POSITION | DIGITALISIERUNG | CYBERSICHERHEIT
IT-Sicherheitskennzeichen Verbändeanhörung zu einer Rechtsverordnung zum IT-Sicherheitskennzeichen des BSI (BSI-ITSiKV)
13. August 2021 IT-Sicherheitskennzeichen: Wichtige Maßnahme, die EU-weiten Ansatz bedarf Die deutsche Industrie begrüßt das grundsätzliche Ansinnen der Bundesregierung, die IT-Sicherheit eines Produktes für Verbraucherinnen und Verbraucher kenntlich zu machen. Um erfolgreiche Cyberangriffe zu erschweren, ist ein tagesaktuelles, risiko-adäquates Cybersicherheitsniveau auch bei Lösungen, die Endkonsumentinnen und -konsumenten einsetzen, von höchster Relevanz. Die deutsche Industrie erachtet jedoch eine nationale, freiwillige Lösung als wenig geeignet, um den Schutz von Daten, Diensten und Systemen ganzheitlich zu gewährleisten. Wir sprechen uns vielmehr für ein EU-weit eingeführtes, leicht verständliches und mit einer effizienten Marktaufsicht umgesetztes IT-Sicherheitskennzeichen (IT-SiK) aus, das auf Basis von internationalen Normen und Standards, des EU Cybersecurity Acts sowie horizontaler, NLF-basierter Cybersicherheitsanforderungen eingeführt wird. Anmerkungen zur Rechtsverordnung Für die Möglichkeit zur Kommentierung des vorliegenden Referentenentwurfs für die BSI-ITSiKV möchte sich der BDI ausdrücklich bedanken. Ungeachtet der allgemeinen Bewertung, dass ein IT-SiK EU-weit und nicht mittels eines nationalen Alleingangs eingeführt werden sollte, spricht sich die deutsche Industrie u.a. für folgende Änderungen am vorliegenden Verordnungsentwurf aus: ▪
Definitionen anpassen: Der Begriff „Hersteller“ sollte auch in Verkehr bringende Unternehmen sowie das die Herstellenden vertretene Unternehmen erfassen. Ferner bedarf es einer Anpassung an der Definition „Verkäufer“ und eine Aufnahme der Definition „Verbraucher“.
▪
Gestaltung des IT-SiK überdenken: Die Darstellung unter Rückgriff auf die Nationalflagge erweckt den Eindruck, dass das Produkt durch eine hoheitliche Stelle überprüft wurde. Dies sollte vermieden werden, um nicht falsche Erwartungen bei Verbrauchenden zu wecken.
▪
IT-SiK zielführend umsetzen: Wenn ein nationales IT-SiK eine Wirkung entfalten soll, so muss das BSI rasch zahlreiche Produktkategorien definieren, Branchenstandards berücksichtigen und europäische sowie internationale Normen und Standards als Grundlage bestimmen.
▪
Widerspruch durch Unternehmen ermöglichen: Unternehmen, die ein IT-SiK für ein Produkt beantragen, sollten detaillierte Informationen erhalten, warum ihnen die Erteilung des ITSiK verwehrt wurde. Zudem sollte die Möglichkeit des Widerspruchs geschaffen werden.
▪
Rechtsweg für Verbraucherinnen und Verbraucher klären: Das BMI muss dringend prüfen, welche rechtlichen Konsequenzen fehlende / falsche Informationen, die bei einem IT-SiK hinterlegt sind, im Verhältnis zw. Handel, herstellendem / in Verkehr bringendem Unternehmen sowie Verbraucherinnen und Verbrauchern haben.
Steven Heckler | Digitalisierung und Innovation | T: +49 30 2028-1523 | s.heckler@bdi.eu | www.bdi.eu
IT-Sicherheitskennzeichen
Inhaltsverzeichnis IT-Sicherheitskennzeichen: Wichtige Maßnahme, die EU-weiten Ansatz bedarf ......................... 1 Steigender Grad an Vernetzung verlangt europäischen Ansatz .................................................... 3 Analyse der Rechtsverordnung im Detail ......................................................................................... 3 § 1 Anwendungsbereich ........................................................................................................................ 3 § 2 Begriffsbestimmungen ..................................................................................................................... 4 § 3 Gestaltung des Etiketts und der Website zum IT-Sicherheitskennzeichen .................................... 4 § 4 Antrag .............................................................................................................................................. 6 § 5 Antragsprüfung ................................................................................................................................ 7 § 6 Vereinfachtes Verfahren.................................................................................................................. 8 § 7 Gegenstand der Herstellererklärung ............................................................................................... 8 § 8 Laufzeit des IT-Sicherheitskennzeichens und Erlöschen ............................................................... 9 § 9 Verwendung des Sicherheitskennzeichens .................................................................................. 10 § 10 Anerkennung von Normen, Standards oder branchenabgestimmten IT-Sicherheitsvorgaben .. 11 § 11 Produktkategorien ....................................................................................................................... 11 § 12 Aufsicht ........................................................................................................................................ 12 § 13 Informationen für Verbraucherinnen und Verbraucher ............................................................... 13 § 14 Evaluierung ................................................................................................................................. 14 § 15 Inkrafttreten ................................................................................................................................. 14 Zusätzliche Anmerkungen der deutschen Industrie ..................................................................... 14 Möglichkeit zum Einspruch für Unternehmen ..................................................................................... 14 Rechtsweg für Endverbraucherinnen und Endverbraucher ................................................................ 15 Impressum ......................................................................................................................................... 16
2
IT-Sicherheitskennzeichen
Steigender Grad an Vernetzung verlangt europäischen Ansatz Nach aktuellen Schätzungen wird es im Jahr 2023 823,1 Millionen vernetzte Geräte in Deutschland geben – zum Vergleich, 2017 waren es 464,5 Millionen. Drei Viertel der vernetzbaren Geräte werden durch Privatanwenderinnen und Privatanwender genutzt werden. Jeder Verbraucher und jede Verbraucherin in Deutschland wird im Durchschnitt circa 9,8 vernetzte Geräte besitzen – verglichen mit 5,7 im Jahr 2017.1 Umso wichtiger ist es folglich, dass herstellende Unternehmen, Betreibende sowie Privatnutzerinnen und -nutzer jeweils ihren Beitrag zur Wahrung von einem möglichst hohen Cybersicherheitsniveau leisten. Die deutsche Industrie ist sich der vielfältigen Gefahren für Produkte, Prozesse, Personen und Dienstleistungen bewusst, die sich aus der zunehmenden Vernetzung ergeben. Daher berücksichtigt sie Cybersecurity in unternehmensinternen Prozessen durch security-by-design und security-bydefault und erarbeitet in Industriearbeitskreisen und Normungsorganisationen praxisbezogene Maßnahmen zur Erhöhung der Cyberresilienz vernetzter Produkte, Lösungen und Systeme. Beispielsweise haben sich BDI, DIN und DKE Anfang 2021 gemeinsam für die Einführung horizontaler Cybersicherheitsanforderungen auf Basis des New Legislative Frameworks ausgesprochen und sich bei den zuständigen Stellen auf nationaler und europäischer Ebene für die Berücksichtigung dieser Forderung eingesetzt.2 Nichtsdestotrotz sind am Markt zahlreiche Produkte von Herstellenden erhältlich, die nicht einmal rudimentärsten Cybersicherheitsanforderungen Genüge leisten. Die deutsche Industrie stimmt mit der Bundesregierung überein, dass Verbraucherinnen und Verbraucher beim Erwerb von vernetzbaren Endgeräten eine leicht zugängliche Information über das Cybersicherheitsniveau – einschließlich der noch zu erwartenden zeitlichen Bereitstellung von Sicherheitsupdates – erhalten können sollten. Vor dem Hintergrund der Entwicklung des europäischen Binnenmarkts erachten wir jedoch nationale Alleingänge für den falschen Weg. Vielmehr hätte der deutsche Gesetzgeber – fußend auf Erwägungsgrund 93 der Verordnung 2019/881 (EU Cybersecurity Act) – sich im Ministerrat um die Implementierung eines einheitlichen, europäischen Ansatzes bemühen sollen.
