IT-Sicherheitsgesetz 2.0 Unternehmen im besonderen öffentlichem Interesse

Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Der aktuelle Entwurf des IT-Sicherheitsgesetz 2.0 sieht vor, dass nicht nur Unternehmen und Organisationen, die zu den kritischen Infrastrukturen (KRITIS) gehören, Vorkehrungen treffen müssen, um Störungen ihrer IT-Systeme zu vermeiden. Jetzt kommen „Unternehmen im besonderen öffentlichen Interesse“ neu hinzu. Diese müssen zwar nicht so viele Anforderungen wie die KRITIS-Einrichtungen erfüllen, sind in Zukunft aber auch gezwungen, in dieser Hinsicht aktiv zu werden.

Firmen zum Thema

Das IT-Sicherheitsgesetz 2.0 fordert von „Unternehmen im besonderen öffentlichem Interesse“ mehr Aktivität in Sachen IT-Sicherheit. Ist das eine sinnvolle Neuerung oder nur Mehraufwand ohne Nutzen?
Das IT-Sicherheitsgesetz 2.0 fordert von „Unternehmen im besonderen öffentlichem Interesse“ mehr Aktivität in Sachen IT-Sicherheit. Ist das eine sinnvolle Neuerung oder nur Mehraufwand ohne Nutzen?
(Bild: gemeinfrei / Pixabay )

Die betroffenen „Unternehmen im besonderen öffentlichen Interesse“ sind im Wesentlichen Rüstungshersteller, Raumfahrtunternehmen, Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen, große Unternehmen, die deswegen volkswirtschaftliche Bedeutung haben, sowie Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung, also beispielsweise Chemieunternehmen. Für letztere herrschen andere Anforderungen, dazu später mehr.

Die neuen Anforderungen

Diese Institutionen müssen nach dem IT-Sicherheitsgesetz 2.0 eine Selbsterklärung für ihre IT-Sicherheit vorlegen. Aus der muss hervorgehen, welche Sicherheitszertifizierungen sie in den letzten zwei Jahren durchgeführt haben (mit Prüfgrundlage und Geltungsbereich). Außerdem muss sie darüber aufklären, welche sonstigen Sicherheitsaudits oder Prüfungen im Bereich IT-Security in den letzten beiden Jahren durchgeführt wurden (auch hier mit Prüfungsgrundlage und Geltungsbereich). Zudem müssen sie angeben, wie die besonders schützenswerten IT-Systeme, Komponenten und Prozesse abgesichert werden (mit Einhaltung des Stands der Technik).

Neben der genannten Selbsterklärung müssen sie außerdem noch eine zu Geschäftszeiten erreichbare Stelle benennen und Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit melden.

Diese Anforderungen sollen dafür sorgen, dass die IT-Sicherheit in Deutschland auf ein höheres Niveau gehoben wird. Ist dieser Ansatz aber wirklich sinnvoll, oder schafft er nur überflüssige zusätzliche Arbeit? Kann das Sammeln der ganzen Daten sogar schädlich sein? Verbände wie der BITKOM stehen der ganzen Sache skeptisch gegenüber. Deswegen sprachen wir über diese Thema mit Sebastian Artz, Referent für Informationssicherheit und Sicherheitspolitik beim BITKOM.

Die Ansicht des BITKOM

Sebastian Artz ist Referent für Informationssicherheit und Sicherheitspolitik beim BITKOM.
Sebastian Artz ist Referent für Informationssicherheit und Sicherheitspolitik beim BITKOM.
(Bild: Bitkom e.V.)

Herr Artz wies uns in dem Gespräch darauf hin, dass der BITKOM von der Einführung der "Unternehmen im besonderen öffentlichen Interesse" als einzelstaatliche Quasi-KRITIS-Kategorie abgeraten habe. Die Gründe dafür ergaben sich weniger aus dem zusätzlichen Arbeitsaufwand, sondern vielmehr aus der Vielzahl an ungeklärten Fragen.

Zunächst einmal ist in diesem Zusammenhang die Unterscheidung in verschiedene Cluster zu nennen, in die die "Unternehmen im besonderen öffentlichen Interesse" nochmals unterteilt werden. So steht beispielsweise noch überhaupt nicht fest, welche Unternehmen als „Unternehmen von volkswirtschaftlicher Bedeutung“ – als eines der Cluster – gelten sollen. Es wird auf das Gutachten der Monopolkommission verwiesen. Genaueres soll allerdings erst später in einer Rechtsverordnung spezifiziert werden.

Ein weiteres Problem mit den „Unternehmen im besonderen öffentlichen Interesse“ ist neben der zusätzlichen Bürokratie nach Ansicht des BITKOM auch die Akkumulierung von vielen wichtigen Informationen und Dokumenten über Prozesse und Infrastrukturen, die in Summe betriebskritische Informationen darstellen, nicht zuletzt was die Zertifizierungsthemen angeht. Zusätzlich muss man sich die Frage stellen, ob die genannten Maßnahmen überhaupt eine Verbesserung des IT-Sicherheitsniveaus mit sich bringen. Hier sind Zweifel angebracht.

Ein zentrales Problem, dass sich auf dem IT-Sicherheitsgesetz 2.0 ergibt: die unzureichende Harmonisierung auf der europäischen Ebene. „Der Entwurf einer neuen europäischen NIS-Richtlinie ist nicht– wie es wünschenswert wäre – deckungsgleich in dem Sinne, dass die Umsetzung der NIS-Richtlinie 2.0 dann gar kein großer Akt mehr wäre“, so Herr Artz. „Stattdessen haben wir in der NIS-Richtlinie die neue Unterscheidung zwischen ‚Essential Entities‘, was in etwa den deutschen KRITIS-Organisationen entspricht und den neu eingeführten ‚Important Entities‘, bei denen noch nicht klar ist, ob das die Unternehmen im besonderen öffentlichen Interesse beschreibt.“

Abgesehen davon gibt es im europäischen Entwurf noch eine ganze Menge zusätzlicher Unternehmen, die der Entwurf des IT-Sicherheitsgesetz 2.0 überhaupt nicht erfasst. Wenn diese mit der Einführung der NIS-Richtline übernommen werden, könnte das ein IT-Sicherheitsgesetz 3.0 erforderlich machen. Zu den in diesem Zusammenhang genannten Unternehmen gehört beispielsweise ein Großteil des Manufacturing-Sektors. Das würde dann nochmal eine enorme Ausweitung des Geltungsbereichs des IT-Sicherheitsgesetzes mit sich bringen und es würden noch viel mehr Unternehmen unter das IT-Sicherheitsgesetz fallen. Die Ausweitung des Geltungsbereichs kann sinnvoll sein, muss aber unter Kritikalitätsgesichtspunkten begründ- und nachvollziehbar sein.

(ID:47341078)