Stellungnahme zum Diskussionsentwurf vom 2. Dezember 2020 zum IT-SiG 2.0
Zusammenfassung Die deutsche Industrie begrüßt das Vorhaben der Bundesregierung, die Cyberresilienz Deutschlands ganzheitlich signifikant zu stärken. Cyber- und IT-Sicherheit sind Grundlage für eine langfristige sichere digitale Transformation von Staat, Wirtschaft und Gesellschaft. Alle Beteiligten – vom Hard- und Software-Hersteller bis zu gewerblichen Betreibern, Privatanwendern und staatlichen Stellen – müssen aktiv und ganzheitlich in die Stärkung der Cyberresilienz einbezogen werden. Die deutsche Industrie wird hierzu auch weiterhin ihren Beitrag leisten, denn für das störungsfreie Funktionieren von in hohem Maße digitalisierten Prozessen in Unternehmen ist ein hoher Grad an Cyberresilienz eine Grundvoraussetzung. Die deutsche Industrie erwartet, dass der Staat den regulatorischen Rahmen so ausgestaltet, dass das Cybersicherheitsniveau Deutschlands ganzheitlich gestärkt wird, ohne den Unternehmen ungerechtfertigt hohe, respektive unklare Vorgaben aufzuerlegen. Das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) könnte hierfür den geeigneten Rahmen bieten. Die deutsche Industrie sieht den vorliegenden Diskussionsentwurf vom 2. Dezember 2020 jedoch sehr kritisch und in weiten Teilen dringend überarbeitungsbedürftig. Das Gesetz greift vielfach zu weit in unternehmerische Prozesse ein, enthält unberechtigt umfangreiche Auskunftspflichten und zahlreiche vorgesehene Änderungen lassen zudem die notwendige Normklarheit vermissen. Gemeinsam mit den Betroffenen hätte die Bundesregierung vor der Erarbeitung des IT-SiG 2.0 klare Schutzziele definieren und daran den Entwurf ausrichten sollen. Nur mit einer eindeutig definierten Zielrichtung kann ein Gesetz erfolgreich sein. Die deutsche Industrie erachtet die sehr kurze Frist von einer Woche zur Stellungnahme zu einem nicht-ressortabgestimmten Diskussionsentwurf als völlig inakzeptabel. Das IT-Sicherheitsgesetz 2.0 ist das zentrale Legislativvorhaben in dieser Legislatur zur Weiterentwicklung des nationalen Regulierungsrahmens im Bereich Cybersicherheit. Eine vernünftige, tiefgreifende und der Bedeutung des Themas angemessene Befassung durch die Wirtschaft ist in solch einer kurzen Frist überhaupt nicht möglich. Es hätte vielmehr zuerst einer Einigung der Ressorts und anschließend einer mindestens vierwöchigen Verbändeanhörung bedurft. Im Idealfall hätte die Einbindung der Wirtschaft zu solch substanziellen Fragen bereits in der langen Vorbereitungszeit des Entwurfes in strukturierter Form stattgefunden. Die Bundesregierung sollte sich bei zukünftigen Gesetzgebungsverfahren an den Verfahrensweisen des Konsultationsprozesses der Europäischen Kommission orientieren, die eine strukturierte, transparente und mehrstufige Beteiligung aller Interessierter ermöglicht.
Bundesverband der Deutschen Industrie e.V. Mitgliedsverband BUSINESSEUROPE
Hausanschrift Breite Straße 29 10178 Berlin Postanschrift 11053 Berlin Ansprechpartner Steven Heckler T: +493020281523 F: +493020282523 Internet www.bdi.eu E-Mail S.Heckler@bdi.eu
