Vom 10. Juni 2015
Deutscher Bundestag Drucksache 18/5122
18. Wahlperiode 10.06.2015
Bericht
des Haushaltsausschusses (8. Ausschuss)
gemäß § 96 der Geschäftsordnung
zu dem Gesetzentwurf der Bundesregierung
Entwurf eines Gesetzes zur Erhöhung der Sicherheit
informationstechnischer Systeme (IT-Sicherheitsgesetz)
Bericht der Abgeordneten Eckhardt Rehberg
Dr. Dietmar Bartsch und Anja Hajduk
Mit dem Gesetzentwurf ist beabsichtigt, eine signifikante Verbesserung der Sicher-
heit informationstechnischer Systeme (IT-Sicherheit) in Deutschland zu erreichen.
Die finanziellen Auswirkungen des Gesetzentwurfs auf die öffentlichen Haushalte
stellen sich wie folgt dar:
Haushaltsausgaben ohne Erfüllungsaufwand
Keine.
Erfüllungsaufwand
Erfüllungsaufwand für Bürgerinnen und Bürger
Für die Bürgerinnen und Bürger entsteht kein Erfüllungsaufwand.
Erfüllungsaufwand für die Wirtschaft
Hinsichtlich des Erfüllungsaufwands für die Wirtschaft ist zu unterscheiden zwi-
schen Genehmigungsinhabern nach dem Atomgesetz, Betreibern von Energieversor-
gungsnetzen und Energieanlagen, bestimmten Telekommunikationsanbietern, sons-
tigen Betreibern Kritischer Infrastrukturen sowie bestimmten Telemediendienstean-
bietern:
Betreibern Kritischer Infrastrukturen entsteht Erfüllungsaufwand für
die Einhaltung eines Mindestniveaus an IT-Sicherheit,
den Nachweis der Erfüllung durch Sicherheitsaudits,
Drucksache 18/5122 – 2 – Deutscher Bundestag – 18. Wahlperiode
die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erhebli-
cher IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informati-
onstechnik (BSI) sowie
das Betreiben einer Kontaktstelle.
Genehmigungsinhabern nach dem Atomgesetz entsteht Erfüllungsaufwand für
die Einrichtung von Verfahren für die Meldung von IT-Sicherheitsvorfällen an
das BSI.
Betreibern von Energieversorgungsnetzen und Energieanlagen, die als Kritische Inf-
rastruktur im Sinne des BSI-Gesetzes eingestuft wurden, entsteht Erfüllungsaufwand
für
die Einrichtung von Verfahren für die Meldung von IT-Sicherheitsvorfällen an
das BSI.
Betreibern von Energieanlagen (einschließlich der Genehmigungsinhaber nach § 7
Absatz 1 des Atomgesetzes), die als Kritische Infrastruktur im Sinne des BSI-Geset-
zes eingestuft wurden, entsteht darüber hinaus Erfüllungsaufwand
für die Einhaltung zusätzlicher IT-Sicherheitsanforderungen sowie
die Überprüfung der Einhaltung dieser Sicherheitsanforderungen.
Telemediendiensteanbietern entsteht Erfüllungsaufwand für
die Sicherung ihrer technischen Einrichtungen durch Maßnahmen nach dem
Stand der Technik.
Betreibern öffentlicher Telekommunikationsnetze und öffentlich zugänglicher Tele-
kommunikationsdienste entsteht Erfüllungsaufwand für
die Sicherung ihrer technischen Einrichtungen durch Maßnahmen nach dem
Stand der Technik,
die Aufrechterhaltung und Erweiterung von Verfahren für die Meldung von IT-
Sicherheitsvorfällen an die Bundesnetzagentur sowie
die Benachrichtigung der Nutzerinnen und Nutzer, wenn erkannt wird, dass von
deren Datenverarbeitungssystemen Störungen ausgehen.
Die Verpflichtung zur Einhaltung eines Mindestniveaus an IT-Sicherheit wird dort
zu Mehrkosten führen, wo kein hinreichendes IT-Sicherheitsniveau vorhanden ist.
Der entstehende Aufwand hängt einerseits vom erforderlichen Sicherheitsniveau
und andererseits vom jeweiligen Status quo des Normadressaten ab. Der hierfür an-
fallende Aufwand kann im Voraus nicht quantifiziert werden. Entsprechendes gilt
für den durch die Überprüfung der Einhaltung dieses Sicherheitsniveaus entstehen-
den Aufwand für Sicherheitsaudits. Der Aufwand und damit die Kosten für eine Zer-
tifizierung oder für ein Audit hängen stark von dem gewählten Zertifizierungsver-
fahren sowie von den jeweiligen Gegebenheiten im Unternehmen ab. Auch dieser
Aufwand kann daher im Voraus nicht quantifiziert werden. Auch die Verpflichtung
zum Betreiben einer Kontaktstelle wird dort zu einem Mehraufwand führen, wo noch
keine entsprechende Kontaktstelle vorhanden ist. Die Kosten hierfür hängen von der
konkreten Ausgestaltung der Erreichbarkeit durch den Betreiber der Kritischen Inf-
rastruktur ab. Kostensenkend kann sich insoweit die Einrichtung einer gemeinsamen
übergeordneten Ansprechstelle auswirken.