Analyse der Rechtsverordnung im Detail § 1 Anwendungsbereich Regelungsgegenstand Die BSI-ITSiK regelt die Gestaltung und Verwendung des IT-Sicherheitskennzeichens (IT-SiK) im Sinne des § 9c Abs. 1 Satz 1 des BSI-Gesetzes und legt das Verwaltungsverfahren zur Sicherstellung der Anforderungen im Zusammenhang mit der Verwendung des Kennzeichens fest. BDI-Bewertung Der BDI begrüßt die strukturierte Einbeziehung der Industrie mittels einer Verbändeanhörung in die Erarbeitung des IT-Sicherheitskennzeichens. Die deutsche Industrie sieht weiterhin die Notwendigkeit für einen europäischen Ansatz, da nur ein europaweit gültiges, europaweit einheitliches,
1
CISCO. 2021. Visual Networking Index: Forecast Highlights Tool. URL: https://www.cisco.com/c/m/en_us/solutions/serviceprovider/vni-forecast-highlights.html# 2 BID, DIN und DKE. 2021. Europaweite Cyberregulierung. URL: https://bdi.eu/media/publikationen/#/publikation/news/europaweite-cyberregulierung/
3
IT-Sicherheitskennzeichen
flächendeckend eingeführtes, leicht verständliches und mit einer effizienten Marktaufsicht umgesetztes IT-SiK einen wirklichen Beitrag zur Stärkung der Cyberresilienz Deutschlands leisten können wird. § 2 Begriffsbestimmungen Regelungsgegenstand § 2 definiert die Begriffe „Hersteller“, „Verkäufer“, „Branche“, „branchenabgestimmte IT-Sicherheitsvorgabe“, „geeignete oder qualifizierte Dritte“, „Plausibilitätsprüfung“, „Produktkategorie“, „zugehörige Website“ und „Etikett“. BDI-Bewertung „Hersteller“: Als Herstellende sollten auch jene Unternehmen erfasst werden, die Produkte durch Auftragsnehmende herstellen lassen und diese auf dem deutschen Markt bereitstellen. Es sollten damit auch „Produktentwickelnde“ als Herstellende auftreten können, wenn sie das Produkt durch Auftragsfertigende, z.B. in Asien, fertigen lassen. Der Bezug zu Komponenten sollte präzisiert werden, damit unfertige Produkte ausgeschlossen sind und Produkte, die als Komponenten vorgesehen sind aber auch selbständig betrieben werden, erfasst bleiben. Damit können Verbraucherinnen und Verbraucher auch auf mit dem IT-SiK versehene Komponenten zugreifen, um für den privaten Gebrauch sichere Systeme zu konstruieren, z.B. Sensoren und Aktoren für IoT-Lösungen. Zudem gibt es Unternehmen, die international tätige Herstellende als Bevollmächtigte in Deutschland vertreten. Diese Vertretung sollte auch in der Lage sein, als herstellendes Unternehmen gegenüber dem BSI aufzutreten. Nicht zuletzt sollte das gesamte System auch offen gegenüber Herstellenden sein, die in einem anderen Land der europäischen Union tätig sind, um die zukünftige Anschlussfähigkeit für ein europäisches IT-SiK sicherzustellen. „Verkäufer“: Die Definition des Begriffs „Verkäufer“ definiert Verkaufende als „juristische oder natürliche Personen, die als gewerbliche Händler, Verkäufer oder Einführer des Produktes im Geltungsbereich dieses Gesetzes tätig sind“. Damit wären Verkaufende sowohl Oberbegriff als auch Begriffsbestandteil. Wir empfehlen zwecks Normklarheit die Streichung des Terminus „Verkäufer“ innerhalb der Definition. Verbraucherinnen und Verbraucher: Die deutsche Industrie empfiehlt Verbraucherinnen und Verbraucher ebenfalls definitorisch in der Verordnung zu erfassen. Änderungsvorschläge der deutschen Industrie Verkäufer sind juristische oder natürliche Personen, die als gewerbliche Händler, Verkäufer oder Einführer des Produktes im Geltungsbereich dieses Gesetzes tätig sind; Verbraucherinnen und Verbraucher: natürliche Person, die Produkte verwendet oder Dienste nutzt, welche im Geltungsbereich dieses Gesetzes bereitgestellt wurden. § 3 Gestaltung des Etiketts und der Website zum IT-Sicherheitskennzeichen Regelungsgegenstand Das IT-Sicherheitskennzeichen besteht aus der Herstellererklärung, der Sicherheitsinformation nach § 9c Abs. 2 des BSI-Gesetzes, einem Verweis auf die BSI-Homepage, der Nennung des BSI sowie einer grafischen Darstellung. Auf der Webseite des Bundesamtes sind die Herstellererklärung und die Sicherheitsinformation in aktueller Fassung mit der Laufzeit des Kennzeichens abrufbar. Das
4
IT-Sicherheitskennzeichen
herstellende Unternehmen stellt dem Bundesamt hierfür in eigener Verantwortung aktuelle Sicherheitsinformationen zur Konformität des Produktes zur Verfügung, die das Bundesamt auf der zugehörigen Website einstellt. Das Bundesamt kann zudem weitere Informationen über sicherheitsrelevante IT-Eigenschaften und darüber, ob und inwieweit die Herstellererklärung nach derzeitiger Kenntnis eingehalten wird, einstellen. Ferner kann das Bundesamt eine Applikation zur Verfügung stellen, in der die Informationen zum Herstellerversprechen von Produkten bereitgestellt und abgerufen werden können. BDI-Bewertung Die deutsche Wirtschaft begrüßt den grundsätzlichen Ansatz des IT-Sicherheitskennzeichens, die Herstellererklärung und die Sicherheitsinformation nach § 9c Abs. 2 BSIG mit einem Verweis auf die BSIHomepage zu verknüpfen. Der Verweis auf die BSI-Homepage sollte sowohl in Form eines QR-Codes als auch mittels URL erfolgen, um unterschiedlichen Gewohnheiten von Verbraucherinnen und Verbrauchern Rechnung zu tragen. Während die deutsche Industrie insgesamt die aktuell auf der BSI-Homepage3 dargestellte visuelle Aufbereitung des IT-Sicherheitskennzeichens begrüßt (vgl. Abbildung 1), möchten wir darauf hinweisen, dass die aktuelle Darstellung unter Rückgriff auf die Nationalflagge den Eindruck erweckt, dass das Produkt durch eine hoheitliche Stelle im Sinne einer Sachprüfung überprüft wurde. Dieser Eindruck sollte mit Blick auf die „Herstellerselbsterklärung“ sowie die rudimentär wirkende Plausibilitätsprüfung des BSI nach § 5 dieser Verordnung, die Grundlage der Vergabe des IT-Sicherheitskennzeichen sind, nicht erweckt werden. Dies gilt umso mehr, als dass eine missbräuchliche Verwendung des IT-Sicherheitskennzeichens unbedingt verhindert werden muss.
