Nationaler Normenkontrollrat

Stellungnahme des Nationalen Normenkontrollrates gem. § 6 Abs. 1 NKR-Gesetz: NKR-Nr. 3044

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme

Das Regelungsvorhaben hat den Schutz der IT-Systeme so genannter kritischer Infrastrukturen und weiterer Unternehmen, die für das Gemeinwesen von zentraler Bedeutung sind, zum Ziel. Geschützt werden sollen IT-Infrastrukturen von Unternehmen aus den Sektoren Energie, Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Die Kriterien für die Bestimmung der betroffenen Unternehmen sollen in einer Rechtsverordnung festgelegt werden. Auf Seiten der Verwaltung soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur zentralen Stelle und Ansprechpartner für IT-Sicherheit in Deutschland ausgebaut werden.

I. Zusammenfassung

Bürgerinnen und BürgerErfüllungsaufwand Keine Auswirkungen
WirtschaftJährlicher ErfüllungsaufwandDer bezifferbare Mehraufwand beläuft sich auf gut 9 Mio. Euro. Hinzu kommt der Aufwand für die erforderliche Anpassung der IT-Systeme, den Nachweis der Erfüllung der IT-Sicherheitsstandards und den Betrieb der Kontaktstellen.
VerwaltungJährlicher Erfüllungsaufwand (Personalkosten)max. 36 Mio. Euro (425 Stellen)
Jährlicher Erfüllungsaufwand (Sachkosten)2 Mio. Euro
Einmaliger Erfüllungsaufwand6 Mio. Euro
Der mit dem Regelungsvorhaben verbundene Erfüllungsaufwand ist wesentlich von der Zahl der Unternehmen abhängig, die diesem Gesetz unterfallen sollen. Die Kriterien, nach welchen die Unternehmen bestimmt werden sollen, sollen jedoch erst zu einem späteren Zeitpunkt in einer Rechtsverordnung geregelt werden. Vor diesem Hintergrund ist die Annahme des Ressorts, dass 2.000 Unternehmen von dem Gesetz betroffen sein werden, mit nicht unerheblichen Unsicherheiten behaftet. Damit sind auch die Angaben zum Erfüllungsaufwand nur eingeschränkt belastbar.

Legt man die oben genannte Zahl der Darstellung zugrunde, hat das Ressort den Aufwand der Wirtschaft, soweit dies ex ante möglich ist, nachvollziehbar dargestellt.

Vor diesem Hintergrund ist ebenfalls der Aufwand auf Seiten der Verwaltung (unter Einbeziehung der vom Ressort zur Verfügung gestellten weiteren Informationen) nachvollziehbar dargestellt. Gleichwohl ist aus Sicht des Nationalen Normenkontrollrats schwer zu beurteilen, inwieweit die ausgewiesenen Personalkapazitäten im Einzelnen tatsächlich erforderlich sind, um den zusätzlichen Aufgaben nachzukommen, die der Entwurf für die Verwaltung beinhaltet.

Auch deshalb begrüßt der Normenkontrollrat, dass das Ressort die Wirkungen des Regelungsvorhabens entsprechend dem Evaluierungsverfahren der Bundesregierung überprüfen wird. Dies soll fünf Jahre nach dem Inkrafttreten der Rechtsverordnung geschehen, mit welcher die Kriterien für die Bestimmung der betroffenen Unternehmen festgelegt werden sollen.

II. Im Einzelnen

II. 1 Erfüllungsaufwand für die Wirtschaft

Das Ressort geht bei seiner Darstellung des Erfüllungsaufwands von 2.000 Unternehmen aus, die im Sinne des Regelungsvorhabens als systemrelevant einzustufen sind, das heißt, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit mit sich bringen würden. Diese Annahme fußt auf einer Untersuchung des BSI und des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe. Zu berücksichtigen ist hierbei, dass die Zahl der Unternehmen wesentlich von der noch zu erstellenden Rechtsverordnung abhängt. Daher ist zum jetzigen Zeitpunkt lediglich eine sehr grobe Einschätzung der Zahl der Unternehmen möglich. Aus diesem Grund sind die Darstellungen des Erfüllungsaufwands nur eingeschränkt belastbar.

Das Regelungsvorhaben enthält für die Betreiber kritischer Infrastrukturen im Wesentlichen vier Vorgaben:

II.1.1 Einhaltung von Mindestanforderungen an die IT-Sicherheit

Betreiber kritischer Infrastrukturen sollen verpflichtet werden, spätestens zwei Jahre nach Erlass der oben genannten Rechtsverordnung organisatorische und technische Mindestanforderungen zur Vermeidung von Beeinträchtigungen ihrer informationstechnischen Systeme und Prozesse zu erfüllen, soweit diese für den Betrieb ihrer kritischen Infrastrukturen erforderlich sind.
Die Verpflichtung zur Sicherstellung dieses Mindeststandards an IT-Sicherheit wird dort zu Mehrkosten fuhren, wo kein hinreichendes IT-Sicherheitsniveau vorhanden ist. Der hierfür anfallende Aufwand ist ex ante nicht seriös bezifferbar, da er einerseits von den jeweiligen Sicherheitsanforderungen und andererseits davon abhängt, welche Maßnahmen die Unternehmen schon jetzt zur Sicherung ihrer Systeme ergriffen haben.

