Das Bundesinnenministerium hat diese Woche einen Entwurf für ein IT-Sicherheitsgesetz vorgelegt, der unter anderem vorsieht, dass Betreiber kritischer Infrastrukturen IT-Sicherheitsvorfälle melden müssen.
Auf welche Infrastrukturen dieses Gesetz letztlich Anwendung findet, wird nach Auffassung des Centrums für Europäische Politik (cep) jedoch vorrangig auf EU-Ebene entschieden werden und nicht in Berlin.
Der deutsche Gesetzesentwurf folgt nämlich dem bereits im Februar 2013 vorgelegten Richtlinienvorschlag der EU-Kommission über Maßnahmen zur Erhöhung der Netz- und Informationssicherheit.
Im EU-Kommissionsvorschlag sind jedoch nicht nur Betreiber kritischer Infrastrukturen, sondern auch Anbieter von Diensten der Informationsgesellschaft erfasst, etwa Suchmaschinen oder soziale Netze.
Auf welche Unternehmen die vorgeschlagene EU-Richtlinie – und damit auch das deutsche IT-Sicherheitsgesetz – letztlich Anwendung findet, wird vorrangig bei den anstehenden Trilogverhandlungen in Brüssel entschieden werden.
Fest steht aber auch: Die EU-Richtlinie wird nur eine Mindestharmonisierung darstellen. Die nationale Umsetzung der Richtlinie kann strenger ausfallen.
