Regulierungsmapping IT-Sicherheit - Gesetzliche Anforderungen auf nationaler und europäischer Ebene - Bitkom eV
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
© www.stock.adobe.com – kviktor
Regulierungsmapping IT-Sicherheit
Gesetzliche Anforderungen auf nationaler und europäischer Ebene
Stand: Juli 2020Herausgeber Bitkom e.V. Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. Albrechtstraße 10 | 10117 Berlin Ansprechpartner Sebastian Artz | Referent IT-Sicherheit M +49 151 27631531 Copyright Bitkom 2020 Diese Übersicht stellt eine allgemeine unverbindliche Information dar. Sie gibt weder eine rechtliche Bewertung des Bitkom wieder, noch hat sie hinsichtlich der Angemessenheit der Tarife präjudizierende Wirkung. Obwohl die Informationen mit größtmöglicher Sorgfalt erstellt wurden, besteht kein Anspruch auf sachliche Richtigkeit, Vollständigkeit und/oder Aktualität, insbesondere kann diese Publikation nicht den besonderen Umständen des Einzelfalles Rechnung tragen. Eine Verwendung liegt daher in der eigenen Verantwortung des Lesers. Jegliche Haftung wird ausgeschlossen. Alle Rechte, auch der auszugsweisen Vervielfältigung, liegen beim Bitkom.
Regulierungsmapping IT-Sicherheit
Gesetzliche Anforderungen auf nationaler und europäischer Ebene
Verpflichtend Wechselwirkung
National Zuständige
Regulierung VO oder RL Inkrafttreten Adressaten Auswirkungen/Pflichten Sanktionen / freiwillig zwischen den
oder EU Behörden
(V / F) Gesetzen
Kernthemen
Telekommunik- Z. T. National 22.06.2004, Betreiber von ▪ § 109 TKG – Technische Schutzmaßnah- Z. B. nach § 115 II 1 Nr.1: V BNetzA (§116 ▪ DS-GVO
ationsgesetz (TKG) Umsetzung seitdem öffentlichen men 500.000 Euro TKG) hinsichtlich
von EU- zahlreiche Telekommunikati- Datenverarbeitung
▪ § 109a TKG – Daten- & Informationssi- Z. B. nach §126 III:
Vorgaben Novellen onsnetzen und die cherheit ▪ E-Evidence hinsicht-
Betriebsuntersagung
Anbieter von lich der Zugriffe von
▪ § 113d TKG – Gewährleistung und Sicher-
Nächste öffentlich Strafverfolgungsbe-
heit der Daten
TKG- zugänglichen hörden zur
Novelle / Telekommunikati- ▪ § 113e TKG – Protokollierung Sicherung von
Beweismitteln
Umsetzung onsdiensten ▪ §113f TKG – Anforderungskatalog
des EECC ▪ ePrivacy-Verord-
▪ 113 g TKG – Sicherheitskonzept nung in Bezug auf
bis Ende
2020 Fernmeldegeheim-
nis und kommuni-
kationsspezifischen
Datenschutz
▪ Verfassungsschutz-
gesetz mit Blick auf
die Quellen-TKÜ
Telemediengesetz Z. T. National 26.02.2007, Anbieter von ▪ Mit Blick auf IT-Sicherheit muss insb. § 13 V Datenschutz- ▪ ePrivacy Richtlinie
(TMG) Umsetzung seitdem Telemedien Abs. 7 TMG beachtet werden aufsichts- (und zukünftig
von EU- zahlreiche behörden ePrivacy VO)
Vorgaben, Novellen An den Schnitt- ▪ DS-GVO
z. B. stellen zum TKG:
ePrivacy RL BNetzA
Hinsichtlich
Medien: Lan-
desmedien-
anstalten
Verfassungsschutz- National Kabinettvorlage Betreiber von ▪ Regelung der Quellen-TKÜ (durch V Nationale ▪ TKG sowie z.T. mit
gesetz (Artikel- im Juli 2020 Telekommuni- Änderungen insb. der §§ 2 und 11 G 10) Sicherheitsbe- dem IT-SiG 2.0
gesetz) kationsnetzen hörden, BMI
und Anbieter
von Telekom-
munikations-
diensten
3/9Regulierungsmapping IT-Sicherheit
Gesetzliche Anforderungen auf nationaler und europäischer Ebene
Verpflichtend Wechselwirkung
National Zuständige
Regulierung VO oder RL Inkrafttreten Adressaten Auswirkungen/Pflichten Sanktionen / freiwillig zwischen den
oder EU Behörden
(V / F) Gesetzen
