Hass & Associates Online Reviews: Nya versionen av lagförslaget tyska cybersäkerhet publicerade

Det tyska federala departement av inre publicerade nyligen uppfräschade förslaget om en lag om "Det säkerhet". Ett liknande förslag redan hade antagits av den tidigare tyska regeringen i mars förra året (se InsidePrivacy, Tyska regeringen föreslår Cybersekuriositeten lag, den 22 mars, 2013). Förslaget misslyckades dock att rensa lagstiftningsprocessen i tid innan de federala valen hösten 2013. Det nya förslaget är baserat på 2013 förslaget, men vissa förändringar har gjorts för att ta itu med några av de farhågor som hade framförts beträffande det tidigare förslaget.

Den föreslagna lagen IT trygghet bedriver ett liknande mål som det Föreslagna EU-direktivet om nät- och informationssäkerhet ("NIS") (se InsidePrivacy, Europaparlamentet röster att se till att det föreslagna nätverket och Information Security direktiv fokuserar på att skydda kritisk infrastruktur, 15 mars 2014). Särskilt är bestämmelserna om krav på säkerhet och incident säkerhetsmeddelanden i båda förslagen allmänt justerade. Ändå rapporteringsskyldigheterna enligt den föreslagna lagen IT trygghet går längre än i NIS-direktivet och det tyska förslaget innehåller ytterligare skyldigheter i synnerhet för telekommunikation leverantörer och leverantörer av kommersiella informationssamhällets tjänster (Telemedien). Den tyska regeringen gjorde det klart att den föreslagna lagen för IT-säkerhet kommer att tjäna som riktlinje för sin ståndpunkt i rådet (som representerar EU-medlemsstaternas regeringar) och i avvaktan på förhandlingarna om NIS-direktivet på EU-nivå.

Huvudmålen för lagförslaget IT säkerhet

Förslaget till IT Security Laws fem främsta mål är:

1. Förbättrat den säkerhet företag: i synnerhet leverantörer av kritisk infrastruktur kommer att behöva tillämpa och upprätthålla lämpliga tekniska och organisatoriska Minimisäkerhetsstandarder för att säkerställa funktion och permanent tillgängligheten av dessa infrastrukturer och rapportera betydande IT-incidenter (för ytterligare detaljer, se nedan).

2. Skydda medborgarna online: detta kommer att uppnås genom ökad säkerhetsnormer men också ytterligare information skyldigheter vis-à-vis användare/prenumeranter.

3. Stärka det Federala kontoret för informationbekräftelsemetoden säkerhet ("BSI"): BSI skall fungera som nationella säkerhetsmyndigheten och centraliserad informationsnav när det gäller någon form av cyber-attack eller annan försämring av informationssystem av kritisk infrastruktur. För detta ändamål, kommer att BSI samla in och analysera viktig information om IT-säkerhet och för att informera operatörer av kritisk infrastruktur och de behöriga myndigheterna men kan också ge information om leverantörernas överensstämmelse med säkerhetskrav och säkerhetsincidenter och samarbeta med tredje parter (t.ex. leverantörer) för att identifiera och varna berörda användare. BSI kommer att offentliggöra tekniska riktlinjer för säkerhetsåtgärder. Bland annat BSI kommer att ha befogenhet att (i) undersöka det produkter, system och tjänster och att avslöja och publicerar sin utvärdering av säkerheten i den undersökta produkter, system och tjänster. (ii) begära från leverantörer av kritisk infrastruktur en kopia av revision och certifiering resultat beredd att bevisa efterlevnad. (iii) begäran omedelbart undanröjande av säkerhet defekter.

4. Utöka befogenheterna av Federal Criminal Police Office (BKA): BKA blir behöriga för polisuppgifter om åtal av cybercrimes i den mån de riktas mot säkerheten i Tyskland eller vissa viktiga anläggningar.

5. Skydda IT-säkerhet för den tyska regeringen och federala administrationen: BSI kommer att få befogenhet att utfärda obligatoriska krav för det av den federala staten.

