Zwangsgesichert
Wie das IT-Sicherheitsgesetz 2.0 Bürger und Unternehmen regulieren soll
Der jüngst vorgelegte Gesetzentwurf läutet eine komplette Regulierung der IT-Security in Deutschland ein. Die neuen Vorschriften betreffen nicht nur Unternehmen und deren Mitarbeiter: Ein Sicherheitskennzeichen soll Nutzer künftig leichter beurteilen lassen, bei welchen IT-Produkten sie sorglos zugreifen können.
Lange Zeit galt: Wie gut oder schlecht informationstechnische Systeme abgesichert sind, ist Sache der Betreiber. Die Politik hielt sich weitgehend heraus. Erst seit 2015 hat das IT-Sicherheitsgesetz „kritische Infrastrukturen“ in den Blick genommen, also Systeme mit wichtiger öffentlicher Bedeutung [1]. Die Überarbeitung dieses Gesetzes (IT-SiG 2.0) geht sehr viel weiter, wie ein seit Mai 2020 vorliegender Referentenentwurf der Bundesregierung zeigt [2]: Gesetzliche Vorgaben betreffen nun eine Vielzahl von Unternehmen. Auch der IT-Markt für Verbraucher soll reguliert werden – allerdings einstweilen auf freiwilliger Basis.
So will die Bundesregierung zum Schutz der Bürger ein „einheitliches IT-Sicherheitskennzeichen“ schaffen, „welches die IT-Sicherheit der Produkte erstmals sichtbar macht“. Das soll eine „fundierte Kaufentscheidung“ ermöglichen. Das dabei wichtige Kennzeichen wird auf die Produkte oder deren Verpackungen aufgetragen. Es enthält einen QR-Code, der dazu dient, aktuelle Sicherheitsinformationen zu dem Produkt auf der Website des Bundesamts für Sicherheit in der Informationstechnik (BSI) abzurufen.
