Informationssicherheitsrecht (Regulating Information Security)

German Abstract: Die Zahl der Attacken auf IT-Netzwerke und IT-Systeme wachst und ihr Schadigungspotential steigt. Die Politik hat mittlerweile auf diese Herausforderung reagiert: Informationssicherheit steht weit oben auf allen digitalen Agenden. In der Rechtswissenschaft ist das Informationssicherheitsrecht hingegen nach wie vor ein Nischenthema. Seine Prominenz bleibt klar hinter dem Informationsverwaltungs-, Datenschutz- oder E-Government-Recht zuruck. Dabei spielt Informationssicherheit fur alle diese Bereiche eine zentrale Rolle. Die (globale) Informationsordnung muss vor Angriffen gesichert werden. Ein Datenschutzrecht ohne Datensicherheit gibt seinen Schutzanspruch preis. Und die Digitalisierungsauftrage der E-Government-Gesetze fuhren zu einer prekaren Konvergenz von Rechts- und Informationssicherheit. Aufmerksamkeit verlangt das Informationssicherheitsrecht auch deswegen, weil hier ein neues Rechtsgebiet entsteht. 2015 und 2016 haben Deutschland und die EU mit dem IT-Sicherheitsgesetz (ITSiG) und der Network and Information Security Directive (NIS-Richtlinie) Regelungen erlassen, die im gesellschaftlichen Bereich auf eine Starkung des Schutzniveaus fur IT-Systeme und Netzwerke zielen. Spatestens mit diesen Regelungen ist eine Konsolidierung der Materie erfolgt, die die Ausdifferenzierung des Informationsrechts nach ausen deutlich macht und die nach Analyse verlangt. Dies gilt umso mehr, da ITSiG und NIS-Richtlinie einen Paradigmenwechsel im Umgang mit Informationssicherheitsrisiken eingeleitet haben: Orientiert am Infrastruktur- und Technikrecht bedient sich der Gesetzgeber hier eines innovativen Arrangements von Organisationsformen, Verfahrensgestaltungen und Instrumenten.Der vorliegende Beitrag verbindet die Darstellung und Kritik von ITSiG und NIS-Richtlinie mit dem Anliegen, das Informationssicherheitsrecht als zentralen Pfeiler des Informationsverwaltungsrechts zu etablieren. Gezeigt werden soll, dass sich im ITSiG und in der NIS-Richtlinie die Grundlinien eines Ordnungsrechts fur Informationsstaat und -gesellschaft abzeichnen.English Abstract: Information security is widely considered to be one of the most pressing problems of our time. In 2015 and 2016, lawmakers have started to address the issue and have passed legislation in Germany (IT-Sicherheitsgesetz) and the European Union (NIS-Directive), which is supposed to improve information security for operators of essential and digital services. A look beyond the recent statutes reveals that there already exists a large body of rules governing the safety of information networks and data infrastructures. This article analyzes the main challenges faced by information security regulation. It explains why the previous legal regime failed to provide for an adequate level of information security – and why the recent approaches can indeed be expected to be more effective. IT-Sicherheitsgesetz (ITSiG) and NIS-Directive mark a fundamental change in scope and strategy as well as a regulatory paradigm shift: So far, information security regulation has focused either on the protection of subjective rights or on the deterrence of and retaliation against deliberate attacks. ITSiG and NIS-Directive, on the contrary, attempt to strengthen the public and private IT infrastructure as a whole by creating or introducing institutions and instruments such as expert organizations, certification regimes, and information systems.