Image
Grafik: Shutterstock/kanvictory
Artikel

IT-Sicherheitsgesetz:
Lückenhafte Regeln sollen für mehr Sicherheit sorgen

11

Dez
2020

Veröffentlicht am 11.12.2020

Grafik: Shutterstock/kanvictory
In der vergangenen Woche hat das Bundesministerium des Innern den lange erwarteten Diskussionsentwurf des IT-Sicherheitsgesetzes veröffentlicht. Die betroffenen Unternehmen und Verbände waren aufgerufen, hierzu binnen einer Woche Stellungnahmen beim Ministerium einzureichen. Der vorliegende Gesetzentwurf soll voraussichtlich bereits am 16. Dezember vom Bundeskabinett verabschiedet werden, was wiederum der Grund für die sehr kurze Frist zur Stellungnahme gewesen sein dürfte. Dabei wäre dieser Zeitdruck nicht nötig gewesen, denn eine Überarbeitung des Rechtsrahmens für IT-Sicherheit wird schon seit Jahren in der Politik diskutiert und gehört zu den Vorhaben, zu denen sich die Große Koalition bereits in ihrem Koalitionsvertrag im Jahr 2018 verabredet hat.

Augenmerk liegt auf Nutzung kritischer Komponenten und deren Hersteller

Mit dem IT-Sicherheitsgesetz will die Bundesregierung die verpflichtenden Sicherheitsanforderungen für Betreiber kritischer Infrastrukturen (z. B. Telekommunikations- und Energienetze u.a.) erhöhen und das Bundesamt für Sicherheit in der Informationstechnik mit neuen Befugnissen, Aufgaben und Mitteln ausstatten. Ferner sollen künftig auch „Unternehmen im besonderen öffentlichen Interesse“ neuen gesetzlichen Anforderungen an die IT-Sicherheit unterworfen werden. Trotz dieser vielfältigen Ziele der Bundesregierung liegt der absolute Fokus von Politik und Öffentlichkeit auf der Regelung, die in Zukunft die Zusammenarbeit der Infrastrukturbetreiber mit den Herstellern kritischer Komponenten vorgeben und die Möglichkeit zum Ausschluss von Herstellern schaffen soll.

Keine Rechtssicherheit für Betreiber

Insbesondere bei den kritischen Komponenten bietet der Gesetzentwurf bisher jedoch wenig Orientierung und Rechtssicherheit. Telefónica Deutschland kritisiert in diesem Zusammenhang vor allem folgende Aspekte:

  • Folgen des Ausschlusses sind nicht geregelt: Sämtliche Folgen, die eine Untersagung der Nutzung einzelner Komponenten gemäß § 9b Abs. 3, f. BSIG-E hätte, sind im vorliegenden Gesetzentwurf nicht geregelt. Dringend erforderlich ist für das ultima-ratio Szenario einer Untersagung aus Sicht von Telefónica eine Regelung, die eine mindestens fünfjährige Übergangsphase für den Rückbau und Austausch einzelner Komponenten vorsieht. Auch eine bisher gänzlich fehlende Regelung des Schadensersatzes sollte in das Gesetz aufgenommen werden. Es darf nicht sein, dass Betreiber, die in Deutschland private Mittel in den Ausbau kritischer Infrastrukturen investieren, den ökonomischen Schaden zu tragen haben, wenn der Bund Lieferanten dieser Betreiber als nicht vertrauenswürdig einstuft.
  • Keine Rechtssicherheit, da wesentliche Entscheidungen an Behörden ausgelagert werden: Zentrale Entscheidungen im Regime der Untersagung der Nutzung einzelner Komponenten würde der Gesetzgeber mit dem vorliegenden Entwurf an die Verwaltung übertragen. Von den Anforderungen an die Garantieerklärung über die Liste kritischer Komponenten bis hin zum gesamten Ablauf und Inhalt des Zertifizierungsverfahrens sollen letztlich Behörden über Verordnungen, Verfügungen und Richtlinien das Sagen haben. Der vorliegende Gesetzentwurf bietet daher nicht die Rechtssicherheit, die für Betreiber kritischer Infrastrukturen dringend erforderlich wäre.
  • Bestandsnetze dürfen nicht von neuer Regulierung erfasst sein: Es fehlen in dem Gesetzentwurf wichtige Überleitungsvorschriften, die festlegen, dass der Regulierungsmechanismus sowie die Folgen des § 9b BSIG-E nur für Komponenten angewendet werden, deren Nutzung zukünftig beim BMI angezeigt wird. Eine Rückwirkung auf Bestandsnetze muss schon aus Gründen des Investitions- und Vertrauensschutzes dringend ausgeschlossen werden.

Breite Kritik am Entwurf

Der vorliegende Gesetzentwurf wird auch noch aus weiteren Gründen von zahlreichen Verbänden und Experten kritisiert. So fordert die renommierte AK KRITIS, eine Facharbeitsgruppe von IT-Sicherheitsexperten, eine „Notbremse“ für das IT-Sicherheitsgesetz, der Verband eco spricht von einer „vorschnellen nationalen Regulierung“ und Martin Schallbruch, der ehemalige IT-Beauftragte des Bundesinnenministeriums, konstatiert: „Dem enormen Aufwand für die Unternehmen steht wenig konkreter gesetzlich definierter Mehrwert für die Wirtschaft gegenüber“.

So ist der Mechanismus zum Einsatz kritischer Komponenten im Gesetzentwurf vorgesehen:


Wir weisen darauf hin, dass bei unseren öffentlichen Veranstaltungen auch Bild- und Tonmaterial in Form von Fotos oder Videoaufzeichnungen durch von uns beauftragte oder akkreditierte Personen und Dienstleister erstellt wird. Die Aufnahmen werden für die Event-Dokumentation und Event-Kommunikation auf den Social-Media-Kanälen des BASECAMP genutzt. Sie haben das Recht auf Information und weitere Betroffenenrechte. Informationen zu unseren Datenverarbeitungen sowie Ihren Betroffenenrechten finden Sie hier.

Über den Autor

Philippe Gröschel ist Head of Government Relations bei Telefónica Deutschland.
Pingbacks:
  1. Avatar

    […] IT-Sicherheitsgesetz: Lückenhafte Regeln sollen für mehr Sicherheit sorgen IT-Sicherheitsgesetz: Anhaltende Kritik an Reformplänen IT-Sicherheitsgesetz 2.0: Bundesinnenministerium legt neuen Entwurf vor Auch bei der FDP stoßen die Pläne auf deutliche Kritik. “Sogar das von der Bundeskanzlerin kritisierte ‘Abhören unter Freunden’ soll möglich sein, obwohl es dem Geist der europäischen Zusammenarbeit widerspricht”, sagte Stephan Thomae, stellvertretender FDP-Fraktionsvorsitzender, zum BND-Gesetz. Eine “echte Lücke” bestehe zudem in der Aufsicht über Datenbanken, die der BND mit anderen inländischen oder ausländischen Diensten betreibt. Eine ungenügende parlamentarische Kontrolle kritisiert die Linke als “zentrales Defizit im Gesetzentwurf”. “Die Schaffung eines neu einzusetzenden Unabhängigen Kontrollrats, dem lediglich ein Beanstandungsrecht zusteht und der nicht auch die Kraft entfalten kann, notfalls als Gegenspieler zur Bundesregierung aufzutreten, bedeutet keine wirksame Kontrollinstanz”, kritisierte André Hahn, stellvertretender Vorsitzender der Linksfraktion und Mitglied des Parlamentarischen Kontrollgremiums für die Geheimdienste. […]