Die geplante Cybersicherheits-Richtlinie der EU – Handlungsbedarf für die Verwaltung?

Modernität hat bekanntlich auch ihre Schattenseiten. Dass die seit etwa zwei Jahrzehnten mit wechselndem Eifer betriebene Umbildung des Verwaltungshandelns in ein elektronisches „E-Government“ auch seine – technisch bedingten – Gefahren haben könnte, ist nicht überraschend. Auch ohne den noch fernen Traum einer „digitalisierten“ Verwaltung gehören Probleme der IT-Sicherheit heute jedenfalls zum Alltagsgeschäft staatlicher Stellen. So sehr die Welt sich vernetzt, so sehr ist auch der gesamte öffentliche Bereich Gefahren durch Angriffe über seine Netzwerke (und ggf. sogar auf seine Netzwerke) ausgesetzt. Das gilt für den Bund wie für Länder und Kommunen. Die EU hat nun unter dem denkbar weit gefassten Stichwort der „Cybersicherheit“ einen groß angelegten Vorstoß in diesem Bereich gemacht und dabei insbesondere den Vorschlag einer „Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union“ vorgelegt (COM[2013] 48).

Ob und wie sehr die geplante Richtlinie die Netzwerke und Anwendungen, sei es die privaten oder die öffentlichen, effektiv schützen wird, ist unsicher. Dass dadurch Handlungs- und Anpassungsbedarf auf die Verwaltung zukommt, ist hingegen sicher. Die Vorgaben der Richtlinie werden für das Beschaffungsverhalten der öffentlichen Auftraggeber im IT-Sektor wichtige Rahmenbedingungen definieren. Ein genauerer Blick auf den Vorstoß aus Brüssel lohnt sich also.

Schon die Bestandsaufnahme, von der die Kommission bei ihrem Vorschlag ausgeht, ist bemerkenswert. In der Begründung zum Richtlinienvorschlag ist zu lesen, die gegenwärtige Situation in der EU biete keinen ausreichenden Schutz vor Risiken für die „Netzwerk- und Informationssicherheit“ (NIS). Unterschiedliche Schutzniveaus und Zersplitterung bildeten große, wenn auch latente Gefahren. Die Kommission sieht also eine besondere Dringlichkeit, im privaten wie im öffentlichen Bereich. Bereits im Januar 2013 ist denn auch das Europäische Zentrum zur Bekämpfung der Cyberkriminalität mit Sitz beim Europäischen Polizeiamt (Europol) in Den Haag eröffnet worden; das Zentrum mit immerhin rund 30 Mitarbeitern soll Erfahrungen und Information bündeln, strafrechtliche Ermittlungen unterstützen und EU-weite Lösungen fördern. Im Februar 2013 hat die EU-Kommission dann gemeinsam mit der Hohen Vertreterin der Union für Außen- und Sicherheitspolitik eine Cybersicherheitsstrategie unter dem Titel „Cybersicherheitsplan der EU für ein offenes, freies und chancenreiches Internet“ veröffentlicht. Schließlich wurde der Oktober 2013 zum „Europäischen Monat der Cyber-Sicherheit“ ausgerufen (European Cyber Security Month – ECSM).

Kern dieser Maßnahmen soll aber die Cybersicherheits-Richtlinie sein, deren Entwurf die Kommission im Februar 2013 vorgestellt hat. Anwendungsbereich wie Anspruch der Richtlinie könnten kaum größer sein. Betroffen von den vorgesehenen Maßnahmen sollen sowohl Private als auch die öffentlichen Verwaltungen in den Mitgliedstaaten sein. Die Maßnahmen selbst sind – vorsichtig ausgedrückt – vielfältig. Schon das Etikett „Cyber-Sicherheit“ erweitert den Aktionsradius dessen, was gemeinhin als IT-Sicherheit gilt, auf sämtliche Informationstechnik, die mit dem Internet, aber eben auch sonstigen vergleichbaren Netzen verbunden ist. Das umfasst alle Kommunikationen, Prozesse, aber auch Anwendungen, die hier eine Rolle spielen.

Die von der Richtlinie vorgesehenen Maßnahmen lassen sich wie folgt zusammenfassen:

1. Jeder Mitgliedstaat soll eine umfassende Cybersicherheitsstrategie annehmen und der Kommission vorlegen. Diese legt fest, welche Regierungsmaßnahmen in diesem Bereich erfolgen sollen, wer diese umsetzt, mit welchen Verfahren usw.

2. Jeder Mitgliedsstaat errichtet „eine für die Netz- und Informationssicherheit zuständige Behörde“. Gemeint ist die zuständige Behörde für den Vollzug der Cybersicherheits-Richtlinie.

