Der Entwurf zum IT-Sicherheitsgesetz wird positiv aufgenommen. „Das IT-Sicherheitsgesetz nimmt Unternehmen in die Pflicht“, BITKOM-Präsident Prof. Dieter Kempf. Jedoch entstehen dadurch auch Kosten in Milliardenhöhe.
IT-Sicherheitsgesetz positiv begrüßt
Der überarbeitete Entwurf zum geplanten IT-Sicherheitsgesetz wird vom Hightech-Verband BITKOM im Grundsatz begrüßt. Jedoch fordert der BITKOM mehr Unterstützung für Klein- und mittelständische Unternehmen zur Verbesserung ihrer IT-Sicherheit. „Das Gesetz nimmt die Betreiber kritischer Infrastrukturen in die Pflicht, ihre IT-Sicherheit zu verbessern und auf dem neuesten Stand zu halten“, sagte BITKOM-Präsident Prof. Dieter Kempf. „Ausdrücklich positiv bewerten wir, dass die Wirtschaft in die konkrete Ausgestaltung des Gesetzes einbezogen werden soll.“ Im IT-Sicherheitsgesetz geht es unter anderem auch um die Festlegung von IT-Sicherheitsstandards für einzelne Branchen, die nur unter Beteiligung von Firmen und Verbänden sinnvoll ausgearbeitet werden können. „Noch ist unklar, wer von dem Gesetz tatsächlich betroffen ist“, sagte Kempf. „Hierzu benötigen die Unternehmen baldige Planungssicherheit.“ Eine entsprechende Regelung soll im Rahmen einer Verordnung getroffen werden.
IT-Sicherheitsvorfälle werden anonymisiert gemeldet
Die Hinweise der IT-Industrie bezüglich der Meldepflicht von schwerwiegenden IT-Sicherheitsvorfällen wurden im IT-Sicherheitsgesetz weitgehend berücksichtigt. Sicherheitsrelevante Ereignisse sind laut IT-Sicherheitsgesetz in anonymisierter Form zu übermitteln. So werden Reputationsverluste für betroffene Unternehmen vermieden, gerade wenn Vorfälle an die Öffentlichkeit kommen. „Meldungen von IT-Sicherheitsvorfällen sollten nicht direkt vom Staat, sondern von einer unabhängigen Stelle gesammelt und in anonymisierter Form an die Behörden weitergeleitet werden“, sagte Kempf.
Zusätzlich sollten KMUs beim Entdecken von Sicherheitslücken gezielt und besser unterstützt werden. „Viele Cyberattacken bleiben unentdeckt“, sagte Kempf. „Erster und wichtigster Schritt zu mehr IT-Sicherheit sind bessere Erkennungs- und Abwehrsysteme.“
Hohe Ausgaben für Meldepflicht
Als einer der größten Betreiber kritischer IT-Infrastrukturen gelte der Staat. „Die entsprechenden Meldepflichten und Sicherheitsstandards sollten daher auch für staatliche Stellen gelten“, betonte Kempf. Auch diese sollten sich an das IT-Sicherheitsgesetz und deren Vorgaben halten bzw. daran ausrichten.
Für die deutsche Wirtschaft entstehen durch die beabsichtigte Meldepflicht für schwere IT-Sicherheitsvorfälle Kosten in Höhe von bis zu 1,1 Milliarden Euro pro Jahr, so der BITKOM. Zusätzlich sind weitere Ausgaben für die Einhaltung höherer Sicherheitsstandards in dreistelliger Millionenhöhe zu berücksichtigen.
Mehr zum Thema finden Sie unter www.bitkom.org.
