Es sei notwendig, ein einheitlich hohes Sicherheitsniveau bei den unterschiedlichen Betreibern kritischer Infrastrukturen herzustellen, so Kempf. Allerdings müsse für die vorgesehenen Meldepflichten von IT-Sicherheitsvorfällen klar gestellt werden, welche Unternehmen betroffen sind und welche Ereignisse meldepflichtig sind.

„Eine überzogene Ausweitung von Meldepflichten lehnen wir ab, weil sie hohen bürokratischen Aufwand und eine Flut kaum relevanter Meldungen verursacht“, sagte Kempf. Das widerspräche dem Ziel, ein möglichst gutes Bild über die Sicherheitslage im Internet zu bekommen. So werden die großen Betreiber von Internetdiensten täglich tausendfach angegriffen. Kempf: „Selbst erfolgreiche Angriffe führen nicht zu größeren Schäden, wenn sie frühzeitig erkannt werden oder sich der Schädling als harmlos erweist.“ Es sollte im Gesetzestext klargestellt werden, was mit „erheblichen IT-Sicherheitsvorfällen“ gemeint ist, so Kempf.

Bitkom kritisiert "übertriebene Ausweitung der Meldepflichten"

Völlig unklar bleibe, so Bitkom, im Gesetzestext, welche Unternehmen in Zukunft als Betreiber „kritischer Infrastrukturen“ eingestuft werden und deshalb IT-Sicherheitsvorfälle und Hacker-Angriffe melden müssten. Das solle erst später im Rahmen einer Verordnung konkretisiert werden.

„Dieses Vorgehen ist intransparent und öffnet einer übertriebenen Ausweitung der Meldepflichten Tür und Tor“, sagte Kempf. Das Gesetz sollte sich bei der Festlegung an der Definition des Bundesinnenministeriums orientieren, fordert der Verband. Danach sind kritische Infrastrukturen Organisationen und Einrichtungen, deren Ausfall „nachhaltig wirkende Versorgungsengpässe“ oder „erhebliche Störungen der öffentlichen Sicherheit“ zur Folge haben. Diese Gefahr bestehe aber nur bei einer begrenzten Anzahl von Unternehmen.

Laut Bitkom sollen den Plänen der EU-Kommission zufolge zu den meldepflichtigen kritischen Infrastrukturen neben Telekommunikationsnetzen folgende Bereiche gehören: BankenBanken und Börsen, Energieversorger, TransportTransport und Logistik, Gesundheitswesen, öffentliche Verwaltungen sowie „zentrale Internetunternehmen“. Eine solche Ausweitung der Meldepflichten auf andere Unternehmen hält der Verband für „unverhältnismäßig“. Top-Firmen der Branche Banken Top-Firmen der Branche Transport