Der TÜV-Verband begrüßt das heute im Bundeskabinett verabschiedete IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) im Grundsatz, mahnt aber Nachjustierungen an. „Das neue IT-Sicherheitsgesetz wird dazu beitragen, den Schutz vor Cyberangriffen zu verbessern“, sagte Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands. Das habe bereits das im Jahr 2015 verabschiedete erste IT-Sicherheitsgesetz gezeigt, das jetzt novelliert wird. „Wir begrüßen, dass der enge Geltungsbereich des Gesetzes ausgeweitet wird und in Zukunft weitaus mehr Unternehmen höchste Anforderungen an die IT-Sicherheit erfüllen müssen als bisher“, sagte Bühler. Das stärke die Widerstandsfähigkeit gegen Cyberrisiken in der Wirtschaft insgesamt. Bisher mussten nur rund 2.000 Unternehmen, die zu den Betreibern Kritischer Infrastrukturen zählen, die Vorgaben des Gesetzes erfüllen. Künftig werden auch „Unternehmen im besonderen öffentlichen Interesse“ erhöhte IT-Sicherheitsanforderungen erfüllen müssen. Das betrifft zum Beispiel große Unternehmen mit besonderer gesamtwirtschaftlicher Bedeutung oder Unternehmen, die staatliche Sicherheitsinteressen berühren.
Deutlichen Nachbesserungsbedarf sieht der TÜV-Verband beim geplanten IT-Sicherheitskennzeichen für Produkte. Ziel ist es, Verbraucher:innen eine bessere Orientierung beim Kauf vernetzter Produkte mit digitalen Funktionen zu ermöglichen. So sollen Produkte eine Kennzeichnung vom Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten, wenn sie bestimmte Anforderungen an die IT-Sicherheit erfüllen. Voraussetzung für die Vergabe des Kennzeichens ist eine Erklärung des Herstellers, dass sein Produkt den Vorgaben entspricht. Das BSI überprüft anhand von Unterlagen des Herstellers, ob die Angaben plausibel sind. „Eine reine Plausibilitätsprüfung von Dokumenten reicht nicht aus, um die IT-Sicherheit eines Produktes umfassend zu bestätigen“, sagte Bühler. Für eine substantiierte Verbraucherinformation sei eine tatsächliche Produktprüfung notwendig, die von einer herstellerunabhängigen Stelle durchgeführt wird. „Für die Verbraucher muss klar sein, was eine Produktkennzeichnung aussagt“, betonte Bühler. „Echte Sicherheit und verlässliche Orientierung bietet nur eine fundierte Produktprüfung durch unabhängige Dritte.“
Aus Sicht des TÜV-Verbands sollten sich staatliche Stellen unter Wahrung des Subsidiaritätsprinzips sowie des Grundsatzes der Staatsentlastung auf hoheitliche Aufgaben konzentrieren. Dem BSI werden im IT-Sicherheitsgesetz 2.0 Aufgaben wie die Akkreditierung von Prüforganisationen, die Zertifizierung von IT-Produkten oder sicherheitsrelevanten Dienstleistungen sowie die Marktaufsicht zugedacht. So soll das BSI künftig private Prüforganisationen zulassen bzw. akkreditieren und überwachen, mit denen sie gleichzeitig um die Zertifizierung von sicherheitskritischen Systemen in der Wirtschaft konkurriert. Allerdings birgt die Konzentration, Durchmischung und Überlagerung von Aufgaben und Kompetenzen das Risiko von Interessenkonflikten innerhalb einer Behörde.
Zum Gesetzgebungsverfahren: Der VdTÜV kritisiert – wie auch andere Verbände – die auffallend kurze Frist für die Kommentierung des Gesetzentwurfs. Bühler: „Das IT-Sicherheitsgesetz betrifft Wirtschaft und Verbraucher massiv. Ausreichend Zeit für eine sachgerechte Anhörung der Verbände ist daher zwingend geboten und wichtiger Teil des demokratischen Verfahrens.“
Die vollständige Stellungnahme des TÜV-Verbands zum IT-Sicherheitsgesetz finden Sie hier.