VKU-Hauptgeschäftsführer Ingbert Liebing in einer ersten Einschätzung: „Neue Technologien und Methoden sowie rasante Innovationszyklen erfordern ein Update des IT-Sicherheitsrechts – auch, damit Betreiber kritischer Infrastrukturen die nötige Rechtssicherheit für weitere Maßnahmen und Investitionen in Cyber-Sicherheit bekommen. Fakt ist: Cyber-Sicherheit ist kein Zustand, sondern ein Prozess. Deswegen prüfen, analysieren und entwickeln unsere Mitgliedsunternehmen ihre Systeme und Maßnahmen kontinuierlich weiter. Ziel ist dabei, kritische Infrastrukturen zur Versorgung von Wirtschaft und Bevölkerung mit Energie, Wasser, schnellem Internet sowie zur sicheren Entsorgung von Abfall und Abwasser bestmöglich vor Cyber-Angriffen zu schützen. Aus VKU-Sicht stimmt beim IT-SiG 2.0 die Richtung. Damit das Gesetz in der Praxis zu einem Sicherheitsupdate für die kritischen Infrastrukturen wird, muss der Gesetzgeber an einigen Stellen nachbessern: Zum Beispiel das BSI zur Mitteilung von Sicherheitslücken verpflichten, Betreiber auch künftig bei der Definition des Stands der Technik maßgeblich zu beteiligen, angemessene Übergangsfristen zu setzen und für Rechtssicherheit bei kritischen Komponenten zu sorgen.“
Konkret plädiert der VKU für folgende Änderungen:
- BSI zur Mitteilung von Sicherheitslücken verpflichten. Der Entwurf erweitert die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI). So darf das BSI künftig selbst auf Sicherheitslücken testen. Der VKU steht einer Aufwertung des BSI grundsätzlich offen gegenüber, pocht jedoch auf eine Mitteilungspflicht des BSI. Das BSI sollte die Betreiber kritischer Infrastrukturen sofort über gefundene Sicherheitslücken in ihren Systemen informieren. Dann können die Betreiber von kritischen Infrastrukturen diese Lücken schließen.
- Betreiber auch künftig bei Definition des Stands der Technik maßgeblich beteiligen. Weiter gilt die Pflicht, IT-Sicherheitssysteme auf dem Stand der Technik einzuführen bzw. weiterzuentwickeln. Neu ist, dass künftig das BSI den Stand der Technik mit technischen Richtlinien bestimmen soll. Unklar ist, ob und wie dabei die Betreiber kritischer Infrastrukturen und die IT-Sicherheitswirtschaft eingebunden werden. Der VKU plädiert dafür, beide auch künftig maßgeblich an der Entwicklung von Standards zu IT-Sicherheitslösungen und der Definition des Stands der Technik zu beteiligen.
- Sorgfalt vor Schnelligkeit: Angemessene Übergangsfristen setzen. Das IT-SiG 2.0 verpflichtet Betreiber kritischer Infrastrukturen künftig auf Systeme zur Angriffserkennung. Die Frist wurde im Vergleich zu vorangegangenen Entwürfen deutlich verkürzt. Zudem zählt erstmals auch die kommunale Abfallwirtschaft zu den kritischen Infrastrukturen. Ab wann die Regelungen für sie gelten, ist rechtlich nicht klar geregelt. So sinnvoll neue Anforderungen sein mögen: Auf Knopfdruck lassen sie sich nicht umsetzen. Aus VKU-Sicht muss der Gesetzgeber für beide Punkte eine angemessene Übergangsfrist von zwei Jahren setzen – Sorgfalt vor Schnelligkeit.
- Rechtssicherheit bei kritischen Komponenten schaffen. Bisher fehlt im Gesetz eine klare Definition kritischer Komponenten, deren Einsatz im Endeffekt künftig das BSI genehmigen soll. Unklar ist auch, wie wirksam die Garantieerklärung der Hersteller ist. Hier sollten Bundesregierung und Bundestag nachbessern, um Rechtssicherheit für die Betreiber zu schaffen.
Verband kommunaler Unternehmen e. V. (VKU)
Invalidenstr. 91
10115 Berlin
Telefon: +49 (30) 58580-0
Telefax: +49 (30) 58580-100
http://www.vku.de
Referentin Kommunikation und Public Affairs
Telefon: +49 (30) 58580-225
E-Mail: kammer@vku.de
Leiter Presse/Pressesprecher, Abteilung Kommunikation
Telefon: +49 (30) 58580-226
Fax: +49 (30) 58580-107
E-Mail: luig@vku.de