Kern des IT-Sicherheitsrechts ist die Verpflichtung des Normadressaten, technische und organisatorische Maßnahmen vorzunehmen, um die durch seine Informationstechnik (IT) wirkenden Risiken für rechtlich relevante Schutzgüter einzudämmen. Wie weit diese Eindämmungspflicht und damit Qualität und Quantität der zu treffenden Maßnahmen reicht, wird regelmäßig mit dem unbestimmten Rechtsbegriff der Angemessenheit beschrieben (vergleiche etwa § 8a BSI-Gesetz (§ 30 BSIG-E), § 11 Energiewirtschaftsgesetz oder § 165 Telekommunikationsgesetz).
Aber ist eine so grobe Konturierung des Handlungsauftrags sachgerecht und hinreichend? Oder sollte dieser nicht vielmehr durch eine gesetzliche Vorgabe des IT-Sicherheitsrisikomanagements (ITS-RM) als Verfahren ausgestaltet („prozeduralisiert“) werden? Dadurch würde dem Anwender ein konkretes Werkzeug an die Hand gegeben, wie er angemessene (und damit rechtskonforme) Maßnahmen auswählen kann.
Argumente für ein gesetzliches ITS-RM
Als erstes Argument für ein gesetzliches ITS-RM kann in Anlehnung an die Systemtheorie von Niklas Luhmann angeführt werden, dass mit einem solchen besser an die betriebswirtschaftliche Arbeitsweise von Unternehmen angeknüpft werden kann. Risikomanagement ist etablierter Bestandteil unternehmerischer Tätigkeit (siehe etwa § 91 Aktiengesetz) und insofern ist auch ein gesetzliches ITS-RM deutlich zugänglicher als die Vorgabe des ausfüllungsbedürftigen Rechtsbegriffs der Angemessenheit.
Zweitens ist das ITS-RM gegenüber der Angemessenheit auch aus der Perspektive der Legitimation von Gesetzen vorzugswürdig. Grundsätzlich sollen alle wesentlichen inhaltlichen Entscheidungen eines Gesetzes bereits durch das Parlament selbst getroffen werden. Dass dies im IT-Sicherheitsrecht nicht in der Form möglich ist, dass die konkreten Maßnahmen vorgegeben werden, ist aufgrund der dynamischen Entwicklung in der IT-Sicherheit unstreitig. Der Gesetzgeber muss die konkrete Maßnahmenwahl somit zwangsläufig an die Normadressaten delegieren. Dies erfolgt aber bestenfalls nicht durch den Rückzug auf unbestimmte Rechtsbegriffe, sondern durch Vorgabe eines konkreten Verfahrens. Damit wird der Normauftrag bestmöglich konturiert, ohne die Entscheidung sachwidrig vorwegzunehmen.
Ein drittes und letztes Argument ist die Ungewissheit im IT-Sicherheitsrecht. Um das Risikomanagement durchzuführen und am Ende den Normauftrag der Gewährleistung eines „angemessenen Sicherheitsniveaus“ zu erfüllen, muss der Normadressat zunächst umfassendes Wissen aggregieren: Welche IT-Assets sind im Unternehmen vorhanden und unterfallen sie dem Anwendungsbereich des IT-Sicherheitsrechts? Welche Risiken bestehen in welcher Höhe? Welche Gegenmaßnahmen stehen zur Verfügung, inwieweit können sie das Risiko senken und mit welchem Kostenaufwand sind sie verbunden? Dieser Prozess der Wissensgenerierung kommt gegenüber der Forderung von angemessenen Maßnahmen besser durch eine aktive Verfahrensvorgabe zum Ausdruck.
Risikomanagement nach privater Normung und Behördenstandards
Man könnte nun argumentieren, dass zwar kein gesetzliches Risikomanagement existiert, aber ein solches aufgrund umfangreicher privater Normung, zum Beispiel der ISO/IEC 27000 doch auch entbehrlich wäre. Weiterhin könnte auch auf behördliche Standards wie die BSI-Standards verwiesen werden.
