Bürokratiemonster und Kosten statt IT-Sicherheit und Entlastung

DVF zur ersten Lesung „IT-Sicherheitsgesetz 2.0“ im Bundestag:

Berlin, 28. Januar 2021 – Am heutigen Donnerstag berät der Deutsche Bundestag in erster Lesung über das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0), zu dessen Entwurf sich das DVF bereits im Dezember 2020 äußerst kritisch geäußert hatte.

Nun liegt es in erster Lesung dem Bundestag vor und das DVF appelliert an die Bundestagsabgeordneten Nachbesserungen im Gesetz einzufordern.

DVF-Geschäftsführer Dr. Florian Eck: „Das IT-Sicherheitsgesetz 2.0 (ITSiG 2.0) bringt für die Mobilität und Logistik zusätzliche Bürokratielasten. Es steht damit im Gegensatz zum politisch diskutierten Belastungsmoratorium. Die Novelle ist nicht zeitgemäß, ohne erkennbaren Sicherheitsgewinn und Mehrwert. Das passt nicht zusammen.“

„Der Mobilitätssektor setzt wie andere Branchen auf Digitalisierung und investiert dafür laufend in sichere IT-Systeme. Die überzogenen Vorschriften des Gesetzentwurfs verursachen einen erheblichen zusätzlichen Verwaltungsaufwand. Das bindet IT-Personal und Geld. Beides wird dringend für die weitere Optimierung der Systeme gebraucht. Zudem werden die möglichen Strafen auf das 200-fache des aktuellen Sanktionsmaßes erhöht. Das ist unverhältnismäßig.“

„Das Bundesinnenministerium hat es versäumt, die gesetzlich vorgeschriebene Evaluierung des aktuellen IT-Sicherheitsgesetzes vorzunehmen. Somit fehlt der Novelle die Lernkurve. Auch die Vorschläge der beratenden gemeinsamen Arbeitsgruppen aus Verwaltung und Wirtschaft wurden ignoriert. Herausgekommen ist ein Gesetzentwurf mit unklaren Anwendungsbereichen und Definitionen, nicht hinterlegtem Erfüllungsaufwand und einem aufwändigen Berichtswesen.“

Aus Sicht des Mobilitätsverbands der deutschen Wirtschaft DVF gilt es folgende Regelungen im Gesetzentwurf zu verändern, weil sie unnötigen Verwaltungsaufwand für die Unternehmen des Verkehrssektors verursachen, ohne die Sicherheit der IT-Systeme zu erhöhen:

  • Fehlender risikobasierter Ansatz: Die regulatorischen Maßnahmen sollten auf Basis eines risikobasierten Ansatzes entwickelt werden. Dabei müssen auch die Folgen für die Gesamtwirtschaft im Binnenmarkt und die globale Wettbewerbsfähigkeit evaluiert werden – diese Bewertung seitens der Behörden fehlt komplett.
  • Vorarbeit von UP KRITIS ignoriert: Als vom Bund initiierte öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen brachte sich die Wirtschaft im UP KRITIS ein. Die Vorschläge der Fachexperten des UP KRITIS Wirtschaftsbeirates wurden jedoch im Gesetzgebungsprozess ignoriert.
  • Pauschale Formulierungen bergen ein hohes Kostenrisiko: Im Gesetzentwurf ist die Rede von „Unternehmen im besonderen öffentlichen Interesse“ und „erheblichen volkswirtschaftlichen Schäden“ ohne näher zu benennen, um wen oder was es sich hierbei handelt. Hier muss die Gleichbehandlung aller vom Gesetz betroffenen Unternehmen und die EU-Harmonisierung berücksichtigt werden. Der Verweis auf Definitionen der Monopolkommission zur Identifizierung der betroffenen Unternehmen ist für das Ziel des Gesetzes ungeeignet.
  • Extrem unverhältnismäßiges Sanktionsmaß: Der Anwendungsbereich wird auf einen Großteil der deutschen Wirtschaft ausgedehnt, ohne die Betroffenen zu benennen. Gleichzeitig werden die Unternehmen mit überproportionalen Strafzahlungen konfrontiert. Der in den Bußgeldvorschiften neu eingeführte Verweis auf das Ordnungswidrigkeitengesetz kann das aktuelle Sanktionsmaß von 100.000 Euro auf 20 Millionen Euro, also um das 200-Fache erhöhen! Dieser Passus muss gestrichen werden!
  • Zu kurze Übergangsfristen: Für die Einführung von Systemen zur Angriffserkennung ist eine Übergangsfrist von zwei Jahren nötig.
  • Erfüllungsaufwand der Wirtschaft ohne Grundlage: Der Erfüllungsaufwand für die Wirtschaft ist nicht nachvollziehbar beziffert und sollte gemäß der kürzlich durchgeführten Erhebung des Statistischen Bundesamts in den Sektoren der Kritischen Infrastrukturen dargelegt werden. Des Weiteren liegen nach wie vor keine Entlastungsmaßnahmen für die Wirtschaft vor. Dieser Gesetzentwurf birgt erhebliche Kostenrisiken, auch für die Verwaltung – dazu sollen über 1.150 Planstellen entstehen, mit über 250 Planstellen im Bundesverkehrsministerium und einem Erfüllungsaufwand von knapp 26 Millionen Euro jährlich.

„Für den Mobilitätssektor birgt dieser Gesetzesentwurf hohe Risiken, ohne die Sicherheit der informationstechnischen Systeme zu erhöhen. Daher muss im parlamentarischen Verfahren nachgebessert werden“, so Eck.