Heute hat die Bundesregierung im Kabinett den Entwurf des IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) verabschiedet. Es definiert u.a. die künftigen Standards und Anforderungen an die Cyber-Sicherheit für kritische Infrastrukturen der Daseinsvorsorge, wie sie die Mitglieder des Verbands kommunaler Unternehmen (VKU) betreiben.
VKU-Hauptgeschäftsführer Ingbert Liebing in einer ersten Einschätzung: „Neue Technologien und Methoden sowie rasante Innovationszyklen erfordern ein Update des IT-Sicherheitsrechts – auch, damit Betreiber kritischer Infrastrukturen die nötige Rechtssicherheit für weitere Maßnahmen und Investitionen in Cyber-Sicherheit bekommen. Fakt ist: Cyber-Sicherheit ist kein Zustand, sondern ein Prozess. Deswegen prüfen, analysieren und entwickeln unsere Mitgliedsunternehmen ihre Systeme und Maßnahmen kontinuierlich weiter. Ziel ist dabei, kritische Infrastrukturen zur Versorgung von Wirtschaft und Bevölkerung mit Energie, Wasser, schnellem Internet sowie zur sicheren Entsorgung von Abfall und Abwasser bestmöglich vor Cyber-Angriffen zu schützen. Aus VKU-Sicht stimmt beim IT-SiG 2.0 die Richtung. Damit das Gesetz in der Praxis zu einem Sicherheitsupdate für die kritischen Infrastrukturen wird, muss der Gesetzgeber an einigen Stellen nachbessern: Zum Beispiel das BSI zur Mitteilung von Sicherheitslücken verpflichten, Betreiber auch künftig bei der Definition des Stands der Technik maßgeblich zu beteiligen, angemessene Übergangsfristen zu setzen und für Rechtssicherheit bei kritischen Komponenten zu sorgen.“
Konkret plädiert der VKU für folgende Änderungen:
- BSI zur Mitteilung von Sicherheitslücken verpflichten. Der Entwurf erweitert die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI). So darf das BSI künftig selbst auf Sicherheitslücken testen. Der VKU steht einer Aufwertung des BSI grundsätzlich offen gegenüber, pocht jedoch auf eine Mitteilungspflicht des BSI. Das BSI sollte die Betreiber kritischer Infrastrukturen sofort über gefundene Sicherheitslücken in ihren Systemen informieren. Dann können die Betreiber von kritischen Infrastrukturen diese Lücken schließen.
- Betreiber auch künftig bei Definition des Stands der Technik maßgeblich beteiligen. Weiter gilt die Pflicht, IT-Sicherheitssysteme auf dem Stand der Technik einzuführen bzw. weiterzuentwickeln. Neu ist, dass künftig das BSI den Stand der Technik mit technischen Richtlinien bestimmen soll. Unklar ist, ob und wie dabei die Betreiber kritischer Infrastrukturen und die IT-Sicherheitswirtschaft eingebunden werden. Der VKU plädiert dafür, beide auch künftig maßgeblich an der Entwicklung von Standards zu IT-Sicherheitslösungen und der Definition des Stands der Technik zu beteiligen.
- Sorgfalt vor Schnelligkeit: Angemessene Übergangsfristen setzen. Das IT-SiG 2.0 verpflichtet Betreiber kritischer Infrastrukturen künftig auf Systeme zur Angriffserkennung. Die Frist wurde im Vergleich zu vorangegangenen Entwürfen deutlich verkürzt. Zudem zählt erstmals auch die kommunale Abfallwirtschaft zu den kritischen Infrastrukturen. Ab wann die Regelungen für sie gelten, ist rechtlich nicht klar geregelt. So sinnvoll neue Anforderungen sein mögen: Auf Knopfdruck lassen sie sich nicht umsetzen. Aus VKU-Sicht muss der Gesetzgeber für beide Punkte eine angemessene Übergangsfrist von zwei Jahren setzen – Sorgfalt vor Schnelligkeit.
- Rechtssicherheit bei kritischen Komponenten schaffen. Bisher fehlt im Gesetz eine klare Definition kritischer Komponenten, deren Einsatz im Endeffekt künftig das BSI genehmigen soll. Unklar ist auch, wie wirksam die Garantieerklärung der Hersteller ist. Hier sollten Bundesregierung und Bundestag nachbessern, um Rechtssicherheit für die Betreiber zu schaffen.
Firmenkontakt und Herausgeber der Meldung:
Verband kommunaler Unternehmen e. V. (VKU)
Invalidenstr. 91
10115 Berlin
Telefon: +49 (30) 58580-0
Telefax: +49 (30) 58580-100
http://www.vku.de
Ansprechpartner:
Anna Theresa Kammer
Referentin Kommunikation und Public Affairs
Telefon: +49 (30) 58580-225
E-Mail: kammer@vku.de
Referentin Kommunikation und Public Affairs
Telefon: +49 (30) 58580-225
E-Mail: kammer@vku.de
Stefan Luig
Leiter Presse/Pressesprecher, Abteilung Kommunikation
Telefon: +49 (30) 58580-226
Fax: +49 (30) 58580-107
E-Mail: luig@vku.de
Leiter Presse/Pressesprecher, Abteilung Kommunikation
Telefon: +49 (30) 58580-226
Fax: +49 (30) 58580-107
E-Mail: luig@vku.de
Weiterführende Links
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.