Abbildung 1: Entwurf des IT-SiK gemäß BSI-Homepage (Stand 27.07.2021)
Die deutsche Industrie erachtet den in § 3 Abs. 4 Satz 2 dargestellten Ansatz, dass herstellende Unternehmen das BSI über aktuelle Sicherheitsinformationen zur Konformität des Produktes informieren sollen, nur dann als zielführend, wenn das BSI von der in § 3 Abs. 5 dargelegten Möglichkeit zur Bereitstellung einer digitalen Applikation Gebrauch macht, über die herstellende Unternehmen ihre produktspezifischen Informationen einstellen können, die dann lediglich einer Plausibilitätsprüfung durch das BSI unterzogen werden. Damit Verbraucherinnen und Verbraucher stets mit aktuellen produktspezifischen Informationen versorgt sind, muss sichergestellt werden, dass Informationen ohne Zeitverzug zur Verfügung stehen. Neben der Herstellererklärung, dem QR-Code, der BSI-Information sowie dem Link zur BSI-Website, sollte zusätzlich das „Verfallsdatum“ des IT-Sicherheitskennzeichen integriert werden, damit Kundinnen und Kunden beim Kauf eines Produkts (Hard- und Software) den Gültigkeitszeitraum des Kennzeichens erfahren. Nur wenn Kundinnen und Kunden wissen, wie lang das IT-SiK noch gültig ist, können sie den „Wert“ des Kennzeichens bei ihrer Kaufentscheidung auch adäquat einschätzen. Zugleich
3
Vgl. BSI 2021. Transparente Sicherheit durch das IT-Sicherheitskennzeichen. URL: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/it-sicherheitskennzeichen_node.html
5
IT-Sicherheitskennzeichen
müsste geklärt werden, wie mit der vom BDI geforderten Möglichkeit zur Verlängerung der Laufzeit des IT-SiK (siehe unsere Positionierung unter § 8 Laufzeit des IT-Sicherheitskennzeichens und Erlöschen) in diesem Kontext umgegangen werden kann. Der Gesetzgeber sollte in der BSI-ITSIKV klarstellen, ob das BSI auf seiner Website über jene Produkte und herstellende Unternehmen informieren darf, denen ein IT-SiK durch das Bundesamt versagt wurde. Änderungsvorschläge der deutschen Industrie (1) Das IT-Sicherheitskennzeichen besteht aus der Herstellererklärung und, der Sicherheitsinformation nach § 9c Absatz 2 des BSI-Gesetzes, auf die beide auf dem Etikett verwiesen wird, sowie der Laufzeit des IT-Sicherheitskennzeichens. Das Etikett versetzt den Verbraucher in die Lage, sich ohne erhebliche Hürden mittels gängiger technischer Hilfsmittel über die Art und Aussage der Herstellererklärung gegenüber den Vorgaben des Bundesamtes, die eventuell zur Verfügung stehen-den aktuellen Sicherheitsinformationen und die Laufzeit des Kennzeichens zu informieren. (4) Auf der Webseite des Bundesamtes sind die Herstellererklärung und die Sicherheitsinformation in aktueller Fassung mit der Laufzeit des Kennzeichens abrufbar. Der Hersteller stellt dem Bundesamt hierfür in eigener Verantwortung aktuelle Sicherheitsinformationen zur Konformität des Produktes zur Verfügung, die das Bundesamt auf der zugehörigen Website spätestens binnen zwölf Stunden, in Fällen von höchster Sicherheitsrelevanz binnen zwei Stunden, einstellt. Das Bundesamt kann zudem weitere Informationen über sicherheitsrelevante IT-Eigenschaften und darüber, ob und inwieweit die Herstellererklärung nach derzeitiger Kenntnis eingehalten wird, einstellen. Der Hersteller ist über durch das BSI eingestellte Informationen nach Satz 3 dieses Absatzes binnen 24 Stunden zu informieren. (5) Das Bundesamt kann stellt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung eine digitale Applikation zur Verfügung stellen, in der die Informationen zum Herstellerversprechen von Produkten bereitgestellt und abgerufen werden können. § 4 Antrag Regelungsgegenstand Herstellende Unternehmen können einen Antrag auf Freigabe des IT-Sicherheitskennzeichens für ein Produkt stellen, sofern die Produktkategorie vom BSI nach § 11 freigegeben ist. Der vollständige Antrag ist unter Verwendung der dafür geltenden Vorlage beim BSI, welches den Eingang bestätigt und die Prüfungsfrist mitteilt, einzureichen. Unvollständige Anträge werden ohne Prüfung abgelehnt. Für die Vollständigkeit der Unterlagen ist das herstellende Unternehmen zuständig. BDI-Bewertung Im Zuge der Umsetzung des Onlinezugangsgesetzes spricht sich die deutsche Industrie dafür aus, dass der Antrag auf Erteilung des IT-Sicherheitskennzeichens von Anfang an voll digitalisiert und ohne jedwede papierbasierten Unterlagen erfolgen kann. Das BSI sollte hierfür ein sicheres Online-Formular zur Verfügung stellen. Von rein PDF-basierten Formularen, die per Mail an das BSI gesendet werden müssen, sollte Abstand genommen werden. Vielmehr bedarf es einer medienbruchfreien Lösung.
