Bundesinnenministerin Nancy Faeser will die für kritische Infrastrukturen (KRITIS) relevanten Unternehmen in Deutschland zu einheitlichen Schutzstandards bewegen. Morgen will das Bundeskabinett dazu Eckpunkte verabschieden: Sie sind der erste Schritt hin zu einem im Koalitionsvertrag von SPD, Grünen und FDP vereinbarten „KRITIS-Dachgesetz“, in dem die Vorschriften zum Schutz der kritischen Infrastruktur gebündelt werden sollen.
Dazu sagt eco-Vorstand Klaus Landefeld:
„Dass mit dem KRITIS Dachgesetz ganzheitliche Schutzstandards kritischer Infrastrukturen definiert werden sollen, die über den bereits bestehenden Schutz vor IT-Sicherheitsvorfällen hinausgehen, begrüßen wir als Verband der Internetwirtschaft nachdrücklich. Auch die Absicht, den deutschen Rechtsrahmen für den Schutz kritischer Infrastrukturen in ein europäisches Gesamtsystem einzubetten, ist richtig und notwendig. Bei der konkreten Ausgestaltung dieses Gesetzes ist jedoch unbedingt Augenmaß gefragt: Betreiber von KRITIS dürfen nicht einfach einseitig und unverhältnismäßig stark in die Pflicht genommen und beispielsweise durch zahlreiche neue, parallele Meldeverpflichtungen belastet werden. Diese können zu einer Zielerreichung nur indirekt beitragen.
Für eine Stärkung der Handlungsfähigkeit und Resilienz von Wirtschaft, Staat und Gesellschaft gegen Bedrohungen müssen insbesondere auch die Nicht-KRITIS Bereiche stärker in die Planungen mit einbezogen und auch mit in die Verantwortung genommen werden.“
Aus Sicht des eco-Verband der Internetwirtschaft e.V. könnte die in den Eckpunkten vorgesehene Schaffung einer neuen Koordinierungsinstanz beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) im Bereich der IT-Sicherheit zu einem erhöhten Bürokratie-Aufkommen für die Unternehmen führen. Da weiterhin das Bundesamt für Sicherheit in der Informationstechnik (BSI) primär zuständig sein soll, seien parallele Zuständigkeiten unvermeidbar.
„Wie die Zusammenarbeit und Aufgabenteilung zwischen dem BBK und dem BSI künftig ganz konkret aussehen soll, lassen die Eckpunkte bislang völlig offen. Neue Berichtsverpflichtungen und Meldeauflagen für die Unternehmen dürfen aber keinesfalls zu aufgeblähten Bürokratie-Abläufen und Mehrfachmeldungen führen, ohne dabei eine tatsächliche Verbesserung der Sicherheitslage und Verfügbarkeit durch verbesserte Vorkehrungen und Abläufe im Krisenfall zu erreichen.“, mahnt Landefeld.