden)
Folie 27TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – nationale Vorgaben
§ 8b BSIG – Meldepflicht (Fortsetzung):
Was ist zu melden? Angaben zur Störung, den technischen Rahmenbedingungen,
der vermuteten oder tatsächlichen Ursache, der Art der betroffenen Einrichtung
oder Anlage und zur Branche des Betreibers
Benennung des konkreten Betreibers? Nur dann erforderlich, wenn die Störung
tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit
geführt hat, andernfalls pseudonymisierte Meldung
Was passiert mit den gemeldeten Daten? BSI ist zentrale Meldestelle, das
bedeutet…
Sammlung und Auswertung (z.T. zusammen mit BBK)
Warn‐ und Alarmierungsmeldungen
Aktualisierung Lagebild Informationssicherheit
Information
I f i füfür B
Betreiber
ib und
d (A
(Aufsichts)behörden
f i h )b hö d
Langfristige Jahresberichte für die Öffentlichkeit
Wer muss nicht melden? § 8c BSIG – Anwendungsbereich/EU‐Recht: Keine
Anwendung auf Kleinstunternehmen (Mitarbeiter < 10; Jahresbilanz nicht größer
als 2 Mio. €) Ausnahme gilt auch für TOV
Folie 28TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – nationale Vorgaben
§ 8c BSIG
S G – So
Sonderregelungen/Meldepflichten
de ege u ge / e dep c te
und TOV nach anderen Gesetzen:
Betreiber von TK‐Netzen
TK Netzen oder TK‐Diensten
TK Diensten
§ 109 TKG
Betreiber von Energieversorgungsnetzen oder ‐anlagen
anlagen
§ 11 EnWG
Genehmigungsinhaber gem. Atomgesetz
§ 44b AtG
Nur falls keine Spezialgesetze
p g für jjeweiligen
g
Infrastrukturbereich = BSIG anwendbar
Universelles Rechtsprinzip (lex specialis‐Regel)
Folie 29TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – europäische Vorgaben
Europarechtliche
p Vorgaben
g
zur IT‐Sicherheit
Folie 30TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – europäische Vorgaben
Auch hier wieder: IT‐Sicherheit wird nicht kodifiziert geregelt
Zahlreiche Einzelvorschriften,
Einzelvorschriften unterschiedliche Verbindlichkeit
Abhängig vom jeweiligen Geschäfts‐ bzw. Infrastrukturbereich
Verschiedene Beispiele:
RL 2014/53/EU über die Harmonisierung der Rechtsvorschriften der Mitgliedstaaten über die
Bereitstellung von Funkanlagen auf dem Markt (RED)
VO (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für
elektronische
l k i h Transaktionen
ki iim Binnenmarkt
i k ((eIDAS
I AS VO)
RL 2013/40/EU über Angriffe auf Informationssysteme
RL 2009/72/EG zum Elektrizitätsbinnenmarkt
RL 2008/114/EG über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen
und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern
RL 2006/32/EG zu Energieeffizienz und Energiedienstleistungen
RL 2002/58/EG über
üb elektronische
l k i h Kommunikationsnetze
K ik i (E‐Privacy‐RL)
(E P i RL) und
d 2009/136/EG
(Cookie‐RL)
Teils Überschneidungen mit EU‐Datenschutzrecht bei personenbezogenen Daten, vgl. nur
Artt
Artt. 29 ff
ff. Datenschutz‐Grundverordnung (DS‐GVO)
(DS‐GVO), Datensicherheit
NIS‐RL???
