Neues Cyber-Sicherheitsgesetz in der Russischen Föderation in Kraft getreten

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 28.02.2018

Rechtsgebiete: WirtschaftsrechtComplianceIT-RechtIT-Sicherheitsrecht|6062 Aufrufe

Basierend auf der neuen russischen Cyber-Sicherheitsstrategie von 2016 ist zum 1. Januar 2018 in der Russischen Föderation das neue Cyber-Sicherheitsgesetz („Federal Law on Security of Critical Russian Federation Information Infrastructure“, No. 187 FZ) in Kraft getreten, das im Juli 2017 mit zwei weiteren Gesetzen zur Regulierung des digitalen Raums (No. 276 FZ und No. 241 FZ) verabschiedet wurde. Bei den beiden letztgenannten Regelungen handelt es sich um Änderungsgesetze zum „Information, Information Technologies and the Protection of Information Act“ (FLIITIP, No. 149 FZ), wonach VPN-Diensteanbieter in Kooperation mit der Regierung den Zugang zu Websites sperren, die aus dem russischen Inland nicht aufgerufen werden dürfen. Zudem ist durch die Gesetzesänderungen eine anonyme Nutzung von Messaging-Diensten in Russland nicht mehr möglich, indem Diensteanbieter nunmehr die Verpflichtung trifft, alle Nutzer anhand ihrer Mobilfunknummern individuell zu identifizieren.

Neue Vorgaben weisen Ähnlichkeiten zum IT-SiG und zur EU NIS-RL auf

Das neue Cyber-Sicherheitsgesetz der Russischen Föderation (No. 187 FZ) untergliedert sich in insgesamt 15 Artikel und betrifft dabei nicht nur die Absicherung von Kritischen Infrastrukturen, sondern legt den Grundstein für ein gesamtstaatliches System der Informationssicherheit, das auf die Erkennung, Vorbeugung und Beseitigung der Folgen von Cyber-Angriffen gegen die IT-Strukturen der Russischen Föderation ausgerichtet ist. Inhaltlich sind die neuen russischen Vorgaben mit denjenigen des deutschen IT-Sicherheitsgesetzes von 2015 sowie der Netz- und Informationssicherheitsrichtlinie der Europäischen Union von 2016 vergleichbar. So werden einerseits zwar verschiedene und neue Pflichten bezüglich der IT-Sicherheit für die Diensteanbieter bestimmt, denen aber auch gleichzeitig Rechte gegenüberstehen, wie zum Beispiel die Teilnahme am gesamtstaatlichen Informationsaustausch zur Cyber-Sicherheit. Ergänzend verfügen die staatlichen Behörden über umfassende Weisungs- und Kontrollrechte zur Überprüfung der Einhaltung der neuen gesetzlichen Vorgaben.

Die Schutzobjekte: „kritische Informationsinfrastrukturen“

Das russische Cyber-Sicherheitsgesetz gilt für das Gebiet der gesamten Russischen Föderation. Betroffen von den Regelungen sind vornehmlich die so genannten „Subjekte von kritischen Informationsinfrastrukturen“. Hierunter zu fassen sind staatliche Stellen und Institutionen, juristische Personen nach russischem Recht und/oder Einzelunternehmer, die Informations- und Kommunikationssysteme betreiben und im Schwerpunkt in den Sektoren Gesundheit, Wissenschaft, Verkehr, Kommunikation, Energie, Banken und Finanzmarkt, Verteidigung, Bergbau und Chemie tätig sind oder aber im Rahmen ihrer Tätigkeit in Interaktion zu den vorgenannten Sektoren stehen. All diesen Einrichtungen ist gemein, dass sich ihre Fehlfunktion oder ihr Ausfall in gravierender Weise auf das öffentliche Wohlergehen der Russischen Föderation auswirkt, wobei die Kriterien eine gegenüber dem IT-Sicherheitsgesetz dezidiertere Aufschlüsselung erfahren, indem nicht nur allgemein auf „Qualität“ und „Quantität“ abgestellt wird. Die Objekte kritischer Informationsinfrastrukturen werden in insgesamt drei unterschiedliche Risikokategorien unterteilt, gemessen an ihrer Bedeutung für das Gemeinwohl, und in ein eigenes Register eingetragen.