6
IT-Sicherheitskennzeichen
Sollte das BSI aufgrund fehlender Unterlagen einen Antrag auf Erteilung des IT-SiK ablehnen, sollte es dem Antragsteller / der Antragstellerin mitteilen, welche Unterlagen gefehlt haben. Das Ergebnis der Prüfung sollte ebenfalls in digitaler Form dem Unternehmen zugestellt werden. Zudem empfiehlt die deutsche Industrie, dass die Antragstellung nicht ausschließlich durch das herstellende Unternehmen möglich sein sollte, sondern insbesondere auch das in Verkehr bringende Unternehmen des Produktes in der Lage sein sollte, einen Antrag zu stellen. Dies gilt umso mehr, wenn das herstellende Unternehmen im (nicht-europäischen) Ausland sitzt. Folglich könnte es zielführend sein, durchgängig von einem „antragsstellenden Unternehmen“ zu sprechen, das regelmäßig mit dem herstellenden Unternehmen identisch ist. Änderungsvorschläge der deutschen Industrie (1) Ein Antrag auf Freigabe des IT-Sicherheitskennzeichens für ein Produkt ist nur innerhalb der vom Bundesamt nach § 11 bekannt gegebenen Produktkategorien zulässig. Der Antrag kann vom Hersteller sowie vom Inverkehrbringer des Produktes in digitaler, papierloser Form gestellt werden. (2) Der vollständige Antrag ist unter Verwendung der dafür geltenden Vorlage einzureichen, wenn das Bundesamt eine solche veröffentlicht hat. Der Hersteller, respektive der Inverkehrbringer hat dafür Sorge zu tragen, dass die Erklärung und beigefügten Unterlagen zutreffende Angaben enthalten. Werden Unterlagen nicht oder nicht vollständig vorgelegt, wird der Antrag ohne Prüfung abgelehnt. Sollte ein Antrag nach Satz 3 dieses Absatzes abgelehnt werden, teilt das BSI dem Hersteller, respektive dem Inverkehrbringer mit, welche Unterlagen gefehlt haben. § 5 Antragsprüfung Regelungsgegenstand Das Bundesamt oder eine vom BSI benannte qualifizierte Drittorganisation führt anhand der eingereichten Unterlagen eine Plausibilitätsprüfung durch. Liegen die gesetzlichen Voraussetzungen gemäß § 9c Abs. 5 BSIG vor, erteilt das Bundesamt die Freigabe zur Nutzung des IT-SiK. Das Bundesamt kann den Antrag ablehnen, wenn Hinweise dafür vorliegen, dass (1) das Produkt oder die mit dem Produkt ausgelieferte Software bekannte Sicherheitslücken enthält oder (2) Produkte des herstellenden Unternehmens bereits Gegenstand einer Warnung oder Information nach den §§ 7 oder 7a BSIG oder von Maßnahmen nach § 9c Abs. 8 BSIG betroffen waren. BDI-Bewertung Die deutsche Industrie begrüßt das dargestellte Verfahren zur Antragsprüfung und empfiehlt, dass Unternehmen grundsätzlich erfahren sollten, warum Anträge auf Erteilung eines IT-SiK versagt wurden. Um eine schnelle Antragsbearbeitung gewährleisten zu können ist die Prüfung auf eine Plausibilitätsprüfung aufgrund der Papier- bzw. Aktenlage beschränkt. Aus diesem Grunde soll die Plausibilitätsprüfung auch den Regelfall im Rahmen der Antragsbearbeitung bilden. Nicht sinnvoll erscheint hingegen, das Bundesamt nicht mit dem Recht einer eingehenden Sachprüfung auszustatten, die das Bundesamt im Einzelfall währende der Antragsprüfung oder nach Erteilung der Erlaubnis zur Verwendung des IT-SiK nach eigenem Ermessen vornehmen darf. Insoweit sollte die Vorschrift um ein Sachprüfungsrecht des Bundesamtes erweitert werden. Ohne die Möglichkeit einer eingehenden Prüfung wird es schwierig sein, das Vertrauen der Verbraucherinnen und Verbraucher bzgl. der Sicherheit der gekennzeichneten Produkte gewinnen zu können.