II.1.2 Meldung erheblicher IT-Sicherheitsvorfalle an das BSI

Ferner sollen Betreiber kritischer Infrastrukturen erhebliche Störungen ihrer informationstechnischen Systeme und Prozesse an das BSI melden, wenn diese Störungen zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastruktur fuhren können oder bereits geführt haben. Die Meldung soll Angaben zur Störung, zu den betroffenen IT-Systemen, zur vermuteten oder tatsachlichen Ursache et cetera enthalten.

Das Ressort geht von sieben relevanten IT-Sicherheitsvorfallen pro Jahr und Unternehmen aus. Ausweislich einer Untersuchung von Seiten der Wirtschaft liegen die Kosten einer Meldung bei 660 Euro (bei rund 11 Stunden Zeitaufwand pro Meldung). Bei Zugrundelegung der oben genannten 2.000 Betreiber kritischer Infrastrukturen ist von einem jährlichen Erfüllungsaufwand von rund 9,2 Mio. Euro auszugehen.

II.1.3 Nachweis der Erfüllung der Mindestanforderungen durch Sicherheitsaudits

Darüber hinaus sollen die Betreiber kritischer Infrastrukturen künftig mindestens alle zwei Jahre nachweisen, dass sie die Mindestanforderungen erfüllen. Dies kann durch Sicherheitsaudits, Zertifizierungen oder auf sonstige geeignete Weise geschehen.

Da dieser Aufwand stark vom gewählten Prüfverfahren und von den Gegebenheiten im Unternehmen abhängig ist, ist dieser Aufwand ex ante kaum seriös quantifizierbar.

II.1.4 Betreiben einer Kontaktstelle

Betreiber kritischer Infrastrukturen sollen gegenüber dem BSI eine Kontaktstelle benennen, über die die Kommunikation zwischen dem BSI und dem Unternehmen abgewickelt werden kann. Diese Kontaktstelle soll jederzeit erreichbar sein.

Die Verpflichtung zum Betreiben einer Kontaktstelle wird dort zu Mehraufwand fuhren, wo noch keine Stelle existiert, die diese Aufgabe übernehmen kann. Um eventuelle Mehrkosten so gering wie möglich zu halten, ist im Regelungsvorhaben vorgesehen, dass Betreiber kritischer Infrastrukturen eine gemeinsame (übergeordnete) Kontaktstelle betreiben können. Dies durfte auch die Umsetzung dieser Vorgabe für kleinere Unternehmen erleichtern, sofern solche nach der zu erlassenden Rechtsverordnung von dem vorliegenden Regelungsentwurf betroffen sind.


II.1.5 Weitere Adressaten aus dem Wirtschaftsbereich

Betreiber öffentlicher Telekommunikationsnetze und öffentlich zugänglicher Telekommunikationsdienste sollen nur von einem Teil der oben genannten Vorgaben betroffen sein:

  • Auch diese Betreiber sollen Maßnahmen zur Sicherung ihrer IT-technischen Einrichtungen vornehmen. Sie sollen dem Stand der Technik entsprechen. Die Ausführungen unter II.1.1 gelten entsprechend.
  • Ferner sollen sie wie die Betreiber kritischer Infrastrukturen IT-Sicherheitsvorfalle an die Bundesnetzagentur (BNetzA) melden. Dabei ist zu berücksichtigen, dass es in diesem Bereich bereits ein Verfahren zur Meldung von IT-Sicherheitsvorfallen gibt. Danach ist eine Meldung an die BNetzA nur für tatsachlich aufgetretene Störungen und nur dann erforderlich, wenn die durch Sicherheitsverletzungen verursachten Auswirkungen beträchtlich sind. Durch das vorliegende Regelungsvorhaben soll diese Verpflichtung insofern erweitert werden, als die Betreiber künftig auch Vorfälle melden sollen, die zu erheblichen Sicherheitsverletzungen von datenverarbeitenden Systemen der Endnutzer führen können. Insofern ist in diesem Bereich von einer Erhöhung der Zahl der Meldungen auszugehen.

II. 2 Erfüllungsaufwand der Verwaltung

Nach Angaben des Ressorts führt das Regelungsvorhaben zu einem erheblichen Mehraufwand auf Seiten der betroffenen Behörden. Der Mehrbedarf liegt bei Zugrundelegung der oben genannten 2.000 Unternehmen bei maximal 425 Stellen (rund 36 Mio. Euro; auch bei den folgenden Angaben handelt es sich jeweils um Maximalwerte). Der Mehrbedarf soll in den jeweiligen Einzelplänen ausgeglichen werden:

  • Der Großteil des oben genannten Mehraufwands entfällt mit knapp 220 Stellen (knapp 16 Mio. Euro) auf das BSI. Darüber hinaus ist mit Sachkosten von einmalig rund 6 Mio. Euro zu rechnen.

