Berlin, 17. August 2021 - Im Rahmen der 2. Änderung der BSI-Kritisverordnung drohen den Unternehmen intransparente Vorschriften und sachlich unbegründete Mehraufwände. Das DVF fordert: Erweiterte staatliche Anforderungen an Betreiber kritischer Infrastrukturen sind zu begründen und auf eindeutig zu definierende Anlagen kritischer Infrastrukturen zu begrenzen.

DVF-Geschäftsführer Dr. Florian Eck: "Bundesinnenministerium (BMI) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) müssen gut begründen, warum plötzlich mehr Anlagen als versorgungskritisch gelten sollen. Es ist wichtig, dass IT-Anlagen generell und ganz besonders sicherheitskritische Bereiche gut geschützt sind. Die Unternehmen im Mobilitäts- und Logistiksektor beugen bereits heute in eigener Verantwortung gegenüber Angriffen auf ihre ITSysteme vor. Aber die zeitlichen, personellen und finanziellen Ressourcen von Aufsichtsbehörden und Unternehmen sind begrenzt. Umso wichtiger ist ihr zielgenauer Einsatz für den maximalen Schutz vor Cyberattacken, statt einer pauschalen Erhöhung der Anforderungen und Meldebürokratie für immer mehr Anlagen."

"Auch in der zweiten Fassung der Verordnung zur Umsetzung des IT-Sicherheitsgesetzes fehlen teilweise nachvollziehbare Herleitungen für Maßeinheiten und deren Quellen zur Bemessung der Schwellenwerte. Absenkungen der Schwellenwerte und damit die Erweiterung des Anwendungsbereiches werden nicht begründet. Bedenkt man, dass die Verordnung die Versorgung der deutschen Bevölkerung mit lebensnotwendigen Gütern sicherstellen soll, so ist die Einbeziehung von Transitverkehren und Exportgütermengen äußerst fragwürdig. (...)