7
IT-Sicherheitskennzeichen
Änderungsvorschläge der deutschen Industrie (1) Das Bundesamt führt anhand der eingereichten Unterlagen eine Plausibilitätsprüfung durch. Die Prüfung erfolgt innerhalb der nach § 11 Absatz 2 1 festgelegten Prüfungsfrist und anhand einer Verfahrensbeschreibung zum Ablauf des Prüfverfahrens, die vom Bundesamt veröffentlicht wird. Dem Bundesamt steht es frei, in begründeten Fällen, anstatt der Plausibilitätsprüfung eine Sachprüfung vorzunehmen. § 6 Vereinfachtes Verfahren Regelungsgegenstand Das Bundesamt kann auf die Plausibilitätsprüfung verzichten, wenn das Bundesamt für das Produkt ein Zertifikat nach § 9 des BSIG auf Grundlage des gleichen Prüfstandards erteilt hat oder ein ausländisches staatliches Kennzeichen auf Grundlage des gleichen oder eines vergleichbaren Prüfstandards und auf Grundlage der gleichen oder vergleichbarer Prüfspezifikationen vergeben worden ist. Das BSI legt in einem Kriterienkatalog fest, unter welchen Voraussetzungen ein Prüfstandard eines anderen Kennzeichens mit solchen nach dieser Verordnung vergleichbar ist und veröffentlicht diese Informationen auf seiner Internetseite. BDI-Bewertung Die deutsche Industrie begrüßt ausdrücklich, dass Unternehmen, die in einem Drittstaat bereits ein ITSiK für ein Produkt erhalten haben, dieses beim BSI zwecks vereinfachter Antragsstellung auf Erteilung eines IT-SiK nach BSI-ITSiKV vorlegen können. Die deutsche Industrie spricht sich dezidiert dafür aus, dass die Bundesregierung auf die Entwicklung eines international gültigen IT-Sicherheitskennzeichens hinwirkt, um Aufwände für staatliche Stellen sowie Unternehmen möglichst gering zu halten und gleichzeitig einen möglichst hohen Grad an Informationen über die Cyberresilienz von Produkten Verbraucherinnen und Verbrauchern zur Verfügung zu stellen. § 7 Gegenstand der Herstellererklärung Regelungsgegenstand Die Herstellererklärung enthält die Zusicherung, dass das Produkt für die nach § 8 festgelegte Dauer die für die einschlägige Produktkategorie geltenden IT-Sicherheitsanforderungen erfüllt. Das herstellende Unternehmen verpflichtet sich, innerhalb des Zeitraumes nach § 8 Abs. 1 Satz 1 das Bundesamt unaufgefordert zu informieren, wenn sich die vom herstellenden Unternehmen erklärten Eigenschaften des Produktes ändern, sobald sie ihm bekannt werden, einschließlich Störungen der Informationssicherheit des Produktes und Sicherheitslücken. Herstellende Unternehmen verpflichten sich des Weiteren, ihnen bekanntwerdende Sicherheitslücken unverzüglich zu beheben und den Stand der dafür erfolgten Maßnahmen dem Bundesamt anzuzeigen. BDI-Bewertung Die deutsche Industrie erachtet die genannten Rahmenbedingungen für die Herstellererklärung als geeignet. Gleichzeitig erachten wir es als zwingend angezeigt, dass das BSI den herstellenden Firmen ein digitales Tool zur Meldung etwaiger Informationen nach § 8 Abs. 1 Satz 2 zur Verfügung stellt. Dadurch könnte zudem eine direkte Information von Verbraucherinnen und Verbrauchern gewährleistet werden.
8
IT-Sicherheitskennzeichen
Die nationale gesetzgebende Instanz sollte frühzeitig gewährleisten, dass etwaige Meldungen von Schwachstellen entsprechend dieser Verordnung mit dem System zur Meldung von Schwachstellen gemäß Artikel sechs der NIS 2-Richtlinie kompatibel sind. Sollte ein Unternehmen eine Schwachstelle gemäß Coordinated Vulnerability Disclosure-Prinzip über das nach Artikel sechs NIS 2-Richtlinie zu etablierende System gemeldet haben, sollte die Pflicht zur Meldung an das BSI entfallen. Das BSISystem müsste eine entsprechende Schnittstelle zum ENISA-System aufweisen. Eine Doppelmeldung wäre angesichts der Möglichkeit der voll digitalisierten Verwaltungsverfahren nicht akzeptabel. § 8 Laufzeit des IT-Sicherheitskennzeichens und Erlöschen Regelungsgegenstand Das herstellende Unternehmen versichert, dass die Herstellererklärung für die dafür festgelegte Dauer erfüllt wird (Laufzeit). Die Laufzeit beträgt regelmäßig zwei Jahre, abweichende Laufzeiten werden durch das BSI zusammen mit Produktkategorien veröffentlicht. Mit Ablauf der Laufzeit erlischt die Freigabe des Bundesamtes. Das Bundesamt weist in der BSI-Sicherheitsinformation öffentlich auf den Ablauf der Laufzeit hin. Wird eine für die einschlägige Produktkategorie geltende IT-Sicherheitsvorgabe geändert oder für ungültig erklärt, erlischt die Freigabe nach einer Frist von einem Monat. Bei einem Verstoß gegen die Herstellererklärung, die gesetzlichen Pflichten eines herstellenden Unternehmens, bei unzutreffenden oder unvollständigen Angaben sowie dem sonstigen Wegfall der Erfüllung der gesetzlichen Voraussetzungen oder Anforderungen des Bundesamtes, kann das Bundesamt die Freigabe unverzüglich widerrufen. Dem antragsstellenden Unternehmen ist eine angemessene Frist zur Stellungnahme zu geben, es sei denn, gewichtige Sicherheitsgründe erfordern eine sofortige Maßnahme. BDI-Bewertung Der deutschen Industrie erschließt es sich nicht, warum Unternehmen nur vier Wochen Zeit erhalten, nach Änderung von geltenden IT-Sicherheitsvorgaben, die Prüfgrundlage zu aktualisieren, das BSI nach § 5 jedoch sechs Wochen, also 1,5 Monate, Zeit erhält, um Anträge zu prüfen. Unternehmen sollten mindestens ebenso lang Zeit haben für entsprechende Anpassungen. Ferner sollte das ITSicherheitskennzeichen bei Produkten, die regelmäßig mehr als zwei Jahre mit sicherheitsbezogenen Software-Updates versorgt werden, länger als zwei Jahre gültig sein. Damit das IT-Sicherheitskennzeichen nicht durch Unternehmen wettbewerbsverzerrend verwendet werden kann, bedarf es ausreichender personeller Ressourcen im BSI, die mittels der in § 12 genannten Marktaufsicht zu mindestens gravierende Verstöße gegen die Herstellererklärung, die gesetzlichen Pflichten des herstellenden Unternehmens, bei unzutreffenden oder unvollständigen Angaben sowie dem sonstigen Wegfall der Erfüllung der gesetzlichen Voraussetzungen oder Anforderungen die Freigabe des IT-Sicherheitskennzeichens zeitnah entziehen können. Die deutsche Industrie fordert die Bundesregierung auf, in § 8 darzustellen, wie die Erneuerung der Genehmigung zur Verwendung des IT-SiK organisiert wird. Unternehmen sollten die Möglichkeit haben, die Laufzeit des IT-SiK für Produkte, die länger als zwei Jahre auf dem Markt angeboten werden, mittels eines schlanken, volldigitalisierten Prozesses erneuern zu können. Änderungsvorschläge der deutschen Industrie (3) Wird eine für die einschlägige Produktkategorie geltenden IT-Sicherheitsvorgabe geändert oder für ungültig erklärt, erlischt die Freigabe nach einer Frist von einem Monat sechs Wochen,