Folie 31TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – europäische Vorgaben
NIS‐RL – Meilensteine:
07.02.2013: Vorschlag der Europäischen Kommission für eine NIS‐RL
…
06 07 2016: Annahme der NIS
06.07.2016: NIS‐RL
RL durch das Europäische Parlament
19.07.2016: Veröffentlichung im Amtsblatt der EU
08.08.2016: Inkrafttreten der neuen NIS‐RL
09.02.2017: Ablauf Frist für Vertretung in der Kooperationsgruppe und im
CSIRTs‐Netzwerk
09 05 2018 Ablauf
09.05.2018: Abl f U Umsetzungsfrist
fi dder neuen RRechts‐
h und d
Verwaltungsvorschriften für die EU‐Mitgliedstaaten
10.05.2018: Anwendungg der neuen mitgliedstaatlichen
g Regelungen
g g zur NIS
09.11.2018: Ablauf Ermittlungsfrist Betreiber wesentlicher Dienste
09.05.2019: Kohärenzbericht zur Ermittlung der Betreiber wesentlicher
Di
Dienste
t
09.05.2021: Erster Erfahrungsbericht der EU‐Kommission zur RL‐Umsetzung
Folie 32TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – europäische Vorgaben
NIS‐RL – Rechtsnatur:
Zentraler Bestandteil der Cyber‐Sicherheitsstrategie der EU
EU
EU‐Richtlinie
Richtlinie (RL) ≠ EU
EU‐Verordnung
Verordnung (VO)
Art. 288 AEUV (Vertrag über die Arbeitsweise der EU):
„Die VO hat allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und
gilt unmittelbar in jedem Mitgliedstaat.“ Kein nationales Umsetzungsgesetz
zur Wirksamkeit notwendig (z.B. EU‐DS‐GVO)
„Die RL ist für jjeden Mitgliedstaat
g […] hinsichtlich des zu erreichenden Ziels
verbindlich, überlässt jedoch den innerstaatlichen Stellen die Wahl der Form
und der Mittel.“ Nationales Umsetzungsgesetz zur Wirksamkeit notwendig
Deutschland: Nationales Umsetzungsgesetz „IT‐SiG
IT‐SiG 2
2“,
Novellierung einzelner Gesetze nach RL‐Erlass notwendig
Mindestharmonisierung: Deutschland kann auch ein höheres
IT‐Sicherheitsniveau schaffen, als es die NIS‐RL vorgibt (Art. 3)
Folie 33TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – europäische Vorgaben
NIS‐RL
NIS RL – Rechtspolitische Erwägungen:
NIS als zentraler Faktor für ein funktionierendes Gemeinwesen und die Wirtschaft
der EU
Tragweite, Häufigkeit und Auswirkungen von Sicherheitsvorfällen nehmen zu
EU‐weit koordinierte Cyber‐Sicherheitsstrategie setzt hinsichtlich aller
Mitgliedstaaten
g ein Mindestniveau voraus
Bestehende Fähigkeiten nicht ausreichend, um ein hohes Niveau von NIS in der EU
zu gewährleisten
Uneinheitliches Schutzniveau der Mitgliedstaaten
Fehlende gemeinsame Anforderungen für Betreiber von „wesentlichen Diensten“
NIS‐RL konzipiert als „umfassender Ansatz […], der gemeinsame
Mi d
Mindestanforderungen
f d fü
für K
Kapazitätsaufbau
iä fb undd ‐planung,
l
Informationsaustausch, Zusammenarbeit sowie gemeinsame
Sicherheitsanforderungen für Betreiber wesentlicher Dienste und Anbieter
di
digitaler
italer Dienste beinhaltet“
Folie 34TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – europäische Vorgaben
NIS‐RL – Gegenstand und Anwendungsbereich (Artt. 1, 2):
Richtet sich nicht unmittelbar an Private/Betreiber, sondern
zunächst an die EU‐Mitgliedstaaten, die nationales
Umsetzungsgesetz erlassen
Diesbezügliche Pflichten der Mitgliedstaaten im Überblick:
Festlegung nationale Strategie für NIS
Einrichtung einer Kooperationsgruppe zur strategischen Zusammenarbeit
und für interstaatlichen Informationsaustausch
Einrichtung eines CSIRTs‐Netzwerks (Computer Security Incident
Response Teams Network) zur Förderung der operativen interstaatlichen
