VCI-Position kompakt

IT-Sicherheitsgesetz

Die Bundesregierung möchte die Cyber-Resilienz der deutschen Wirtschaft erhöhen und hat dazu Mitte Dezember 2020 den Entwurf des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) beschlossen. Der VCI begrüßt dies ausdrücklich, sieht aber noch Präzisierungsbedarf.

Schon das erste IT-Sicherheitsgesetz sollte die Sicherheit informationstechnischer Systeme erhöhen und zum Schutz kritischer Infrastrukturen (KRITIS) beitragen. Dazu wurden 2015 sieben KRITIS-Sektoren definiert: Energie, Wasser, Informationstechnik und Telekommunikation, Ernährung, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr. Im Sektor Gesundheit sind Produktionsstätten für verschreibungspflichtige Arzneimittel erfasst.

Das Gesetz verpflichtet KRITIS-Betreiber auf ein definiertes Mindestmaß an IT-Sicherheit, damit Personenschäden abgewendet, das Gemeinwesen geschützt und negative Auswirkungen für alle minimiert werden. Zudem müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-kritische Vorfälle gemeldet werden.

Mehr Unternehmen im Fokus

Künftig sollen auch Unternehmen vom IT-Sicherheitsgesetz 2.0 erfasst werden, die aufgrund ihrer inländischen Wertschöpfung zu den größten Unternehmen hierzulande gehören und daher von erheblicher volkswirtschaftlicher Bedeutung sind. Die Berechnung der inländischen Wertschöpfung soll in einer noch zu erlassenden Rechtsverordnung festgelegt werden und sich in der Methodik am Gutachten der Monopolkommission orientieren. Nimmt man deren Top-100-Liste als Basis, wären darunter 17 Chemie- und Pharmakonzerne. Dieser Ansatz lässt außer Acht, dass diese Unternehmen in weitreichenden internationalen Wertschöpfungsketten integriert sind. Ausländische Zulieferer werden nicht von dem Gesetz erfasst, sodass diese als potenzielle Schwachstellen weiter bestehen können. Hinzu kommt, dass Unternehmen aus allen Bereichen der Wertschöpfungskette von besonderer Relevanz für die deutsche Volkswirtschaft sein können.

Das IT-Sicherheitsgesetz 2.0 soll auch alle Unternehmen erfassen, die Betreiber eines Betriebsbereichs der oberen Klasse der Störfallverordnung sind.

Störfallverordnung ist geeignete Grundlage

Der VCI begrüßt, dass das IT-Sicherheitsgesetz 2.0 nun die Störfallverordnung als Grundlage für den erweiterten Geltungsbereich nimmt – und nicht wie ursprünglich geplant die Gefahrstoffverordnung. Die Störfallverord-ung ist dafür da, die Allgemeinheit vor anlagenbezogenen gefährlichen Ereignissen zu schützen. So ist eine Eingrenzung auf Unternehmen mit besonderer Relevanz für die öffentliche Sicherheit und Ordnung gewährleistet.

Zudem ist der Adressatenkreis deutlich präzisier und für Rechtsklarheit gesorgt. Der Bezug auf die Störfallverordnung führt auch dazu, dass die dort bestehenden Meldeverpflichtungen zur Cybersicherheit nicht gedoppelt werden müssen. In den betroffenen Unternehmen sind Störfallbeauftragte vorhanden, die auf dem aktuellen Stand der Sicherheitstechnik arbeiten. Es ist daher ratsam, die Störfallberichtspflichten zu nutzen und unnötige Bürokratie zu vermeiden.

Unternehmen von erheblicher volkswirtschaftlicher Bedeutung sind zur Vorlage einer Selbsterklärung zur IT-Sicherheit verpflichtet. Grundsätzlich ist es begrüßenswert, das IT-Sicherheitsniveau auf diese Weise zu erhöhen. Gerade die angesprochenen größeren Unternehmen verfügen über eigene IT-Abteilungen mit Cybersicherheitsspezialisten, die ohnehin an derartigen Berichten arbeiten. Mittlere und kleine Unternehmen sollten daher vom BSI bei der Stärkung ihrer IT-Resilienz unterstützt werden.

DAFÜR SETZT SICH DER VCI EIN

  • Mehr Klarheit schaffen
    Bereits im Gesetzestext und nicht erst in einer zukünftigen Rechtsverordnung sollten konkrete und präzise Kriterien definiert werden, welche Unternehmen mit den von ihnen erbrachten Wertschöpfungen von besonderer volkswirtschaftlicher Bedeutung sind und daher unter das das IT-Sicherheitsgesetz 2.0 fallen.
  • Bezug zur Störfallverordnung beibehalten
    Der Bezug auf die Störfallverordnung schafft mehr Cybersicherheit und Rechtsklarheit und verhindert unnötige Bürokratie. Er sollte daher im weiteren Gesetzgebungsverfahren beibehalten werden.
  • Cybersicherheit stärken
    IT-Sicherheit muss bei den Digitalisierungsstrategien der Unternehmen eine zentrale Rolle spielen. Bereits heute unternimmt die Chemie dafür große Anstrengungen, die in Zukunft noch umfangreicher werden.

Hier geht's zum Download PDF 153 Kb

Für Fragen und Anregungen nehmen Sie gerne Kontakt mit uns auf.

Ansprechpartner

R. Stephan

E-Mail: stephan@vci.de