Aktuelles, Experten - geschrieben von dp am Mittwoch, Dezember 16, 2020 21:19 - noch keine Kommentare
IT-SiG 2.0: VdTÜV begrüßt Ausweitung des Geltungsbereichs
VdTÜV mahnt aber Nachjustierungen beim IT-Sicherheitsgesetz 2.0 an
[datensicherheit.de, 16.12.2020] Der Verband der TÜV e.V. (VdTÜV) begrüßt in seiner aktuellen Stellungnahme das am 16. Dezember 2020 im Bundeskabinett verabschiedete IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) im Grundsatz, mahnt aber „Nachjustierungen“ an: „Das neue IT-Sicherheitsgesetz wird dazu beitragen, den Schutz vor Cyber-Angriffen zu verbessern“, so Dr. Joachim Bühler, Geschäftsführer des VdTÜV. Dies habe bereits das im Jahr 2015 verabschiedete erste IT-Sicherheitsgesetz gezeigt, welches jetzt novelliert werde.
VdTÜV setzt auf Stärkung der Widerstandsfähigkeit gegen Cyber-Risiken
„Wir begrüßen, dass der enge Geltungsbereich des Gesetzes ausgeweitet wird und in Zukunft weitaus mehr Unternehmen höchste Anforderungen an die IT-Sicherheit erfüllen müssen als bisher“, meint Dr. Bühler. Dies stärke die Widerstandsfähigkeit gegen Cyber-Risiken in der Wirtschaft insgesamt. Bisher hätten nur rund 2.000, zu den Betreibern Kritischer Infrastrukturen (Kritis) zählende Unternehmen, die Vorgaben dieses Gesetzes erfüllen müssen.
Künftig würden auch „Unternehmen im besonderen öffentlichen Interesse“ erhöhte IT-Sicherheitsanforderungen erfüllen müssen. Das betrifft laut Dr. Bühler zum Beispiel große Unternehmen mit besonderer gesamtwirtschaftlicher Bedeutung oder Unternehmen, welche staatliche Sicherheitsinteressen berühren.
Laut VdTÜV deutlicher Nachbesserungsbedarf beim geplanten IT-Sicherheitskennzeichen
Deutlichen Nachbesserungsbedarf sieht der TÜV-Verband nach eigenen Angaben beim geplanten IT-Sicherheitskennzeichen für Produkte: Ziel sei es, Verbrauchern eine bessere Orientierung beim Kauf vernetzter Produkte mit digitalen Funktionen zu ermöglichen. So sollten Produkte eine Kennzeichnung vom Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten, „wenn sie bestimmte Anforderungen an die IT-Sicherheit erfüllen“. Voraussetzung für die Vergabe des Kennzeichens sei eine Erklärung des Herstellers, „dass sein Produkt den Vorgaben entspricht“.
Das BSI überprüfe anhand von Unterlagen des Herstellers, ob die Angaben plausibel sind. „Eine reine Plausibilitätsprüfung von Dokumenten reicht nicht aus, um die IT-Sicherheit eines Produktes umfassend zu bestätigen“, erläutert Dr. Bühler. Für eine „substantiierte Verbraucherinformation“ sei eine tatsächliche Produktprüfung notwendig, welche von einer herstellerunabhängigen Stelle durchgeführt werde. „Für die Verbraucher muss klar sein, was eine Produktkennzeichnung aussagt“, betont Dr. Bühler. Echte Sicherheit und verlässliche Orientierung biete „nur eine fundierte Produktprüfung durch unabhängige Dritte“.
VdTÜV kritisiert beim Gesetzgebungsverfahren auffallend kurze Frist für Kommentierung
Aus Sicht des TÜV-Verbands sollten sich staatliche Stellen „unter Wahrung des Subsidiaritätsprinzips sowie des Grundsatzes der Staatsentlastung auf hoheitliche Aufgaben konzentrieren“. Dem BSI würden im IT-Sicherheitsgesetz 2.0 Aufgaben wie die Akkreditierung von Prüforganisationen, die Zertifizierung von IT-Produkten oder sicherheitsrelevanten Dienstleistungen sowie die Marktaufsicht zugedacht. So solle das BSI künftig private Prüforganisationen zulassen bzw. akkreditieren und überwachen, mit denen sie gleichzeitig um die Zertifizierung von sicherheitskritischen Systemen in der Wirtschaft konkurriere. Allerdings berge die Konzentration, Durchmischung und Überlagerung von Aufgaben und Kompetenzen das Risiko von Interessenkonflikten innerhalb einer Behörde.
Zum Gesetzgebungsverfahren kritisiert der VdTÜV – wie auch andere Verbände – die „auffallend kurze Frist für die Kommentierung des Gesetzentwurfs“. Dr. Bühler führt aus: „Das IT-Sicherheitsgesetz betrifft Wirtschaft und Verbraucher massiv. Ausreichend Zeit für eine sachgerechte Anhörung der Verbände ist daher zwingend geboten und wichtiger Teil des demokratischen Verfahrens.“
Weitere Informationen zum Thema:
datensicherheit.de, 10.12.2020
IT-Sicherheitsgesetz 2.0: eco warnt vor vorschneller nationaler Regulierung / Der Verband der Internetwirtschaft (eco) befürchtet hohes Risiko für Unternehmen und private Nutzer
Aktuelles, Experten - Nov 20, 2024 21:07 - noch keine Kommentare
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
weitere Beiträge in Experten
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
Aktuelles, Branche, Studien - Nov 20, 2024 20:59 - noch keine Kommentare
Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
weitere Beiträge in Branche
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
- NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren