Mit dem IT-Sicherheitsgesetz 2.0 erhält das Bundesamt für Sicherheit in der Informationstechnik (BSI) neue Befugnisse. Das Gesetz sieht unter anderem vor, dass das BSI Informationen über Sicherheitslücken zurückhalten soll, sofern es Sicherheitsbehörden gegenüber zur Verschwiegenheit verpflichtet ist. Auch soll das BSI nun Datenverkehr an von ihm benannte Server umleiten lassen und selbst Angriffe auf IT-Systeme vortäuschen und im Zuge dessen auch in diese Systeme eindringen dürfen.
Ein zentrales Problem ist zudem die fehlende Synchronisierung mit der europäischen Gesetzgebung, die eco mehrfach im Kontext des IT-SiG 2.0 angemahnt hat. Dies betrifft insbesondere die Harmonisierung des IT-Sicherheitsgesetzes mit der geplanten Überarbeitung der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS) auf europäischer Ebene, die von der EU-Kommission am Mittwoch vorgestellt wurde. So birgt eine vorschnelle nationale Regulierung das Risiko, anschließend noch einmal gesetzgeberisch tätig werden zu müssen , weil im IT-Sicherheitsgesetz und in der NIS-Richtlinie systematisch unterschiedliche Ansätze verfolgt und unterschiedlich geregelt werden.
Besser wäre es vor diesem Hintergrund gewesen, wenn man den Kabinettsbeschluss zum IT-SiG 2.0 zurückgestellt und die weiteren Entwicklungen auf europäischer Ebene abgewartet hätte. Für Unternehmen werden diese Nachbesserungen oft mit zusätzlichen Kosten verbunden sein, um bereits implementierte Systeme und Lösungen nochmals für die zusätzliche europäische Regulierung anzupassen. Weiter kritisiert eco, dass das Bundesinnenministerium den knapp 100 Seiten umfassenden Referentenentwurf lediglich eine Frist von 26 Stunden eingeräumt hatte.
Zum Hintergrund:
Der erste Entwurf zum IT-Sicherheitsgesetz 2.0 war 2019 inoffiziell an die Öffentlichkeit gelangt und wurde von eco scharf kritisiert. Nachdem das BMI am 1. Dezember zunächst einen nicht abgestimmten Diskussionsentwurf veröffentlichte auf den eco sich in einer Stellungnahme bezieht, folgte ein aktualisierter Referentenentwurf am 9. Dezember. Obwohl darin weitere Aspekte zur IT-Sicherheit grundlegend überarbeitet wurden, hat das Bundesinnenministerium lediglich eine Rückmeldefrist bis Freitag, 11. Dezember, 14 Uhr eingeräumt. Auch zu dieser Version hat eco fristgerecht eine Stellungnahme eingereicht.