3 minute read
Meldungen von Cybersicherheitsvorfällen vereinfachen
§ 8f (7) und § 8b (4) BSIG sowie Artikel 23 NIS 2-Richtlinie
Zuständigkeit: BMI
Wo liegt die bürokratische Belastung?
Durch die bis Oktober 2024 bevorstehende Umsetzung der NIS 2-Richtlinie in nationales Recht, müssen Unternehmen zukünftig pro Cybersicherheitsvorfall mindestens drei und bis zu fünf Meldungen pro Vorfall vornehmen. Die Erstmeldung nach NIS 2 muss binnen 24 Stunden und die Zweitmeldung spätestens 72 Stunden nach dem Vorfall erfolgen. Dadurch wird sich der mit den Meldungen verbundene Aufwand signifikant erhöhen, denn aktuell sind Unternehmen nach BSIG nur zu einer Meldung verpflichtet. Daneben wird der Anwendungsbereich des Cybersicherheitsrechts signifikant erweitert und wird zukünftig auch mittlere Unternehmen aus zahlreichen Branchen umfassen. Zugleich müssen Unternehmen vielfach über die gleichen Vorfälle auch Datenschutzbehörden auf Bundes- und Landesebene sowie Landeskriminalämter und Polizeibehörden informieren. In der Kombination müssen Unternehmen wertvolle personelle Ressourcen für Mehrfachmeldungen aufwenden, die besser bei der Vorfallbearbeitung und damit einer möglichst raschen Gewährleistung der Arbeitsfähigkeit der Organisation eingesetzt werden sollten. Dies ist insbesondere vor dem Hintergrund des massiven Fachkräftemangels von ca. 104.000 IT-Security-Expertinnen und -Experten in Deutschland ein nicht zu unterschätzendes Problem.
Wie kann es einfacher gehen?
Wir fordern die Bundesregierung auf, gemeinsam mit der Wirtschaft ein volldigitalisiertes Meldewesen zu etablieren, über das Unternehmen direkt all ihren Meldeverpflichtungen, die sich aus der NIS 2- und der Resilience-of-Critical-Entities-Richtlinien – aber auch aus aktuellen schon bestehenden fachspezifischen Meldepflichten – ergeben, erfüllen können. Alle zuständigen Behörden auf Bundes-, Länderund Kommunal-Ebene – darunter das Bundesamt für Sicherheit in der Informationstechnik, das Bundesamt für Bevölkerungs- und Katastrophenschutz sowie die Kriminalämter und Polizeien auf Bundesund Landesebene – sollten nach dem Need-to-Know-Prinzip Zugang zu den so gemeldeten Informationen erhalten. Daneben muss die Bundesregierung in Abstimmung mit den weiteren Mitgliedsstaaten der Europäischen Union sicherstellen, dass Unternehmen, die in den Anwendungsbereich von Artikel 26 fallen, nur in einem Mitgliedsstaat entsprechende Cybersicherheitsvorfälle melden müssen. Die Mitgliedsstaaten sollten untereinander in geeigneter Form einen Informationsfluss über entsprechende Vorfälle sicherstellen, ohne dass dadurch den betroffenen Wirtschaftsakteuren Mehraufwände entstehen.
Ferner sollten Unternehmen im Rahmen von Folge-Meldungen (gemäß NIS 2-Systematik: 72-Stunden-Meldung, Zwischenbericht, Abschlussbericht, finaler Bericht) immer auf die bereits gemeldeten Informationen zugreifen und diese anreichern und korrigieren können, statt immer von Null beginnen zu müssen. Zudem sollten das BSI und die Computer Security Incident Response Team (CSIRTs) nur in herausgehobenen Fällen einen Zwischenbericht nach Artikel 23 Absatz 4 (c) einfordern.
Angesichts der Ausweitung des Anwendungsbereichs auf mittlere Unternehmen und des zugleich existierenden massiven Fachkräftemangels an IT-Security-Expertinnen und -Experten, werden ohne einen einheitlichen und schlanken digitalen Meldeweg zahlreiche Unternehmen den entsprechenden Verpflichtungstatbeständen nicht innerhalb der rechtlich definierten Fristen nachkommen können.