Der jährliche Erfüllungsaufwand der Wirtschaft für das Meldeverfahren ergibt sich
aus
der Anzahl der meldepflichtigen Unternehmen,
der Anzahl der meldepflichtigen Vorfälle pro Jahr und pro Unternehmen sowie
dem Aufwand pro Meldung.
Deutscher Bundestag – 18. Wahlperiode – 3 – Drucksache 18/5122
Die konkrete Berechnung der Gesamtkosten kann erst mit Erlass der Rechtsverord-
nung nach § 10 des BSI-Gesetzes auf der Grundlage des im Zweiten Teil der Be-
gründung dargestellten Verfahrens erfolgen, da erst durch die Rechtsverordnung der
Adressatenkreis der entsprechenden Verpflichtungen hinreichend konkret einge-
grenzt und eine entsprechende Zahl meldepflichtiger Betreiber Kritischer Infrastruk-
turen benannt werden kann.
Nach aktuellen Schätzungen wird die Zahl der meldepflichtigen Betreiber Kritischer
Infrastrukturen bei maximal 2.000 Betreibern liegen. Weiterhin wird geschätzt, dass
pro Betreiber maximal sieben Meldungen von IT-Sicherheitsvorfällen pro Jahr er-
folgen. Da relevante IT-Sicherheitsvorfälle von den Betreibern auch ohne die im
Gesetz vorgesehene Meldepflicht untersucht, bewältigt und dokumentiert werden
müssen, fällt bei den Bürokratiekosten nur insoweit ein Mehraufwand an, als die
Bearbeitung über die ohnehin im Rahmen einer systematischen Bearbeitung relevan-
ten Vorfälle hinausgeht. Aufgrund von Angaben aus der Wirtschaft auf der Grund-
lage von Berechnungen nach dem Standardkostenmodell werden die Kosten für die
Bearbeitung einer Meldung derzeit mit 660 Euro pro Meldung (11 Stunden Zeitauf-
wand bei einem Stundensatz von 60 Euro) beziffert. Zum Teil werden solche Vor-
fälle schon heute dem BSI gemeldet.
Legt man den Berechnungen eine Anzahl von 2.000 Betreibern Kritischer Infrastruk-
turen zugrunde, die jeweils sieben IT-Sicherheitsvorfälle pro Jahr melden, für deren
Bearbeitung jeweils ein zusätzlicher Aufwand von 660 Euro pro Meldung entsteht,
so entsteht den Betreibern Kritischer Infrastrukturen für die Erfüllung der Melde-
pflicht ein jährlicher Erfüllungsaufwand von insgesamt 9,24 Mio. Euro.
Hinzu kommt der Erfüllungsaufwand für die Betreiber öffentlicher Telekommuni-
kationsnetze und öffentlich zugänglicher Telekommunikationsdienste für die Auf-
rechterhaltung und Erweiterung von Verfahren für die Meldung von IT-Sicherheits-
vorfällen an die Bundesnetzagentur. Da es in diesem Bereich bereits ein etabliertes
Verfahren zur Meldung von IT-Sicherheitsvorfällen an die Bundesnetzagentur gibt,
das durch das Gesetz lediglich erweitert wird, lässt sich der hierdurch entstehende
Mehraufwand nicht quantifizieren. Auf Grund von Angaben aus der Wirtschaft wer-
den die Kosten für die Bearbeitung einer Meldung derzeit auch für diesen Bereich
mit 660 Euro pro Meldung (11 Stunden Zeitaufwand bei einem Stundensatz von 60
Euro) beziffert. Von entsprechenden Kosten je Meldung wird auch für die Geneh-
migungsinhaber nach dem Atomgesetz ausgegangen.
Erfüllungsaufwand der Verwaltung
Schon heute werden den zuständigen Behörden IT-Sicherheitsvorfälle gemeldet.
in Ab-
hängigkeit von der Zahl der Betreiber Kritischer Infrastrukturen und der Anzahl der
Mio. Euro sowie Sachkosten in Höhe von ein-
Mio. Euro.
Beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) führen die
neuen Mitwirkungsaufgaben zu einem Bedarf von zwischen 9 und bis zu maximal
maximal 1,011 Mio. Euro.
