1 minute read
Kooperativen Ansatz stärken
Kooperativen Ansatz stärken
Das störungsfreie Funktionieren Kritischer Infrastrukturen ist Grundlage für eine moderne Lebensführung. Daher erkennt die deutsche Industrie die Notwendigkeit zur Umsetzung angemessener organisatorischer und technischer Vorkehrungen zur Absicherung informationstechnischer Systeme in Kritischen Infrastrukturen an. Bereits heute investieren Betreiber Kritischer Infrastrukturen hohe personelle und finanzielle Ressourcen, um die Cyberresilienz ihrer Kritis-Anlagen zu schützen. Gleichzeitig muss konstatiert werden, dass ein einhundertprozentiger Schutz vor Cyberangriffen nie erreicht, geschweige denn garantiert werden kann.
Die ganzheitliche Stärkung der Cyberresilienz verlangt daher einen kooperativen Ansatz von Staat und Wirtschaft. Die Einbeziehung weiterer Wirtschaftsakteure sowie neuer technischer Einheiten kann nur erfolgreich sein, wenn der Staat die unter die BSI-Kritisverordnung fallenden Unternehmen wie folgt effektiv und effizient unterstützt:
1. Realisierung eines ganzheitlichen Ansatzes: Eine ausschließliche Fokussierung auf organisatorische und technische Sicherheit ist nicht zielführend. Unternehmen sollten auch die
Möglichkeit erhalten, die Vertrauenswürdigkeit von Beschäftigten und Bewerbern, die in besonders sicherheitskritisch Bereichen tätig sind, untersuchen zu können. Für die Durchführung der Sicherheitsüberprüfung (Ü1) sollte das Bundesministerium des Innern, für Bau und Heimat rasch die notwendigen personellen Ressourcen vorhalten. Dies gilt umso mehr, als dass die
Fraktionen von Union und SPD in ihrem gemeinsamen Entschließungsantrag (Bundestag-
Ausschussdrucksache 19(4)812) den Einsatz vertrauenswürdiger Mitarbeiter in den sicherheitsrelevanten Bereichen als notwendige Maßnahmen eines ganzheitlichen Ansatzes betont haben.
2. Meldepflichten müssen in tagesaktuelles Lagebild münden: Der BDI erkennt an, dass die
Meldung von erheblichen IT-Sicherheitsvorfällen zu einem besseren Verständnis über aktuelle
Bedrohungsszenarien führen kann. Allerdings haben die mit dem ersten IT-Sicherheitsgesetz eingeführte Meldepflicht von Cybersicherheitsvorfällen bei Kritischen Infrastrukturen bisher keine wahrnehmbare Verbesserung für deutsche Unternehmen im Lagebild gebracht. Die deutsche Industrie fordert daher (1) die Schaffung eines effizienten, harmonisierten Meldewegs an eine zentrale Meldestelle (One-Stop-Shop); (2) die Einführung eines verbesserten tagesaktuellen Lagebilds sowie tagesaktuelle, branchenspezifische Warnungen, damit die deutsche Industrie aus dem beim BSI aggregierten Datenschatz auch einen Nutzen ziehen und ihre Anlagen und Systeme besser schützen kann sowie (3) eine personalisierte Unterstützung durch das BSI für Unternehmen, wenn diese Cybersicherheitsvorfälle melden.
Die deutsche Industrie begrüßt ausdrücklich die evidenzbasierte Überarbeitung der BSI-Kritisverordnung. Es wäre jedoch angezeigt gewesen, dass der Ergebnisbericht der Evaluation parallel zur Veröffentlichung des Änderungsentwurfs der Verordnung veröffentlicht wird. Hier sollte sich der bundesdeutsche Gesetzgeber an den Verfahrensweisen der EU-Gesetzgebung orientieren, die einen deutlich höheren Grad an Transparenz und Nachvollziehbarkeit ermöglichen.