NIS RL RL EU 29.06.2016 MS ▪ Festlegung einer nationalen Strategie für Die Mitgliedstaaten erlassen V Nationale ▪ IT-SiG 2.0 mit Blick
die Sicherheit von Netz- und Vorschriften über Sanktionen Sicherheitsbe- auf KRITIS-
Vorzeitige Informationssystemen Sektoren
für Verstöße hörden, BSI
Überarbeitung ▪ Schaffung einer Kooperationsgruppe,
▪ ECI-Richtlinie
der NIS RL in Q4 zur strategische Zusammenarbeit der
hinsichtlich
2020 (öffentliche Mitgliedstaaten
kritischer
▪ Schaffung eines Netzwerks von Com-
Konsultation bis Infrastrukturen im
puter-Notfallteams (CSIRTs-Netzwerk
Oktober 2020) Allgemeinen
– Computer Security Incident Response
Teams Network) ▪ Parallele
▪ Sicherheitsanforderungen und Melde- Überarbeitung der
pflichten für die Betreiber wesentlicher NIS- und ECI-
Dienste und für Anbieter digitaler Richtlinie in 2020
Dienste
▪ Benennung nationaler zuständigen
Behörden, zentraler Anlaufstellen und
CSIRTs
IT Sicherheitsgesetz National 30.06.2017, Betreiber ▪ Unternehmen die als KRITIS (also ober- In § 14 des Bundesgesetzes V BSI
(Artikelgesetz, seit 10.05.2018 folgender halb der definierten Schwellenwerte ge- sind Bußgelder bis zu 50.000
Auswirkung auf: TKG, für Anbieter wesentlicher mäß Anhänge 1 - 7 BSI Kritis- EUR vorgesehen
TMG, StGB, Umsetzung digitaler Dienste: Verordnung) definiert sind, unterliegen
der NIS RL ▪ Finanzen und besonderer Meldepflichten nach § 8b (3)
StPO, BSI-Gesetz) Dienste
Versicherung BSIG und müssen ein definiertes
Mindestmaß
▪ Gesundheit an IT-Sicherheit einhalten (Stand der
▪ Transport Technik nach § 8a (1) BSIG
und Verkehr ▪ Nach BSI Kritis-Verordnung sind die
▪ Energie Sektoren: Energie, Informationstechnik
▪ IT und und Telekommunikation, Transport und
Telekom- Verkehr, Gesundheit, Wasser, Ernährung
munikation sowie Finanz- und Versicherungswesen
▪ Wasser ▪ Digitale Diensteanbieter, da diese in
▪ Lebensmittel einer Voll-Harmonisierung aus der
NIS-Richtlinie resultieren
IT Sicherheitsgesetz National Befindet sich ▪ Ausweitung des Anwendungsbereichs Gemäß des neugefassten § 14 V (KRITIS BSI, BMI Überlappung mit
2.0 in Ressortab- von KRITIS-Regulierungen auf den neuen könnten Verstöße mit Erweiterung) der NIS-Review und
stimmung KRITIS-Sektor „Entsorgung“Einführung Bußgeldern von bis zu 20 und F (IT- der Überarbeitung
der Kategorie „Unternehmen im Millionen Euro oder von zwei Sicherheits- der ECI-RL sowie
besonderen öffentlichen Interesse“ sowie
respektive vier Prozent des kennzeichen) z.T. mit dem Cyber-
des Begriffs „Kritische Komponenten“
▪ Untersagung des Einsatzes Kritischer weltweiten Jahresumsatzes security Act
Komponenten nicht vertrauenswürdiger geahndet werden
Hersteller (§ 9b)
▪ Freiwilliges IT-Sicherheitskennzeichen
▪ Kompetenz- und Befugnisausweitung
des BSI, u.a. im Bereich
Verbraucherschutz
4/9Regulierungsmapping IT-Sicherheit
Gesetzliche Anforderungen auf nationaler und europäischer Ebene
Verpflichtend Wechselwirkung
National Zuständige
Regulierung VO oder RL Inkrafttreten Adressaten Auswirkungen/Pflichten Sanktionen / freiwillig zwischen den
oder EU Behörden
(V / F) Gesetzen
EU Cybersecurity VO EU 27.06.2019 MS / Unternehmen ▪ EU-weiter Rahmen zur Zertifizierung von Keine Sanktionsmechanismen, F BSI, ENISA Anerkennung von
Act die auf dem Euro- IT-Sicherheit da freiwillig Zertifikaten gemäß
päischen Markt ver- ▪ Ständiges Mandat für die europäische CSA wird im Kontext
kaufen möchten Cyber-Sicherheitsbehörde ENISA des IT-SiG 2.0
diskutiert
▪ Ausarbeitung verschiedener
Certification Schemes (durch die ENISA).
