IT-Sicherheitsgesetz 2.0: eco warnt vor vorschneller nationaler Regulierung

Der Verband der Internetwirtschaft (eco) befürchtet hohes Risiko für Unternehmen und private Nutzer

[datensicherheit.de, 10.12.2020] Der Verband der Internetwirtschaft (eco) appelliert an die Politik, die Beratungen des sogenannten IT-Sicherheitsgesetzes 2.0 zurückzustellen und die weiteren Entwicklungen auf europäischer Ebene abzuwarten. Das Bundesinnenministerium (BMI) hat demnach nach fast zwei Jahren einen Referentenentwurf zum IT-Sicherheitsgesetz 2.0 vorgelegt. Der eco kritisiert nach eigenen Angaben „scharf“, dass das BMI für das knapp 100 Seiten umfassende Dokument lediglich eine Frist von 26 Stunden eingeräumt habe.

Stellvertretender eco-Vorstandsvorsitzender sieht Ausdruck gesetzgeberischer und politischer Hilflosigkeit

„Es geht nur noch darum, die Entwürfe noch in diesem Jahr ins Kabinett zu bringen“, so Klaus Landefeld, der stellvertretende eco-Vorstandsvorsitzende. Dies sei Ausdruck „bloßer gesetzgeberischer und politischer Hilflosigkeit“, wie hier vor dem Ende dieser Legislaturperiode agiert werde.
Die Debatte um das IT-Sicherheitsgesetz finde auch vor dem Hintergrund einer umfassenden Novellierung des Telekommunikationsgesetzes statt. Hierzu hatte das Bundeswirtschaftsministerium (BMWi) laut eco am 9. Dezember 2020 einen neuen Gesetzentwurf mit 465 Seiten versendet und eine Frist bis Freitag, den 11. Dezember 2020, angesetzt.

eco rät, Beratungen zum IT-Sicherheitsgesetz 2.0 zurückzustellen

Der eco appelliert nun an die Politik, „in Anerkennung der Konsequenzen für den weiteren Gesetzgebungsvorgang, die Beratungen des IT-Sicherheitsgesetzes 2.0 zurückzustellen und die weiteren Entwicklungen auf europäischer Ebene abzuwarten“. Dies betreffe insbesondere die angestrebte Harmonisierung des IT-Sicherheitsgesetzes mit der geplanten Überarbeitung der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS) auf europäischer Ebene, die ebenfalls unmittelbar bevorstehe.
„Eine vorschnelle nationale Regulierung birgt das Risiko, anschließend noch einmal gesetzgeberisch tätig werden zu müssen“, warnt Landefeld vor voreiligen Schritten. Für Unternehmen seien diese Nachbesserungen oft mit zusätzlichen Kosten verbunden, um bereits implementierte Systeme und Lösungen nochmals für den neuen Regulierungsrahmen anzupassen. Eine Überarbeitung der NIS-Richtlinie sei für das Jahr 2021 in Aussicht gestellt worden.

eco befürchtet Aushöhlung des Grundrechtschutzes

Auch sollten die im IT-Sicherheitsgesetz angestrebten Regelungen für den Einsatz von sogenannten kritischen Komponenten beziehungsweise deren Untersagung möglichst europäisch adressiert und behandelt werden. „Nationale Sonderregelungen sollten ausschließlich für eng umgrenzte Bereiche mit klaren gesetzlichen Definitionen vorgesehen sein“, betont Landefeld. Andernfalls drohe Unternehmen erhebliche Rechtsunsicherheit. „Damit IT-Sicherheit in Deutschland effektiv reguliert wird und sich in im europäischen digitalen Binnenmarkt sinnvoll weiterentwickeln und gestärkt werden kann, müssen diese Probleme nun möglichst zügig adressiert und gelöst werden.“
„Die neuen Befugnisse für das BSI werfen ein Schlaglicht auf eine zentrale Debatte um das IT-Sicherheitsgesetz 2.0“, so der eco. Dies betreffe den Umgang mit Informationen über Sicherheitslücken und die Daten, welche das BSI im Rahmen seiner neuen Befugnisse erhebe. Das Gesetz sehe unter anderem vor, dass das BSI Informationen über Sicherheitslücken zurückzuhalten solle, sofern es Sicherheitsbehörden gegenüber zur Verschwiegenheit verpflichtet sei. Auch könne das BSI nun Datenverkehr an von ihm benannte Server umleiten lassen und selbst Angriffe auf IT-Systeme vortäuschen und im Zuge dessen auch in diese Systeme eindringen. „Die Maßnahmen, die das BSI hier ergreifen und anordnen kann, werfen Zweifel daran auf, dass der Grundrechtschutz hier gewahrt ist“, sagt Landefeld.

eco zum Hintergrund:

Der erste Entwurf zum IT-Sicherheitsgesetz 2.0 sei 2019 inoffiziell an die Öffentlichkeit gelangt und vom eco „scharf kritisiert“ worden. Nachdem das BMI am 1. Dezember 2020 zunächst einen nicht abgestimmten Diskussionsentwurf veröffentlicht habe, auf den der eco sich in einer Stellungnahme beziehe, sei ein aktualisierter Referentenentwurf am 9. Dezember 2020 gefolgt.
Obwohl darin weitere Aspekte zur IT-Sicherheit grundlegend überarbeitet worden seien, habe das Bundesinnenministerium lediglich eine Rückmeldefrist bis Freitag, den 11. Dezember 2020, 14 Uhr, eingeräumt. Auch zu dieser Version habe der eco fristgerecht eine Stellungnahme eingereicht.

Weitere Informationen zum Thema:

datensicherheit.de, 04.12.2020
BND-Gesetz: eco kritisiert aktuellen Entwurf

eco VERBAND DER INTERNETWIRTSCHAFT E.V., 10.12.2020
Ergänzende Anmerkungen und Stellungnahme zum Referentenentwurf des Bundesministeriums des Innern für Bau und Heimat eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz –IT-SiG 2.0)(Stand 9.12.2020)

eco VERBAND DER INTERNETWIRTSCHAFT E.V., 09.12.2020
Stellungnahme zum Diskussionsentwurf des Bundesministeriums des Innern für Bau und Heimat eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz –IT-SiG 2.0)(Stand 1.12.2020)

eco VERBAND DER INTERNETWIRTSCHAFT E.V., 26.06.2019
Eckpunkte zum Referentenentwurf des “Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“(IT-SiG 2.0)