Die Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen.
Am Beispiel der Pflichten des IT-Sicherheitsgesetzes und der RL (EU) 2016-1148.
von Christoph FreimuthDer IT-Einsatz birgt neuartige Sicherheitsherausforderungen. Mit dem IT-Sicherheitsgesetz und dem Gesetz zur Umsetzung der RL (EU) 2016/1148 wurde die neue Rechtsmaterie der Pflichten zur IT-Sicherheit Kritischer Infrastrukturen geschaffen. Die Untersuchung analysiert diese und ordnet sie in verfassungs- wie unionsrechtliche Zusammenhänge ein. Die zentralen Begriffe der IT-Sicherheit und der Kritischen Infrastrukturen werden geklärt und die Pflichten zur IT-Sicherheit anhand Regelungsstruktur und -gegenstand als Risikosteuerungsrecht und Schnittmenge verschiedener Rechtsmaterien qualifiziert. Den Infrastrukturbetreibern wird die Gewährleistung der IT-Sicherheit durch eine zentrale Sicherungspflicht und ergänzende Nachweis- und Meldepflichten auferlegt. Zugleich wird ihnen ein Raum der Eigenverantwortung belassen. Im Zusammenwirken der Betreiber mit dem BSI gewährleistet der Pflichtenkanon die IT-Sicherheit auf einem einheitlichen Niveau und ist zugleich für eine Dynamisierung offen.»Guaranteeing IT-Security of Critical Infrastructures«
The use of information technology (IT) causes new security challenges. The Law for IT-Security and the Implementation Act for the Directive (EU) 2016/1148 have become the new legal foundations concerning legal obligations for IT-security of critical infrastructures. These obligations are analysed in regard to the constitutional law and EU law. The operators of critical infrastructures have to fulfil security obligations along with the obligations to provide proof, and reporting obligations. These obligations create a consistent level of IT-security.