POSITION | DIGITALISIERUNG | CYBERSICHERHEIT
IT-Sicherheitskennzeichen Verbändeanhörung zu einer Rechtsverordnung zum IT-Sicherheitskennzeichen des BSI (BSI-ITSiKV)
13. August 2021 IT-Sicherheitskennzeichen: Wichtige Maßnahme, die EU-weiten Ansatz bedarf Die deutsche Industrie begrüßt das grundsätzliche Ansinnen der Bundesregierung, die IT-Sicherheit eines Produktes für Verbraucherinnen und Verbraucher kenntlich zu machen. Um erfolgreiche Cyberangriffe zu erschweren, ist ein tagesaktuelles, risiko-adäquates Cybersicherheitsniveau auch bei Lösungen, die Endkonsumentinnen und -konsumenten einsetzen, von höchster Relevanz. Die deutsche Industrie erachtet jedoch eine nationale, freiwillige Lösung als wenig geeignet, um den Schutz von Daten, Diensten und Systemen ganzheitlich zu gewährleisten. Wir sprechen uns vielmehr für ein EU-weit eingeführtes, leicht verständliches und mit einer effizienten Marktaufsicht umgesetztes IT-Sicherheitskennzeichen (IT-SiK) aus, das auf Basis von internationalen Normen und Standards, des EU Cybersecurity Acts sowie horizontaler, NLF-basierter Cybersicherheitsanforderungen eingeführt wird. Anmerkungen zur Rechtsverordnung Für die Möglichkeit zur Kommentierung des vorliegenden Referentenentwurfs für die BSI-ITSiKV möchte sich der BDI ausdrücklich bedanken. Ungeachtet der allgemeinen Bewertung, dass ein IT-SiK EU-weit und nicht mittels eines nationalen Alleingangs eingeführt werden sollte, spricht sich die deutsche Industrie u.a. für folgende Änderungen am vorliegenden Verordnungsentwurf aus: ▪
Definitionen anpassen: Der Begriff „Hersteller“ sollte auch in Verkehr bringende Unternehmen sowie das die Herstellenden vertretene Unternehmen erfassen. Ferner bedarf es einer Anpassung an der Definition „Verkäufer“ und eine Aufnahme der Definition „Verbraucher“.
▪
Gestaltung des IT-SiK überdenken: Die Darstellung unter Rückgriff auf die Nationalflagge erweckt den Eindruck, dass das Produkt durch eine hoheitliche Stelle überprüft wurde. Dies sollte vermieden werden, um nicht falsche Erwartungen bei Verbrauchenden zu wecken.
▪
IT-SiK zielführend umsetzen: Wenn ein nationales IT-SiK eine Wirkung entfalten soll, so muss das BSI rasch zahlreiche Produktkategorien definieren, Branchenstandards berücksichtigen und europäische sowie internationale Normen und Standards als Grundlage bestimmen.
▪
Widerspruch durch Unternehmen ermöglichen: Unternehmen, die ein IT-SiK für ein Produkt beantragen, sollten detaillierte Informationen erhalten, warum ihnen die Erteilung des ITSiK verwehrt wurde. Zudem sollte die Möglichkeit des Widerspruchs geschaffen werden.
▪
Rechtsweg für Verbraucherinnen und Verbraucher klären: Das BMI muss dringend prüfen, welche rechtlichen Konsequenzen fehlende / falsche Informationen, die bei einem IT-SiK hinterlegt sind, im Verhältnis zw. Handel, herstellendem / in Verkehr bringendem Unternehmen sowie Verbraucherinnen und Verbrauchern haben.
Steven Heckler | Digitalisierung und Innovation | T: +49 30 2028-1523 | s.heckler@bdi.eu | www.bdi.eu
