Das Bundesinnenministerium (BMI) hat nach fast zwei Jahren einen Referentenentwurf zum IT-Sicherheitsgesetz 2.0 vorgelegt. eco – Verband der Internetwirtschaft e.V. kritisiert scharf, dass das BMI für das knapp 100 Seiten umfassende Dokument lediglich eine Frist von 26 Stunden eingeräumt hat.
„Es geht nur noch darum, die Entwürfe noch in diesem Jahr ins Kabinett zu bringen“, sagt der stellvertretende eco Vorstandsvorsitzende Klaus Landefeld. „Das ist Ausdruck bloßer gesetzgeberischer und politischer Hilflosigkeit wie hier vor dem Ende dieser Legislaturperiode agiert wird.“
Die Debatte um das IT-Sicherheitsgesetz findet auch vor dem Hintergrund einer umfassenden Novellierung des Telekommunikationsgesetzes statt. Hierzu hatte das Bundeswirtschaftsministerium am 9. Dezember einen neuen Gesetzentwurf mit 465 Seiten versendet und eine Frist bis Freitag, 11. Dezember, angesetzt.
eco empfiehlt, Beratungen zum IT-Sicherheitsgesetz 2.0 zurückzustellen
eco appelliert nun an die Politik, in Anerkennung der Konsequenzen für den weiteren Gesetzgebungsvorgang, die Beratungen des IT-Sicherheitsgesetzes 2.0 zurückzustellen und die weiteren Entwicklungen auf europäischer Ebene abzuwarten. Dies betrifft insbesondere die angestrebte Harmonisierung des IT-Sicherheitsgesetzes mit der geplanten Überarbeitung der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS) auf europäischer Ebene, die ebenfalls unmittelbar bevorsteht.
So warnt Landefeld vor voreiligen Schritten: „Eine vorschnelle nationale Regulierung birgt das Risiko, anschließend noch einmal gesetzgeberisch tätig werden zu müssen“, so Landefeld. „Für Unternehmen sind diese Nachbesserungen oft mit zusätzlichen Kosten verbunden, um bereits implementierte Systeme und Lösungen nochmals für den neuen Regulierungsrahmen anzupassen.“ Eine Überarbeitung der NIS-Richtlinie wurde für das Jahr 2021 in Aussicht gestellt.
Auch sollten die im IT-Sicherheitsgesetz angestrebten Regelungen für den Einsatz von so genannten kritischen Komponenten beziehungsweise deren Untersagung möglichst europäisch adressiert und behandelt werden. „Nationale Sonderregelungen sollten ausschließlich für eng umgrenzte Bereiche mit klaren gesetzlichen Definitionen vorgesehen sein“, sagt Landefeld. Andernfalls drohe Unternehmen erhebliche Rechtsunsicherheit. „Damit IT-Sicherheit in Deutschland effektiv reguliert wird und sich in im europäischen digitalen Binnenmarkt sinnvoll weiterentwickeln und gestärkt werden kann, müssen diese Probleme nun möglichst zügig adressiert und gelöst werden.“
Die neuen Befugnisse für das BSI werfen ein Schlaglicht auf eine zentrale Debatte um das IT-Sicherheitsgesetz 2.0. Dies betrifft den Umgang mit Informationen über Sicherheitslücken und die Daten, die das BSI im Rahmen seiner neuen Befugnisse erhebt. Das Gesetz sieht unter anderem vor, dass das BSI Informationen über Sicherheitslücken zurückzuhalten soll, sofern es Sicherheitsbehörden gegenüber zur Verschwiegenheit verpflichtet ist. Auch kann das BSI nun Datenverkehr an von ihm benannte Server umleiten lassen und selbst Angriffe auf IT-Systeme vortäuschen und im Zuge dessen auch in diese Systeme eindringen.
Landefeld: „Die Maßnahmen, die das BSI hier ergreifen und anordnen kann, werfen Zweifel daran auf, dass der Grundrechtschutz hier gewahrt ist.“
Zum Hintergrund:
Der erste Entwurf zum IT-Sicherheitsgesetz 2.0 war 2019 inoffiziell an die Öffentlichkeit gelangt und wurde von eco scharf kritisiert. Nachdem das BMI am 1. Dezember zunächst einen nicht abgestimmten Diskussionsentwurf veröffentlichte auf den eco sich in einer Stellungnahme bezieht, folgte ein aktualisierter Referentenentwurf am 9. Dezember. Obwohl darin weitere Aspekte zur IT-Sicherheit grundlegend überarbeitet wurden, hat das Bundesinnenministerium lediglich eine Rückmeldefrist bis Freitag, 11. Dezember, 14 Uhr eingeräumt. Auch zu dieser Version hat eco fristgerecht eine Stellungnahme eingereicht.