Zusammenarbeit im Bereich IT‐Securityy
Festlegung von Sicherheitsanforderungen und Meldepflichten für die
Betreiber wesentlicher Dienste und für Anbieter digitaler Dienste
Benennung von nationalen l IT‐Sicherheitsbehörden,
h h b h d zentralen
l
Anlaufstellen und CSIRTs
Folie 35TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – europäische Vorgaben
Ausnahmen vom Anwendungsbereich für:
Betreiber öffentlicher Kommunikationsnetze (RL 2002/21/EG)
Betreiber öffentlich zugänglicher elektronischer
Kommunikationsdienste (RL 2002/21/EG)
Vertrauensdiensteanbieter (VO (EU) Nr. 910/2014)
Verarbeitung personenbezogener Daten gem. EU‐
Datenschutzrecht
Allgemeine Festlegung, dass sektorspezifische Anforderungen
des EU‐Rechts vorrangig sind (lex specialis)
Anwendungsbereich
A d b i hb bzgl.l Kl
Kleinstunternehmen
i h wird
i d nicht
i h
durch RL selbst, sondern durch die Schwellenwerte zur
Ermittlung der Betreiber wesentlicher Dienste beschränkt
(Art. 5 Abs. 2, Art. 6)
Folie 36TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – europäische Vorgaben
NIS‐RL – Auszug Begriffsbestimmungen (Art. 4):
Weit
W it gefasster
f t B Begriff
iff sog. „Netz‐
N t und
d Informationssysteme“:
I f ti t “
Elektronische Kommunikationsnetze (Kabel; Funk; optische, elektromagnetische
Einrichtungen; Satellitennetze; „Internet“; Stromleitungen, soweit zur Signalübertragung
genutzt; Hörfunk; Fernsehen)
Vorrichtungen, die programmgesteuert und automatisiert Daten verarbeiten
Digitale Daten, die in vorgenannten Einrichtungen verarbeitet werden
Betreiber wesentlicher
esentlicher Dienste
Dienste: umfasst
mfasst öffentliche wie
ie pri
private
ate Einri
Einrichtungen
ht n en
Unter diesem Gesichtspunkt aber kein weiterer Anwendungsbereich als IT‐SiG, da auch hier im
Anhang II die Kategorie „Staat und Verwaltung“ nicht benannt wird
Digitaler Dienst: jede in der Regel gegen Entgelt elektronisch im Fernabsatz und
auf individuellen Abruf eines Empfängers erbrachte Dienstleistung
Sicherheitsvorfall: alle Ereignisse, die tatsächlich nachteilige Auswirkungen auf die
Sicherheit von Netz
Netz‐ und Informationssystemen haben
Weitere technische Definitionen für IXP, DNS, TLD, Online‐Marktplatz und ‐
suchmaschine, Cloud‐Computing‐Dienst
Weitere
i Konkretisierungen
k ii d
durchh di
die Anhänge
hä I bis
bi III
Folie 37TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – europäische Vorgaben
NIS‐RL – Schutz wesentlicher Dienste (Artt. 5, 6, 14, 15):
Mitgliedstaaten trifft die Pflicht,
Pflicht bis zum 09.11.2018
09 11 2018 Betreiber „wesentlicher
wesentlicher Dienste“ mit einer
Niederlassung in ihrem Hoheitsgebiet zu ermitteln
„Wesentliche Dienste“ entsprechen in ihrem Sinn „Kritischen Infrastrukturen“ im Sinne des IT‐SiG
Einschlägige Sektoren und Teilsektoren (Anhang IIII, „Qualität
Qualität“):
):
Energie (Elektrizität, Erdöl, Erdgas)
Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
Bankwesen (Kreditinstitute)
Fi
Finanzmarktinfrastrukturen
ki f k (Bö
(Börsen)
)
Gesundheitswesen (med. Versorgungseinrichtungen, Krankenhäuser, Privatkliniken)
Trinkwasserlieferung und ‐versorgung
Digitale Infrastruktur (IXPs, DNS‐Diensteanbieter, TLS‐Name‐Registries)
IT‐SiG: Ernährung
IT‐SiG: Versicherungswesen
Kriterien für die Zuordnung eines Dienstes als „wesentlich“ („Quantität“):
Unerlässlich zur Aufrechterhaltungg kritischer gesellschaftlicher/wirtschaftlicher
g / Tätigkeiten