14. Ausgestaltung des Organisationskontos konkretisieren
§ 3 OZG
Zuständigkeit: BMI
Wo liegt die bürokratische Belastung?
Ohne Organisationskonto ist eine Authentifizierung von Unternehmen bzw. Unternehmensvertretern in digitalisierten Verwaltungsverfahren nicht möglich. Das Organisationskonto ist zentrale Voraussetzung für die Digitalisierung von Verwaltungsverfahren.
Derzeit wird ein zentrales Organisationskonto auf ELSTER-Basis für den bundesweiten Einsatz entwickelt. Es besteht jedoch weder eine Verpflichtung für öffentliche Verwaltungen im sogenannten Portalverbund, dieses grundsätzlich zu nutzen, noch eine Verpflichtung, das Konto mit allen Modulen zu nutzen. Dies hat zur Folge, dass einzelne Verwaltungen das Konto mit allen Modulen nutzen, andere Verwaltungen nur einzelne Module nutzen und wieder andere das Konto gar nicht nutzen.
Damit das Organisationskonto wie vorgesehen funktionieren kann, müssen Unternehmen jedoch ein zeitaufwändiges Rechte- und Rollenmanagement für ihre Beschäftigten implementieren. Nur so kann sichergestellt werden, dass nur berechtigte Mitarbeitende auf die Verwaltungsdienste zugreifen können. Ist das Modul für das Rollen- und Rechtemanagement jedoch nicht in das Verfahren einer Behörde integriert, können auch unberechtigte Mitarbeitende auf alle Verwaltungsverfahren zugreifen. Dies ist mit den Anforderungen an die Compliance von Unternehmen nicht zu vereinbaren. Ein ähnliches Problem stellt sich beim Modul Postfächer Plus.
Wie kann es einfacher gehen?
Da das Organisationskonto auf ELSTER-Basis künftig als zentrale digitale Identität für Unternehmen im Kontakt mit der öffentlichen Verwaltung dienen soll, aber noch deutlicher Optimierungsbedarf hinsichtlich der Nutzerfreundlichkeit und Nutzbarkeit besteht, ist eine nähere Ausgestaltung des Organisationskontos im Onlinezugangsgesetz dringend erforderlich. Das bundesweite Organisationskonto muss schnellstmöglich vollständig entwickelt, bekannt gemacht und bundesweit verbindlich für alle digitalen Verwaltungsleistungen eingesetzt werden (Anbindungsverpflichtung). Es ist Unternehmen nicht vermittelbar, wenn sie bestimmte Funktionen des Organisationskontos in einem Bundesland nutzen können, im Nachbarland aber nicht - oder gar nur für einzelne Leistungen einer Kommune, nicht aber für andere Leistungen derselben Kommune. Eine bundesweit einheitliche Lösung ist entscheidend für die Nutzungsfreundlichkeit und damit für die tatsächliche Nutzung. Darüber hinaus sollte das Unternehmenskonto mittelfristig auch für die Authentifizierung und Kommunikation in der Wirtschaft genutzt werden können.
Konkret sollte § 3 des OZG folgendermaßen angepasst werden:
„Der IT-Planungsrat stellt im Portalverbund ein zentrales Organisationskonto bereit, über das sich Nutzer für die im Portalverbund verfügbaren elektronischen Verwaltungsleistungen von Bund und Ländern einheitlich identifizieren und authentisieren können. Bestandteil des Organisationskontos sind mindestens ein Rechte- und Rollenmanagement sowie Postfächer, über die Nutzer einheitlich mit den an den Portalverbund angeschlossenen öffentlichen Stellen kommunizieren können. Die Postfächer ermöglichen mindestens eine bidirektionale Kommunikation, eine Aufteilung nach Funktionen und Gruppen, eine rechtsverbindliche Zustellung sowie Vertretungsregelungen.
Die Verwendung des Organisationskontos ist für Nutzer freiwillig. Öffentliche Stellen, die Verwaltungsleistungen im Portalverbund bereitstellen, haben das Organisationskonto vollständig anzubinden. Über das Organisationskonto können sich Nutzer auch gegenüber anderen Nutzern identifizieren und authentisieren. Entsprechende Schnittstellen werden vom IT-Planungsrat dokumentiert und bereitgestellt.“
