Heute verabschieden wir das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme. Primäres Ziel ist der bessere Schutz der Bundesverwaltung, der kritischen Infrastrukturen wie die Strom- und Wasserversorgung sowie der Schutz der Verbraucherinnen und Verbraucher. Digitale Geräte und Netze sollen sicherer werden.
Sebastian Hartmann, zuständiger Berichterstatter:
„Nach langen und sehr konstruktiven Beratungen bekommt das IT-Sicherheitsgesetz heute ein Up-Date. Das Bundesamt für Sicherheit in der Informationstechnik wird gestärkt und personell besser ausgestattet. Der Verbraucherschutz wird Teil des Aufgabenkatalogs des Bundesamts und ein einheitliches IT-Sicherheitskennzeichen eingeführt. Gestärkt werden auch die Vorsorgepflichten von Unternehmen beispielsweise bei den Systemen zur Angriffserkennung und bei den Meldepflichten im Falle eines Hacker-Angriffs.
Bedenken, die insbesondere auch in der Öffentlichen Anhörung aufkamen, wurden aufgegriffen und an entscheidenden Stellen Konkretisierungen und Verbesserungen vorgenommen. Schutzziele gemäß der CIA-Regel ‚Vertraulichkeit, Integrität und Verfügbarkeit‘ wurden im Gesetz verankert und Begriffsbestimmungen konkretisiert. Wir stärken das BSI in seiner Rolle als neutraler Partner, denn es soll ein Partner sowohl für die Bundesverwaltung, die Wirtschaft als auch die Verbraucherinnen und Verbraucher sein.
Die Regelung, die den Einsatz kritischer Komponenten in Infrastrukturen verbietet, wurde komplett neu gefasst. Sie trennt nun deutlich zwischen technischer Zertifizierung einerseits und politischer Entscheidung über Vertrauenswürdigkeit von Komponenten beziehungsweise Herstellern andererseits. Es ist wichtig, dass das Parlament hierzu klare Kriterien vorgibt und rechtssichere Verfahren für die Prüfung vor einem Einbau sowie für Entscheidungen danach schafft.
Wichtige Hinweise ergeben sich aus einer begleitenden Entschließung des Innenausschusses, wo unter anderem klargestellt wird, dass über Anordnungsbefugnisse gegenüber Telekommunikationsdiensteanbietern kein Eingriff in das ‚Computergrundrecht‘ erfolgt. Aus ihr ergeben sich zudem Prüfauftrage zur Entwicklung eines verbesserten Lagebildsystems. Auch soll geprüft werden, in welcher Form Entschädigungsregelungen bei nachträglichen Verboten von kritischen Komponenten eingebaut werden können. Hier wird eine weitere Rechtsgrundlage nötig sein.“