OBS IRIS Merlin
english francais deutsch

IRIS 2013-4:1/28

Vereinigte Staten

Verfügung „Rechtsrahmen zur Sicherheit im Internet“ vom Präsidenten unterzeichnet

print add to caddie Word File PDF File

Jonathan Perl

New York Law School

Am 12. Februar 2013 hat der Präsident der Vereinigten Staaten von Amerika („Präsident“) eine Verfügung unterzeichnet, wonach Bundesbehörden einen freiwilligen „Rechtsrahmen für die Sicherheit im Internet zur Unterstützung der Eigentümer und Betreiber kritischer Infrastrukturen in den Vereinigten Staaten beim Aufspüren, Beurteilen und Bewältigen von Risiken im Internet“ („Rechtsrahmen“) entwickeln müssen. Die Verfügung dient dem Schutz aller „physischen und virtuellen Anlagen“, die „für die Vereinigten Staaten von so großer Bedeutung sind, dass ihr Ausfall oder ihre Zerstörung [...] die Sicherheit, die nationale wirtschaftliche Sicherheit oder die nationale öffentliche Gesundheit oder Sicherheit gefährden würde“. Im Sommer 2012 hatten die Demokraten im Senat bereits vergeblich versucht, einen ähnlichen Gesetzentwurf zur Sicherheit im Internet (S. 3414) zu verabschieden. Der Präsident erklärte zwar, er habe die Verfügung aufgrund der Untätigkeit des Kongresses erlassen, räumte jedoch in seiner Rede zur Lage der Nation 2013 ein, dass noch Handlungbedarf von Seiten des Kongresses bestehe.

Die Verfügung weist das Department of Homeland Security (Ministerium für innere Sicherheit - DHS) an, innerhalb von 240 Tagen ab dem Datum der Verfügung in Zusammenarbeit mit sektorspezifischen Bundesbehörden („teilnehmenden Behörden“) einen vorläufigen Gesetzesrahmen zu erstellen. Er muss folgende Elemente enthalten: (1) die anfängliche Liste der „kritischen Infrastruktur“, die durch einen „risikobasierten Ansatz“ ermittelt wurde, dem „einheitliche, objektive Kriterien“ zugrundeliegen, (2) freiwillige Konsensstandards, (3) bewährte Praktiken, die „politische, geschäftliche und technologische Ansätze“ vereinen, (4) Anreize zur Förderung der Beteiligung an dem Programm und (5) Empfehlungen für Möglichkeiten, mit denen die teilnehmenden Behörden Schutzmaßnahmen für die Privatsphäre und bürgerliche Freiheiten entwickeln können. Die teilnehmenden Behörden müssen prüfen, ob der vorläufige Rechtsrahmen angesichts der „gegenwärtigen und prognostizierten Risiken“ ausreicht und ob die Behörde eine klare Befugnis zur Einführung von Vorschriften hat. Stellt eine Behörde fest, dass die Rechtsvorschriften nicht ausreichen oder dass eine zusätzliche Befugnis erforderlich ist, muss sie „priorisierte, risikobasierte, wirksame und koordinierte Maßnahmen“ vorschlagen. Innerhalb von zwei Jahren nach Veröffentlichung des endgültigen Rechtsrahmens, der innerhalb eines Jahres ab dem Datum der Verfügung erscheinen muss, müssen die teilnehmenden Behörden dem DHS melden, ob eine kritische Infrastruktur „unwirksamen, widersprüchlichen oder übermäßig belastenden Vorschriften unterliegt,“ und „Empfehlungen zur Minimierung oder Abschaffung solcher Vorschriften“ geben.

Die Verfügung wurde von den Demokraten weithin gelobt. Der Mehrheitsführer im Senat begrüßte das „entschiedene Vorgehen“ gegen die Lücken bei der Internetsicherheit. Von den Republikanern wurde sie dagegen eher mit Skepsis aufgenommen. Sie vertraten die Ansicht, der Präsident habe mit der Umgehung des Kongresses seine Befugnisse überschritten, und die Verfügung werde „Innovationen verhindern, Unternehmen belasten und mit den Bedrohungen des Internets nicht Schritt halten“. Das von den Republikanern kontrollierte Repräsentantenhaus legte daher kurz nach Veröffentlichung der Verfügung einen enger gefassten Gesetzentwurf zur Internetsicherheit (H.R. 624) vor. Kritisiert wurde auch die Freiwilligkeit der Standards. Ein Teilhaber der Anwaltskanzlei Sidley Austin LLP erklärte, die Standards könnten in der Praxis quasi verpflichtend werden, da die „… unabhängigen Behörden diese Standards für bedeutende Sektoren der Wirtschaft tatsächlich oder praktisch verpflichtend machen könnten“. Ein Vertreter der Kanzlei Steptoe & Johnson LLP teilte diese Bedenken und erklärte, die freiwilligen Standards könnten zum Kriterium für Fahrlässigkeit bei der Internetsicherheit werden, denn die Befolgung von „Regierungsstandards“ sei eine Einrede, um „Klagen wegen Fahrlässigkeit zurückzuweisen“.

Referenzen
Executive Order (“Improving Critical Infrastructure”) of 12 February 2013 EN
 http://merlin.obs.coe.int/redirect.php?id=16353
 
  Verfügung („Verbesserung der kritischen Infrastruktur“) vom 12. Februar 2013    
Cyber security bill of the Democrats of 19 July 2012 EN
 http://merlin.obs.coe.int/redirect.php?id=16355
 
  Gesetzentwurf zur Internetsicherheit der Demokraten vom 19. Juli 2012    
Cyber security bill of the House of Representatives of 13 February 2013 EN
 http://merlin.obs.coe.int/redirect.php?id=16356
 
  Gesetzentwurf zur Internetsicherheit des Repräsentantenhauses vom 13. Februar 2013