Die private Normung erweist sich aber aus mehreren Gründen als nur eingeschränkt geeignet, weil sie letztlich mit ihrem Zuschnitt auf private Unternehmen „andersartige Spannungslagen“ bewältigt; sie hat insbesondere keinen primären Fokus auf rechtliche Schutzgüter und erlaubt eine individuell-wirtschaftliche Risikoakzeptanz.
Behördliche Standards wie die BSI-Standards, der IT-Sicherheitskatalog zu § 11a EnWG oder die Mindestanforderungen an das Risikomanagement der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sind zunächst anders als private Standards an die gesetzlichen Anforderungen angepasst. Den behördlichen Standards fehlt es aber an einer direkten parlamentarischen Legitimation, sodass auch insofern eine gesetzliche Implementierung vorzugswürdig ist.
Beschränkte gerichtliche Kontrolle?
Wie gezeigt werden konnte, sprechen einige starke Argumente für ein gesetzliches ITS-RM, welches das Verfahren zur Auswahl angemessener Maßnahmen festlegt. Fraglich ist, was eine solche Vorgabe mit Blick auf die gerichtliche Kontrolle bedeuten könnte.
Bisher ist die Einhaltung der Normen des IT-Sicherheitsrechts im Ergebnis vollständig gerichtlich überprüfbar, das heißt es wird überprüft, ob die vom Adressaten getroffenen Maßnahmen tatsächlich (mindestens) angemessen sind. Auf den ersten Blick erscheint es reizvoll, diesen Umstand bei Vorgabe eines gesetzlichen ITS-RM dahingehend zu modifizieren, dass sich die gerichtliche Kontrolle auf Verfahrensfehler im Risikomanagement (zum Beispiel eine unzureichende Risikoidentifikation) beschränkt.
Zumindest Kritische Infrastrukturen sichern allerdings höchstrangige Rechtsgüter wie etwa die Versorgungssicherheit mit Elektrizität oder Trinkwasser verbunden mit den Individualgrundrechten der Nutzer:innen (zum Beispiel Leben und körperliche Unversehrtheit), sodass hier ein angemessenes IT-Sicherheitsniveau garantiert werden muss und für eine Beschränkung der gerichtlichen Kontrolle auf Verfahrensfehler folglich kein Raum ist.
Die NIS2-Richtlinie erweitert den Adressatenkreis jedoch deutlich und auch um solche Unternehmen, die nicht in diesem Sinne kritisch sind (zum Beispiel Maschinen- und Fahrzeugbau). Hier könnte man zumindest diskutieren, ob eine solche Beschränkung gerade für kleinere Unternehmen sinnvoll wäre.
Fazit
Die aufgeworfene Frage, ob es im IT-Sicherheitsrecht sachgerecht und hinreichend ist, wenn der Handlungsauftrag zur Gewährleistung der IT-Sicherheit nur mit dem unbestimmten Rechtsbegriff der „Angemessenheit“ konturiert wird, ist im Ergebnis negativ zu beantworten. Die besseren Argumente sprechen eindeutig für eine Prozeduralisierung des Angemessenheitsbegriffs durch die Vorgabe eines gesetzlichen ITS-RM.
Leider geht der Gesetzgeber nur in sehr kleinen Schritten in diese Richtung: Der neue § 30 Abs. 1 BSIG-E für besonders wichtige und wichtige Einrichtungen folgt im Wesentlichen dem alten Muster; allerdings nun zumindest unter der Überschrift „Risikomanagementmaßnahmen“. Auch Beschränkungen für nicht-kritische Unternehmen im obigen Sinne bestehen nicht. Einzig die EU-Kommission könnte nach § 30 Abs. 5, 6 BSIG-E, Art. 21 Abs. 5 NIS2-RL noch „methodische Anforderungen“ im Sinne eines gesetzlichen ITS-RM erlassen.
Christoph Werner ist wissenschaftlicher Mitarbeiter und Doktorand am Karlsruher Institut für Technologie (KIT). Bei diesem Standpunkt handelt es sich um die Kurzfassung eines wissenschaftlichen Forschungsberichts zum prozeduralen IT-Sicherheitsrecht.