Cybersicherheit: Gesetzesgrundlage fortschreiben und effizient umsetzen

Der Ordnungsrahmen zur Gewährleistung der Cybersicherheit von kritischen Infrastrukturen in Deutschland und der EU wird gerade umfassend überarbeitet. Die Aktualisierungen bieten die Chance, langfristige Verbesserungen der Cybersicherheit zu erreichen. Voraussetzung für den Erfolg ist jedoch eine ökonomisch effiziente Umsetzung.

None

© pexels.com

Wo steht die deutsche Cybersicherheitspolitik aktuell? 

Mit dem IT-Sicherheitsgesetz (IT-SiG) wurde 2015 erstmals ein einheitlicher deutscher Ordnungsrahmen für den Umgang mit Cyberbedrohungen und zur Regulierung von Betreibern kritischer Infrastrukturen geschaffen. Durch die fortschreitende Digitalisierung und Austragung internationaler Konflikte im digitalen Raum hat sich die Gefährdungslage im Bereich der IT- und Cybersicherheit in den vergangenen Jahren jedoch zugespitzt.

Bereits im Koalitionsvertrag wurde deshalb vereinbart, den gesetzlichen Rahmen zu diesem Thema zu überarbeiten. So hat das Bundesinnenministerium (BMI) im Jahr 2019 begonnen, das IT-SiG zu novellieren. Ziel ist eine ganzheitliche Verbesserung der IT-Sicherheit von Wirtschaft, Gesellschaft und Staat sowie eine ständige Anpassung und Weiterentwicklung von Schutzmechanismen und Abwehrstrategien gegen Bedrohungen aus dem digitalen Raum. Die bisher veröffentlichten Referentenentwürfe zeigen bereits, wohin es seitens des Gesetzgebers gehen soll: Vorgesehen ist eine Ausweitung des IT-SiG auf weitere Teile der Wirtschaft, die im besonderen öffentlichen Interesse agieren, wie z.B. Unternehmen der Rüstungs- oder Chemieindustrie sowie Unternehmen mit volkswirtschaftlicher Bedeutung. Außer-dem sieht der aktuelle Entwurf die Weiterentwicklung der Rechte und Pflichten von KRITIS-Betreibern vor und würde eine Ausweitung der Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) bewirken. Der Gesetzgeber arbeitet darauf hin, das Gesetzgebungsverfahren bis Ende 2020 verabschieden zu können. Angesichts teilweise fundamentaler Meinungsverschiedenheiten zwischen den beteiligten Ministerien ist allerdings fraglich, ob dies noch in der aktuellen Legislaturperiode gelingen kann. 

Welche Entwicklungen sind auf EU-Ebene zu erwarten?

Die EU-Kommission hat mit der Aktualisierung der sogenannten NIS-Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit begonnen. Mit der Einführung der NIS-Richtlinie wurde 2016 ein einheitlicher Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die Cybersicherheit, die Cyberabwehrfähigkeit sowie Mindestsicherheitsanforderungen und Meldepflichten für Betreiber kritischer Infrastrukturen geschaffen. Der Großteil der Anforderungen wurde im Jahr zuvor bereits durch das IT-SiG in Deutschland eingeführt. Wichtige Ziele der Novellierung sind die verstärkte zwischenstaatliche Zusammenarbeit und die Einführung erweiterter Meldepflichten, die die Meldung erheblicher Sicherheitsvorfälle, auch über Landesgrenzen, hinaus vorsieht. Entscheidend für den Erfolg der Neuerung ist zudem eine stärkere Verpflichtung von Herstellern und Lösungsanbietern, einen Bei-trag zum Schutz kritischer Infrastrukturen zu leisten. Bis Anfang 2021 soll ein erster Gesetzesvorschlag vorliegen.

Wie sieht die Cybersicherheitspolitik der Zukunft aus?

Aus Sicht des BDEW hat sich der aktuelle Ansatz zum Schutz kritischer Infrastrukturen bisher bewährt, da hierdurch ein einheitliches Mindestmaß an IT- und Cybersicherheit in der EU gewährleistet werden konnte. Die Bedrohungen aus dem digitalen Raum haben in den letzten Jahren nachweislich zugenommen. Daher ist eine Überarbeitung der bestehenden Gesetzgebung sinnvoll und geboten. Der Erfolg der Überarbeitung des Ordnungsrahmens wird entscheidend davon abhängen, ob die Erfahrungen aus der bisherigen Umsetzung angemessen berücksichtigt und eingearbeitet werden. Die Betreiber der Energiewirtschaft möchten zu diesem Zweck oftmals noch intensiver mit den Behörden zusammenarbeiten. Allerdings ist der administrative Aufwand, der für Betreiber mit der Erfüllung der gesetzlichen Anforderungen verbunden ist, derzeit zum Teil sehr hoch. Um die Cybersicherheit langfristig zu stärken, muss daher das Ziel sein, den legitimen Anspruch eines sicheren Betriebs kritischer Infrastrukturen auch ökonomisch effizient umsetzen zu können

Autoren: 
Yassin Bendjebbour, Fachgebietsleiter IT-Sicherheit, Kritische Infrastrukturen, Bundesverband der Energie- und Wasserwirtschaft (bdew) e.V.
Sarah Bremm, Abteilung Steuern, Betriebswirtschaft, Digitalisierung, Bundesverband der Energie- und Wasserwirtschaft (bdew) e.V.


Weitere Inhalte aus dieser Kategorie

Suche

Anmelden für VfEW plus