Beiträge

IT-Sicherheitsgesetz 2.0 – alle verfügbaren Versionen

Hier stellt die AG KRITIS zur Übersicht alle Versionen des IT-Sicherheitsgesetz 2.0 bereit, die irgendwo öffentlich geworden sind, so dass es eine Chance gibt, den Überblick zu halten. Das BMI hat leider versäumt, eine solche Transparenz im Sinne der Gesetzgebung eigenständig vorzunehmen – ebenso gibt es leider weiterhin keine vom BMI bereitgestellten Synopsen, anderweitige Differenzversionen oder Versionen mit Änderungsmarkierungen jeglicher Art.

Timeline der IT-SIG 2.0 Versionen:

18.05.2021 IT-Sicherheitsgesetz 2.0 (Vollständiges IT-SiG 2.0) (Vollständige HTML Version via Buzer.de)

18.05.2021 IT-Sicherheitsgesetz 2.0 (Beschlossene Fassung aus dem  Bundesgesetzblatt) (17 Seiten)

20.04.2021 IT-Sicherheitsgesetz 2.0 (Antrag Entschließung CDU/CSU und SPD) (5 Seiten)

20.04.2021 IT-Sicherheitsgesetz 2.0 (Änderungsantrag CDU/CSU und SPD) (20 Seiten)

25.01.2021 IT-Sicherheitsgesetz 2.0 (Bundestagsfassung) (110 Seiten)

01.01.2021 IT-Sicherheitsgesetz 2.0 (Bundestagsfassung) (130 Seiten)

16.12.2020 IT-Sicherheitsgesetz 2.0 (Kabinettsfassung) (118 Seiten)

11.12.2020 IT-Sicherheitsgesetz 2.0 (119 Seiten)

09.12.2020 IT-Sicherheitsgesetz 2.0 (Anschreiben Verbände) (10 Seiten)

09.12.2020 IT-Sicherheitsgesetz 2.0 (Verbändefassung) (108 Seiten)

01.12.2020 IT-Sicherheitsgesetz 2.0 (92 Seiten)

19.11.2020 IT-Sicherheitsgesetz 2.0 (92 Seiten)

07.05.2020 IT-Sicherheitsgesetz 2.0 (73 Seiten)

27.03.2019 IT-Sicherheitsgesetz 2.0 (90 Seiten)

To be continued…

Vorherige Stellungnahme der AG KRITIS

Bei weiteren sachdienlichen Hinweisen wenden Sie sich bitte an Ihre nächste Kontaktperson der AG KRITIS.

Für Risiken und Nebenwirkungen kontaktieren Sie Ihre Abgeordneten.

Ergebnis der Sachverständigenanhörung zum IT-Sicherheitsgesetz 2.0

Am 01. März 2021 war Manuel Atug, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Ausschuss für Inneres und Heimat im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0 geladen. Neben unserer Stellungnahme gab es von allen Sachverständigen enorme Kritik an dem geplanten Gesetzesvorhaben. Wir fordern daher weiterhin die Notbremse für den Entwurf, damit die dringend erforderlichen umfangreichen Änderungen durchgeführt werden können. Weiterhin muss die vorgesehene Evaluierung des ersten IT-Sicherheitsgesetzes durchgeführt werden.

Als Sachverständige wurden geladen:

  • Sebastian Artz, Branchenverband Bitkom
  • Manuel Atug, Arbeitsgemeinschaft Kritische Infrastrukturen (AG KRITIS)
  • Prof. Dr. Klaus F. Gärditz, Staatsrechtler
  • Dr. Sven Herpig, Stiftung Neue Verantwortung
  • Linus Neumann, Chaos Computer Club
  • Martin Schallbruch, Digital Society Institute der European School of Management and Technology Berlin

Die geladenen Sachverständigen waren sich einig, dass der vorliegende Gesetzesentwurf mangelhaft ist. Bereits vor der Einbringung des Entwurfs in den Bundestag hat das Ministerium des Inneren, für Bau und Heimat existierende Entwürfe des Gesetzestexts nicht oder nur mit sehr kurzen Rückmeldefristen für eine Stellungnahme der zivilgesellschaftlichen Organisationen veröffentlicht, sodass erste Kommentare auf geleakten Versionen des Texts beruhen. Zusätzlich handelt es sich bei den vorliegenden Texten um sogenannte Änderungsgesetze, die ein einfaches Lesen des aus den Änderungen resultierenden Gesetzestexts nicht möglich machen.

