Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) richtet sich an Unternehmen, die zur Kritischen Infrastruktur (KRITIS) gehören. Danach müssen die Kritischen Infrastrukturen Schutzmaßnahmen ergreifen, um Störungen ihrer Funktionsfähigkeit auszuschließen. Das BSIG enthält eine Reihe von Bußgeldtatbeständen, die aber bislang kaum zur Anwendung gekommen sind. Dies missfiel der EU-Kommission, die die Mitgliedstaaten zur effektiveren Umsetzung der Vorschriften angemahnt hat. Wie schon die Bußgelder nach der DS-GVO könnten nun die Bußgelder nach BSIG aufgrund der hohen Bedrohungslage durch Cyberangriffe zum neuen „Angstthema“ von Unternehmen werden.
1. Kooperation und Sanktion als Konzept des BSIG
Die Kritischen Infrastrukturen stammen aus verschiedenen Sektoren, unter anderem Energie, Verkehr oder Gesundheit. Das BSIG fußt, ähnlich der DS-GVO, auf einem Modell von „Kooperation und Sanktion“. Unternehmen treffen eine Vielzahl von Rechtspflichten, in deren Zuge sie mit dem BSI zu kooperieren haben. So müssen Kritische Infrastrukturen Nachweise darüber erbringen, dass sie die erforderlichen Schutzpflichten einhalten. Weiterhin besteht eine Meldepflicht an das BSI bei Cybervorfällen. Bei Begehung der Einrichtung kann das BSI vom Betreiber verlangen, dass er die notwendigen Unterlagen vorlegt. An diese Kooperationspflichten sind entsprechende Bußgeldtatbestände geknüpft.
2. Bußgeldtatbestände nach dem BSIG
Die Bußgeldtatbestände sind in § 14 BSIG geregelt und wurden im Jahr 2021 reformiert, insbesondere in ihrer Höhe nach oben angepasst. Als Anknüpfungspunkte kommen u.a. in Betracht, dass die Einrichtung die vorgeschriebenen Schutzmaßnahmen nicht erbringt, deren Nachweise nicht rechtzeitig vorlegt oder Störungen der Systeme und Prozesse nicht an das BSI meldet. Denn das Gesetz legt Wert darauf, dass das BSI ausreichende Informationen über die IT-Sicherheits-Lage erhält und die Kritischen Einrichtungen ihren Verpflichtungen nachkommen. In ihrer Höhe reichen die Bußgeldrahmen bis zu 2 Millionen EUR mit der Möglichkeit der Verzehnfachung der Bußgelder für juristische Personen.
3. Mahnung der EU-Kommission
Die EU-Kommission hat im Dezember 2020 eine EU-Cybersicherheits-Strategie verabschiedet. Teil der Strategie ist ein neuer Richtlinien-Entwurf. In diesem Entwurf weist die Kommission auf die mangelhafte Bußgeldpraxis in den Mitgliedstaaten hin. Sie betont erneut, dass die Bußgelder wirksam, angemessen und abschreckend sein sollen. Dieser Dreiklang gilt auch für die DS-GVO und führt in deren Anwendungsbereich zu hohen und streitigen Bußgeldern. Die Kommission strebt an, dass sich das Sanktionsregime bei den Regelungen zur IT-Sicherheit in Kritischen Infrastrukturen der Praxis der DS-GVO anpasst.
Einen vertieften Einblick zu rechtlichen Aspekten der Cybersicherheit in Krankenhäusern (u. a. zum BSIG) geben Ihnen Rechtsanwältin Diana Nadeborn in der Ausgabe 1/2022 des ICLR und gemeinsam mit Rechtsanwalt Serkan Erdogan im Krankenhaus-JUSTITIAR, Heft 2/2022.
Kontaktieren Sie uns:
Diana Nadeborn