Die Bundesregierung hat sich vorgenommen, die Richtlinie zur Verbesserung der Netz- und Informationssicherheit, NIS-Richtlinie, in nationales Recht zu überführen. Wesentliche Regelungen der sogenannten NIS-Richtlinie allerdings wurden bereits mit dem im Sommer 2016 in Kraft getretenen deutschen IT-Sicherheitsgesetz umgesetzt. Dies betraf beispielsweise die sogenannten wesentlichen Dienste, sprich: Betreiber kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Seinerzeit nicht adressiert wurden die von der europäischen Richtlinie bereits erfassten „digitalen Dienste“. Das sind Onlinemarktplätze, Suchmaschinen und Cloud-Computing-Dienste. Diese Regelungslücke soll nun geschlossen werden. So weit, so scheinbar unspektakulär. Doch werden bei näherem Hinsehen drei grundlegende Mängel im Regierungsentwurf deutlich.
Erstens. Rechtssicherheit für die Anbieter von „digitalen Diensten“ wird nicht erreicht. Der Regierungsentwurf zum Umsetzungsgesetz bleibt sowohl in der Definition als auch in der Konkretion der Anforderungen für digitale Diensteanbieter völlig unbestimmt. Insbesondere bleibt unbeantwortet, wie diese von den bereits im Rahmen des IT-Sicherheitsgesetzes regulierten Anbietern von Telemediendiensten abzugrenzen sind. Im Zweifel müssten sich die Anbieter an beide Regelungen halten. Geschaffen wird so eine Doppelregulierung und ein undurchsichtiges Dickicht an Sicherheitspflichten. Beides läuft der Gewährleistung der Netz- und Informationssicherheit und damit dem Zweck der Richtlinie zuwider. Weder Verbrauchern noch Anbietern ist damit gedient. Dringend notwendig ist es daher, eine inhaltliche Systematisierung der IT-Sicherheitspflichten für alle Anbieter und Dienste vorzunehmen.
Zweitens. Das Bundesamt für Sicherheit in der Informationstechnik, BSI, wird mit dem Umsetzungsgesetz weiter zu einer operativen Behörde ausgebaut. Erstmals erhält es operative Befugnisse zur Cyberabwehr, um mit eigenen Kräften – wie es im Entwurf des Gesetzestextes heißt – bei der „ Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme “ mitwirken zu können. Zum Ausdruck kommt die Ausweitung des Aufgabenbereichs auch in einem erneuten Stellenaufwuchs. Wurden dem BSI mit Verabschiedung des IT-Sicherheitsgesetzes bereits 220 Stellen zusätzlich zugewiesen, so kommen nun noch einmal 181,5 Stellen hinzu.
Zugleich wird die Behörde allerdings nicht institutionell gestärkt, sondern bleibt dem Bundesinnenministerium unterstellt. Die Unabhängigkeit des BSI ist nicht gewährleistet. Der Präsident des BSI hat gerade erst erklärt, bei Ermittlungen zu Cyberattacken müssten am Ende Indizien interpretiert werden. Dies bedarf natürlich einer Unabhängigkeit der Untersuchungsbehörde. Zudem wird das schwammige Verhältnis des BSI zu den polizeilichen Sicherheitsbehörden und den Geheimdiensten von der Bundesregierung ausdrücklich gewollt. Dessen intensive Zusammenarbeit mit BND, BfV und MAD national via Cyber-Abwehrzentrum oder international in der Kooperation mit der NSA soll nicht durchbrochen werden. Das Vertrauensproblem der für die Cyberabwehr zuständigen Bundesbehörde wird auf diese Weise nicht gelöst. Gerade die Sensibilität der beim BSI gesammelten Informationen über Sicherheitslücken und -strukturen sowie der Umgang mit persönlichen Daten aus Unternehmen und von Privatpersonen erfordert zwingend, sie als unabhängige Bundesbehörde mit unzweideutigem Sicherheitsauftrag aufzustellen.
Drittens. Die Bundesregierung verzichtet erneut darauf, Regelungen zur Produktsicherheit und Produkthaftung für IT-Produkte und IT-Dienste einzuführen. Das war bereits bei Verabschiedung des IT-Sicherheitsgesetzes der Fall und ist es jetzt erneut. Ausgangspunkt von Sicherheitsproblemen aber sind in den allermeisten Fällen Sicherheitslücken in der eingesetzten Software. Zum Kern des Problems in der IT-Sicherheit vorzudringen, heißt daher, Haftungsverschärfungen für IT-Sicherheitsmängel im IT-Sicherheitsrecht aufzunehmen.
Aus diesen Gründen werden wir dem Umsetzungsgesetz nicht zustimmen und uns enthalten.