g
Bereitstellung abhängig von Netz‐ und Informationssystemen
Sicherheitsvorfall bewirkt erhebliche Störung (u.a. gemessen an Nutzerzahl, Dominoeffekten, Marktanteil, Alternativmittel)
Mitgliedstaaten erstellen Liste wesentlicher Dienste: BSI‐KritisV
Liste ermittelter Betreiber mindestens alle zwei Jahre zu überprüfen
Ziel: EU‐weit vereinheitlichter Bewertungsmaßstab zur Ermittlung kritischer Infrastrukturen
Folie 38TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – europäische Vorgaben
NIS‐RL
NIS RL – Schutz wesentlicher Dienste (Artt
(Artt. 5
5, 6
6, 14
14, 15):
Sicherheitsanforderungen: Geeignete, verhältnismäßige TOM unter Berücksichtigung des Stands
der Technik, Einbeziehung von Normen sowie technischen Leitlinien der ENISA (Art. 19)
Berücksichtigung“ schwächer als § 8a BSIG,
„Berücksichtigung“ BSIG jedoch Mindestharmonisierung
Förderung maximaler Dienstverfügbarkeit
Schaffung einer inhaltlichen Meldepflicht der Betreiber bei Sicherheitsvorfällen mit erheblicher
Auswirkung auf die Dienstverfügbarkeit
IT‐SiG geht weiter: Potenzielle Dienstbeeinträchtigung ausreichend, Mindestharmonisierung
Kriterien zur Meldepflichtauslösung:
Betroffene Nutzerzahl
Dauer
Geografische Ausbreitung
NIS‐RL
NIS RL sieht
i ht Mö
Möglichkeit
li hk it zur FFestlegung
tl EU
EU‐weiter
it KKriterien
it i d der MMeldepflichtauslösung
ld fli ht lö vor
Meldung wird in transnationalen, EU‐weiten Informationsaustausch einbezogen
Ggf. gibt nationale Behörde (BSI) Hinweise an Meldenden zur Bewältigung des Sicherheitsvorfalls
Mö
Möglichkeit
li hk i zur b
behördlichen
hö dli h U Unterrichtung
i h d
der Öff
Öffentlichkeit
li hk i iin Ei
Einzelfällen
lfäll
Folie 39TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – europäische Vorgaben
NIS‐RL – Schutz wesentlicher Dienste (Artt.
(Artt 5,
5 6,
6 14,
14 15):
Art. 15 Abs. 1 NIS‐RL: Mitgliedstaaten stellen sicher, dass die
Behörden bewerten können,
können ob die Betreiber ihren Pflichten
zu TOM und Meldung nachkommen
Praxis: Wie soll/kann das realisiert werden? BReg: ca. 2.000 betroffene
Betreiber
Ebenso ist sicherzustellen, dass geeignete behördliche
Ressourcen zur Überprüfung der Sicherheitsanforderungen
bereitstehen
Von den Mitgliedstaaten einzuräumende Weisungsbefugnis
der Behörden ggü. den Betreibern bei festgestellten
Sicherheitsmängeln
Folie 40TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – europäische Vorgaben
NIS‐RL – Schutz der Anbieter digitaler Dienste (Artt.
16 17,
16, 17 18):
18)
Digitaler Dienst: Dienstleistung der Informationsgesellschaft; jede in der Regel gegen
Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers
erbrachte Dienstleistung
Konkretisiert durch Anhang III: Online‐Marktplatz, Online‐Suchmaschine, Cloud‐
Computing Dienst
Computing‐Dienst
IT‐SiG: § 13 Abs. 7 TMG, bei geschäftsmäßig angebotenen Telemedien ist durch den
Diensteanbieter unter Berücksichtigung des Standes der Technik sicherzustellen, dass
Kein unerlaubter Zugriff auf technische Einrichtungen möglich ist
Eine Absicherung gegen Datenschutzverletzungen und äußere Angriffe vorhanden ist
NIS‐RL: Geeignete, verhältnismäßige TOM von den Diensteanbietern zu treffen, um
unter Berücksichtigung des Standes der Technik Risiken für NIS zu bewältigen
Risiko gem. Art. 4 Nr. 9: „Alle mit vernünftigem Aufwand feststellbaren Umstände oder Ereignisse, die
potenziell nachteilige Auswirkungen auf die Sicherheit von NIS haben“
