VCI-Position kompakt

IT-Sicherheitsgesetz

Die Bundesregierung möchte die Cyber-Resilienz der deutschen Wirtschaft erhöhen und arbeitet dazu am IT-Sicherheitsgesetz 2.0 (ITSiG 2.0). Der VCI begrüßt dies ausdrücklich, allerdings schießt der vorliegende Entwurf über das Ziel hinaus.

Schon das erste IT-Sicherheitsgesetz sollte die Sicherheit informationstechnischer Systeme erhöhen und zum Schutz kritischer Infrastrukturen (KRITIS) beitragen. Dazu wurden 2015 sieben KRITIS-Sektoren definiert: Energie, Wasser, Informationstechnik und Telekommunikation, Ernährung, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr. Im Sektor Gesundheit sind Produktionsstätten für verschreibungspflichtige Arzneimittel erfasst.

Das Gesetz verpflichtet KRITIS-Betreiber auf ein definiertes Mindestmaß an IT-Sicherheit, damit Personenschaden abgewendet, das Gemeinwesen geschützt und negative Auswirkungen für alle minimiert werden. Zudem müssen dem Bundesamt für Sicherheit in der Informationstechnik IT-kritische Vorfälle gemeldet werden. Nun soll der Geltungsbereich erweitert werden.

Künftig sollen auch Unternehmen erfasst werden, die aufgrund ihrer volkswirtschaftlichen Bedeutung und ihrer Wertschöpfung von besonderem öffentlichen Interesse sind. Nimmt man die Top-100-Liste der Monopolkommission als Basis, wären darunter 17 Chemie- und Pharmakonzerne. Außerdem sollen alle Unternehmen erfasst werden, die der Gefahrstoffverordnung unterliegen. Dieser generelle Bezug zur Gefahrstoffverordnung ist viel zu weitreichend: Es würden alle Unternehmen unter das IT-Sicherheitsgesetz fallen, die auch nur ein einziges entsprechend gekennzeichnetes Produkt einsetzen. Das ist schon der Fall, wenn ein Reinigungsmittel verwendet wird, das eine Hautreizung verursachen kann. Über die Gefahrstoffverordnung wird sowohl auf die Herstellung als auch den Einsatz bestimmter Produkte, jedoch nicht direkt auf Unternehmen, verwiesen.

Störfallverordnung sollte Grundlage sein

Stattdessen sollte die Störfallverordnung als Grundlage für den erweiterten Geltungsbereich des IT-Sicherheitsgesetzes dienen. Sie ist dafür da, die Allgemeinheit vor anlagenbezogenen gefährlichen Ereignissen zu schützen. So wäre eine Eingrenzung auf Unternehmen mit besonderer Relevanz für die öffentliche Sicherheit und Ordnung gewährleistet.

Zudem würde dies den Adressatenkreis deutlich präzisieren und damit für mehr Rechtsklarheit sorgen. Die Bezugnahme auf die Störfallverordnung führt auch dazu, dass die dort schon bestehenden Meldeverpflichtungen im Hinblick auf Cybersicherheit nicht gedoppelt werden müssten. In diesen Unternehmen sind Störfallbeauftragte vorhanden und arbeiten immer auf dem aktuellen Stand der Sicherheitstechnik. Es wäre daher ratsam, die Störfallberichtspflichten zu nutzen und unnötige Bürokratie zu vermeiden.

DAFÜR SETZT SICH DER VCI EIN

  • Mehr Klarheit schaffen
    Bereits im Gesetzestext und nicht erst in einer zukünftigen Rechtsverordnung sollten konkrete und präzise Kriterien für ein besonderes öffentliches Interesse von Unternehmen und den von ihnen erbrachten Wertschöpfungen definiert werden.
  • Bezug zur Störfallverordnung statt auf die Gefahrstoffverordnung nehmen
    Der Bezug auf die Gefahrstoffverordnung sollte durch einen Bezug auf die Störfallverordnung ersetzt werden. Das schafft mehr Cybersicherheit und Rechtsklarheit und verhindert unnötige Bürokratie.
  • Cybersicherheit stärken
    IT-Sicherheit muss bei den Digitalisierungsstrategien der Unternehmen eine zentrale Rolle spielen. Bereits heute unternimmt die Chemie große Anstrengungen, die in Zukunft noch umfangreicher werden.

Hier geht's zum Download PDF 148 Kb

Für Fragen und Anregungen nehmen Sie gerne Kontakt mit uns auf.

Ansprechpartner

R. Stephan

E-Mail: stephan@vci.de