Aktuell diskutiert: der Common Criteria
based European cybersecurity
certification scheme (EUCC). Ebenfalls in
2020: Scheme on Cloud-Services
Datenschutz- VO EU 25.05.2018 MS ▪ […], Datensicherheit insb. Art. 32 Art. 83/84 DS-GVO V EDPB, E-Privacy &
grundverordnung (+parallele nationale DPA E-Evidence
▪ Im Nov 2019 hat der EDPB einen ersten
(DS-GVO) RL für Polizei
Entwurf der Guidelines 4/2019 on Article 25
und Justiz)
Data Protection by Design and by Default
veröffentlicht
1. und 2. Nationale National 1. DSAnpUG: »Verantwortliche« im ▪ DSAnpUG insb. Anpassung des Richten sich nach DS-GVO V Nationale DPAs
DSAnpUG Umsetzung 25.05.2018 Sinne des DS-Rechts nationalen Bundesdatenschutzgesetzes
DS-GVO an die DSGVO
DSAnpUG:
26.11.2019 ▪ DSAnpUG Anpassung von über 150
Fachgesetzen an die DSGVO
E-Evidence VO und RL EU Derzeit offen, MS ▪ Datenherausgabe/Datensicherung ▪ MS werden verpflichtet, für V Strafver- E-Privacy &
EP-Befassung Verstöße gegen die folgungs- DS-GVO
▪ EU-ausländische Strafverfolgungsbe-
und Trilog Verpflichtungen aus den behörden
hörden sollen ermächtigt werden, direkt
stehen noch Artikeln 9, 10 und 11 E-Evi-
beim nationalen Provider die Datenher-
dence VO zu bestimmen
bevor ausgabe/ Datensicherung anzuordnen
(wirksam, verhältnismäßig
▪ Fristen: 6 Stunden bis 10 Tage und abschreckend)
▪ Prüfungspflichten der Provider ▪ Ebenso bei Verstößen
gegen die Pflicht einen
▪ Bestellung eines verantwortlichen verantwortlichen Vertreter
Vertreters innerhalb der EU nach RL innerhalb der Union zu be-
stimmen nach E-Evidence RL
E-Privacy VO EU Derzeit offen MS […] Wie DS-GVO V EDPB, E-Evidence &
nationale DPA DS-GVO
5/9Regulierungsmapping IT-Sicherheit
Gesetzliche Anforderungen auf nationaler und europäischer Ebene
Verpflichtend Wechselwirkung
National Zuständige
Regulierung VO oder RL Inkrafttreten Adressaten Auswirkungen/Pflichten Sanktionen / freiwillig zwischen den
oder EU Behörden
(V / F) Gesetzen
Open Data und PSI- RL EU 16.07.2019 MS ▪ Private Unternehmen sollen Informa- V
Richtlinie (EU tionen, die bei öffentlichen Stellen wie
Ämtern, Behörden oder Bibliotheken
2019/1024)
vorliegen, kostengünstig oder kostenfrei
elektronisch zur Verfügung gestellt be-
kommen, um damit Wirtschaftswachs-
tum anzuregen und neue Geschäftsmo-
delle zu ermöglichen
▪ Die Richtlinie soll auch bereits öffentlich
zugängliche Forschungsdaten, die aus
öffentlich geförderter Forschung stam-
men, erfassen
European Electronic RL EU 20.12.2018 MS ▪ Errichtung eines Binnenmarkts für DSGVO
Communication Code Umsetzung in elektronische Kommunikationsnetze und
–dienste (Interoperabilität)
(EECC) nationales
Recht bis ▪ Ausbau und Nutzung von Netzen mit
sehr hoher Kapazität
spätestens zum
21.12. 2020 ▪ Gewährleitstung der Zugänglichkeit und
(TKG-Novelle) Sicherheit von Netzen und Diensten
▪ Einführung öffentlicher Warnsysteme,
um die Bevölkerung in Krisengebieten
per Handy alarmieren zu können
Free Flow of Data VO EU Verbindliche MS Datenlokalisierungsvorgaben, Ausnahmen Art. 5 Absatz 4: Die Mitglied- V
Anwendung bei Gründen öffentlicher Sicherheit staaten können in Überein-
EU-weit seit stimmung mit dem Unions-
28.05.2019 recht oder dem nationalen
Recht wirksame, verhältnis-
mäßige und abschreckende
Sanktionen verhängen, wenn
gegen eine Verpflichtung
zur Bereitstellung von Daten
verstoßen wird