Einbeziehung von Normen sowie technischen Leitlinien der ENISA (Art. 19)
NIS‐RL wohl inhaltlich etwas weiter gefasst, aber kategorisch eingegrenzt durch
Anhang III, TMG hingegen betrifft sämtliche Telemedien
Folie 41TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – europäische Vorgaben
NIS‐RL – Schutz der Anbieter digitaler Dienste (Artt. 16, 17, 18):
N
Neben
b TOV auch h Meldepflichten
M ld fli ht der d Di
Diensteanbieter
t bi t b beii Si
Sicherheitsvorfällen,
h h it fäll di
die
erhebliche Auswirkungen auf die Bereitstellung haben
Zur Beurteilung der Erheblichkeit ähnliche Bemessungskriterien wie für „wesentliche
Di
Dienste““
Bei Verknüpfung wesentlicher mit digitalen Diensten ebenso Meldepflicht, soweit der
Sicherheitsvorfall beim digitalen Dienst eine Verfügbarkeitseinschränkung des
wesentlichen Diensts zur Folge hat
Bei im öffentlichen Interesse liegenden Vorfall ist die behördliche Benachrichtigung der
Öffentlichkeit möglich
Ausnahmen von der Meldepflicht:
Anbieter verfügt nicht über Zugang zu den für die Vorfallsbewertung relevanten Informationen
Kleinstunternehmen: Mitarbeiter < 10; Jahresbilanz nicht größer als 2 Mio. €
Möglichkeit zur nachträglichen behördlichen Überprüfung, falls Hinweise auf
Nichteinhaltung von TOV und Meldepflicht bestehen
Anbieter digitaler
g Dienste ohne Sitz in der EU müssen einen Vertreter in der EU
benennen. Die gerichtliche Zuständigkeit bemisst sich nach dem Niederlassungsort des
Vertreters
Folie 42TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – europäische Vorgaben
NIS‐RL – Meldungg für unkritische
Strukturen (Art. 20):
Freiwillige Meldemöglichkeit für:
Betreiber nicht‐wesentlicher Dienste
Keine Anbieter digitaler
g Dienste
Ebenso beschränkt auf Sicherheitsvorfälle, die erhebliche
Auswirkungen auf die Dienstverfügbarkeit haben
Bearbeitungsverfahren folgt demjenigen für Betreiber
wesentlicher Dienste, jedoch:
Bearbeitung nur, soweit kein unverhältnismäßiger Aufwand
Ggf. nachrangig ggü. Pflichtmeldungen
Keine daraus resultierenden Verpflichtungen für die
einmeldende Stelle
Folie 43TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – europäische Vorgaben
NIS‐RL – Nationaler Ordnungsrahmen
g (Artt.
( 7,, 8,, 9,, 10):
)
Jeder Mitgliedstaat bestimmt nationale NIS‐Strategie, für Deutschland:
Nationaler Plan zum Schutz der Informationsinfrastrukturen (NPSI), 2005, abgelöst durch
Umfangreiche Cyber‐Sicherheitsstrategie
Cyber Sicherheitsstrategie der BReg von 2011
Benennung einer für NIS zuständigen Behörde: BSI
Benennung einer zentralen Anlaufstelle für NIS: BSI
Dient als Verbindungsstelle zu transnationalen Zusammenarbeit
Zusammenarbeit mit Strafverfolgungs‐ und Datenschutzbehörden
Mitteilung der NIS‐Strategie und zuständiger nationaler Behörden an EU‐
Kommission Veröffentlichung EU‐weiter Liste
Kommission,
Benennung mitgliedstaatlicher CSIRTs (Computer Security Incident Response
Team) bzw. CERTs (Computer Emergency Response Team)
CERT‐Bund,
CERT Bund angesiedelt beim BSI
Erfüllt bereits die wesentlichen Anforderungen aus Anhang I NIS‐RL
Unterrichtung der Kommission über Tätigkeit der CSIRTs
Jäh
Jährliche
li h ZZwischenberichte
i h b i ht d des BSI auff EU
EU‐Ebene
Eb üb
über nationale
ti l IT
IT‐
Sicherheitsvorfälle
Folie 44TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – europäische Vorgaben
NIS‐RL – Europäischer und internationaler Ordnungsrahmen (Artt.