Bei der Bundesnetzagentur (BNetzA) führen die neuen Aufgaben zu einem Bedarf
von rund bis zu maximal 3,2 Mio. Euro. Des Weiteren entstehen Kosten für Sach-
§ munikationsgesetzes.
Drucksache 18/5122 – 4 – Deutscher Bundestag – 18. Wahlperiode
In den Fachabteilungen des BKA entsteht ein Ressourcenaufwand von zwischen 48
Mio. Euro. Des Weiteren
entstehen Kosten für Sachmittel in Höhe von jährlich bis zu maximal 630 000 Euro.
In den Fachabteilungen des Bundesamtes für Verfassungsschutz (BfV) entsteht
durch die Zuständigkeit gemäß § 8b Absatz 2 Nummer 4 des BSI-Gesetzes ein Be-
kosten in
Mio. Euro. Des Weiteren ent-
stehen Kosten für Sachmittel in Höhe von maximal 610 000 Euro jährlich.
In den Fachabteilungen des Bundesnachrichtendienstes (BND) entsteht durch die
Zuständigkeit gemäß § 8b Absatz 2 Nummer 4 des BSI-Gesetzes im Zusammenhang
-Signaturen und
Rückverfolgung von Schadsoftware im Ausland ein Bedarf von maximal 30
Mio. Euro.
Des Weiteren entsteht ein jährlicher Bedarf an Sachkosten in Höhe von maximal
688.000 Euro.
In der Fachabteilung des für die nukleare Sicherheit und die Sicherung zuständigen
Bundesministeriums für Umwelt, Naturschutz, Bau und Reaktorsicherheit (BMUB)
führen die neuen Mitwirkungspflichten für das zentrale IT-Meldesystem an das BSI
nach § 44b des Atomgesetzes (neu) und bei der Erarbeitung der Sicherheitsanforde-
rungen für Energieanlagen nach § 11 Absatz 1b des Energiewirtschaftsgesetzes zu
einem Bedarf von bis zu maximal vier
kosten in Höhe von maximal rund 240.000 Euro.
Bei der Bundesbeauftragten für Datenschutz und Informationsfreiheit entsteht ein
Bedarf von zwischen 2,4 und bis zu maximal sieben
Im Ressort des Bundesministeriums für Arbeit und Soziales wird für das Bundes-
versicherungsamt vor Erlass der Rechtsverordnung nach § 10 Absatz 1 des BSI-Ge-
setzes noch nicht quantifizierbarer Aufwand im Hinblick auf die Rechtsaufsicht als
zuständige Aufsichtsbehörde über die bundesunmittelbaren Träger der Sozialversi-
cherung erwartet. Das Gleiche gilt für die fachlichen Aufsichtsbehörden (Bundesamt
für Güterverkehr, Eisenbahn-Bundesamt, Luftfahrt-Bundesamt, Bundesaufsichts-
amt für Flugsicherung, Generaldirektion Wasserstraßen und Schifffahrt, Bundesamt
für Seeschifffahrt und Hydrografie) im Ressort des Bundesministeriums für Verkehr
und digitale Infrastruktur im Hinblick auf den Sektor Transport und Verkehr.
Darüber hinaus können Verträge des Bundes mit Dritten, die Kommunikationstech-
nik im Auftrag des Bundes betreiben sollen und hierzu Leistungen von Unternehmen
in Anspruch nehmen, die dem Gesetz unterliegen, zu Ausgaben führen, die aus heu-
tiger Sicht noch nicht bezifferbar sind.
Der Bedarf an Sach-
ell und stellenmäßig im jeweiligen Einzelplan ausgeglichen werden.
Der Erfüllungsaufwand für die Länder und Kommunen ist derzeit noch nicht bezif-
ferbar.
Weitere Kosten
Infolge der von den Betreibern Kritischer Infrastrukturen umzusetzenden Maßnah-
men entstehen geringe, aber noch nicht quantifizierbare Kosten für die fallweise An-
passung der IT-Verfahren, die von den Bundesbehörden bereitgestellt werden.
Der Haushaltsausschuss hält den Gesetzentwurf mit den Stimmen der Fraktio-
nen der CDU/CSU und SPD gegen die Stimmen der Fraktionen DIE LINKE.
und BÜNDNIS 90/DIE GRÜNEN für mit der Haushaltslage des Bundes verein-
bar.
Deutscher Bundestag – 18. Wahlperiode – – Drucksache 18/5122
Dieser Bericht beruht auf der vom federführenden Innenausschuss vorgelegten Be-
schlussempfehlung.
Der Haushaltsausschuss
Dr. Gesine Lötzsch Eckhardt Rehberg Martin Gerster
Vorsitzende Berichterstatter Berichterstatter
Dr. Dietmar Bartsch Anja Hajduk
Berichterstatter Berichterstatterin
anzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de