Prozedurales IT-Sicherheitsrecht

Im IT-Sicherheitsrecht wird von den Normadressaten verlangt, dass sie technische und organisatorische Maßnahmen zum Schutz rechtlich relevanter Schutzgüter (z.B. der Versorgungssicherheit mit kritischen Dienstleistungen wie Strom oder Trinkwasser) treffen. Exemplarisch soll etwa ein Kraftwerk nach diesem Rechtsgedanken IT-Sicherheit gewährleisten, um Ausfälle der Stromversorgung mit entsprechenden Schäden für das Allgemeinwohl effektiv zu vermeiden. Als Maßstab für diese Maßnahmen steht im bisherigen Recht (z.B. § 8a Abs. 1 BSIG) der Begriff der Angemessenheit. Zweifelhaft ist jedoch, ob durch die Vorgabe risikoangemessene Maßnahmen zu treffen, der Normauftrag schon hinreichend normklar umschrieben ist. ... mehrDieser Aufsatz geht folglich der Frage nach, ob statt des unbestimmten Rechtsbegriffs der Angemessenheit nicht vielmehr eine Prozeduralisierung in Form der expliziten Vorgabe eines gesetzlichen IT-Sicherheitsrisikomanagements besser geeignet wäre den Normauftrag hinreichend klar und adressatengerecht darzustellen.

In IT security law, the norm addressees are required to take technical and organizational measures to protect legally relevant assets (e.g. the security of supply of critical services such as electricity or drinking water). According to this legal concept, a power plant, for example, should guarantee IT security in order to effectively prevent power supply failures and the associated damage to the public good. The benchmark for these measures under current law (e.g. § 8a (1) BSIG) is the concept of appropriateness. However, it is doubtful whether the requirement to take risk-appropriate measures sufficiently clearly defines the standard mandate. ... mehrThis article therefore examines the question of whether, instead of the undefined legal concept of appropriateness, a proceduralization in the form of the explicit specification of a legal IT security risk management would not be better suited to present the legal obligation in a sufficiently clear and addressee-oriented manner.