9
IT-Sicherheitskennzeichen
wenn der Hersteller die Herstellererklärung nicht auf einer gültigen Prüfgrundlage aktualisiert. Das Bundesamt weist auf entsprechende Änderungen, Ungeeignetheit oder Aufhebungen in der Veröffentlichung der Produktkategorie nach § 11 hin. (5) Für Produkte, für die das Bundesamt bereits ein IT-Sicherheitskennzeichen erteilt hat, können Unternehmen spätestens zwei Monate vor Ablauf der Gültigkeit des IT-Sicherheitskennzeichens dessen Verlängerung um weitere zwei Jahre online beantragen. Das Bundesamt entscheidet vor Ablauf der Gültigkeit des aktuellen IT-Sicherheitskennzeichens über dessen Verlängerung und informiert das Unternehmen über das Ergebnis der Prüfung. § 9 Verwendung des Sicherheitskennzeichens Regelungsgegenstand Das produktspezifische Etikett, dessen grafische Gestaltung das BSI vorgibt und an dem herstellende Unternehmen keine Änderung vornehmen dürfen, darf in physischer und elektronischer Ausführung für die Dauer der Freigabe nach den Vorgaben des § 9c des BSI-Gesetzes und dieser Rechtsverordnung verwendet werden. Mit der Freigabe stellt das Bundesamt dem Herstellenden das produktspezifische Etikett zur Verfügung. Das Etikett darf nach der Freigabe auf Produkten oder deren Umverpackungen vom Herstellenden angebracht werden. Liegt keine Freigabe mehr vor, erlöschen die Rechte von Herstellenden und Verkaufenden nach dieser Vorschrift. Das herstellende Unternehmen hat dafür Sorge zu tragen, dass keine nach dem Erlöschen hergestellten Produkte mehr mit dem IT-SiK-Etikett auf den Markt gebracht werden. BDI-Bewertung Angesichts des Wachstums im Online-Handel begrüßt die deutsche Industrie, dass Unternehmen das IT-SiK sowohl in physischer wie digitaler Form verwenden dürfen. Das BSI muss jedoch in geeigneter Form mittels einer weitreichenden Marktaufsicht sicherstellen, dass es insbesondere auf Online-Marktplätzen nicht zu einer missbräuchlichen Nutzung des IT-SiK kommt. Ferner muss klargestellt werden, dass herstellende und in Verkehr bringende Unternehmen Produkte, die vor Erlöschen der Freigabe zur Verwendung des IT-SiK hergestellt wurden, auch restlos verkaufen dürfen. Die deutsche Industrie regt zudem an, dass die gesetzgebende Instanz im Rahmen der Rechtsverordnung klärt, inwiefern Unternehmen das IT-SiK zu Werbezwecken nutzen dürfen. Dies lässt der vorliegende RVO-Entwurf offen. Änderungsvorschläge der deutschen Industrie (4) Liegt keine Freigabe mehr vor, erlöschen die Rechte von Hersteller und Verkäufer nach dieser Vorschrift. Der Hersteller hat dafür Sorge zu tragen, dass keine nach dem Er-löschen hergestellten Produkte mehr mit dem Etikett auf den Markt gebracht werden. Ein restloser Abverkauf von Produkten, die vor dem Erlöschen der Freigabe hergestellt wurden und daher das Etikett tragen, ist dem Hersteller, Inverkehrbringern sowie dem Handel gestattet. Nach Erlöschen der Freigabe darf jedoch mit dem IT-Sicherheitskennzeichen nicht mehr geworben werden.
10
IT-Sicherheitskennzeichen
§ 10 Anerkennung von Normen, Standards oder branchenabgestimmten IT-Sicherheitsvorgaben Regelungsgegenstand Das BSI stellt die Eignung von Normen und Standards fest. Branchenverbände oder herstellende Unternehmen können branchenabgestimmte IT-Sicherheitsvorgaben zur Gewährleistung der Anforderungen vorschlagen, deren Eignung das BSI prüft. Wird für eine Produktkategorie mehr als ein Antrag gestellt, so gibt das BSI den Standard mit einer angemessenen Frist zur Einigung an die Vorschlagenden zurück; es kann nach Ablauf dieser Frist ohne Einigung einen der Standards zur Prüfung auswählen. Für eine Norm, einen Standard oder eine branchenabgestimmte IT-Sicherheitsvorgabe, der oder die nicht mehr diesen Anforderungen oder dem Stand der Technik entspricht oder in eine Technische Richtlinie überführt wurde, kann die Feststellung vom Bundesamt vor Ablauf der Frist widerrufen werden. BDI-Bewertung Der BDI begrüßt die Möglichkeit, dass Branchenvertreterinnen und -vertreter branchenspezifische Standards dem BSI vorschlagen können und diese sogar in Technische Richtlinien überführt werden können. Dies hat das Potenzial, möglichst zeitnah eine produktgruppenübergreifende Verwendung des IT-SiK zu erreichen. Zugleich spricht sich die deutsche Industrie dezidiert für einen Verweis auf internationale oder mindestens europäische Normen und Standards aus, um der globalen Technologiefragmentierung nicht weiter Vorschub zu leisten. Die deutsche Industrie erachtet es als zwingend, dass Normen und Standards nicht zu stark auf einzelne Produkte fokussiert sind, sondern vielmehr das Zusammenwirken unterschiedlicher Lösungen berücksichtigen. So sollten eine App und das Smartphone, auf dem diese App installiert werden, nicht losgelöst voneinander betrachtet werden, sondern auch die Interaktion dieser beiden Technologien Berücksichtigung finden. Dies sehen wir im vorgeschlagenen Verordnungsentwurf noch nicht hinreichend abgebildet. § 11 Produktkategorien Regelungsgegenstand Das Bundesamt legt die Produktkategorien, für deren Produkte es die Freigabe des IT-SiK erteilt, sowie die regelmäßige Prüfungsfrist fest. Die Veröffentlichung erfolgt im Bundesanzeiger und auf der BSI-Homepage. Legt das Bundesamt keine Prüfungsfrist für die Produktkategorie fest, gilt eine regelmäßige Frist von sechs Wochen. Das Bundesamt kann für die konkreten Sicherheitsanforderungen auf bestehende Vorgaben, Standards, Technische Richtlinien, Prüfgrundlagen oder branchenabgestimmte IT-Sicherheitsvorgaben verweisen und bemüht sich um den Gleichlauf mit international etablierten Standards. BDI-Bewertung Das IT-SiK sollte, wenn es schon nur national eingeführt wird, rasch seine Wirkung auf zahlreiche Produktgruppen entfalten, um die Akzeptanz der Verbraucherinnen und Verbraucher für das Kennzeichen zu gewährleisten. Auch wird ein weiter Verbreitungsgrad des Kennzeichens den Kenntnisstand der Verbraucherinnen und Verbraucher über die Bedeutung des Kennzeichens positiv beeinflussen.