3. Die eigentliche Rolle und Bedeutung dieser nationalen „zuständigen Behörde“ liegt in der Informationsverknüpfung. Bei ihr sollen alle Meldungen über Sicherheitsvorfälle eingehen und sie ist es, die diese Informationen an die Kommission leitet. Die Richtlinie nennt das, vielleicht etwas hochtrabend, „Kooperationsnetz“. Der Grundgedanke ist, dass der Informationsfluss in beide Richtungen gehen soll, von der zentralen Behörde nach Brüssel und in die nationalen Verwaltungen bzw. zu den Marktteilnehmern – und umgekehrt. Vor allem Frühwarnungen sollen so ermöglicht werden. Daneben kann die Behörde auch selbst Untersuchungen durchführen und geeignete Maßnahmen treffen. Dass damit gewisse Friktionen mit dem institutionalisierten Verbraucherschutz der Mitgliedstaaten einhergehen dürften, ist bereits in Fachmedien kritisiert worden.

4. Nicht der Informationsverwertung, sondern der ad-hoc-Bekämpfung von Sicherheitslücken sollen nationale IT-Notfallteams dienen (Computer Emergency Response Team – CERT). Diese unterliegen freilich der Aufsicht der jeweiligen zentralen Cybersicherheits-Behörde.

5. Die Mitgliedstaaten sollen auch gewährleisten, dass die nationalen Verwaltungen, aber auch Private geeignete technische und organisatorische Maßnahmen ergreifen, um ein „Management“ der vor Ort anfallenden Risiken für die Netze und Informationssysteme zu ermöglichen, insbesondere sollen die Voraussetzungen geschaffen werden, dass die genannten Meldungen über Sicherheitsvorfälle erfolgen können.

Die letztgenannte Maßnahme (sie ist in Artikel 14 des Vorschlages enthalten) ist auf den ersten Blick besonders weitreichend. Denn die Verpflichtung zu einem Risikomanagement von NIS-Gefahren erstreckt sich auch auf Unternehmen, und zwar auf all jene, die „kritische Infrastrukturen“ betreiben. Das betrifft mithin Unternehmen aus allen wesentlichen Branchen, auch wenn Kleinunternehmen nach Artikel 14, Ziff. 8 ausdrücklich ausgenommen sein sollen. Die als Anhang zum Richtlinienentwurf ausgegebene Liste der betroffenen Unternehmen lässt jedenfalls die erhebliche, vielleicht auch bedenkliche Bandbreite erahnen. Dass dann auch datenschutzrechtliche Probleme großen Ausmaßes die Folge sein könnten, sei nur am Rande erwähnt. Von den Arbeitgeberverbänden ist bezüglich der dann sehr weitreichenden „Meldepflichten“ jedenfalls schon viel Kritik geübt worden.

Was aber bedeutet das „managen“ von entsprechenden Risiken für die deutsche Verwaltung in Kommunen, Kreisen, Ländern und dem Bund? Immerhin sollen Verstöße gegen die Richtlinienanforderungen nach dem Willen der Kommission in den nationalen Rechtsordnungen sanktionsbewehrt sein (und zwar nach Artikel 17 des Vorschlages).

Zunächst ist festzuhalten, dass Deutschland mit dem 2009 errichteten Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits über eine Behörde verfügt, die als zentrale Meldestelle für IT-Sicherheit den Anforderungen der geplanten Richtlinie entspricht. Deutschland hat hier durchaus eine Vorreiterrolle. Zudem war hier bereits 1987 mit dem „Interministriellen Ausschuss für die Sicherheit in der IT“ (ISIT) recht früh eine Vorgänger-Institution geschaffen worden.

Dem BSI obliegt insbesondere auch, wie das BSI-Gesetz von 2009 es formuliert, „die Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen und die Zurverfügungstellung der gewonnenen Erkenntnisse für andere Stellen“, eine der Kernaufgaben nach der Richtlinie also. Ohnehin sind weitergehende Befugnisse für das BSI im Bund-Länder-Verhältnis verfassungsrechtlich nicht ganz unproblematisch; der 2009 eingefügte Artikel 91c GG bietet hier durchaus Grenzen für den Verlust an Spielräumen von Bund und Ländern bei der Zusammenarbeit. Die Errichtung einer neuen Stelle dürfte in Deutschland jedenfalls nicht erforderlich sein.