In der Stellungnahme erläuterte Manuel Atug die von uns bereits mehrfach kritisierten Punkte: Fehlende Unabhängigkeit des BSIs, fehlende Evaluierung des ersten IT-Sicherheitsgesetzes, die Streichung der Stärkung des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe sowie insbesondere die Einführung der Möglichkeit des Zurückhalten von Schwachstellen durch das BSI, da sich die Behörde damit zum „Handlanger der Sicherheitsbehörden und Nachrichtendienste“ mache und das Vertrauen in den Responsible Disclosure Prozess des BSI erschüttert werden würde.

Auch die anderen Sachverständigen formulierten teils erhebliche Kritik. Dr. Sven Herpig äußerte Kritik an wirkungslosen Passagen bezüglich des digitalen Verbraucherschutzes, da „[…] es in Deutschland weiter möglich sein werde, unsichere IT-Produkte auf den Markt zu bringen“. Linus Neumann vermisst eine Strategie, die „kompromisslos auf IT-Sicherheit“ setzt, beispielsweise durch ein Mindesthaltbarkeitsdatum für Softwarekomponenten und kritisiert das freiwillige IT-Sicherheitskennzeichen. Der Verfassungsrechtler Dr. Klaus F. Gärditz formuliert zusätzlich zu der inhaltlichen Kritik der anderen Sachverständigen verfassungs- und verwaltungsrechtliche Bedenken an § 9b des Entwurfs.

Die Aufzeichnung der kompletten Sitzung ist auf der Webseite des Bundestags abrufbar. Unsere Stellungnahme [AG KRITIS], [Deutscher Bundestag], die Stellungnahmen der anderen Sachverständigen sowie die Rede von Manuel Atug sind öffentlich einsehbar.

Stellungnahme zum IT-Sicherheitsgesetz 2.0 im Innenausschuss des Bundestag

Am 01. März 2021 war Manuel Atug, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Ausschuss für Inneres und Heimat im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0 geladen. Neben der mündlichen Stellungnahme im Innenausschuss haben wir auch eine schriftliche Stellungnahme abgegeben, die wir hier veröffentlichen.

Netzpolitik.org zum IT-SiG 2.0 und unserer Kommentierung

Nachdem wir unsere Stellungnahme zum #ITSIG20 veröffentlicht haben, hat Netzpolitik.org diese aufgegriffen und titelt treffend:

Innenministerium setzt zum voreiligen Endspurt an

Dabei werden nicht nur Meinungen der AG KRITIS aufgenommen, sondern auch von anderen Experten, wie Dennis-Kenji Kiper, berücksichtigt. Man kommt auch hier zum eindeutigen Ergebnis:

Fast zwei Jahre hat das Bundesinnenministerium am zweiten IT-Sicherheitsgesetz gearbeitet, nun soll es schnell gehen. Zu schnell, kritisieren IT-Sicherheitsexperten und Rechtswissenschaftler, denn es gibt noch viel Kritik. Expert:innen verlangen eine Notbremsung beim IT-Sicherheitsgesetz 2.0.

Den vollständigen Artikel findet Ihr hier:

 

Heise berichtet: IT-SIG-20 – Experten fordern „Notbremse“

 

Nachdem wir gestern unsere Stellungnahme zum #ITSIG20 veröffentlicht haben, hat Heise-Online diese aufgegriffen und wichtige Punkte noch einmal in einem längeren Beitrag dargestellt und nochmal unsere Kritik der Abkehr von evidenzbasiertem Vorgehen herausgestellt:

Darüber hinaus kritisieren die Experten, dass die im geltenden IT-Sicherheitsgesetz vorgesehene Evaluierung des Gesetzes unter Einbezug eines wissenschaftlichen Sachverständigen noch nicht passiert sei. Diese Überprüfung der Wirksamkeit der im ersten IT-Sicherheitsgesetz getroffenen Maßnahmen sei aber wichtig, „bevor eine Kompetenz- und Anforderungsausweitung mit dem neuen IT-SiG 2.0 vorgenommen wird“. Stattdessen werde „die Pflicht zur regelmäßigen Evaluierung mit diesem Entwurf vollständig entfernt“.

Den vollständigen Artikel findet Ihr hier:

 

 

Neue Version des IT-Sicherheitsgesetz 2.0 aufgetaucht!

Eine neue Version des IT-Sicherheitsgesetz ist aufgetaucht – jetzt geht es an die Analyse! Wie viele andere Organisationen machen wir das im Ehrenamt – wenn ihr also wichtige Hinweise auf Passagen für uns habt, von denen ihr denkt, dass wir uns diese genauer anschauen sollten, so freuen wir uns über einen Hinweis per E-Mail oder auf Twitter.