Site Search

Menu

Expertise

Menu

Audit & Assurance

Menu

Cloud & Digital

Menu

Risk & Regulatory

Featured

Managed Services

Starke Allianzen

Data & AI

Menu

Store

Ergebnisse werden geladen

Rechtsberatung zur Sicherstellung der Cyber Security bei KRITIS

Ihr Experte für Fragen

Dr. Nicolas Sonder ist Ihr Experte für die rechtliche Beratung zur Sicherstellung der Cyber Security bei PwC Deutschland

Dr. Nicolas Sonder
Partner, Public Services bei PwC Deutschland
E-Mail

Für mehr Rechtssicherheit bei Prävention und Reaktion

Die Cybersicherheit für Kritische Infrastrukturen (KRITIS) ist mit einer Vielzahl rechtlicher Fragen und Herausforderungen verbunden. Grundsätzlich gilt: Der Bundesnachrichtendienst (BND) hat nach außen und der Verfassungsschutz nach innen eine Reihe von Befugnissen. Für ein aktives Eingreifen sowie Beenden eines Angriffs sind in Deutschland die jeweiligen Bundesländer zuständig. Aber: Verbrechen, die eine ganze Republik betreffen könnten (wie beispielsweise bei Cyberangriffen), sind nicht berücksichtigt!

Daher ergeben sich im Rahmen einer Cyberabwehr, welche definiert wird als „alle Maßnahmen mit dem Ziel, den Erfolg vor tatsächlichen oder geplanten Cyberangriffen zu verhindern oder abzuschwächen“ (vgl. Cybersicherheitsstrategie für Deutschland 2021), insbesondere die nachfolgenden Fragestellungen:

Darf grundsätzlich zur Rückverfolgung eines Cyberangriffs in fremde Systeme eingedrungen werden?

  • Unterscheidung Eindringen in private vs. staatliche Systeme
  • Enge Zusammenarbeit zwischen Bund und Ländern insbesondere bei Strafverfolgung und im Verteidigungsfall
  • Abwägung zwischen kurzfristigen taktischen Effekten und langfristigen Risiken eines staatlichen Eingriffs
  • Betrachtung anderer aktiver Möglichkeiten der Cyberabwehr

Darf ein Hackback/Gegenangriff durchgeführt werden?

  • Zuständigkeit von länderübergreifenden Cyberangriffen liegt grundsätzlich beim Bund
  • Bislang intensiver und anhaltender Diskurs in der Regierung zum Thema der aktiven Cyberabwehr/Hackbacks
  • Kein ausschließliches Verbot, wodurch eine Chance bestehen könnte (insbesondere bei aktiver Gefahrenabwehr)
  • Fehlende Definition des Begriffs „Hackback” und mangelhafte rechtliche Auslegung, wodurch eine konkrete Umsetzung noch fraglich ist

Die Rechtsgrundlagen im Überblick

BSIG und BSI-KritisV

Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) vom 14. August 2009, zuletzt geändert durch Art. 12 des Gesetzes vom 23. Juni 2021, enthält Regelungen in Bezug auf das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dieses definiert durch die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) vom 22. April 2016, zuletzt geändert durch Art. 1 der Verordnung vom 6. September 2021, welche Einrichtungen, Anlagen oder Teile davon wegen ihrer Bedeutung für die Versorgung der Bevölkerung und damit für das Funktionieren des Gemeinwesens als KRITIS im Sinne des BSIG gelten. Ob ein bedeutender Versorgungsgrad vorliegt, ist vom Erreichen oder Überschreiten der in der BSI-KritisV aufgeführten Schwellenwerte abhängig. Werden diese Schwellenwerte erreicht oder überschritten, gelten für KRITIS-Betreiber die gesetzlichen Melde- und Nachweispflichten des BSIG.

NIS-Richtlinien

Die im August 2016 in Kraft getretene Richtlinie zur Netz- und Informationssicherheit (NIS-1-Richtlinie) ist die erste EU-weite Rechtsvorschrift in Sachen Cybersicherheit und wurde in Deutschland durch das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) umgesetzt. Ihr Ziel besteht darin, ein gleichmäßig hohes Sicherheitsniveau von Netz- und Informationssystemen in der gesamten EU zu erreichen, unter anderem durch eine Erhöhung der mitgliedstaatlichen Kapazitäten im Bereich der Cybersicherheit, eine verstärkte Zusammenarbeit auf EU-Ebene sowie Verpflichtungen für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste in den Bereichen Risikomanagement und Meldung von Sicherheitsvorfällen.

