Response zur FB-Stellungnahme zum IT-SiG 2.0
Der GI-Fachbereich Sicherheit hatte seine Stellungnahme zum IT-Sicherheitsgesetz 2.0 an den Deutschen Bundestag im Rahmen der Anhörung im Innenausschuss gesandt und kann inhaltlich durchaus einen Teilerfolg hinsichtlich einzelner gesetzlicher Bestimmungen vermelden, auch wenn dieser ja nicht zwingend aus der eingereichten Stellungnahme resultiert sein muss. Dennoch freut sich der GI-Fachbereich Sicherheit darüber, dass die gesetzliche Normierung im KRITIS-Kontext insgesamt spürbar verbessert wurde.
Folgende Punkte aus dem verabschiedeten IT-Sicherheitsgesetz 2.0 weisen aus Sicht des GI-Fachbereichs Sicherheit einen Bezug zur abgegebenen Stellungnahme des Fachbereichs auf:
- Zulieferer als Unternehmen im besonderen öffentlichen Interesse: In den Kreis der KRITIS-Verpflichteten wurden Zulieferer der größten Unternehmen in Deutschland aufgenommen, welche wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind, was allerdings erst noch im Rahmen einer Rechtverordnung näher bestimmt werden wird.
- Aufgabe BSI hinsichtlich Stand der Technik: Das BSI beschreibt nur den Stand der Technik und entwickelt diesen nicht, und hat dabei bestehende Normen und Standards zu berücksichtigen und betroffene Wirtschaftsverbände einzubeziehen.
- Organisatorischer Status des BSI: Das BSI hat künftig „auf Grundlage wissenschaftlich-technischer Erkenntnisse“ zu arbeiten, bleibt aber dem BMI zugeordnet und unterliegt weiterhin einigen Restriktionen (insbesondere hinsichtlich einer fortbestehenden eingeschränkten Veröffentlichungsbefugnis über relevante Sicherheitslücken).
- Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit: Generell wurde nunmehr klargestellt, dass ein Zugriff auf Informationen sowie informationsverarbeitende Systemen, Komponenten und Prozesse ausschließlich durch autorisierte Personen oder Programme erfolgen darf, was damit insbesondere auch für entsprechende Tests des BSI gilt.
- Aufbewahrungspflicht von Protokolldaten: Die kritisierte überlange Aufbewahrung auf Seiten der KRITIS-Betreiber wurde bereits im Rahmen der BMI-Anhörung rausgestrichen, generell gilt da jetzt für alle 18 Monate, um APT-Angriffen effektiver begegnen zu können.
- Untersagung des Einsatzes kritischer Komponenten: Die zugehörige gesetzliche Regelung wurde komplett überarbeitet. Der geplante, erstmalige Einsatz einer kritischen Komponente, die zu einem Ausfall oder einer erheblichen Beeinträchtigung der Funktionsfähigkeit einer kritischen Infrastruktur führen können, ist künftig dem BMI anzuzeigen und erfordert eine Garantieerklärung des Hersteller, dass die betreffenden Komponenten nicht über technische Eigenschaften verfügen, die geeignet sind, missbräuchlich auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Infrastruktur einzuwirken.
Insgesamt sieht sich der GI-Fachbereich Sicherheit darin bestärkt, mit fachlichen Stellungnahmen auf die weitere Fortentwicklung von Regelungen zur Cybersicherheit einzuwirken und verfolgt die aktuelle Entwicklung auch auf europäischer Ebene mit hohem Interesse.