Mobilitätssektor droht ein Bürokratiemonster

IT-Sicherheitsgesetz bleibt Black Box statt Firewall

T-Systems
T-Systems

Berlin, 22. April 2021 – Am Freitag wird der Deutsche Bundestag das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) beschließen. Das DVF kritisiert auch die aktuelle Fassung: Der Kreis der betroffenen Unternehmen, die Kosten und der Mehrwert sind weiterhin nicht definiert. Die wesentlichen Details werden erst nach der Verabschiedung des Gesetzes über eine Rechtsverordnung geregelt – ohne Einbeziehung des Parlaments.

DVF-Geschäftsführer Dr. Florian Eck: „Der Sicherheitsgewinn und Mehrwert für Mobilität und Logistik ist auch in der geänderten Fassung des IT-Sicherheitsgesetzes 2.0 (ITSiG 2.0) nicht erkenntlich und erzeugt gleichzeitig zusätzliche Bürokratielasten bei den Unternehmen. Das Gesetz steht damit im Gegensatz zum politisch diskutierten Belastungsmoratorium.“

„Für die Wirtschaft insgesamt und ganz besonders für den Mobilitäts- und Logistiksektor bleibt aufgrund der unscharfen Formulierungen offen, welche Unternehmen in Deutschland betroffen sind, weil sie zu den ‚größten‘ gehören, von ‚hoher Bedeutung für das Funktionieren des Gemeinwesens‘ sind oder als Zulieferer die Produktion der größten Unternehmen sicherstellen. Das kommt einer Black Box gleich, aber nicht der geforderten Firewall.“

„Es ist wichtig, dass IT-Anlagen generell und ganz besonders sicherheitskritische Bereiche gut geschützt sind. Auch in der zweiten Fassung bleibt das IT-SiG jedoch pauschal, unklar in den Anwendungsbereichen und dem Erfüllungsaufwand. Da die eigentliche Evaluierung des Gesetzes fehlt, fehlt auch eine Lernkurve. Damit werden sich dringend notwendige Neuerungen wie eine Herstellerhaftung für IT-Komponenten, eine wirksame Berichts- und Warnstruktur des Bundesamts für Sicherheit in der Informationstechnik (BSI), beratende gemeinsame Arbeitsgruppen aus der Verwaltung und Wirtschaft sowie klare parlamentarische Kontrollmechanismen erst in einer weiteren Novelle wiederfinden können.“

„Einen Lichtblick gibt es: Das Parlament ist den Forderungen des DVF und anderer Verbände nach stärkeren Leitplanken für das BSI als ausführende Behörde zumindest an zwei Stellen nachgekommen: Es besteht eine Pflicht zur Einbeziehung der betroffenen Wirtschaftsverbände und vorliegenden Standards bei der Definition der einzuhaltenden technischen Sicherheitsstandards. Ebenso muss das für das BSI zuständige Innenministerium einmal jährlich dem Innenausschuss des Bundestages berichten, damit dieser einen möglichen Nachbesserungsbedarf überprüfen kann. Das vom DVF geforderte eigenständige parlamentarische Kontrollgremium analog zur Aufsicht über die Nachrichtendienste wurde leider nicht realisiert.“

Aus Sicht des Mobilitätsverbands der deutschen Wirtschaft DVF gilt es folgende Regelungen im weiteren Verfahren bei der nun folgenden Ausgestaltung der Rechtsverordnung zu berücksichtigen:

  • Risikobasierter Ansatz: Die regulatorischen Maßnahmen sollten auf Basis eines risikobasierten Ansatzes entwickelt werden. Dabei müssen auch die Folgen für die Gesamtwirtschaft im Binnenmarkt und die globale Wettbewerbsfähigkeit evaluiert werden – diese Bewertung seitens der Behörden fehlt komplett. Das muss die Rechtsverordnung heilen.
  • UP KRITIS verbindlich einbeziehen: Als vom Bund initiierte öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen brachte sich die Wirtschaft im UP KRITIS ein. Die Vorschläge der sektorübergreifenden Fachexperten des UP KRITIS Wirtschaftsbeirates wurden jedoch im Gesetzgebungsprozess ignoriert. Dies muss sich bei der Begleitung der Rechtsverordnung zwingend ändern.
  • Anwendungsbereich verbindlich und planungssicher festschreiben: Pauschale Formulierungen bergen ein hohes Kostenrisiko: Im Gesetz ist die Rede von „Unternehmen im besonderen öffentlichen Interesse“ und „erheblichen volkswirtschaftlichen Schäden“ ohne näher zu benennen, um wen oder was es sich hierbei handelt. Hier muss die Gleichbehandlung aller vom Gesetz betroffenen Unternehmen und die EU-Harmonisierung berücksichtigt werden. Der Verweis auf Definitionen der Monopolkommission zur Identifizierung der betroffenen Unternehmen ist für das Ziel des Gesetzes ungeeignet. Die Unternehmen brauchen schnellstmöglich Planungssicherheit, ob sie in den Anwendungsbereich fallen.
  • Übergangsfristen berücksichtigen: Für die Einführung von Systemen zur Angriffserkennung ist eine Übergangsfrist von zwei Jahren nötig.
  • Erfüllungsaufwand der Wirtschaft ohne Grundlage: Der Erfüllungsaufwand für die Wirtschaft ist nicht nachvollziehbar beziffert und sollte gemäß der kürzlich durchgeführten Erhebung des Statistischen Bundesamts in den Sektoren der Kritischen Infrastrukturen dargelegt werden. Des Weiteren liegen nach wie vor keine Entlastungsmaßnahmen für die Wirtschaft vor. Dieser Gesetzentwurf birgt erhebliche Kostenrisiken, auch für die Verwaltung – dazu sollen über 1.150 Planstellen entstehen, mit über 250 Planstellen im Bundesverkehrsministerium und einem Erfüllungsaufwand von knapp 26 Millionen Euro jährlich.

„Für den Mobilitätssektor birgt dieser Gesetzesentwurf immer noch hohe Risiken, ohne die Sicherheit der informationstechnischen Systeme zu erhöhen. Es ist nun Aufgabe des Parlaments und des federführenden Bundesinnenministeriums, die Wirtschaft bei der Umsetzung mit ihrer Expertise eng einzubeziehen, damit die kritischen Punkte im Gesetz im Zuge der Rechtsverordnung ausgeräumt werden“, so Eck.