11
IT-Sicherheitskennzeichen
Verbraucherinnen und Verbraucher müssen über die Cyberresilienz aller relevanten Produkte, dies umfasst Hard- und Softwarelösungen gleichermaßen, informiert werden. Ein cyberresilienter Router, für den Updates angeboten werden, hilft der Cybersicherheit eines Haushalts nur begrenzt, wenn die mit dem Router vernetzten Produkte signifikante Cybersicherheitsschwachstellen aufweisen. Zudem muss berücksichtigt werden, dass sich besonders in den Softwareapplikationen auf dem Laptop oder PC Schwachstellen befinden. Das IT-Sicherheitskennzeichen sollte daher auch explizit für reine Softwareprodukte gelten, ganz gleich ob physisch oder digital vertrieben, und entsprechend im Wortlaut ausgestaltet werden. Zudem muss das BSI gewährleisten, dass das IT-SiK einen klar abgegrenzten Fokus auf Endverbraucherinnen und -verbraucher hat. Es bedarf einer eindeutigen Kommunikation durch das BSI, dass das IT-SiK keine geeignete Informationsquelle zur Cybersicherheit von Produkten für KRITIS-Betriebe sowie mittelständische oder multinationale Unternehmen ist. Einzig Klein- und Kleinstunternehmen, die regelmäßig keine IT-Sicherheitsfachkraft haben, sollten das IT-SiK ebenfalls als Unterstützung bei Kaufentscheidungen verwenden. In diesem Zusammenhang wäre sicherzustellen, dass das IT-SiK nicht höherwertige Prüfbescheinigungen schwächt oder entwertet. Das BSI sollte ferner regelmäßig auf internationale Normen und Standards, im Rahmen des CSA entwickelte Cybersicherheitszertifizierungsschemata sowie den Anforderungen eines zukünftigen europäischen Cybersicherheitsrechtsakts auf Basis des NLF verweisen. Nationale Ansätze sollten angesichts der hochgradig in internationale Wertschöpfungsnetzwerke eingebundenen deutschen Industrie die Ausnahme darstellen. Änderungsvorschläge der deutschen Industrie (1) Das Bundesamt kann soll – wo immer möglich – für die konkreten Sicherheitsanforderungen auf bestehende Vorgaben, Standards, Technische Richtlinien, Prüfgrundlagen oder branchenabgestimmte IT-Sicherheitsvorgaben verweisen und bemüht sich um den Gleichlauf mit international etablierten Standards. § 12 Aufsicht Regelungsgegenstand Eine Aufsicht über Produkte und herstellende Unternehmen, welche die Freigabe zur Nutzung des ITSiK erhalten haben, erfolgt für die Dauer der Freigabe auf Basis eines vom BSI erarbeiteten Überwachungskonzeptes und anlassbezogen reaktiv. Zur effektiven Marktaufsicht kann das Bundesamt Testkäufe vornehmen. BDI-Bewertung Nach Ansicht der deutschen Industrie wird der Erfolg eines IT-SiK maßgeblich vom Vertrauen der Verbraucherinnen und Verbraucher in das Kennzeichen abhängen. Eine effiziente Marktaufsicht ist umso wichtiger, ob der Bedeutung, die ein IT-SiK für die Kaufentscheidung hätte. Laut einer Studie im Auftrag des BMI würden 70 Prozent der Verbraucherinnen und Verbraucher eher der Sicherheit eines Produktes mit einem (wie auch immer ausgestalteten) IT-Sicherheitskennzeichen vertrauen. 71 Prozent würden zudem ein Produkt mit einem Kennzeichen eher kaufen als eines ohne Kennzeichen. Die Studie zeigt zudem, dass zwei Drittel der Verbraucherinnen und Verbraucher bereit wären, für ein Produkt mit einem IT-Sicherheitskennzeichen mehr Geld auszugeben als für ein vergleichbares
12
IT-Sicherheitskennzeichen
Produkt ohne eine entsprechende Kennzeichnung. 4 Um dies zu gewährleisten, muss eine vollumfängliche Marktaufsicht für das IT-SiK etabliert werden. Die für die Marktaufsicht zuständige staatliche Stelle müsste entsprechend der Schwere der Verletzung der Vorgaben der zugrundeliegenden TR geeignete Maßnahmen ergreifen können. Eine Marktverzerrung durch ein zu Unrecht genutztes ITSiK gilt es auszuschließen. Der BDI begrüßt, dass das BSI zur effektiven Marktaufsicht Testkäufe vornehmen kann. Hiervon sollte es in geeigneten Umfang Gebrauch machen. Neben der Befugnis von Testeinkäufen ist dem Bundesamt ausdrücklich das Recht einer vollumfassenden Sachprüfung einzuräumen. Ein solches Recht ergibt sich weder aus dem Entwurf des § 12 noch aus der Begründung des Entwurfstextes. Insoweit ist die Vorschrift des § 12 zu ergänzen. Die deutsche Industrie würde es begrüßen, wenn das Marktaufsichtskonzept auf der Website des BSI veröffentlicht werden würde. Änderungsvorschläge der deutschen Industrie (1) Eine Aufsicht über Produkte und Hersteller, welche die Freigabe zur Nutzung des Sicherheitskennzeichens erhalten haben, erfolgt für die Dauer der Freigabe. Sie erfolgt auf der Grundlage eines Überwachungskonzeptes, und anlassbezogen reaktiv und kann eine Sachprüfung umfassen. § 13 Informationen für Verbraucherinnen und Verbraucher Regelungsgegenstand Informationen für Verbraucherinnen und Verbrauchern zu Produkten