Tillämpningsområdet för förslaget till IT säkerhet rätt

Som i det tidigare utkastet definieras "kritisk infrastruktur" som utrustning, växter eller delar därav som är av stor betydelse för en fungerande gemenskapen och vars misslyckande eller nedskrivning skulle leda till en varaktig försörjning underskott eller betydande försämring av allmän säkerhet. Kommunikationsteknik den tyska regeringen, parlamentet och offentliga förvaltningen både på federal, staten (delstaterna) och kommun nivå samt kultur och media sektorn utesluts från tillämpningsområdet.

Den exakta omfattningen av lagstiftningens tillämpning kommer att fastställas på grundval av kvalitativa och kvantitativa kriterier av sekundärlagstiftning efter en samrådsprocess. Leverantörer av kritisk infrastruktur (förutom mikroföretagen) inom industrin sektorer skulle dock generellt omfattas:

·         energi

·         IT- och telekommunikationsutrustning (leverantörer av allmänna telenät och tjänster är delvis undantagna i den mån de är eller kommer att ha liknande skyldigheter enligt sektorsspecifik lagstiftning)

·         transport och trafik

·         hälsa

·         vatten

·         mat

·         finansiering

·         försäkring

Nya skyldigheter för den privata sektorn

IT säkerhet lagförslaget lanserar nya skyldigheter för operatörer av kritisk infrastruktur generellt och för teleoperatörer och tjänsteleverantörer kommersiella samhället mer specifikt:

·         Operatörer av kritisk infrastruktur måste:

o   genomföra minimisäkerhetsstandarder efter en övergångsperiod på två år och bevisa att de uppfyller krav minst vartannat år. operatörer och branschorganisationer kan föreslå sektorsspecifika säkerhetsnormer.

o   utse en varning och larm kontakt genom vilken de kan nås av BSI när som helst;

o   omgående rapportera till BSI varje försämring av deras IT-system, komponenter eller processer som kan eller leder till ett misslyckande eller försämring av deras kritiska infrastrukturer (exempel säkerhetsluckor, malware, säkerhetsattacker som har antingen utförts, försökt eller framgångsrikt fended off samt extraordinära och oväntade tekniska brister med IT-anslutning). Pseudonym rapportering skulle tillåtas, om inte nedskrivning resulterar i ett fel eller en försämring av den kritiska infrastrukturen.

·         Teleoperatörer måste:

o   Utöver redan befintliga rapportering skyldigheter meddela Federal Network Agency (som i sin tur informerar BSI) vid nedskrivning av telekommunikation och kommunikationstjänster som kan leda till betydande säkerhet kränkningar eller obehörig åtkomst till telekommunikation och data processing system för slutanvändarna.

o   informera drabbade abonnenter och användare om de blir medvetna om försämringar som härstammar från användarnas data processing system (t.ex. malware) och dessutom tillhandahålla information om lämpliga, effektiva och tillgängliga tekniska hjälpmedel så att dessa abonnenter/användare att upptäcka och ta bort sådana försämringar.

·         Kommersiella informationssamhällets tjänster (i huvudsak innehåll och värd leverantörer) måste:

o   måste genomföra tekniska och organisatoriska åtgärder för att allmänt skydda telekommunikation och data processing system mot obehörig åtkomst. Enligt den rättsliga resonemangen syftar till att minska så kallade drive-by-downloads attacker och skadlig kod som kan uppnås genom regelbundna uppdateringar och säkerhetskorrigeringar samt avtal med utomstående innehållsleverantörer.

o   erbjuda en någorlunda säker autentisering förfarande vid personlig service.

Nästa steg

IT säkerhet lagförslaget måste först godkännas av den tyska regeringen innan den kan läggas fram för parlamentet för godkännande. Inom ministernivå samrådet som kräver nära samarbete i synnerhet med de tre tyska departement av ekonomiska angelägenheter, rättvisa och trafik och Digital infrastruktur pågår och förväntas senaste tre till fyra månader. Inrikesministern tillkännagav också sin avsikt att genomföra intensiva samråd om utkastet till lag.