Gesetzgeberischer Handlungsbedarf

Aus den beschriebenen netzpolitischen Positionen lässt sich – nahezu konsensual – folgender gesetzgeberischer Handlungsbedarf entnehmen:

  • Der Begriff Kritische Infrastruktur sollte schnellstmöglich verfassungskonform durch den Gesetzgeber definiert werden!
  • Bei der Überarbeitung des IT-Sicherheitsgesetzes ist darauf zu achten, dass das Verhältnis zu bestehenden Meldepflichten und anderen IT-sicherheitsrechtlichen Regelungen etwa im BDSG deutlich gemacht wird.
  • Der Gesetzgeber muss klare Haftungs- und Verantwortungsregelungen schaffen (unter Zumutbarkeitsgesichtspunkten)!
  • Es bedarf weiterer Weichenstellungen – etwa im Bereich „Security by Design“ und zum Schutz der Privatanwender/Endnutzer! Aber auch den Gefahren für die IT-Sicherheit, die erst durch menschliche Fehler („Social Engineering“) entstehen, sollte stärker vorgebeugt werden!
  • Das IT-Sicherheitsgesetz muss NIS-richtlinienkonform ausgestaltet werden!
  • Die staatlichen Institutionen sollten stärker als bislang selbst verpflichtet werden!
  • Es ist sicherzustellen, dass die Erkenntnisse, die das BSI sammelt, nicht zu anderen als denen im BSIG angelegten Zwecken missbraucht werden! Das Vertrauen ins BSI muss gestärkt werden!
  • Bei der Ausarbeitung/Genehmigung der IT-Mindeststandards ist zwingend auf deren Internationalität zu achten! Auch hier könnte der Gesetzgeber unterstützend eingreifen!
  • Zu klären ist, ob nicht ein außerhalb von Kritischen Infrastrukturen geltender, verpflichtender IT-Sicherheits-Mindeststandard einzuführen ist. Schließlich dürfte aufgrund der Ausstrahlungswirkung ohnehin ein De-facto-Mindeststandard gelten.
  • Generell sollte auf Datenschutzkonformität ein größerer Focus gelegt werden! Die Datenschutzgrundverordnung sollte dabei bereits berücksichtigt werden.