Sicherheit

BDI-Studie zum geplanten IT-Sicherheitsgesetz

© moonrun (oben)

Der Bundesverband der deutschen Industrie e.V. (BDI) hat KPMG beauftragt, eine Studie zum geplanten IT-Sicherheitsgesetz durchzuführen. Mit der Studie „IT-Sicherheit in Deutschland – Handlungsempfehlungen für eine zielorientierte Umsetzung des IT-Sicherheitsgesetzes“ zeigt der Verband noch vor Beginn des Gesetzgebungsverfahrens eigene Vorschläge und gibt eine Abschätzung über den Aufwand, der sich aus den Regelungen des geplanten Gesetzes ergibt.

Die nachdrückliche Stärkung der IT-Sicherheit, dieses Ziel verfolgen Politik und Wirtschaft. Mit dem vom Bundesministerium des Innern (BMI) am 12. März 2013 vorgestellten Referentenentwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme, soll dieses Ziel umgesetzt werden. Zu den wesentlichen Regelungsinhalten gehören die Pflicht zur Meldung von IT-Sicherheitsvorfällen durch Betreiber kritischer Infrastrukturen und Telekommunikationsanbieter sowie die Einführung von IT-Mindestsicherheitsstandards.

Um eine solide Grundlage für die weiteren Diskussionen um die Ausgestaltung eines IT-Sicherheitsgesetzes zu schaffen, veröffentlichte der BDI, gemeinsam mit seinen Mitgliedsverbänden BDLI, BDSV, BITKOM und ZVEI, nun eine Studie, die er dem Wirtschaftsprüfungs- und Beratungsunternehmen KPMG in Auftrag gab.

Die Hauptziele der Studie waren zum Einen die Abschätzung des Aufwands, der sich für die betroffenen Unternehmen durch die Umsetzung der geplanten Meldepflicht und der IT-Mindeststandards ergeben kann. Zum Anderen sollten Handlungsempfehlungen zur Ausgestaltung dieser beiden Regelungsinhalte dargestellt werden.

Das Ergebnis der Studie zeigt, dass die Umsetzung der geplanten Meldepflicht zu signifikanten Aufwendungen für die betroffenen Unternehmen führen würde. Die Studie empfiehlt daher, eine „Pseudonymisierung der Meldepflicht via Treuhänder“. Eine solche Möglichkeit würde dem BDI die Erstellung eines Lagebilds ermöglichen und zugleich das Risiko von Reputationsschäden für die meldenden Unternehmen verringern.

Quelle

BDI – Studie zum IT-Sicherheitsgesetz, BDI-Mitteilung von Juli 2014