Stellungnahme zum Diskussionsentwurf für ein IT-Sicherheitsgesetz 2.0

Page 55

Stellungnahme zum Diskussionsentwurf vom 2. Dezember 2020 zum IT-SiG 2.0

Zu Artikel 4 – Änderung des Gesetzes über die Elektrizitäts- und Gasversorgung (EnWG) Zu § 11 Einführung der Abs. 1d, 1e und 1f Unternehmen des KRITIS-Sektors „Energie“, die unter den Anwendungsbereich des IT-SiG 2.0 und der KRITIS-VO fallen, müssen (1d) in ihren informationstechnischen Systemen, Komponenten oder Prozessen, die für die Funktionsfähigkeit der von ihnen betriebenen Energieversorgungsnetze oder Energieanlagen maßgeblich sind, in angemessener Weise Systeme zur Angriffserkennung einsetzen; (1e) für die Angriffserkennung und Angriffsnachverfolgung relevante nicht personenbezogene Daten, die beim Betrieb eines Energieversorgungsnetzes oder einer Energieanlage anfallen, mindestens vier Jahre speichern; und (1f) die Erfüllung der Anforderung nach Abs. 1d dem BSI nachweisen. Das Vorhalten von Systemen zur Angriffserkennung ist aus Sicht des BDI eine sinnvolle Maßnahme, um die Cyberresilienz Kritischer Infrastrukturen zu stärken. Es ist jedoch zu prüfen, inwiefern die Nutzung solcher Systeme zum Verlust von Gewährleistungs- und Wartungsansprüchen führen können. Die deutsche Industrie lehnt die Anforderung nach Abs. 1e als völlig realitätsfern ab. Betreiber Kritischer Infrastrukturen werden in § 8a Abs. 1a BSIG-E und § 11 Abs. 1d verpflichtet, Systeme zur Angriffserkennung zu installieren, um „fortwährend Bedrohungen zu identifizieren und zu vermeiden“. Es ist nicht ersichtlich, warum diese Daten für vier Jahre gespeichert werden müssen. Bei Unternehmen fallen vielfach 1TByte an Daten pro Tag an. Diese verpflichtend für vier Jahre speichern zu müssen, ist aus unternehmerischer Sicht nicht darstellbar. Zudem hätte die Umsetzung dieser Forderung auch massive ökologische Implikationen, ohne eine signifikante Stärkung der Cyberresilienz zu gewährleisten. Die deutsche Industrie empfiehlt folgende Anpassung an § 11 Abs. 1e: „(1e) Nach Absatz 1d Verpflichtete müssen können für die Angriffserkennung und -nach-verfolgung relevante nicht personenbezogene Daten, die beim Betrieb eines Energie-versorgungsnetzes oder einer Energieanlage anfallen, maximal mindestens vier Jahre speichern.“

www.bdi.eu

Seite 55 von 58

Turn static files into dynamic content formats.

Create a flipbook

Articles inside

Gasversorgung (EnWG

1min
page 55

Zu Artikel 3 Änderung des Telemediengesetzes

2min
pages 53-54

Sicherheit in der Informationstechnik (BSIG

56min
pages 13-47

Einführung Artikel 7 Evaluierung

1min
page 57

Zu Artikel 2 Änderung des Telekommunikationsgesetzes

7min
pages 48-52

Zu Artikel 5 Änderung der Außenwirtschaftsverordnung

1min
page 56

Zusammenfassung

14min
pages 4-12
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.