Referentenentwurf (Stand 27.3.2019) zum IT-Sicherheitsgesetz 2.0
Angriffserkennung durch das BSI so gestaltet werden soll, dass sie den individuellen Ansprüchen der betroffenen Unternehmen entspricht. Es gilt insbesondere, den jeweiligen Stand der Technik zu berücksichtigen. Andernfalls bestünde die Gefahr, dass die Anforderungen an Systeme zur Angriffserkennung das Gebot der Verhältnismäßigkeit missachten würde. Somit bedürfte es Ausnahmeregelungen für jene Branchen und Unternehmen, wo der Einsatz von Systemen zur Angriffserkennungen negative unternehmerische Implikationen nach sich ziehen würde: In einigen Branchen, wie beispielsweise dem Energiesektor, würde der Einsatz einer entsprechenden Technologie sogar zum Verlust von Gewährleistungs- und Wartungsansprüchen führen. Daher gilt es, bei der Definition der entsprechenden Technologien die Betreiber Kritischer Infrastrukturen sowie die Betreiber von Anlagen im öffentlichen Interesse einzubeziehen. Die Anforderung, Daten „unverzüglich zu löschen, wenn sie nicht für die Vermeidung von Störungen nach Absatz 1 Satz 1 erforderlich sind“ ist praxisfern, daher sind angemessene Speicherfristen vorzusehen, die auch nachträglich eine Erkennung von Angriffen ermöglichen. Bevor weiterführende Berichtspflichten an das BSI für Unternehmen eingeführt werden, sollte der Mehrwert, der sich aus einer Berichtspflicht gegenüber dem BSI für die IT-Sicherheit in den betroffenen Unternehmen ergibt, belegt werden. Die Vorgabe, jedes Quartal an unterschiedliche Personen und Behörden einen detaillierten Bericht zu den Systemen zur Angriffserkennung zu geben ist ein Meldezwang, der den mit dem IT-SiG 2.0 verbundenen bürokratischen Aufwand unangemessen erhöhen würde. Unternehmen sollten ihre knappen personellen Ressourcen in die Gewährleistung eines hohen Cybersicherheitsschutzniveaus investieren können und nicht in das Verfassen von Berichten. Zu § 8a Absatz 6 – Vertrauenswürdigkeitserklärung für Hersteller von KRITIS-Kernkomponenten Mit § 8a Abs. 6 BSIG n.F. sieht der deutsche Gesetzgeber die Einführung einer Vertrauenswürdigkeitserklärung für Hersteller von KRITIS-Kernkomponenten vor. Dadurch soll zukünftig gewährleistet werden, dass Kernkomponenten, die in Kritischen Infrastrukturen zum Einsatz kommen, nur von vertrauenswürdigen Herstellern bezogen werden. Diese Regelung soll Auswirkungen auf die gesamte Lieferkette entfalten. Wie in der BDI-Stellungnahme vom April 2019 zum Vorschlag der Bundesnetzagentur für einen Aktualisierten Katalog von Sicherheitsanforderungen zu § 109 Telekommunikationsgesetz dargelegt, spricht sich der BDI dafür aus, dass technikbezogene Zertifizierungen und Sicherheitsüberprüfungen niemals die einzige Dimension zur Stärkung der Widerstandsfähigkeit von Kritischen Infrastrukturen sein dürfen. Vielmehr müssen sie Teil einer www.bdi.eu
Seite 21 von 43
