Die digitale Vernetzung unserer Gesellschaft hat viele Vorteile, schafft aber auch neue Angriffspunkte. Betriebs­spionage oder Hackerangriffe, wie 2015 auf den Deutschen Bundestag, 2021 auf die größte US-Pipeline und das irische Gesundheits­system sowie 2022 auf die Ukraine, zeigen potenzielle Gefahren. Am wichtigsten ist es, dass solche Angriffe nicht die Grund­versorgung mit Wasser, Nahrung und Energie sowie die Verfügbarkeit von medizinischen Behandlungen, Telekommunikation, Transport­möglichkeiten und Geld wie auch funktionierende Medien und eine intakte Staats­verwaltung gefährden. Darum hat der Gesetzgeber begonnen, in diesen Bereichen Maßnahmen zur Stärkung der IT-Systeme zu schaffen.

Die Versorger zählen zu den kritischen Infrastrukturen. Im IT-Sicherheitsgesetz sowie dem Gesetz zur Umsetzung der NIS-Richtlinie werden sie zur Einhaltung von IT-Mindest­standards verpflichtet. Diese Gesetze traten 2015 und 2017 in Kraft.

Als Entscheidungsgrundlage für Regierung und Parlament wurde der Erfüllungs­aufwand für Wirtschaft und die öffentliche Verwaltung durch eine Ex-ante-Schätzung vorab ermittelt und im Gesetzentwurf aufgeführt. Nach Inkrafttreten der Gesetze misst das Statistische Bundesamt diese Ergebnisse nach, um deren reale Auswirkungen zu überprüfen und so Entscheidungs­grundlagen für die Öffentlichkeit und Politik zu schaffen.

Die Nachmessung der beiden Gesetze hat ergeben, dass Betreiber kritischer Infrastrukturen aufgrund der Gesetzes­änderungen zusätzlich 121 Million Euro pro Jahr für die Erreichung von Mindest­standards ihrer IT-Systeme ausgeben. Das Gesetz verpflichtet die Betreiber nun auch, diese Sicherheits­standards nachzuweisen, was jährlich über 26 Million Euro an Kosten verursacht. Der Telekommunikations­bereich verfügte bereits zuvor über stärkere Maßnahmen und wurde zu seinen bisherigen Ausgaben von 554 Million Euro nicht zusätzlich belastet.

Aber nicht nur die Wirtschaft rüstet ihre IT-Infrastruktur auf, auch die Behörden. So sind die Ausgaben des Bundesamtes für Sicherheit in der Informations­technik (BSI) um beinahe 30 Million Euro jährlich gestiegen und die des Bundesamtes für Verfassungs­schutz, der Aufsichts­behörden der Länder, des Bundeskriminalamtes, der Bundesnetzagentur, des Bundes­nachrichtendienstes und des Bundesamtes für Bevölkerungs­schutz und Katastrophen­hilfe um insgesamt weitere ca. 12 Million Euro im Jahr. Diese Behörden erarbeiten und überprüfen die Sicherheits­standards, beraten zur IT-Sicherheit, wirken bei der Beseitigung von Sicherheits­mängeln mit, verfolgen Straftaten, sammeln sicherheitsrelevante Informationen und werten diese aus.

Der Wert der Nachmessung zeigt sich vor allem in der Korrektur von Annahmen aus der Ex-ante-Schätzung. So werden erheblich weniger IT-Sicherheits­vorfälle und BSI-Prüfungen vor Ort gemeldet als ursprünglich vermutet, sodass der Wirtschaft auch aufgrund geringer Aufwände pro Fall nur ein Erfüllungs­aufwand von 68 000 statt ursprünglich geschätzt 20,9 Million Euro entsteht. Auch die Verwaltung wurde um 12,2 Million Euro weniger belastet als erwartet, davon um 4,7 Million Euro weniger im Bereich der Strafverfolgung.

Da die Weiterentwicklung der Digitalisierung und entsprechender Angriffs­möglichkeiten einen fortlaufenden Prozess darstellen, wurden weitere Gesetzes­anpassungen nötig. Mit dem IT-Sicherheitsgesetz 2.0, welches 2021 in Kraft getreten ist, werden auch Siedlungs­abfall­entsorger sowie Unternehmen von besonderem öffentlichen Interesse, wie Rüstungs­hersteller und volkswirtschaftlich relevante Unternehmen, als Betreiber kritischer Infrastrukturen eingestuft. Inhaltlich müssen Systeme zur Angriffs­erkennung implementiert werden, Hersteller von IT-Systemen aus Drittstaaten müssen vertrauens­würdig sein und Nachweise über die IT-Sicherheit müssen alle zwei Jahre vorgelegt werden. Vorab wurde dabei ein jährlicher Erfüllungs­aufwand von knapp 21,6 Million Euro für die Wirtschaft sowie 202,2 Million Euro für 1 585 neue Stellen in der Verwaltung erwartet.

Ferner hat die EU-Kommission in ihrer neuen Cybersicherheitsstrategie die Richtlinien­vorschläge "NIS-2" und "Widerstands­fähigkeit kritischer Einrichtungen" vorgelegt, was eine erneute Verstärkung der nationalen Gesetze zur Folge haben könnte. Bislang waren die Mitgliedsstaaten für die Festlegung der Kriterien für die Einstufung als Betreiber wesentlicher Dienste zuständig. Durch die NIS-2-Richtlinie würden Schwellenwerte eingeführt werden, sodass alle mittleren und großen Unternehmen bestimmter Sektoren, d. h. ab 50 Beschäftigten oder über 10 Million Euro Umsatz bzw. Bilanzsumme, Cybersicherheits­maßnahmen und Melde­pflichten erfüllen müssten. Damit würden nach der EU-Folgen­abschätzung etwa 110 000 EU-Einrichtungen statt bislang ca. 16 000 diesen Pflichten nachkommen müssen. Dies lässt eine erneut starke Steigerung des Erfüllungs­aufwands im IT-Sicherheits­bereich erwarten, wobei die bisherigen Nachmess­ergebnisse bei der Einschätzung der möglichen Folgekosten der EU-Richtlinien hilfreich sein werden.

Fragen und Anmerkungen können uns mit dem Kontaktformular übermittelt werden.

Archiv