11, 12, 13):
)
Einsetzung einer EU‐weiten Kooperationsgruppe zur strategischen Zusammenarbeit und zum
zwischenstaatlichen Vertrauensaufbau für NIS
Zusammensetzung:
Vertreter der Mitgliedstaaten
EU‐Kommission
ENISA
Möglichkeit der Beteiligung von Interessengruppen
Wesentliche Aufgaben:
Erstellung von Arbeitsprogrammen/strategischen Leitlinien
Informationsaustausch zur Verbesserung EU‐weiter Koordination und Zusammenarbeit
Informationsaustausch hinsichtlich Awareness, Forschung + Entwicklung, Verfahren zur Ermittlung wesentlicher Dienste,
Meldepflichten
Bewertung und Verbesserung nationaler NIS‐Strategien
Fö d
Förderung europäischer
äi h N Normung
Sammlung von Informationen zur Koordination von IT‐Sicherheitsvorfällen
Erstellung regelmäßiger Berichte zur Bewertung der transnationalen Zusammenarbeit
Einbindung der Kooperationsgruppe in internationale Übereinkünfte zu IT‐
Sicherheit/Datenschutz
Folie 45TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – europäische Vorgaben
NIS‐RL – Europäischer und internationaler
Ordnungsrahmen (Artt. 11, 12, 13):
Errichtung eines CSIRTs‐Netzwerks zur Förderung übernationaler, operativer
Z
Zusammenarbeit,
b i bestehend
b h d aus d
den nationalen
i l CSIRT
CSIRTs
Zusammensetzung aus Vertretern mitgliedstaatlicher CSIRTs und des CERT‐
EU,, unterstützt durch die ENISA
Aufgaben des CSIRTs‐Netzwerks:
Planung operativer Zusammenarbeit der nationalen CSIRTs
Informationsaustausch unter den CSIRTs
Ausarbeitung koordinierter Reaktionen für Sicherheitsvorfälle
Unterstützung der Mitgliedstaaten bei der Bewältigung grenzüberschreitender
Sicherheitsvorfälle
Unterrichtung der Kooperationsgruppe
Auswertung der Übungen zur Netz‐ und Informationssicherheit
R
Regelmäßige
l äßi B Berichte
i ht ddes CSIRT
CSIRTs‐Netzwerks
N t k zu d
den EErgebnissen
b i d
der
interstaatlichen Zusammenarbeit
Folie 46TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – europäische Vorgaben
NIS‐RL
NIS RL – Sanktionen (Art.
(Art 21):
Verpflichtung der Mitgliedstaaten,
Sanktionsvorschriften bei Verstoß gegen
di V
die Vorgaben
b d der RL zu erlassen
l
Maßgabe: „wirksam,
wirksam angemessen und
abschreckend“
IT‐SiG: Wohl angemessene Regelung in
§ 14 BSIG und § 16 TMG
Folie 47TOP 2: IT
IT‐Sicherheitsrecht
Sicherheitsrecht 2016 – europäische Vorgaben
NIS‐RL – was ist Betreibern zu empfehlen?
Umsetzung der Anforderungen durch das IT‐SiG wie gehabt
Änderung/Erweiterung der Sektoren Kritischer
Infrastrukturen gem. BSI‐KritisV durch NIS‐RL wohl nicht zu
erwarten
Ebenso keine großen Änderungen im Bereich
/ p
TOM/Meldepflicht für Betreiber zu erwarten
Kein „doppelter Implementierungsaufwand“, lediglich
Feinanpassungen
Im Mittelpunkt der NIS‐RL‐Umsetzung steht die Schaffung
des zwischenstaatlichen, europäischen
Kooperationsrahmens, vermittelt durch das BSI
Folie 48TOP 3
IT‐Rechtspraxis – Rechtsverständnis und
Rechtsanwendung:
Einführung in die Systematik und Auslegung
gesetzlicher Vorschriften
Folie 49TOP 3: IT
IT‐Rechtspraxis
Rechtspraxis – Rechtsverständnis und ‐anwendung
anwendung
Ein Überblick über die wichtigsten Anwendungs‐
und Verständnisfragen der Gesetzesanalyse für
T h ik
Techniker:
Normenhierarchie
Kollisionsregeln
Gesetzgebungskompetenzen
Auslegungsmethoden und ‐tipps
Sonderkomplex:
S d k l Umgang
U mit
it unbestimmten
b ti t
Rechtsbegriffen/Generalklauseln
G
Gesetzesquellen/erste
t ll / t A Anlaufstellen
l f t ll iim IInternet
t t
Folie 50TOP 3: IT
IT‐Rechtspraxis
Rechtspraxis – Rechtsverständnis und ‐anwendung
anwendung
Normenhierarchie (vereinfacht):
Europarecht
E ht
Primäres Gemeinschaftsrecht („ursprüngliches“ Recht): EUV, AEUV
Sekundäres Gemeinschaftsrecht („abgeleitetes“ Recht):
Verordnung: Unmittelbar in allen Mitgliedstaaten unmittelbar gültig
Richtlinie: In den Zielen verbindlich, aber nationales Umsetzungsgesetz
Entscheidungen/Beschlüsse: Nur für Empfänger unmittelbar verbindlich
Empfehlungen/Stellungnahmen: Rechtsunverbindlich
Bundesrecht
Grundgesetz (GG, Verfassung): Artt. 14, 12, 10, 2 Abs. 1 (ggf. i.V.m. 1 Abs. 1)
Bundesgesetze (Gesetz im formellen Sinn): vom Deutschen Bundestag erlassen
Teils inhaltlich konkretisiert durch RVO, Satzung, Verwaltungsakt
Rechtsverordnungen (Gesetz im materiellen Sinn): durch Bundesministerium erlassen
Satzungen: autonome Rechtsetzung von mit Satzungsautonomie ausgestatteten öff. jur. Personen für
ihren Bereich; Unterscheidung von Satzung mit Innen‐
Innen und Außenwirkung
Landesrecht
Landesverfassungsrecht
Landesgesetze
Rechtsverordnungen
Satzungen
Folie 51TOP 3: IT
IT‐Rechtspraxis
Rechtspraxis – Rechtsverständnis und ‐anwendung
anwendung
Kollisionsregeln:
g
1. Lex superior‐Grundsatz: Die höherrangige
Norm geht der niederrangigen Norm vor (vgl.
