Der inoffizielle Referentenentwurf des Bundesministeriums des Innern, Bau und Heimat (BMI) vom 27. März 2019 sieht eine Novellierung des IT-Sicherheitsgesetzes (IT-SiG 2.0) vor. Ziel des Gesetzes ist eine ganzheitliche Verbesserung der IT-Sicherheit von Wirtschaft, Gesellschaft und Staat sowie eine ständige Anpassung und Weiterentwicklung von Schutzmechanismen und Abwehrstrategien gegen Cyber-Angriffe. Der Referentenentwurf befindet sich aktuell in der Ressortabstimmung, die voraussichtlich bis Herbst 2019 abgeschlossen sein wird.
Im Rahmen des Entwurfs sind insbesondere folgende Änderungen vorgesehen:
- Einführung eines einheitlichen IT-Sicherheitskennzeichens,
- Einführung sogenannter KRITIS-Kernkomponenten sowie eine damit verbundene Herstellererklärung über die Vertrauenswürdigkeit solcher Komponenten und Bauteile,
- Einführung eines neuen Kategorientyps „Infrastruktur im besonderen öffentlichen Interesse“ zur Auferlegung zusätzlicher technischer und organisatorischer Schutzmaßnahmen,
- Zuweisung des Verbraucherschutzes als zusätzliche Aufgabe an das BSI,
- Ausweitung der Kompetenzen von Strafverfolgungs- und Sicherheitsbehörden sowie entsprechende Anpassungen am Straf- und Strafverfahrensrechts,
- Vollständige Überarbeitung des Bußgeldkatalogs und
- Ausweitung der Sicherheitsanforderungen an KRITIS-Betreiber.
Weiterhin wird die Aufnahme neuer Sektoren als Kritische Infrastruktur diskutiert. Darunter fallen Anlagen der (Abfall-)Entsorgung, Talsperren sowie die Rüstungsindustrie. Die Aufnahme von Talsperren wird nach einem Gespräch zwischen BDEW und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) nochmals geprüft werden, um Doppelregelungen zu vermeiden. Talsperren können als Kritische Infrastruktur mehrfunktionale Nutzungen haben und sind in Teilen bereits über den Branchenspezifischen Sicherheitsstandard Wasser(B3S) einbezogen. Die Wasserwirtschaft fordert zudem, dass bei der Terminologie „Entsorgung“ eine Verwechslung mit der Entsorgung von Abwasser ausgeschlossen und die Entsorgung von Abfall eindeutig als gesonderter Sektor gekennzeichnet wird.
Die Schwellenwerte, anhand derer einzelne Anlagen als Kritische Infrastruktur definiert werden, sollen nach Angabe des BMI im Rahmen der Novelle des IT-SiG 2.0 noch nicht angepasst werden. Eine Anpassung der BSI-KRITIS-Verordnung, in der die Schwellenwerte rechtsverbindlich festgelegt werden, ist noch dieses Jahr vorgesehen.
Der BDEW begrüßt grundsätzlich die Überarbeitung und Weiterentwicklung des IT-SiG 2.0. Die Energie- und Wasserwirtschaft steht zu dem Ziel, die Informationssicherheit Kritischer Infrastrukturen weiter zu erhöhen. Insbesondere wird befürwortet, dass Hersteller und Lösungsanbieter von Produkten und Dienstleistungen zukünftig verstärkt einen Beitrag für den Schutz Kritischer Infrastrukturen leisten sollen. Die im Entwurf vorgeschlagene Regelung sollte hier jedoch weiter nachgebessert werden. Die Unternehmen der Energie- und Wasserwirtschaft schützen Kritische Infrastrukturen bereits effektiv und sollten daher von zusätzlichen, einseitigen Verpflichtungen freigestellt werden.
Der BDEW fordert in der vorliegenden Stellungnahme, dass Unternehmen für die Umsetzung und Branchendurchdringung des IT-SiG 2.0 Unterstützung und Gestaltungsspielräume unter Maßgabe der Wirtschaftlichkeit eingeräumt werden. Die Erfüllungskosten der Vorschriften sollten hinsichtlich der geplanten Melde- und Informationsverpflichtungen minimiert werden.
Daneben werden zahlreiche Konkretisierungsvorschläge sowie Vorschläge für eine Vermeidung von Doppelregulieren innerhalb des Referentenentwurfs unterbreitet. Um Rechtsunsicherheit und Unsicherheit bei der Umsetzung zusätzlicher Sicherheitsanforderungen zu vermeiden, fordert der BDEW, eindeutige und erreichbare Ziele im Rahmen der Aktualisierung des IT-SiG 2.0 in den Vordergrund zu stellen.