eIDAS Verordnung VO EU 01.07.2016 MS Europaweit einheitliche Regelungen zu V BNetzA, BSI,
elektronischer Identifizierung und elektro- BMWi, BMI
nischen Vertrauensdiensten
6/9Regulierungsmapping IT-Sicherheit
Gesetzliche Anforderungen auf nationaler und europäischer Ebene
Verpflichtend Wechselwirkung
National Zuständige
Regulierung VO oder RL Inkrafttreten Adressaten Auswirkungen/Pflichten Sanktionen / freiwillig zwischen den
oder EU Behörden
(V / F) Gesetzen
Vertrauensdienste- National 29.07.2017 Vertrauens- Anpassung alter Rechtslage V
gesetz (VDG) diensteanbieter (insb. Signaturgesetz) an eIDAS VO
in Deutschland
Vertrauensdienste- National 28.02.2019 Vertrauens- Anpassung alter Rechtslage V
verordnung (VDV) diensteanbieter (insb. Signaturverordnung) an eIDAS VO
in Deutschland
IT-Recht im National Fortlaufend ▪ §§ 202a-c StGB – unrechtmäßig §§ 269 und 270 StGB – BMJV
Strafgesetzbuch novelliert, Erlangen von Informationen aus IT- Ahndung von Identitätsdieb-
(StGB) relevanter IT- Systemen (Hackerparagraph § 202c) stahl
Bezug insb. seit ▪ § 263a StGB – Computerbetrug
August 2007 ▪ §§ 303a/b StGB – unrechtmäßige
Zerstörung von Computern / Daten
Randthemen
Know-How-Schutz- RL EU 05.07.2016 MS ▪ Erforderlich für den Schutz des GeschG ▪ Ohne angemessene Ge-
Richtlinie ist unter anderem, dass die geheime heimhaltungsmaßnahmen
Information zumindest einen poten- genießen Geschäftsgeheim-
(2016/943)
tiellen wirtschaftlichen Wert hat und nisse keinen Schutz
Gegenstand angemessener Geheim-
▪ Bei Zuwiderhandlung gegen
haltungsmaßnahmen ist. Deshalb sind
Geheimhaltungspflichten im
vertragliche, organisatorische und/oder
Prozess können Ord-
technische Vorkehrungen im Unterneh-
nungsgelder bis zu 100 000
men erforderlich
Euro oder Ordnungshaft bis
▪ Als erlaubte Handlung ausdrücklich zu sechs Monaten festge-
zulässig ist u.a. Reverse Engineering frei setzt werden
verfügbarer Produkte (§ 3 Abs. 1 Nr. 2
GeschGehG), das bisher in Deutschland
eine rechtliche Grauzone bildete
▪ Gerechtfertigte Handlungen u.a. für
Wistleblower und Journalisten (§ 5
GeschGehG)
Gesetz zum bes- Umsetzung National 26.04.2019 UWG, aber
seren Schutz von der Know- GeschGehG lex
Geschäftsgeheim- How- specialis
nissen(GeschGehG) Schutz-RL
Urheberrechtliche National Letzte ▪ §§ 69a ff UrhG (Besondere
Schutz von Soft- Novellierung Bestimmungen für
ware gemäß UrhG Computerprogramme)
28.11.2019
Gesetz zur Digi- National 29.08.2016 ▪ Anforderungen an Zertifizierung von
talisierung der Smart Meter Gateway / Zähler,
Energiewende basierend auf IT-Sicherheit und
Datenschutz
7/9Regulierungsmapping IT-Sicherheit
Gesetzliche Anforderungen auf nationaler und europäischer Ebene
Verpflichtend Wechselwirkung
National Zuständige
Regulierung VO oder RL Inkrafttreten Adressaten Auswirkungen/Pflichten Sanktionen / freiwillig zwischen den
oder EU Behörden Gesetzen
(V / F)
Radio Equipment Aufnahme EU 12. Juni 2014, MS ▪ Art. 3 (3) der RE-D 2014/53/EU ermäch- Nicht konforme Produkte V BNetzA (BMWi) EU Cybersecurity Act
Directive von Cyber- fortlaufende tigt die Europäische Kommission sog. könnten vom Markt genom- (Kontrolle
(RED) sicherheit Weiterent- Delegierte Rechtsakte zu erlassen, die men warden durch Markt-
geplant wicklung die Erfüllung von grundlegenden überwachungs
Anfor- derungen u.a. in Bezug auf den
behörden)
Schutz personenbezogener Daten,
Betrug etc. zum Inhalt haben
