BITKOM begrüßt IT-Sicherheitsgesetz – moniert aber zahlreiche Unsicherheiten

Grundsätzlich begrüße die Bitkom das neue IT-Sicherheitsgesetz, das heute vom Bundeskabinett beschlossen wurde. Das Gesetz verpflichtet die Betreiber kritischer Infrastrukturen, ihre IT-Sicherheit zu verbessern und auf dem neuesten Stand der Technik zu halten. Es enthalte aber auch einige Unschärfen zu den Meldepflichten.

„Positiv bewertet die IT-Branche, dass Meldungen schwerwiegender Sicherheitsvorfälle weitgehend in anonymisierter Form übermittelt werden.“, sagte BITKOM-Präsident Prof. Dieter Kempf. Damit werden Reputationsverluste für die Unternehmen vermieden und die Bereitschaft zur Meldung gesteigert. Die Bundesregierung erkenne im aktuellen Gesetzentwurf an, dass die Umsetzung der Meldepflichten zu erheblichen Kosten führt. Der BITKOM rechnet für die Wirtschaft, je nachdem wie viele Unternehmen in der Praxis tatsächlich betroffen sein werden, mit Ausgaben von bis zu 1,1 Milliarden Euro pro Jahr. Hinzu kommen Investitionen für die Einhaltung höherer Sicherheitsstandards in dreistelliger Millionenhöhe.

Unklar: Welche IT-Sicherheitsvorfälle sind relevant bzw. schwerwiegend?

Dennoch gebe es bei der konkreten Umsetzung des Gesetzes weiterhin zahlreiche Unsicherheiten. „Noch ist unklar, für welche Unternehmen das Gesetz tatsächlich gilt“, sagte Kempf. Die Bundesregierung geht derzeit davon aus, dass nur rund 2.000 der zu den Betreibern kritischer Infrastrukturen zählenden Unternehmen unter das Gesetz fallen. Eine konkrete Festlegung soll allerdings erst im Rahmen einer Rechtsverordnung erfolgen. „Die Unternehmen brauchen möglichst schnell Planungs- und Rechtssicherheit“, betonte Kempf. Das gelte auch für die Frage, welche IT-Sicherheitsvorfälle als relevant bzw. schwerwiegend und damit als meldepflichtig eingestuft werden. Zudem müssten die Behörden mit den notwendigen Personal- und Sachmitteln ausgestattet werden. Der Gesetzentwurf beziffert den Bedarf auf rund 420 Stellen in Behörden wie BSI, Bundeskriminalamt, Verfassungsschutz oder Bundesnetzagentur. Personal- und Sachkosten belaufen sich auf rund 40 Millionen Euro pro Jahr. „Diese Vorgaben müssen im Bundeshaushalt berücksichtigt werden, damit das Gesetz auch seine Wirkung entfalten kann“, forderte Kempf. „Die staatlichen Stellen in Deutschland müssen für den Schutz vor Cyberterrorismus und Cyberkriminalität besser ausgestattet werden.“

Positiv bewertet der BITKOM, dass die Wirtschaft bei der Formulierung der jeweiligen Sicherheitsstandards eingebunden wird. Nur so lasse sich laut Kempf das Sicherheitsniveau den Erfordernissen der jeweiligen kritischen Infrastrukturen anpassen, die von der Energieversorgung über IT- und Telekommunikationsdienstleister bis zur Ernährungswirtschaft reichen.

Eine Stellungnahme zum Gesetzentwurf hat der BITKOM hier im Internet veröffentlicht.