POSITION | DIGITALISIERUNG | CYBERSICHERHEIT
Zweite Verordnung zur Änderung der BSI-Kritisverordnung IT-Sicherheitsgesetz praxisnah implementieren.
17. Mai 2021 Executive Summary Die deutsche Industrie begrüßt die frühzeitige Einbeziehung von Wirtschaftsverbänden und Unternehmen in die Überarbeitung der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSIGesetz (BSI-Kritisverordnung). Allerdings wäre es begrüßenswert gewesen, zur Kommentierung eine bereits zwischen den Ressorts abgestimmte Fassung zu erhalten. Die ganzheitliche Stärkung der Cyberresilienz verlangt zudem einen kooperativen Ansatz von Staat und Wirtschaft. Die Einbeziehung weiterer Wirtschaftsakteure sowie neuer technischer Einheiten kann nur erfolgreich sein, wenn der Staat die unter die BSI-Kritisverordnung fallenden Unternehmen effektiv und effizient durch ▪
ein tagesaktuelles Lagebild über die Cybersicherheit im unternehmerischen Kontext sowie
▪
das Anbieten von Sicherheitsüberprüfungen von in besonders sicherheitskritischen Unternehmensbereichen tätigen Mitarbeitenden unterstützt.
Handlungsempfehlungen des BDI: ▪
Übergangsfrist: Betreibern Kritischer Infrastrukturen, die erstmalig in den Anwendungsbereich der KRITIS-VO fallen – auch jene, bei denen dies aufgrund der Senkung von Schwellenwerten erfolgt – muss eine angemessene Implementierungsfrist von mind. 24 Monaten gewährt werden, da diese technische und organisatorische Maßnahmen umsetzen müssen.
▪
Anlagenbegriff: Die Erweiterung des Anlagenbegriffs um „Software und IT-Dienste“ ist nachvollziehbar, um der steigenden Relevanz softwarebasierter Lösungen für die Erbringung kritischer Dienste Rechnung zu tragen. Gleichzeitig wirft er zahlreiche Fragen für die Umsetzung in der unternehmerischen Praxis auf, die dringend geklärt werden müssen.
▪
Zusammenspiel Kritis-Betreiber und Zulieferer: Der Gesetzgeber muss sicherstellen, dass Zulieferer von Komponenten, die in Kritis zum Einsatz kommen, Kenntnis darüber haben, dass diese als Teil der Kritis-Anlage gewertet werden. Nur mit ausreichender Normenklarheit können Zulieferer Kritis-Betreiber bei der Umsetzung der Anforderungen unterstützen.
▪
Evaluierung: Die deutsche Industrie begrüßt ausdrücklich die regelmäßige Evaluierung, in die jedoch zwingend auch die betroffenen Wirtschaftsakteure und deren Verbände eng eingebunden werden sollten.
Steven Heckler | Digitalisierung und Innovation | T: +49 30 2028-1523 | S.Heckler@bdi.eu | www.bdi.eu
