1 minute read
Zu § 4a Kontrolle der Kommunikationstechnik des Bundes
Referentenentwurf (Stand 27.3.2019) zum IT-Sicherheitsgesetz 2.0
Anwendern tatsächlich erfüllen kann. Zudem sind die Pflichten des BSI zu konkretisieren, beispielsweise wie schnell das BSI zu warnen hat.
Mit Blick auf die Entwicklung von Anforderungen an Identifizierungs- und Authentisierungsverfahren (§ 3 Abs. 1 Satz 19) sowie die Entwicklung und Veröffentlichung sicherheitstechnischer Anforderungen an IT-Produkte (§ 3 Abs. 1 Satz 20) empfiehlt sich eine Abstimmung der Verfahren mit der Anwender- und Herstellerindustrie, um nicht an den tatsächlichen Bedarfen vorbeizuentwickeln. Es ist unklar, ob und in welchem Maße die vom BSI veröffentlichten Anforderungen an Identifizierungs- und Authentifizierungsverfahren Anspruch auf Verbindlichkeit besitzen und inwieweit die Durchsetzung dieser Anforderungen unter Zugrundelegung der EU-Binnenmarktharmonisierung europarechtskonform umgesetzt werden kann.
Der BDI spricht sich daher für folgende Änderungen des Gesetzestextes aus:
„19. Entwicklung von Anforderungen an Identifizierungs- und Authentisierungsverfahren und Bewertung dieser Verfahren unter dem Gesichtspunkt der Informationssicherheit und unter Berücksichtigung etablierter Marktund Branchenstandards und dem Stand der Technik sowie dem Ziel, die Ergebnisse in die internationale Standardisierung einzubringen“
„20. Entwicklung sicherheitstechnischer Anforderungen an IT-Produkte unter Berücksichtigung etablierter Markt- und Branchenstandards und dem Stand der Technik mit dem Ziel, diese in die internationale Standardisierung einzubringen.“
Zu § 4a Kontrolle der Kommunikationstechnik des Bundes
Mit Blick auf § 4a sieht der BDI die Notwendigkeit zur Klarstellung folgender Rechtsbegriffe: ▪ Zu Satz 1: Es empfiehlt sich, eine Präzisierung des Begriffs „mit Betriebsleistungen beauftragten Dritten“ vorzunehmen. ▪ Zu Satz 3: Hier sollte ebenfalls eine Präzisierung der „Dritten, die Schnittstellen zur Kommunikationstechnik des Bundes haben“ erfolgen. Es stellt sich die Frage, inwiefern Hersteller, die Schnittstellen zur Informationstechnik des Bundes haben (organisatorisch und/oder technisch), betroffen sind. Zudem bedarf es einer konkreteren Definition, welche Schnittstellen unter den Anwendungsbereich des § 4a Satz 3 BSIG n.F. fallen.
Weiterhin ist den zu definierenden Dritten die Vertraulichkeit zuzusichern, da das Bundesamt Einblick in sehr weitgehende Informationen erhalten kann, die durchaus geschäftskritisch sein können, wenn sie z.B. Wettbewerbern bekannt würden.