Insbesondere aufgrund der Kritik der EU-Kommission zum Umsetzungsstand einigten sich am 13. Mai 2022 der Rat und das Europäische Parlament auf Maßnahmen zur Sicherung eines hohen gemeinsamen Cybersicherheitsniveaus in der gesamten Union, um die Resilienz und die Kapazitäten zur Reaktion auf Sicherheitsvorfälle sowohl des öffentlichen als auch des privaten Sektors und der EU als Ganzes weiter zu verbessern. Diese neue Richtlinie (NIS-2-Richtlinie) wird nach ihrer Annahme die derzeit geltende NIS-1-Richtlinie ersetzen.

IT-Sicherheitsgesetze

Das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021, welches auf dem IT-Sicherheitsgesetz 1.0 vom 24. Juli 2015 basiert und ein sogenanntes Artikelgesetz darstellt, ändert unter anderem das BSIG und definiert somit Kompetenzen und Aufgaben des BSI. Ziel des IT-Sicherheitsgesetzes 2.0 ist unter anderem, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Insbesondere im Bereich von KRITIS − wie etwa Strom- und Wasserversorgung, Finanzen oder Ernährung − hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen für Wirtschaft, Staat und Gesellschaft in Deutschland. Mithin spielt die Verfügbarkeit und Sicherheit der IT-Systeme, speziell im Bereich der KRITIS, eine wichtige und zentrale Rolle.

KRITIS Center of Excellence

Unsere Expert:innen für interdisziplinäre Fragestellungen und einzelne KRITIS-Sektoren

Unsere rechtliche Beratung im Überblick

Prävention

Wir bieten unseren Mandanten folgende Services im Rahmen der Prävention:

  • Betroffenheitsanalysen zur Einordnung als kritische Infrastruktur sowie als Betreiber
  • Risikoanalysen hinsichtlich IT-sicherheitsrechtlicher und datenschutzrechtlicher Schwachstellen, einschließlich der Sicherstellung des Schutzes von Geschäftsgeheimnissen
  • Einführung/Optimierung eines (krisenadjustierten) Compliance-Management-Systems, insbesondere auch mit Blick auf kommunale Spezifika (Daseinsvorsorge/Pflichtaufgaben)

Reaktion

Zu unseren reaktiven Services zählen:

  • Rechtssichere Schadensaufnahme und Schadensbegrenzung (vor allem hinsichtlich Unternehmensinteresse, öffentliche Aufgabenerfüllung, Datenschutz)
  • Rechtssichere Vorbereitung von Kommunikationsmaßnahmen
  • Abwehr von Haftungsfällen
  • Ordnungsgemäße Informationen an und Zusammenarbeit mit den zuständigen Ermittlungsbehörden

Was bedeutet die geopolitische Lage für den Schutz Kritischer Infrastrukturen?

Kritische Infrastrukturen sind durch potenzielle Cyberangriffe ebenso gefährdet wie andere Unternehmen. Insbesondere in der aktuellen geopolitischen Lage stellen digitale Angriffsziele eine erhöhte Gefahr dar, und der Schutz Kritischer Infrastrukturen wird künftig bedeutender denn je. Doch wie gelingt die Absicherung der hochkomplexen IT-Systeme? Hier erhalten Sie Informationen, wie unser interdisziplinäres Team Sie bei den anstehenden Herausforderungen unterstützen kann – und das über alle KRITIS-Sektoren hinweg.

Download Flyer (PDF, 0,7 MB)

„Der Schutz kritischer Infrastrukturen unterliegt komplexen rechtlichen Rahmenbedingungen − wir helfen Ihnen, dass Sie sich im Regelungsdschungel besser zurechtfinden und rechtliche Vorgaben auch pragmatisch umsetzen können.”

Nicolas Sonder,Partner bei PwC Deutschland

Auch interessant

Follow us

Contact us

Dr. Nicolas Sonder

Dr. Nicolas Sonder

Partner, Public Services, PwC Germany

Tel.: +49 1515 2516789

E-Mail
Hide
Standorte Kontakt Marketing Einwilligung zu Informationsservices der PwC Sitemap

© 2017 - 2024 PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.

Wir erbringen hochwertige, branchenspezifische Dienstleistungen in den Bereichen Wirtschaftsprüfung, Steuer- und Unternehmensberatung.