(vgl
Normenhierarchie; Vorrang des Bundesrechts:
Art 31 GG)
Art.
2. Lex specialis‐Grundsatz: Innerhalb von
gleichrangigen Normen geht die spe
speziellere
iellere Norm
der allgemeinen vor
3. Lex posterior‐Grundsatz: Innerhalb von
gleichrangigen und gleichermaßen speziellen
Normen geht die jüngere Norm der älteren vor
Folie 52TOP 3: IT
IT‐Rechtspraxis
Rechtspraxis – Rechtsverständnis und ‐anwendung
anwendung
Gesetzgebungskompetenzen (Art. 70 ff. GG, vereinfacht):
1
1. Grundsatz: Gesetzgebungskompetenz bei den Ländern
„Ausnahme“: Gesetzgebungskompetenz liegt beim Bund, soweit
durch GG verliehen
Die Kompetenz kann beim Bund liegen infolge der
2. ausschließlichen ((Artt. 71,, 73 GG)) oder
3. konkurrierenden (Artt. 72, 74 GG) Gesetzgebung
4. Soweit ein Themengebiet weder durch ausschließliche noch
konkurrierende Gesetzgebung abgehandelt wird, liegt die
Gesetzgebungskompetenz somit grds. bei den Ländern
Folie 53TOP 3: IT
IT‐Rechtspraxis
Rechtspraxis – Rechtsverständnis und ‐anwendung
anwendung
Ausschließliche Gesetzgebung, Artt. 71, 73 GG: Hier haben die Länder nur dann eine
B f
Befugnis
i zur GGesetzgebung,
b soweit
i sie
i ausdrücklich
d ü kli h d
dazu ermächtigt
ä h i wurden,
d B
Beispiele:
i i l
Schutz der Zivilbevölkerung
Zeitbestimmung
Luftverkehr
Eisenbahnverkehr
Postwesen und Telekommunikation
g
Kernenergie
Konkurrierende Gesetzgebung, Artt. 72, 74 GG: Hier haben die Länder die Befugnis zur
Gesetzgebung, soweit der Bund noch kein entsprechendes Gesetz erlassen hat,
Beispiele:
p
Recht der Wirtschaft (Industrie, Energie, Bank‐, Börsen‐ und Versicherungswesen)
Arbeitsrecht
Sicherung der Ernährung, Lebensmittel
Schifffahrt
Straßenverkehr
Abfallwirtschaft
Naturschutz
Wasserhaushalt
Folie 54TOP 3: IT
IT‐Rechtspraxis
Rechtspraxis – Rechtsverständnis und ‐anwendung
anwendung
Auslegungsmethoden:
Gesetzeswortlaut oftmals nur wenig aufschlussreich, z.B. § 9
BDSG: Verantwortliche Stellen haben TOM zu treffen
Deshalb: Auslegung von Gesetzen
Was ist Auslegung? Interpretation von Rechtsvorschriften, um
ih
ihren Sinn
i zu ermitteln
i l
Verschiedene Werkzeuge dafür (sog. „Auslegungsmethoden“):
G
Grammatische
ti h Auslegung:
A l A
Anwendung
d des
d allgemeinen
ll i SSprachgebrauchs
h b h zur
Interpretation („Wortsinn“)
Systematische Auslegung: Der Aufbau des Gesetzes/der Rechtsvorschrift dient als
Verständnishilfe
d h lf
Teleologische Auslegung: Ermittlung der Aussage einer Vorschrift nach „Sinn und
Zweck“ Welches Ziel soll mit einer Regelung erreicht werden?
