Stellungnahme zum Entwurf des IT-Sicherheitskennzeichen

Das Bundesministerium des Innern, für Bau und Heimat (BMI) hat einen Referentenentwurf zur Rechtsverordnung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik (BSI-ITSiKV) vorgelegt. Der Kommentar des TÜV-Verbands zum Entwurf des IT-Sicherheitskennzeichen.

Das Bundesministerium des Innern, für Bau und Heimat (BMI) hat den Referentenentwurf zur Rechtsverordnung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik (BSI-ITSiKV) zur Kommentierung gestellt. Dieser Entwurf ist innerhalb der Bundesregierung noch nicht abgestimmt. Der TÜV-Verband ergreift die Möglichkeit zur Kommentierung.

Der TÜV-Verband bittet um berücksichtigung U.A. folgender Aspekte

IT-Sicherheit als europäisches Anliegen

Als TÜV-Verband sehen wir die Notwendigkeit und setzen uns dafür ein, die IT-Sicherheit in der EU zu stärken, einen Digitalen Binnenmarkt zu schaffen und IT-Sicherheit von Produkten für Verbraucher:innen transparent zu machen, um sie in ihrer Kaufentscheidung zu unterstützen. Ein europäischer Ansatz ist allerdings zu bevorzugen. Dieser nationale Alleingang eines auf einer Herstellererklärung basierten Kennzeichens sollte lediglich eine Brücke hin zu einem europäischen Sicherheitszeichen darstellen, das auf der Prüfung der Geräte durch unabhängige Dritte basiert. Ein EU-Sicherheitszeichen sollte darauf basieren und dem Markt und Verbrauchern die Konformität mit den Anforderungen aus den Schemes des Cybersecurity Acts anzeigen.

Wichtige Details bleiben ungeklärt

Der vorgelegte Referentenentwurf lässt zu viele Regelungsmöglichkeiten ungenutzt, bzw. verweist auf eine spätere Ausgestaltung durch das BSI. Damit bleiben entscheidende Fragen zunächst offen, deren Ausgestaltung vor Einführung eines IT-Sicherheitskennzeichens als dringend notwendig erachtet wird. 

Antragsprüfung

Absatz eins Verband begrüßt die Möglichkeit von optionalen Prüfungen im Rahmen von Testkäufen (§12), die Produkte sollten jedoch bereits bevor sie in den Markt gebracht werden grundsätzlich einer tiefergehenden Prüfung durch unabhängige Dritte unterzogen werden. Somit lassen sich mögliche Sicherheitsrisiken bereits erkennen, bevor die Produkte im Einsatz sind.

 

Die ausführliche Kommentierung zum Download:

2021_TÜV-Verband_Stellungnahme_IT-Sicherheitskennzeichen_zweiter_Entwurf