▪ Aktivierung der Artikel 3 (3) d, e und f,
sowie von Artikel 4 wird diskutiert
▪ Public Consultation on the upload of
software into radio equipment – offen
bis zum 14. September 2020
▪ Targeted consultation on
Reconfigurable Radio Systems (RRS) –
bereits beendet
▪ Q3 2020 (early – July): Launching of a
study in support of horizontal
legislation (CNECT)
▪ Q4 2020: “Cybersecurity Strategy”
▪ Adoption of a delegated act on Article
3(3)(d?/e/f) of the RED
▪ First draft of the standardisation request
available 1-2 months after adoption of
the act
▪ Announcement and outline of the
Horizontal regulation
▪ Q4 2020 / Jan 2021 Completion of the
study on upload of software on radio
equipment – Article 3(3)(i) and 4 of the
RED
▪ Q4 2021: proposal for a Horizontal
Regulation
Low Voltage Anfang des EU Evaluation der MS Nicht konforme Produkte V BMAS (Kon- EU Cybersecurity Act
Directive (LVD) Jahres gab es LVD auf einen könnten vom Markt genom- trolle durch
Stakeholder unbestimmten men werden Marktüberwa-
Survey und späteren chungsbehörden
Public Zeitpunkt 2020
Consultation. verschoben
Cybersicher- bzw. Modifik-
heit war nicht ation des
mit dabei Gesetzes-
vorschlags
8/9Regulierungsmapping IT-Sicherheit
Gesetzliche Anforderungen auf nationaler und europäischer Ebene
Verpflichtend Wechselwirkung
National Zuständige
Regulierung VO oder RL Inkrafttreten Adressaten Auswirkungen/Pflichten Sanktionen / freiwillig zwischen den
oder EU Behörden Gesetzen
(V / F)
Machinery Bisher RL, EU 17. Mai 2006 MS Verschiedene Optionen werden diskutiert: Nicht konforme Produkte V BMAS (Kon-
Directive (MD) soll VO ▪ Keine Änderung könnten vom Markt genom- trolle durch
werden men werden Marktüberwa-
Revision der ▪ Die Richtlinie an den NLF angleichen chungsbehör-
Maschinen-RL den)
▪ Anforderungen an Cybersicherheit
Aufnahme (Q4 2020): aufnehmen
von Cyber- Novelle im
sicherheit ▪ Nicht an NLF angleichen, aber trotzdem
Lichte neuer
neue Anforderungen wie Cybersicher-
geplant Technologien heit aufnehmen
und als
Verordnung in ▪ Unabhängig von den aufgezählten Opti-
onen aus der Richtlinie eine Verordnung
Q1 2021 zu machen
Digital Content RL EU 20.05.2019 MS ▪ Die DCD betrifft die Bereitstellung V
Directive (DCD) & digitaler Inhalte und umfasst u.a. Daten,
Sales of Goods die in digitaler Form produziert und
Directive (SGD) bereitgestellt werden sowie Dienste, die
die Erstellung, Verarbeitung oder
Speicherung von Daten in digitaler Form
ermöglichen
▪ Die SGD betrifft alle Warenverkäufe,
unabhängig davon, ob sie physisch (in
Geschäften), online oder im Fernabsatz
erfolgen
European Critical RL EU 8.12.2008 MS ▪ Umfasst zum jetzigen Zeitpunkt NIS Richtlinie
Infrastructure ausschließlich die Sektoren Energie und
Aktuell in
(ECI) Directive Transport
Revision,
(2008/114/EG) parallel zur ▪ Fokus liegt auf der Gefahr durch
NIS-Review Terrorangriffe
UN/ECE R1-R152 UN/EU Fortlaufende Mobilitätssektor ▪ (Internationale) Harmonisierung der BMVI
(Economic National Weiterent- technischen Vorschriften für
Commission for wicklung Kraftfahrzeuge
Europe) ▪ Fragen rund um Automatisierung,
Regelungen Vernetzung und weitere Aspekte rund
um die Mobilität der Zukunft
General Product RL EU 15.1.2002 MS ▪ Am 23. Juni 2020 wurde die Roadmap
Safety Directive zur Überarbeitung der GPSD
(GPSD) veröffentlicht
▪ Cybersicherheit soll aufgenommen
werden
9/9Sie können auch lesen