    Mit dem Regelungsentwurf soll das BSI zur nationalen Informationssicherheitsbehörde ausgebaut werden. Hierfür soll die Grundlagenarbeit im BSI deutlich ausgebaut werden, um insbesondere im Bereich der Beratung von Unternehmen (wie auch von Behörden) die erforderliche Fachkompetenz vorweisen zu können. Diese ist außerdem erforderlich, um konkrete Sicherheitsmängel identifizieren sowie die in den oben genannten Wirtschaftssektoren jeweils erforderlichen Sicherheitsstandards erarbeiten zu können.

    Aus Sicht des Ressorts wird außerdem aus der Auswertung der Meldungen von Seiten der Wirtschaft und der Beratung der Betreiber kritischer Infrastrukturen ein erheblicher Mehraufwand resultieren. Dieser ergibt sich unter anderem daraus, dass Informationstechnik in den sieben Sektoren sehr unterschiedlich eingesetzt wird. Dies betrifft sowohl die genutzten Komponenten, Systeme und externen Dienstleistungen als auch die eingesetzten Systeme zur Sicherung der Funktionsfähigkeit der kritischen Prozesse.

  • Ausweislich des Entwurfs ist beim Bundeskriminalamt mit einem Mehraufwand von knapp 80 Stellen (gut 5 Mio. Euro) zu rechnen.
    Mit dem Entwurf soll die Zuständigkeit des Bundeskriminalamts für die polizeilichen Aufgaben auf dem Gebiet der Strafverfolgung ausgeweitet werden. So soll die Zuständigkeit künftig auch die Straftatbestände des Ausspähens von Daten, des Abfangens von Daten, des Computerbetrugs et cetera umfassen.
  • Für das Bundesamt für Verfassungsschutz (BfV) geht der Entwurf von einem Mehraufwand von knapp 50 Stellen (3,3 Mio. Euro) aus.
    Dieser resultiert aus der Auswertung der vom BSI zur Verfügung gestellten Informationen und sich daraus für das BfV ergebenden Handlungserfordernissen.
  • Der übrige Stellenmehrbedarf entfällt auf das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, die Bundesnetzagentur, den Bundesnachrichtendienst, das Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit sowie auf die Bundesbeauftragte für Datenschutz und Informationsfreiheit.
  • Darüber hinaus dürfte auf Seiten der Aufsichtsbehörden ein gewisser Mehraufwand durch die Auswertung der Berichte des BSI für ihre Zwecke auftreten.

II.3 Evaluation

Das Ressort beabsichtigt, das Regelungsvorhaben fünf Jahre nach Inkrafttreten der Rechtsverordnung zu evaluieren, mit welcher die Kriterien für die Bestimmung der betroffenen Unternehmen festgelegt werden sollen.

Zusammenfassend ist festzustellen, dass die Darstellung des Erfüllungsaufwands mit nicht unerheblichen Unsicherheiten behaftet ist, da der Kreis der Adressaten derzeit nicht hinreichend einschätzbar ist. Damit sind die Angaben zum Erfüllungsaufwand nur eingeschränkt belastbar. Bei Zugrundelegung der Zahl von 2.000 Unternehmen ist der mit dem Regelungsvorhaben verbundene Aufwand, soweit dies ex ante möglich ist,
nachvollziehbar dargestellt.

Hinsichtlich des Aufwands der Verwaltung ist es aus Sicht des Nationalen Normenkontrollrats schwer zu beurteilen, inwieweit die ausgewiesenen
Personalkapazitäten im Einzelnen tatsächlich erforderlich sind, um den zusätzlichen Aufgaben nachzukommen, die der Entwurf für die Verwaltung beinhaltet. In diesem Zusammenhang wird bei der Umsetzung besonderes Augenmerk darauf zu legen sein, dass in den verschiedenen Behörden, die von dem Gesetz betroffen sind, dieselben Arbeiten – zum Beispiel die Analyse einer Schadsoftware – nicht mehrfach vorgenommen
werden.

Im Hinblick auf die parallel zu diesem Gesetzgebungsverfahren laufenden Verhandlungen über die NIS-Richtlinie gilt es, ein Auseinanderfallen der Regelungen zu vermeiden, da eventuelle spätere Änderungen infolge der Richtlinie zu unnötigem Mehraufwand bei den Adressaten führen würden.
Auch vor dem Hintergrund der Unsicherheiten im Hinblick auf die Folgekosten begrüßt der Normenkontrollrat, dass das Ressort die Wirkungen des Regelungsvorhabens entsprechend dem Evaluierungsverfahren der Bundesregierung überprüfen wird.

> zurück zur Übersicht "Ausgewählte Stellungnahmen des NKR"