Das Chinesische Internet Sicherheitsgesetz, die EU-NIS-Richtlinie und das Deutsche IT-Sicherheitsgesetz im Vergleich

Daniel Albrecht 

(Orginal Artikel in Englisher Sprache)

In den letzen Jahren wurden international die Cybersicherheitsmaßnahmen erhablich verstärkt. In erster Linie geht es darum, den Herausforderungen von Angriffen auf IT-Systeme wirksam begegnen zu können. In diesem Zusammenhang haben in den letzten zwei Jahren insbesondere Deutschland, die EU und China erhebliche Gesetzesinitiativen angestoßen. Der Ansatz und die Reichweite der Regelungen unterscheidet sich jedoch teilweise beträchtlich.

A. Deutschland : IT-Sicherheitsgesetz

Das IT- Sicherheitsgesetz will in erster Linie Angriffen auf die kritische Infrastruktur (KRITIS) wirksam begegnen. Nach dem bereits Mitte 2015 in Kraft getretenen deutschen IT-Sicherheitsgesetz gibt es solche Unternehmen und Anlagen in verschiedenen Branchen, etwa im Bankenwesen, in der Wasser- und Energieversorgung und auch im Medienbereich. Ob ein Unternehmen als kritische Infrastruktur gilt, hängt von seiner Größe ab. Sind jeweils 500.000 oder mehr Bürger von einer Versorgungsleistung abhängig, fällt die dazugehörige Anlage unter die Meldepflicht. Im Bereich der Informationstechnik gilt dies derzeit für rund 30 Rechenzentren, Server-Farmen und Trustcenter. Wer darunter fällt, muss regelmäßig etwa durch Zertifikate nachweisen, unternehmensrelevante Systeme und Prozesse besonders gesichert zu haben. Angriffe von außen muss er kategorisieren und melden.

Das IT-Sicherheitsgesetzes findet Anwendung auf sämtliche Betreiber kritischer Infrastrukturen, unabhängig von deren Organisationsform. Damit sind insbesondere auch Einrichtungen des Bundes und damit öffentliche Stellen erfasst, wohingegen die NIS-RL lediglich private Unternehmen adressiert ist. Herr des gesamten Verfahrens und zentrale Meldestelle für IT-Angriffe ist dabei das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Eine weitere erhebliche Änderung betrifft alle Betreiber von Telemedien – und damit nahezu alle Anbieter von Websites in Deutschland. Nach dem neu geschaffenen § 13 VII des Telemediengesetzes (TMG) sind diese Anbieter gesetzlich dazu verpflichtet, dem Stand der Technik angemessene IT-Sicherheitsgrundlagen umzusetzen. Technische Einrichtungen müssen außerdem gegen „Verletzungen des Schutzes personenbezogener Daten“ gesichert werden. Möglich sei dies durch Einsatz eines „als sicher anerkannten Verschlüsselungsverfahrens“. Darunter fallen solche Verfahren, die den aktuellen technischen Richtlinien des BSI entsprechen.

Wer gegen diese Pflichten verstößt, riskiert ein Bußgeld.

B. NIS-Richtlinie der EU

Eine ähnliche Rrichtung wie das deutsche IT-Sicherheitsgesetz verfolgt die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“ (NIS-Richtlinie). Die neuen Regelungen sollen helfen, die Widerstandsfähigkeit von IT-Systemen zu verbessern, Cyberkriminalität zu bekämpfen und die Cyberverteidigung der EU zu stärken.[1] Die NIS-Richtlinie ist am 8. August 2016 in Kraft getreten uns soll von allen europäischen Gesetzgebern bis zum Mai 2018 in nationales Recht umgesetzt sein. Sie geht auf ein bereits am 7. Februar 2013 im Rahmen der EU-Strategie zur Cybersicherheit beschlossenes Richtlinienpapier der Europäischen Kommission zurück ...

 

Lesen Sie den ganzen Artikel unter:

Computer Law Review International, 01/2018, S.1; Verlag Otto Schmidt

http://www.cr-international.com/