IT-Sicherheitskennzeichen
Die nationale gesetzgebende Instanz sollte frühzeitig gewährleisten, dass etwaige Meldungen von Schwachstellen entsprechend dieser Verordnung mit dem System zur Meldung von Schwachstellen gemäß Artikel sechs der NIS 2-Richtlinie kompatibel sind. Sollte ein Unternehmen eine Schwachstelle gemäß Coordinated Vulnerability Disclosure-Prinzip über das nach Artikel sechs NIS 2-Richtlinie zu etablierende System gemeldet haben, sollte die Pflicht zur Meldung an das BSI entfallen. Das BSISystem müsste eine entsprechende Schnittstelle zum ENISA-System aufweisen. Eine Doppelmeldung wäre angesichts der Möglichkeit der voll digitalisierten Verwaltungsverfahren nicht akzeptabel. § 8 Laufzeit des IT-Sicherheitskennzeichens und Erlöschen Regelungsgegenstand Das herstellende Unternehmen versichert, dass die Herstellererklärung für die dafür festgelegte Dauer erfüllt wird (Laufzeit). Die Laufzeit beträgt regelmäßig zwei Jahre, abweichende Laufzeiten werden durch das BSI zusammen mit Produktkategorien veröffentlicht. Mit Ablauf der Laufzeit erlischt die Freigabe des Bundesamtes. Das Bundesamt weist in der BSI-Sicherheitsinformation öffentlich auf den Ablauf der Laufzeit hin. Wird eine für die einschlägige Produktkategorie geltende IT-Sicherheitsvorgabe geändert oder für ungültig erklärt, erlischt die Freigabe nach einer Frist von einem Monat. Bei einem Verstoß gegen die Herstellererklärung, die gesetzlichen Pflichten eines herstellenden Unternehmens, bei unzutreffenden oder unvollständigen Angaben sowie dem sonstigen Wegfall der Erfüllung der gesetzlichen Voraussetzungen oder Anforderungen des Bundesamtes, kann das Bundesamt die Freigabe unverzüglich widerrufen. Dem antragsstellenden Unternehmen ist eine angemessene Frist zur Stellungnahme zu geben, es sei denn, gewichtige Sicherheitsgründe erfordern eine sofortige Maßnahme. BDI-Bewertung Der deutschen Industrie erschließt es sich nicht, warum Unternehmen nur vier Wochen Zeit erhalten, nach Änderung von geltenden IT-Sicherheitsvorgaben, die Prüfgrundlage zu aktualisieren, das BSI nach § 5 jedoch sechs Wochen, also 1,5 Monate, Zeit erhält, um Anträge zu prüfen. Unternehmen sollten mindestens ebenso lang Zeit haben für entsprechende Anpassungen. Ferner sollte das ITSicherheitskennzeichen bei Produkten, die regelmäßig mehr als zwei Jahre mit sicherheitsbezogenen Software-Updates versorgt werden, länger als zwei Jahre gültig sein. Damit das IT-Sicherheitskennzeichen nicht durch Unternehmen wettbewerbsverzerrend verwendet werden kann, bedarf es ausreichender personeller Ressourcen im BSI, die mittels der in § 12 genannten Marktaufsicht zu mindestens gravierende Verstöße gegen die Herstellererklärung, die gesetzlichen Pflichten des herstellenden Unternehmens, bei unzutreffenden oder unvollständigen Angaben sowie dem sonstigen Wegfall der Erfüllung der gesetzlichen Voraussetzungen oder Anforderungen die Freigabe des IT-Sicherheitskennzeichens zeitnah entziehen können. Die deutsche Industrie fordert die Bundesregierung auf, in § 8 darzustellen, wie die Erneuerung der Genehmigung zur Verwendung des IT-SiK organisiert wird. Unternehmen sollten die Möglichkeit haben, die Laufzeit des IT-SiK für Produkte, die länger als zwei Jahre auf dem Markt angeboten werden, mittels eines schlanken, volldigitalisierten Prozesses erneuern zu können. Änderungsvorschläge der deutschen Industrie (3) Wird eine für die einschlägige Produktkategorie geltenden IT-Sicherheitsvorgabe geändert oder für ungültig erklärt, erlischt die Freigabe nach einer Frist von einem Monat sechs Wochen,
9