Weitaus schwieriger abzuschätzen ist der Aufwand, der durch das neue Risikomanagement, aber auch durch die neuen Informationsaufgaben nach dem Richtlinienvorschlag auf die Verwaltungen zukommen wird. Schon die Frage, wie groß für die einzelnen Verwaltungen der Aufwand sein wird, der durch die geplanten Meldepflichten entsteht, hängt davon ab, wie weitgehend die Informationsbeschaffung hier sein muss. Das aber hängt von der Auslegung und Anwendung der entsprechenden Vorgabe ab und diese ist alles andere als eindeutig. Die Verwaltungen sollen Sicherheitsvorfälle melden, die „erhebliche“ Auswirkungen auf die Sicherheit der von ihnen bereitgestellten „Kerndienste“ („core services“) haben. Weder die Begründung der Kommission noch die Richtlinie selbst bieten hier gegenwärtig eine Konkretisierung. Was „erheblich“ ist, wird in jedem Fall nur mit besonderer Fachkenntnis zu beurteilen sein, so dass bereits hier auch die personelle Aufstellung, zumindest in kleineren und mittleren Verwaltungseinheiten, betroffen sein dürfte. Das macht zugleich die externe Beschaffung von IT-Expertise und damit Ausschreibungspflichten durchaus wahrscheinlich.

Noch mehr Unsicherheiten schafft der Richtlinienvorschlag dort, wo er nicht nur Informationsmanagement, sondern aktive Maßnahmen zur Erhaltung und Festigung der Cybersicherheit durch die Verwaltungen anordnet. Von „geeigneten technischen“, aber auch „organisatorischen“ Maßnahmen ist dort die Rede, um die Risiken für die Sicherheit der von den Verwaltungen genutzten bzw. der „ihnen unterstehenden“ Netze und Informationssysteme zu „managen“. Letzteres ist eine eher kapitulierende Übersetzung der englischen Fassung, die mit „measures to manage the risks“ allerdings nur unwesentlich klarer ist. ^[1]Fest steht lediglich zweierlei: Zum Einen wird es aufgrund einer insoweit besonders unbestimmt formulierten Richtlinie darauf ankommen, wie Deutschland seine Umsetzungspflichten bei der Frage nach der Sicherstellung von Netzsicherheit in der Verwaltung interpretiert – und gegebenenfalls darauf, ob der Gerichtshof der Europäischen Union sie nicht strenger interpretiert. Hier gilt es, den weiteren Prozess genau zu verfolgen. Änderungen und/oder Konkretisierung des Vorschlags sind nach der Erfahrung keineswegs unwahrscheinlich. Zum Anderen wird es in jedem Fall zu einem erhöhten Aufwand für Sicherheitsmaßnahmen in der Verwaltung kommen – je nach Ausrichtung und Größe der Einheit natürlich in unterschiedlichem Maß, aber dennoch durchgehend. Mit Aufwand ist sowohl technischer als auch juristischer Aufwand gemeint. Denn auch eine entsprechend an die Richtlinie angepasste deutsche Rechtslage wird, das steht zu erwarten, nicht jene Bestimmtheit bieten (können), die genauere rechtliche Absicherungen und Prüfungen überflüssig macht.

Dass sich die Verwaltungen auf solchen Aufwand vorbereiten müssen, beweist auch der größere Rahmen, in dem sich das Dauerthema Cybersicherheit befindet. Ein deutsches IT-Sicherheitsgesetz ist seit Längerem in Planung, der Entwurf stammt vom BMI. Aufgrund des EU-Richtlinienvorschlages sind hier Anpassungen zu erwarten. In Berlin wird man auf die Vorgaben aus Brüssel reagieren müssen; ohnehin ist der Gesetzesvorschlag mit der neuen Legislaturperiode bis auf Weiteres hinfällig (bedingt durch das staatsrechtliche Prinzip der sog. sachlichen Diskontinuität). Der BMI-Entwurf wollte dabei nur dem BSI sowie dem BKA neue Aufgaben und Befugnisse verleihen, die einigen Vollzugsaufwand begründen würden, und betraf somit nicht primär die sonstigen Verwaltungen. Die Tendenz einer Regulierungswelle, die sämtliche Verwaltungen betrifft und angeht, dürfte aber hinreichend deutlich geworden sein. In den USA hat der amerikanische Präsident – übrigens in eben jenem Monat, in dem auch die Kommission ihren Richtlinienvorschlag vorgestellt hat – ein Dekret (executive order) erlassen zur Cybersicherheit, in dem auch die staatlichen Behörden in die Pflicht genommen werden (Executive Order „Improving Critical Infrastructure Cybersecurity“ vom 12.2.2013). Nach dem im April 2013 nach langen Auseinandersetzungen verabschiedeten Cyber Intelligence Sharing and Protection Act (CISPA) wird erwartet, dass das Dekret auch in den USA zu weiterer Gesetzgebung führt.

Das Thema ist also unvermeidlich. Mit der Verabschiedung der Richtlinie durch EU-Parlament und Rat dürfte Anfang 2014 zu rechnen sein.