mit der Freigabe zur Nutzung des IT-SiK werden in der Sicherheitsinformation nach § 9c Abs. 2 des BSI-Gesetzes auf der Website des Bundesamtes veröffentlicht. BDI-Bewertung Der BDI begrüßt die Information für Verbraucherinnen und Verbrauchern über IT-Sicherheitsaspekte von Produkten. Ein QR-Code-basierter Verweis auf dem IT-Sicherheitskennzeichen scheint hierfür ein geeigneter Ansatz. Zugleich sollte jedoch auch Nutzenden, die vorzugsweise URL-basierte Lösungen nutzen, Rechnung getragen werden. Das IT-SiK sollte ferner nicht ausschließlich darüber informieren, wie das Cybersicherheitsniveau eines Produktes sein würde, wenn der Nutzer / die Nutzerin alle verfügbaren Updates und Patches installiert hätte. Vielmehr muss der elektronische Beipackzettel den Nutzer / die Nutzerin dazu befähigen, selbständig das Cybersicherheitsniveau seiner / ihrer vernetzten Produkte durch einen verantwortungsbewussten Einsatz des vernetzten Geräts (Installation von Updates/Patches, Verwenden sicherer Passwörter etc.) aufrechtzuerhalten. So sollten Verbraucherinnen und Verbraucher nicht nur informiert werden, dass es ein Update gibt oder wie lange das herstellende Unternehmen die Bereitstellung von Updates garantiert, sondern vielmehr, wie das Update auch installiert werden kann. Zudem sollte das BSI im Rahmen des elektronischen Beipackzettels auch allgemeingültige Informationen zu Themen wie Cyberhygiene hinterlegen.
4
PwC. 2017. Konzeption eines IT-Sicherheits-Gütesiegels Abschlussbericht.
13
IT-Sicherheitskennzeichen
§ 14 Evaluierung Regelungsgegenstand Drei Jahre nach Inkrafttreten der Rechtsverordnung und folgend alle drei Jahre sind unter Einbeziehung von Bundesressorts die Produktkategorien, die Anerkennung von Branchenstandards sowie die Freigabekriterien für das Kennzeichen zu evaluieren. BDI-Bewertung Die deutsche Industrie begrüßt, dass die Rechtsverordnung direkt eine regelmäßige Evaluierung vorsieht, bedauert jedoch zugleich, dass die Wirtschaft sowie Organisationen zum Schutz von Verbraucherinnen und Verbrauchern nicht in diesen Prozess einbezogen werden. Diese sollten dringend in den Prozess mit einbezogen werden. Änderungsvorschläge der deutschen Industrie Drei Jahre nach Inkrafttreten dieser Rechtsverordnung und folgend alle drei Jahre sind unter Beteiligung der in § 10 Absatz 3 Satz 1 des BSI-Gesetzes genannten Ressorts sowie der Wirtschaft und Verbraucherschutzorganisationen zu evaluieren: 1. die Produktkategorien; 2. die Anerkennung von Branchenstandards; 3. die Freigabekriterien für das Kennzeichen. § 15 Inkrafttreten Regelungsgegenstand Die Verordnung tritt am Tag nach ihrer Verkündung in Kraft. BDI-Bewertung Der BDI fordert das Bundesministerium des Innern, für Bau und Heimat sowie das BSI dazu auf, Unternehmen und Verbände frühzeitig und umfassend vor Inkrafttreten der Rechtsverordnung über die Prozesse und Potenziale des IT-SiK zu informieren. Insbesondere KMU sollten in die Lage versetzt werden, das IT-SiK für ihre Produkte zu beantragen und müssen zuvorderst über die Existenz solch eines Kennzeichens umfangreich informiert werden. Zudem bedarf es umfassender Handreichungen für Verbraucherinnen und Verbraucher (z.B. via Fernseh- und Internetwerbung).
Zusätzliche Anmerkungen der deutschen Industrie Möglichkeit zum Einspruch für Unternehmen Der deutschen Industrie erschließt sich aus der vorliegenden BSI-ITSiKV nicht, welche Möglichkeiten Unternehmen haben, gegen Entscheidungen des BSI, das IT-Sicherheitskennzeichen nicht zu erteilen, Widerspruch einzulegen. Da ein zu Unrecht nicht erteiltes IT-Sicherheitskennzeichen potenziell wettbewerbsverzerrend wirken kann, sollte ein zusätzlicher Paragraf darlegen, wie der Einspruch geregelt ist.
14
IT-Sicherheitskennzeichen
Rechtsweg für Endverbraucherinnen und Endverbraucher Gemäß der Begründung zur BSI-ITSiKV, sollen „Verbraucherinnen und Verbraucher [durch das ITSiK] in die Lage versetzt werden, den Aspekt der IT-Sicherheit bei der Auswahl ihrer IT-Produkte in einfacher Form zu berücksichtigen“. Daher stellt sich der deutschen Industrie die Frage, ob Endverbraucherinnen und Endverbraucher rechtliche Schritt einleiten können, wenn im IT-Sicherheitskennzeichen fehlerhafte / nicht aktuelle Informationen beim Kauf enthalten waren. Hierauf sollte die BSIITSiKV dringend Antworten bieten – zum Beispiel im Kontext von Haftungs-, Garantie- und Gewährleistungsansprüchen.
15
IT-Sicherheitskennzeichen
Impressum Bundesverband der Deutschen Industrie e.V. (BDI) Breite Straße 29, 10178 Berlin www.bdi.eu T: +49 30 2028-0 Redaktion Steven Heckler Stellvertretender Abteilungsleiter Digitalisierung und Innovation T: +49 30 2028-1523 s.heckler@bdi.eu
BDI Dokumentennummer: D 1431
16
