Außerdem dürfe es nicht zu einer Doppelregulierug kommen. Die Anbieter von Telekommunikationsdiensten seien bereits nach dem Telekommunikationsgesetz (§109 TKG) verpflichtet, erhebliche Sicherheitsvorfälle an die Bundesnetzagentur zu melden. Sind personenbezogene Daten betroffen, müssten auch die betroffenen Nutzer und damit die Öffentlichkeit informiert werden.

„Eine weitere gesetzliche Regelung für die Anbieter von Telekommunikationsdiensten ist nicht notwendig“, sagte Kempf. Zumal die Unternehmen bereits jetzt verpflichtet sind, umfangreiche technische Vorkehrungen für den Schutz ihrer Übertragungsnetze und Datenverarbeitungssysteme zu treffen. Hier herrscht Unklarheit, inwieweit diese bereits vorhandenen Vorgaben berücksichtigt werden.

Bitkom hat bereits ein Meldesystem für Hackerangriffe etabliert

Der Verband setzt sich für die freiwillige Meldung von IT-Sicherheitsvorfällen ein. Ein entsprechendes Meldesystem habe die ITK-Branche in Zusammenarbeit mit dem BSI unter der Adresse allianz-fuer-cybersicherheit.de bereits etabliert. „Deutschland ist mit der Einführung eines Meldesystems für IT-Sicherheitsvorfälle international Vorreiter“, sagte Kempf. Das System müsse aber noch bekannter gemacht werden, damit vor allem kleine und mittelständische Unternehmen sensibilisiert werden, räumte er ein.

Innenminister Hans-Peter Friedrich hingegen findet, dass Kooperation auf freiwilliger Basis nicht zu ausreichenden Sicherheitsstandards führt. Er sagte bei der Vorstellung des Entwurfs beim Jahreskongress des Verbands der deutschen Internetwirtschaft Eco: „Ich weiß, dass es in der Wirtschaft Stimmen gibt, denen eine Kooperation auf freiwilliger Basis lieber wäre. Die Erfahrung zeigt aber, dass wir in der Vergangenheit allein mit freiwilligen Maßnahmen hinter unseren Zielen zurückgeblieben sind. Wir brauchen einen gesetzlichen Rahmen für mehr Kooperation und die Einhaltung von IT-Sicherheitsstandards“, so Friedrich.

Das Maß der Selbstregulierung solle hierbei jedoch so hoch wie möglich sein, sagte Friedrich weiter. Deswegen sehe der Gesetzentwurf auch vor, dass die geforderten Mindeststandards für die IT-Sicherheit der kritischen Infrastrukturen maßgeblich von den Verbänden und Betreibern selbst als entwickelt und anschließend zur staatlichen Anerkennung vorgelegt werden.