IT-Sicherheitsgesetz: Lückenhafte Regeln sollen für mehr Sicherheit sorgen
Grafik: Shutterstock/kanvictory
In der vergangenen Woche hat das Bundesministerium des Innern den lange erwarteten Diskussionsentwurf des IT-Sicherheitsgesetzes veröffentlicht. Die betroffenen Unternehmen und Verbände waren aufgerufen, hierzu binnen einer Woche Stellungnahmen beim Ministerium einzureichen. Der vorliegende Gesetzentwurf soll voraussichtlich bereits am 16. Dezember vom Bundeskabinett verabschiedet werden, was wiederum der Grund für die sehr kurze Frist zur Stellungnahme gewesen sein dürfte. Dabei wäre dieser Zeitdruck nicht nötig gewesen, denn eine Überarbeitung des Rechtsrahmens für IT-Sicherheit wird schon seit Jahren in der Politik diskutiert und gehört zu den Vorhaben, zu denen sich die Große Koalition bereits in ihrem Koalitionsvertrag im Jahr 2018 verabredet hat.
Augenmerk liegt auf Nutzung kritischer Komponenten und deren Hersteller
Mit dem IT-Sicherheitsgesetz will die Bundesregierung die verpflichtenden Sicherheitsanforderungen für Betreiber kritischer Infrastrukturen (z. B. Telekommunikations- und Energienetze u.a.) erhöhen und das Bundesamt für Sicherheit in der Informationstechnik mit neuen Befugnissen, Aufgaben und Mitteln ausstatten. Ferner sollen künftig auch „Unternehmen im besonderen öffentlichen Interesse“ neuen gesetzlichen Anforderungen an die IT-Sicherheit unterworfen werden. Trotz dieser vielfältigen Ziele der Bundesregierung liegt der absolute Fokus von Politik und Öffentlichkeit auf der Regelung, die in Zukunft die Zusammenarbeit der Infrastrukturbetreiber mit den Herstellern kritischer Komponenten vorgeben und die Möglichkeit zum Ausschluss von Herstellern schaffen soll.
Keine Rechtssicherheit für Betreiber
Insbesondere bei den kritischen Komponenten bietet der Gesetzentwurf bisher jedoch wenig Orientierung und Rechtssicherheit. Telefónica Deutschland kritisiert in diesem Zusammenhang vor allem folgende Aspekte:
- Folgen des Ausschlusses sind nicht geregelt: Sämtliche Folgen, die eine Untersagung der Nutzung einzelner Komponenten gemäß § 9b Abs. 3, f. BSIG-E hätte, sind im vorliegenden Gesetzentwurf nicht geregelt. Dringend erforderlich ist für das ultima-ratio Szenario einer Untersagung aus Sicht von Telefónica eine Regelung, die eine mindestens fünfjährige Übergangsphase für den Rückbau und Austausch einzelner Komponenten vorsieht. Auch eine bisher gänzlich fehlende Regelung des Schadensersatzes sollte in das Gesetz aufgenommen werden. Es darf nicht sein, dass Betreiber, die in Deutschland private Mittel in den Ausbau kritischer Infrastrukturen investieren, den ökonomischen Schaden zu tragen haben, wenn der Bund Lieferanten dieser Betreiber als nicht vertrauenswürdig einstuft.
- Keine Rechtssicherheit, da wesentliche Entscheidungen an Behörden ausgelagert werden: Zentrale Entscheidungen im Regime der Untersagung der Nutzung einzelner Komponenten würde der Gesetzgeber mit dem vorliegenden Entwurf an die Verwaltung übertragen. Von den Anforderungen an die Garantieerklärung über die Liste kritischer Komponenten bis hin zum gesamten Ablauf und Inhalt des Zertifizierungsverfahrens sollen letztlich Behörden über Verordnungen, Verfügungen und Richtlinien das Sagen haben. Der vorliegende Gesetzentwurf bietet daher nicht die Rechtssicherheit, die für Betreiber kritischer Infrastrukturen dringend erforderlich wäre.
- Bestandsnetze dürfen nicht von neuer Regulierung erfasst sein: Es fehlen in dem Gesetzentwurf wichtige Überleitungsvorschriften, die festlegen, dass der Regulierungsmechanismus sowie die Folgen des § 9b BSIG-E nur für Komponenten angewendet werden, deren Nutzung zukünftig beim BMI angezeigt wird. Eine Rückwirkung auf Bestandsnetze muss schon aus Gründen des Investitions- und Vertrauensschutzes dringend ausgeschlossen werden.
Breite Kritik am Entwurf
Der vorliegende Gesetzentwurf wird auch noch aus weiteren Gründen von zahlreichen Verbänden und Experten kritisiert. So fordert die renommierte AK KRITIS, eine Facharbeitsgruppe von IT-Sicherheitsexperten, eine „Notbremse“ für das IT-Sicherheitsgesetz, der Verband eco spricht von einer „vorschnellen nationalen Regulierung“ und Martin Schallbruch, der ehemalige IT-Beauftragte des Bundesinnenministeriums, konstatiert: „Dem enormen Aufwand für die Unternehmen steht wenig konkreter gesetzlich definierter Mehrwert für die Wirtschaft gegenüber“.