1 minute read
13 Informationen für Verbraucherinnen und Verbraucher
Produkt ohne eine entsprechende Kennzeichnung.4 Um dies zu gewährleisten, muss eine vollumfängliche Marktaufsicht für das IT-SiK etabliert werden. Die für die Marktaufsicht zuständige staatliche Stelle müsste entsprechend der Schwere der Verletzung der Vorgaben der zugrundeliegenden TR geeignete Maßnahmen ergreifen können. Eine Marktverzerrung durch ein zu Unrecht genutztes ITSiK gilt es auszuschließen. Der BDI begrüßt, dass das BSI zur effektiven Marktaufsicht Testkäufe vornehmen kann. Hiervon sollte es in geeigneten Umfang Gebrauch machen. Neben der Befugnis von Testeinkäufen ist dem Bundesamt ausdrücklich das Recht einer vollumfassenden Sachprüfung einzuräumen. Ein solches Recht ergibt sich weder aus dem Entwurf des § 12 noch aus der Begründung des Entwurfstextes. Insoweit ist die Vorschrift des § 12 zu ergänzen.
Die deutsche Industrie würde es begrüßen, wenn das Marktaufsichtskonzept auf der Website des BSI veröffentlicht werden würde.
Änderungsvorschläge der deutschen Industrie
(1) Eine Aufsicht über Produkte und Hersteller, welche die Freigabe zur Nutzung des Sicherheitskennzeichens erhalten haben, erfolgt für die Dauer der Freigabe. Sie erfolgt auf der Grundlage eines Überwachungskonzeptes, und anlassbezogen reaktiv und kann eine Sachprüfung umfassen.
§ 13 Informationen für Verbraucherinnen und Verbraucher
Regelungsgegenstand
Informationen für Verbraucherinnen und Verbrauchern zu Produkten mit der Freigabe zur Nutzung des IT-SiK werden in der Sicherheitsinformation nach § 9c Abs. 2 des BSI-Gesetzes auf der Website des Bundesamtes veröffentlicht.
BDI-Bewertung
Der BDI begrüßt die Information für Verbraucherinnen und Verbrauchern über IT-Sicherheitsaspekte von Produkten. Ein QR-Code-basierter Verweis auf dem IT-Sicherheitskennzeichen scheint hierfür ein geeigneter Ansatz. Zugleich sollte jedoch auch Nutzenden, die vorzugsweise URL-basierte Lösungen nutzen, Rechnung getragen werden.
Das IT-SiK sollte ferner nicht ausschließlich darüber informieren, wie das Cybersicherheitsniveau eines Produktes sein würde, wenn der Nutzer / die Nutzerin alle verfügbaren Updates und Patches installiert hätte. Vielmehr muss der elektronische Beipackzettel den Nutzer / die Nutzerin dazu befähigen, selbständig das Cybersicherheitsniveau seiner / ihrer vernetzten Produkte durch einen verantwortungsbewussten Einsatz des vernetzten Geräts (Installation von Updates/Patches, Verwenden sicherer Passwörter etc.) aufrechtzuerhalten. So sollten Verbraucherinnen und Verbraucher nicht nur informiert werden, dass es ein Update gibt oder wie lange das herstellende Unternehmen die Bereitstellung von Updates garantiert, sondern vielmehr, wie das Update auch installiert werden kann. Zudem sollte das BSI im Rahmen des elektronischen Beipackzettels auch allgemeingültige Informationen zu Themen wie Cyberhygiene hinterlegen.
4 PwC. 2017. Konzeption eines IT-Sicherheits-Gütesiegels Abschlussbericht.
