IT-Recht – Teil 3

Teil 3. Pflichten der Unternehmen nach dem IT-Sicherheitsgesetz

LemonPI IT Recht AT DE EU

Im zweiten Teil dieser Artikel-Reihe ging es darum, was, zumindest nach deutschem Recht, alles unter den kritischen Infrastrukturen zu verstehen ist, welche durch das IT-Sicherheitsgesetz geschützt werden sollen.

In diesem dritten Teil der Artikel-Reihe sollen nun mögliche Auswirkungen / Pflichten bei einer Umsetzung eines solchen Gesetzes auf die heimischen Unternehmen beschrieben werden.

Ungeachtet der beim deutschen Gesetz kritisierten mangelnden Klarheit, welche Branchen hiermit gemeint sind, lässt sich jedoch aus dem IT-Sicherheitsgesetz herauslesen, dass zumindest Betreiber von Telekommunikationsdiensten und Energieversorger umfasst sind. Ein derartiger Ansatz wäre bei einem möglichen österreichischen IT-Sicherheitsgesetz im Übrigen ebenfalls sinnvoll. Zu hoffen bleibt jedoch, dass das für Herbst 2016 angekündigte Cybersicherheitsgesetz sich die (deutschen) Kritiken zu Herzen nimmt und eine umfassendere Definition  kritischer Infrastrukturen vornimmt.

Angenommen, das eigene Unternehmen würde nun dem IT-Sicherheitsgesetz oder einem gleichartigen österreichischen Gesetz unterfallen, wäre zu fragen, welche Pflichten dies für den Unternehmer bedeuten würde.

Noch ist über das geplante Cybersicherheitsgesetz zu wenig Konkretes bekannt. Bisher wurden jedoch Zielsetzungen genannt, welche de facto dem deutschen Modell entsprechen. Aus diesem Grund erscheint es sinnvoll, mögliche Pflichten (vorerst) am deutschen IT-Sicherheitsgesetz zu messen.

Wie im ersten Teil der Artikel-Reihe ausgeführt, handelt es sich bei diesem Gesetz jedoch nicht um einen einheitlichen Text, sondern um ein Bündel an Normen, die in bereits vorhandene Gesetze eingefügt wurden, allen voran in das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Aus dem BSIG ergibt sich primär, dass das Bundesamt für Sicherheit in der Informationstechnik jene Stelle ist, bei welcher sämtliche Informationen zusammenlaufen. Nach § 8 BSIG (Abfragedatum: 05.04.2016) erarbeitet das Bundesamt überdies Mindeststandards, welche nach § 8a BSIG (Abfragedatum: 05.04.2016) von den Anbietern kritischer Infrastrukturen aufgrund einer zu erlassenden Verordnung über diese Standards nachzuweisen und einzuhalten sind. Erfolgt keine Erfüllung und/oder Nachweis dieser Standards, sind in § 14 BSIG (Abfragedatum: 05.04.2016) Bußgelder zwischen € 10.000,- und € 50.000,- vorgesehen.

Zusammengefasst liegt nach dem BSIG die Hauptpflicht der Betreiber kritischer Infrastrukturen darin, die vom Bundesamt erstellten und per Verordnung erlassenen Vorschriften einzuhalten. Die Informationen, welche Standards sinnvoll sind, werden dabei vom Bundesamt direkt ermittelt, wobei die Anbieter kritischer Infrastrukturen zusätzlich branchenspezifische Vorgehensweisen vorschlagen können.

Neben dem BSIG hat das IT-Sicherheitsgesetz überdies noch Änderungen in weiteren Gesetzen vorgenommen, etwa dem deutschen Atomgesetz oder dem deutschen Energiewirtschaftsgesetz. Diese Anpassungen bestehen in zusätzlichen Pflichten für die jeweiligen Branchen. Konkret geht es für die jeweiligen Branchen darum, ihre Systeme zur Abwehr von Beeinträchtigungen auf dem neuesten Stand zu halten, die Mindest-Standards des Bundesamtes einzuhalten, sowie Cyber-Angriffe umgehend an das Bundesamt zu melden.

Auch in Österreich wäre bei der Schaffung des genannten Cybersicherheitsgesetzes ein derartiges System durchaus vorstellbar. Einerseits, weil Standards, welche durch Verordnung erlassen werden können in der Anpassung flexibler sind als bei Erlassung durch ein Gesetz und überdies, weil für kritische Infrastrukturen sowohl allgemeine wie auch branchenspezifische Standards zur Anwendung kommen. Daher es kann nur sinnvoll sein, die Standards für die Unternehmen nicht nur in einem zentralen Gesetz oder per zu erlassender Verordnung vorzusehen, sondern gleichsam auch bereits gesetzgeberisch auf die einzelnen Branchen einzuwirken. Derart könnte dann etwa im österreichischen Telekommunikationsgesetz eine Informations- und Update-Verpflichtung nach deutschem Vorbild vorgesehen werden.

Jedenfalls ist zu hoffen, dass der österreichische Gesetzgeber bereits bei Schaffung des Gesetzes die Betreiber kritischer Infrastrukturen weitgehend miteinbezieht, um hier von Beginn an für die Notwendigkeiten der Materie sensibilisiert zu sein.

Zusammenfassend kann derzeit noch nicht ausreichend gesagt werden, welche Pflichten für die Anbieter kritischer Infrastrukturen in einem zukünftigen österreichischen System vorgesehen werden würden, aber eine Orientierung an den bereits vorhandenen Vorgaben des IT-Sicherheitsgesetz erscheint jedenfalls sinnvoll.

Teil 4 folgt im Juni 2016

Autor: 
Mag. Michael Lanzinger in Kooperation mit LemonPI GmbH
Mag. Michael Lanzinger ist Rechtsanwalt mit Kanzleisitz in Wels (OÖ) und Schwerpunkt auf IT-Recht, externer Lektor and der JKU Linz und der KU Graz, Lehrender am WiFi Linz und Wels, Vortragender im Bereich Zivil- und Internetrecht sowie begeisterter User neuer Technologien. http://www.rechtsanwalt-lanzinger.at