Technische und organisatorische Maßnahmen, staatliches Informationsnetzwerk

Für die Umsetzung der Anforderungen des russischen Cyber-Sicherheitsgesetzes ist die nationale Bundesbehörde für Informationssicherheit zuständig, zudem wird ein nationales Koordinationszentrum für Computervorfälle eingerichtet und ein nationales Computer Incident Response Team (CIRT) in das staatliche Sicherheitsnetzwerk eingebunden. Die Subjekte der kritischen Informationsinfrastruktur trifft die Pflicht, die technisch-organisatorischen Mittel zur Erkennung, Verhütung und Beseitigung von Computerangriffen und zur Reaktion auf Computervorfälle vorzuhalten und Maßnahmen zum Schutz der Betriebsfähigkeit des kritischen Informationsinfrastrukturobjekts zu entwickeln und zu implementieren. Soweit es die technisch-organisatorischen Anforderungen anbelangt, besteht auch hier eine Vergleichbarkeit mit den deutschen und den europäischen Vorgaben. Als vorrangige Mittel zur Erkennung, Prävention und Beseitigung der Folgen von Computerangriffen werden hard- und softwarebasierte Maßnahmen angeführt. Ferner erhalten die Subjekte der kritischen Informationsinfrastruktur regelmäßige, zur Aufrechterhaltung der IT-Sicherheit notwendige Informationen von den russischen Behörden. Das russische IT-Netzwerk setzt sich aus der Bundesbehörde für Informationssicherheit, den kritischen Informationsinfrastrukturen, autorisierten behördlichen Stellen von ausländischen Staaten, NGOs und ausländischen Organisationen, die auf IT-Sicherheit spezialisiert sind, zusammen. Die kritischen Informationsinfrastrukturen können regelmäßig – sowohl angekündigt wie auch unangekündigt – auf die Einhaltung der gesetzlichen Vorgaben hin überprüft werden. Bei einer Nichteinhaltung besteht nicht nur die Pflichtigkeit zur Umsetzung, sondern unter Umständen ebenso eine weitere Haftung nach den allgemeinen Rechtsvorschriften der Russischen Föderation.

Cyber-Security als staatliche Schutzpflicht, Ausbau von staatseigenen IT-Kapazitäten

Während das Thema der Informationssicherheit hierzulande vorwiegend durch den Dialog zwischen Staat und Wirtschaft auf Augenhöhe und in Public Private Partnerships (PPP) geprägt ist, ist die russische Cyber-Sicherheitsstrategie vorwiegend exekutivistisch ausgerichtet. So bestimmen Präsident und Regierung nicht nur die Hauptrichtung der staatlichen Politik in diesem Bereich, sondern ebenso die Ausgestaltung der Bundesbehörde für Informationssicherheit und das Verfahren zur Konkretisierung des staatlichen Cyber-Sicherheitssystems. Hieraus wird nicht nur deutlich, dass die Cyber-Sicherheit in Russland über einen hohen innen- wie außenpolitischen Stellenwert verfügt, sondern IT-Sicherheit vornehmlich als paternalistische Schutzpflicht gegenüber Staat und Volk begriffen wird. Damit stehen auch weniger wirtschaftliche, sondern stärker politische und militärische Interessen im Vordergrund, als dies hierzulande oder in Europa der Fall ist. Das darf aber nicht darüber hinweg täuschen, dass die Durchdringung der russischen Gesellschaft mit IuK-Technologie noch nicht so weit fortgeschritten ist wie in Deutschland. Dies führt, indem keine nennenswerten eigenen Forschungs- und Entwicklungskapazitäten in diesem Bereich existieren, letztlich auch zu einer verstärkten Abhängigkeit der russischen Wirtschaft von Drittstaaten, die man durch die neue Cyber-Sicherheitspolitik der Russischen Föderation zu vermeiden sucht.

Bei diesem Blogpost handelt es sich um eine inhaltlich eingeschränkte Kurzfassung des Beitrages „Im Osten viel Neues – Aktuelles zur rechtlichen Regulierung von Datenschutz, öffentlicher Sicherheit und Cyber-Security in Russland“, der in Kürze in der Zeitschrift für Datenschutz (ZD) erscheinen wird. Die hier vorgestellten Ausführungen entstanden im Rahmen eines Forschungsaufenthaltes des Autors als Gastprofessor an der Peoples‘ Friendship University of Russia (RUDN) in Moskau und wurden durch das Bundesministerium für Bildung und Forschung (BMBF) als Bestandteil der Hightech-Strategie des Bundes gefördert.