BDI-Studie zum geplanten IT-Sicherheitsgesetz vorgestellt

MMR-Aktuell 2014, 359793


Das BMI hat am 12.3.2013 den Referentenentwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vorgestellt (IT-Sicherheitsgesetz), mit dem das Ministerium das Ziel einer Verbesserung der IT-Sicherheit in Deutschland verfolgt.

Zu den wesentlichen Regelungsinhalten des Referentenentwurfs gehören insbesondere eine Pflicht zur Meldung von IT-Sicherheitsvorfällen durch Betreiber kritischer Infrastrukturen und TK-Anbieter sowie die Einführung von IT-Mindestsicherheitsstandards. Der Referentenentwurf löste eine bis heute anhaltende Debatte bzgl. seiner juristischen und organisatorischen Implikationen für die potenziell betroffenen Unternehmen aus. Die Einbringung des Referentenentwurfs in das parlamentarische Verfahren wird für 2014 erwartet.

 

Vor diesem Hintergrund zielt die von KPMG im Auftrag des Bundesverbands der Deutschen Industrie (BDI) durchgeführte Studie darauf ab, zum einen den Aufwand abzuschätzen, der sich vor allem aus der Umsetzung der geplanten Meldepflicht auf Seiten der betroffenen Unternehmen ergeben wird. Zum anderen sollen Empfehlungen zur inhaltlichen Ausgestaltung der Meldepflicht und IT-Mindestsicherheitsstandards formuliert werden. Hierfür wurden Unternehmensvertreter aus den Bereichen der kritischen Infrastruktur und der TK-Industrie befragt. Daneben wurden auch Unternehmen der Zulieferer und Ausrüsterindustrie in die Erhebung einbezogen und die aus der Meldepflicht resultierenden Bürokratiekosten quantitativ abgeschätzt.

 

Die Berechnungen zeigen, dass die Umsetzung der Meldepflicht, so wie sie im Referentenentwurf vom 12.3.2013 ausgestaltet ist, zu signifikanten Erhöhungen der Personal- und Sachkosten für die betroffenen Unternehmen führen kann. Finanzielle Belastungen könnten sich zudem auch aus dem Risiko möglicher Reputationsschäden ergeben, die aus einem fehlerhaften Umgang mit den Meldedaten entstehen kann. In Anlehnung an die Methode des Standardkostenmodells wurden zudem die Bürokratiekosten abgeschätzt, die sich unmittelbar aus der Meldepflicht für die betroffenen Unternehmen ergeben. Diese spezifischen Kosten summieren sich auf Grundlage der für diese Studie getroffenen Annahmen auf insgesamt rd. € 1,1 Mrd. pro Jahr.

 

Da der vorliegende Referentenentwurf in wesentlichen Punkten, etwa bei der Frage, welche Unternehmen konkret betroffen sind und welche IT-Sicherheitsvorfälle in welchem Detailgrad tatsächlich gemeldet werden müssen, einen erheblichen Interpretationsspielraum erlaubt, erscheint eine weitergehende Präzisierung dieser Punkte im Rahmen der Weiterentwicklung des Referentenentwurfs angezeigt. Auf Grundlage einer solchen Konkretisierung könnten auch die der Abschätzung zu Grunde gelegten Annahmen weiter präzisiert oder angepasst werden.

Wolfgang Kuntz ist Rechtsanwalt und Fachanwalt für IT-Recht in Saarbrücken.


IT-Anwaltsuche