Systematisierung des IT-Sicherheitsrechts
Vorgaben und Regelungen für die IT-Sicherheit sind Bestandteil einer wachsenden Zahl von Rechtsvorschriften. Neben „allgemeinen“ Regelungen existiert ein „bereichsspezifisches“ IT-Sicherheitsrecht, etwa für Telekommunikation oder Banken. Zudem sind „primäre” IT-Sicherheits-Regelungen, die klassische Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit der Systeme betreffen, ebenso zu finden wie „sekundäre” Regelungen. Hier sind IT-Sicherheitsziele Hilfsmittel für bestimmte fachliche Ziele – etwa das Steuergeheimnis oder die Unverfälschbarkeit von Transaktionen. IT-sicherheitsrechtliche Regelungen enthält zudem auch das Datenschutzrecht. Allgemeines und spezielles Recht sind bislang nur eingeschränkt systematisch aufeinander bezogen. Die schnelle Weiterentwicklung des IT-Sicherheitsrechts hat zu Inkonsistenzen und Widersprüchen geführt. Hierdurch wird das Ergreifen von IT-Sicherheitsmaßnahmen ebenso erschwert wie das Anbieten von rechtskonformen IT-Sicherheitsdienstleistungen und IT-Sicherheitsprodukten.
Im Vorhaben „ITSR.sys“ wird ein Ansatz zur Systematisierung des gesamten Rechtsgebiets der IT-Sicherheit erarbeitet. Ziel ist ein Modell welches Sektoren (z.B. Fabrikation und Dienstleistungen) und Politikfelder wie Energie, Gesundheit und Handel als „Allgemeinen IT-Sicherheitsrechts“ überspannt. Dieses soll als Grundlage für die systematische Trennung von allgemeinen und bereichsspezifischen Regelungen dienen und auf diese Weise zur Konsistenz und Kohärenz des sich entwickelnden Rechtsgebiets beitragen. Das Vorhaben wird in enger Zusammenarbeit mit den Stakeholdern des IT-Sicherheitsrechts in Wirtschaft, Verwaltung und Wissenschaft durchgeführt. Auf Grundlage einer Bestandsaufnahme der existierenden Rechtsvorschriften, die sektorübergreifenden Charakter haben und gemeinsamer Workshops mit den vom IT-Sicherheitsrecht betroffenen Organisationen in verschiedenen Sektoren wird ein Modell für drei Regelungsbereiche erarbeitet: die Klassifikation von Systemen im IT-Sicherheitsrecht, die schutzgutangemessene Risikobewertung und die Einbeziehung des Standes der Technik in die Feststellung angemessener IT-Sicherheitsmaßnahmen. Das Modell wird anschließend sowohl mit den Stakeholdern verfestigt, als auch in drei Sektoren versuchsweise angewandt, um eine umsetzbare Lösung vorzulegen.
Regelungen zur IT-Sicherheit werden perspektivisch alle Bereiche des deutschen und europäischen Rechts durchziehen. Sowohl fallweise als auch generelle gesetzgeberische Maßnahmen zur Systematisierung der Rechtsvorschriften sind zu erwarten. Mit dem im Vorhaben entwickelten Modell entsteht eine wissenschaftliche Grundlage für Anwender und Anbieter von IT-Sicherheit, für Wissenschaft und Gesetzgeber. Betreiber informationstechnischer Systeme und Anbieter digitaler Dienste wird die nachweisbare Einhaltung der IT-Sicherheitsrechtlichen Vorgaben erleichtert. Für Anwender von Informationstechnik reduzieren sich Bürokratielasten, wenn IT-Sicherheitsanforderungen für ihre IT-Systeme aufgrund einheitlicher Methoden ermittelt, umgesetzt und geprüft werden können. Anbieter von IT-Sicherheitslösungen finden einen harmonisierten Markt für gesetzeskonforme IT-Sicherheit vor, der ihnen Entwicklung und Absatz ihrer Produkte erleichtert. Insgesamt besteht das Potential die gesamte deutsche Wirtschaft und so mittelbar auch Bürgerinnen und Bürger zu entlasten.