Berlin, 16.12.2020. Heute hat die Bundesregierung im Kabinett den Entwurf des IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) verabschiedet. Es definiert u.a. die künftigen Standards und Anforderungen an die Cyber-Sicherheit für kritische Infrastrukturen der Daseinsvorsorge, wie sie die Mitglieder des Verbands kommunaler Unternehmen (VKU) betreiben.
VKU-Hauptgeschäftsführer Ingbert Liebing in einer ersten Einschätzung: „Neue Technologien und Methoden sowie rasante Innovationszyklen erfordern ein Update des IT-Sicherheitsrechts - auch, damit Betreiber kritischer Infrastrukturen die nötige Rechtssicherheit für weitere Maßnahmen und Investitionen in Cyber-Sicherheit bekommen. Fakt ist: Cyber-Sicherheit ist kein Zustand, sondern ein Prozess. Deswegen prüfen, analysieren und entwickeln unsere Mitgliedsunternehmen ihre Systeme und Maßnahmen kontinuierlich weiter. Ziel ist dabei, kritische Infrastrukturen zur Versorgung von Wirtschaft und Bevölkerung mit Energie, Wasser, schnellem Internet sowie zur sicheren Entsorgung von Abfall und Abwasser bestmöglich vor Cyber-Angriffen zu schützen. Aus VKU-Sicht stimmt beim IT-SiG 2.0 die Richtung. Damit das Gesetz in der Praxis zu einem Sicherheitsupdate für die kritischen Infrastrukturen wird, muss der Gesetzgeber an einigen Stellen nachbessern: Zum Beispiel das BSI zur Mitteilung von Sicherheitslücken verpflichten, Betreiber auch künftig bei der Definition des Stands der Technik maßgeblich zu beteiligen, angemessene Übergangsfristen zu setzen und für Rechtssicherheit bei kritischen Komponenten zu sorgen.“
Konkret plädiert der VKU für folgende Änderungen:
• BSI zur Mitteilung von Sicherheitslücken verpflichten. Der Entwurf erweitert die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI). So darf das BSI künftig selbst auf Sicherheitslücken testen. Der VKU steht einer Aufwertung des BSI grundsätzlich offen gegenüber, pocht jedoch auf eine Mitteilungspflicht des BSI. Das BSI sollte die Betreiber kritischer Infrastrukturen sofort über gefundene Sicherheitslücken in ihren Systemen informieren. Dann können die Betreiber von kritischen Infrastrukturen diese Lücken schließen.
• Betreiber auch künftig bei Definition des Stands der Technik maßgeblich beteiligen. Weiter gilt die Pflicht, IT-Sicherheitssysteme auf dem Stand der Technik einzuführen bzw. weiterzuentwickeln. Neu ist, dass künftig das BSI den Stand der Technik mit technischen Richtlinien bestimmen soll. Unklar ist, ob und wie dabei die Betreiber kritischer Infrastrukturen und die IT-Sicherheitswirtschaft eingebunden werden. Der VKU plädiert dafür, beide auch künftig maßgeblich an der Entwicklung von Standards zu IT-Sicherheitslösungen und der Definition des Stands der Technik zu beteiligen.
• Sorgfalt vor Schnelligkeit: Angemessene Übergangsfristen setzen. Das IT-SiG 2.0 verpflichtet Betreiber kritischer Infrastrukturen künftig auf Systeme zur Angriffserkennung. Die Frist wurde im Vergleich zu vorangegangenen Entwürfen deutlich verkürzt. Zudem zählt erstmals auch die kommunale Abfallwirtschaft zu den kritischen Infrastrukturen. Ab wann die Regelungen für sie gelten, ist rechtlich nicht klar geregelt. So sinnvoll neue Anforderungen sein mögen: Auf Knopfdruck lassen sie sich nicht umsetzen. Aus VKU-Sicht muss der Gesetzgeber für beide Punkte eine angemessene Übergangsfrist von zwei Jahren setzen - Sorgfalt vor Schnelligkeit.
• Rechtssicherheit bei kritischen Komponenten schaffen. Bisher fehlt im Gesetz eine klare Definition kritischer Komponenten, deren Einsatz im Endeffekt künftig das BSI genehmigen soll. Unklar ist auch, wie wirksam die Garantieerklärung der Hersteller ist. Hier sollten Bundesregierung und Bundestag nachbessern, um Rechtssicherheit für die Betreiber zu schaffen.
Der Verband kommunaler Unternehmen (VKU) vertritt rund 1.500 Stadtwerke und kommunalwirtschaftliche Unternehmen in den Bereichen Energie, Wasser/Abwasser, Abfallwirtschaft sowie Telekommunikation. Mit mehr als 275.000 Beschäftigten wurden 2018 Umsatzerlöse von rund 119 Milliarden Euro erwirtschaftet und mehr als 12 Milliarden Euro investiert. Im Endkundensegment haben die VKU-Mitgliedsunternehmen große Marktanteile in zentralen Ver- und Entsorgungsbereichen: Strom 62 Prozent, Erdgas 67 Prozent, Trinkwasser 90 Prozent, Wärme 74 Prozent, Abwasser 44 Prozent. Sie entsorgen jeden Tag 31.500 Tonnen Abfall und tragen durch getrennte Sammlung entscheidend dazu bei, dass Deutschland mit 67 Prozent die höchste Recyclingquote in der Europäischen Union hat. Immer mehr kommunale Unternehmen engagieren sich im Breitbandausbau. 190 Unternehmen investieren pro Jahr über 450 Mio. EUR. Sie steigern jährlich ihre Investitionen um rund 30 Prozent. Beim Breitbandausbau setzen 93 Prozent der Unternehmen auf Glasfaser bis mindestens ins Gebäude.