Michael Littger & Dennis Kipker als Sachverständige bei Anhörung zum InfoSiG NRW

Das Gesetz zur Stärkung der Informationssicherheit des Landes Nordrhein-Westfalen soll die europäische NIS-2-Richtlinie auf Landesebene umsetzen. Ziel dieses Informationssicherheitsgesetz Nordrhein-Westfalen (InfoSiG NRW) ist es, die Anforderungen der europäischen NIS-2-Richtlinie in Landesrecht umzusetzen und dabei teilweise über die europäischen Mindeststandards hinauszugehen.

Das CII begrüßt grundsätzlich die Zielsetzung des Gesetzes, die Informationssicherheit in der öffentlichen Verwaltung auf ein neues Niveau zu heben. Angesichts der zunehmenden Gefahr sicherheitsrelevanter Vorfälle in Behörden betonten Research Director Prof. Dr. Dennis-Kenji Kipker und Strategy Director Dr. Michael Littger in der öffentlichen Anhörung die Notwendigkeit einer mutigen und ganzheitlichen Verbesserung der IT-Sicherheitsarchitektur. Die CII-Sachverständigen befürworteten dabei den Ansatz des InfoSiG NRW, Bedrohungen gefahrenübergreifend zu betrachten und damit ein höheres Maß an Flexibilität bei Abwehr- und Schutzmaßnahmen zu ermöglichen.

Nachbesserungsbedarf ist bezüglich der Erweiterung des Geltungsbereichs auf den Landtag NRW erforderlich, um auch für das Landtagsnetz eine rechtliche Grundlage zur Erkennung und Abwehr von Sicherheitslücken zu schaffen. Ebenso zu kritisieren ist, dass das Land die Chance ungenutzt lässt, den Anwendungsbereich auf Gemeinden auszudehnen. Dadurch bleibt eine Möglichkeit ungenutzt, das Sicherheitsniveau in der gesamten Landesstruktur zu erhöhen. Das CII empfiehlt deshalb, zumindest klare Regelungen für die Zusammenarbeit mit der kommunalen Ebene aufzunehmen.

Bei den Begriffsbestimmungen regten die CII-Sachverständige an, die Definitionen von Cyberbedrohungen und erheblichen Cyberbedrohungen zu präzisieren. So sollten auch Sachschäden berücksichtigt werden, und es sollte genügen, wenn entweder die Bedrohung selbst oder die potenziellen Schadensfolgen erheblich sind.

Hinsichtlich der Zuständigkeiten begrüßte das CII die Zuordnung der Informationssicherheitsverantwortung zum Digitalministerium. Diese Regelung ist sachgerecht, da die Nähe zu Fragen der Digitalisierung eine kohärente und praxisnahe Umsetzung begünstigt. Ebenso ist die Aufwertung der Stabsstelle des Chief Information Security Officer (CISO) zu einer zentralen zuständigen Stelle positiv zu bewerten.

In Bezug auf das Risikomanagement ist positiv zu vermerken, dass das Gesetz den Aspekt der digitalen Lieferketten berücksichtigt und auf den BSI-Grundschutz verweist. Zugleich sollte im Gesetz ausdrücklich festgehalten werden, dass Dienste und Technologien, die der europäischen Rechtsordnung unterliegen, bevorzugt einzusetzen sind, um Abhängigkeiten von außereuropäischen Anbietern zu vermeiden.

Bei den Berichtspflichten plädierte das CII dafür, diese auf Beinahe-Vorfälle, Schwachstellen und weitere Gefährdungen wie Sabotage oder Desinformation auszuweiten. Zudem sollte gesetzlich sichergestellt werden, dass gemeldete Informationen ausschließlich zur Verbesserung der Informationssicherheit genutzt und nicht anderweitig verwertet werden.

Auch die Empfehlungs- und Aufsichtsbefugnisse des Digitalministeriums werden grundsätzlich befürwortet, da diese geeignet sind, eine einheitliche Anwendung der Sicherheitsstandards zu gewährleisten. Allerdings empfiehlt das CII, bei den Durchsetzungsmaßnahmen klarere Leitlinien im Sinne der NIS-2-Richtlinie zu formulieren, um eine übermäßige Ausweitung behördlicher Eingriffsbefugnisse zu verhindern.

Positiv bewertet das CII die datenschutzrechtlichen Bestimmungen der §§ 15 ff. InfoSiG NRW. Diese konkretisierten die Voraussetzungen zur Verarbeitung personenbezogener Daten auf ausgewogene Weise und stellen einen gelungenen Ausgleich zwischen Sicherheitsinteressen und Datenschutz dar.

Insgesamt handelt es sich beim Entwurf des InfoSiG NRW um ein wegweisendes Gesetz, das den Rahmen für eine zukunftsfähige und widerstandsfähige Informationssicherheitsarchitektur des Landes schaffen kann, zugleich aber an einigen Stellen noch präzisiert und erweitert werden sollte, um ein wirklich ganzheitliches Sicherheitsniveau für Verwaltung, Landtag und Kommunen zu gewährleisten.

Neben Prof. Dr. Dennis-Kenji Kipker und Dr. Michael Littger waren die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Nordrhein-Westfalen, Bettina Gayk, der Präsident des Landesbetriebs Information und Technik des Landes Nordrhein-Westfalen, Dr. Oliver Heidinger, sowie Prof. Dr. Jörg Schwenk & Prof. Dr. Ghassan Karame von der Ruhr-Universität Bochum als Sachverständige geladen.

› Den Gesetzentwurf InfoSiG NRW nachlesen