Historische Auslegung: Was wollte der ursprüngliche Gesetzgeber mit der
Schaffung der Regelung erreichen? Was war das „Gewollte“ oder „Intendierte“?
Folie 55TOP 3: IT
IT‐Rechtspraxis
Rechtspraxis – Rechtsverständnis und ‐anwendung
anwendung
Auslegungstipps:
A l i
Wichtig: Gesetze immer am Anfang beginnen, Vorschriften bis zum Ende lesen!
Am Anfang von Gesetzestexten:
Systematische Gliederung
Sinn und Zweck der Regelung
Anwendungsbereich
Begriffsdefinitionen
ff d f
Gesetze folgen Regel‐Ausnahme‐Prinzip: Am Anfang wird der Grundsatz dargestellt, am Ende
die Ausnahmen
Mit den Gesetzesmaterialien arbeiten,
arbeiten insb.
insb mit der Gesetzesbegründung
Viele abstrakte gesetzliche Vorgaben werden dort konkretisiert
Stets die Normenhierarchie beachten: Werden gesetzliche Vorschriften durch untergesetzliche
Vorgaben konkretisiert? Fallbeispiel: BSI‐KritisV
Unterschiedliche Fassungen beachten, ist das Gesetz überhaupt noch in Kraft?
Paradebeispiel: GPSG und ProdSG
Unterscheidung zwischen Verkündung und Inkrafttreten, Beachtung von Umsetzungsfristen:
Nicht jedes Gesetz entfaltet sofort sämtliche seiner Rechtswirkungen – siehe nur BSIG
Folie 56TOP 3: IT
IT‐Rechtspraxis
Rechtspraxis – Rechtsverständnis und ‐anwendung
anwendung
Umgang
g g mit unbestimmten
Rechtsbegriffen/Generalklauseln:
Bereits am Anfang dargestellt: IT‐Security als interdisziplinäres Themenfeld
Gesetze als verhältnismäßig unflexible Regelungsmechanismen
Laufend zu aktualisierende, technisch neue Vorgaben können nicht allein durch
gesetzliche Vorschriften adäquat abgebildet werden
Deshalb Rückgriff auf “unbestimmte Rechtsbegriffe” bzw. “Generalklauseln”
Implementierung technischer Sachverhalte in das Recht
Dabei zur Auslegung insb. Rückgriff auf technische Normen und Standards
Probleme:
Anwender letztlich für die Konkretisierung gesetzlicher Vorgaben verantwortlich
Gesetzesbegründung kann maximal erste Anhaltspunkte liefern
IInsb.
b bbeii neuen G
Gesetzen
t kkann etablierte
t bli t A Anwendungspraxis
d i ffehlen
hl
Problematisch bei Ordnungswidrigkeiten, zivilrechtlicher Haftung
Folie 57TOP 3: IT
IT‐Rechtspraxis
Rechtspraxis – Rechtsverständnis und ‐anwendung
anwendung
Gesetzesquellen:
Nationale und europäische Gesetze und
Begründungen sind immer kostenfrei einsehbar!
D: juris BMJ, https://www.gesetze‐im‐internet.de/
EU: EUR
EUR‐Lex
Lex, http://eur
http://eur‐lex
lex.europa.eu/homepage.html
europa eu/homepage html
Erste Anlaufstellen für Recht & Technik der IT‐
Sicherheit:
VDE/IGMR: IT
IT‐Security
Security Standards Collection,
https://www.security‐standards.de/
BITKOM: Kompass der IT‐Sicherheitsstandards,
IT‐Sicherheitsstandards
http://www.kompass‐sicherheitsstandards.de/
Folie 58TOP 4
IT‐Recht im Diskurs:
Praxistipps, Austausch und Diskussion
Folie 59Dr. iur. Dennis‐Kenji Kipker
Institut für Informations‐, Gesundheits‐ und Medizinrecht (IGMR)
Universität Bremen
Universitätsallee GW1
28359 Bremen
Tel : 0421 218 66049
Tel.:
Mail: kipker@uni‐bremen.de
Besuchen Sie unsere Website: www.itskritis.de
www itskritis de
Folgen Sie uns auf Twitter: @itskritis
Folie 60Sie können auch lesen
