Begründung zu § 55 BSIG

Begründung der Bundesregierung

Zu Absatz 1

Absatz 1 führt den bisherigen § 9c Absatz 1 fort.

Zu Absatz 2

Zu Nummer 1

Nummer 1 führt den bisherigen § 9c Absatz 2 Nummer 1 fort.

Zu Nummer 2

Nummer 2 führt den bisherigen § 9c Absatz 2 Nummer 2 fort.

Zu Absatz 3

Absatz 3 führt den bisherigen § 9c Absatz 3 fort.

Zu Absatz 4

Absatz 4 führt den bisherigen § 9c Absatz 4 fort.

Zu Absatz 5

Zu Nummer 1

Nummer 1 führt den bisherigen § 9c Absatz 5 Nummer 1 fort.

Zu Nummer 2

Nummer 2 führt den bisherigen § 9c Absatz 5 Nummer 2 fort.

Zu Nummer 3

Nummer 3 führt den bisherigen § 9c Absatz 5 Nummer 3 fort.

Zu Absatz 6

Absatz 6 führt den bisherigen § 9c Absatz 6 fort.

Zu Absatz 7

Absatz 7 führt den bisherigen § 9c Absatz 7 fort. Der bisherige Verweis auf Absatz 3 war irreführend bzw. falsch. Daher wurde die Regelung für die Dauer hier explizit ausgegeben. Die Dauer, für die der Hersteller oder Diensteanbieter die Erfüllung der IT-Sicherheitsanforderungen zusichert, wird wie bisher durch Verordnung nach § 56 Absatz 2 und die hierin aufgeführten Verfahren bestimmt.

Zu Absatz 8

Zu Nummer 1

Nummer 1 führt den bisherigen § 9c Absatz 8 Nummer 1 fort.

Zu Nummer 2

Zu Absatz 9

Absatz 9 führt den bisherigen § 9c Absatz 9 fort.

Stellungnahme des Bundesrates

Zu § 55

Der Bundesrat begrüßt das Bestreben der Bundesregierung, die Cybersicherheit im Rahmen der Umsetzung der NIS-2-Richtlinie zu erhöhen. Es wird jedoch auf die Notwendigkeit hingewiesen, die Transparenz von Sicherheitseigenschaften von verbrauchernahen Produkten mit digitalen Elementen bereits beim Kauf für Verbraucherinnen und Verbraucher zu verbessern. Es wird daher darum gebeten, im weiteren Gesetzgebungsverfahren eine Erweiterung des BSI-Sicherheitskennzeichen zu prüfen mit dem Ziel, dass

  1. das BSI-Sicherheitskennzeichen auch Fragen des Datenschutzes berücksichtigt,
  2. eine Ausweitung des Produktkatalogs auf alle verbrauchernahen Produkte und Dienstleistungen mit digitalen Elementen erfolgt und
  3. das BSI-Sicherheitskennzeichen um eine Skala (in Sternen) erweitert wird, die eine einfache und intuitive Botschaft zur Sicherheit des Produktes mit digitalen Elementen transportiert, um insbesondere weniger digitalaffine Verbraucherinnen und Verbraucher bei ihrer Kaufentscheidung zu unterstützen und das IT-Sicherheitsniveau in der Gesellschaft insgesamt weiter zu erhöhen.

Begründung

Eine Erweiterung des IT-Sicherheitskennzeichens könnte die Transparenz von Sicherheitseigenschaften von verbrauchernahen Produkten mit digitalen Elementen erhöhen und würde es Verbraucherinnen und Verbrauchern erleichtern, eine informierte Kaufentscheidung zu treffen. Unter anderem könnte der statische Teil des IT-Sicherheitskennzeichens um eine Skala ergänzt werden, die es Verbraucherinnen und Verbrauchern ermöglicht, direkt zu erkennen, wie sicher ein Produkt im Vergleich zu anderen ist. Dies ist vor allem vor dem Hintergrund notwendig, dass Verbraucherinnen und Verbraucher nach einer Studie zum Thema „Untersuchung zum Thema Verbrauchersicherheitswissen und -verhalten im Digitalen Raum“ (2022) (abrufbar unter https://www.conpolicy.de/data/user_upload/Pdf_von_Publikationen/studie-des-din-vr-zu-verbrauchersicherheitswissen-und-verhalten-im-digitalen-raum–data.pdf) teilweise dem statischen Teil des IT-Sicherheitskennzeichen eine Sicherheitsgarantie entnehmen, die das Zeichen tatsächlich nicht gibt.

Gegenäußerung der Bundesregierung

Zu § 55

Die Bundesregierung lehnt den Vorschlag ab.

Die Bundesregierung teilt grundsätzlich das Anliegen des Bundesrates, die Transparenz der Sicherheitseigenschaften von verbrauchernahen Produkten mit digitalen Elementen zu erhöhen. In dieser Sache wurden bereits wesentliche Fortschritte erzielt, insbesondere durch die Verabschiedung der Verordnung (EU) 2024/2847 (Cyber Resilience Act – CRA). Der CRA bestimmt erstmals allgemeine Mindestanforderungen an die Cybersicherheit von vernetzten Produkten und ergänzt das CE-Kennzeichen um den Aspekt der Cybersicherheit. Das bedeutet, dass Verbraucherinnen und Verbraucher ab Dezember 2027 bei Kauf eines vernetzen Produktes mit einem Blick erkennen können, dass das Produkt auch unter Cybersicherheitsgesichtspunkten geprüft wurde.

Zu a)

Der Vorschlag einer Berücksichtigung von Fragen des Datenschutzes bei der Vergabe des IT-Sicherheitskennzeichens wird seitens der Bundesregierung als nicht zielführend bewertet. Das IT-Sicherheitskennzeichen wurde bewusst mit dem Fokus auf IT-Sicherheit entwickelt. Das IT-Sicherheitskennzeichen soll den Herstellern eine Hilfestellung bei der Erfüllung der Schutzziele des CRA bieten. Eine Aufnahme des Datenschutzes entspricht nicht dieser Zielsetzung.

Zu b)

Das BSI arbeitet stetig an der Ausweitung des Produktkatalogs. Für die Aufnahme von neuen Produkt- und Dienstleistungskategorien bedarf es aber der Verfügbarkeit von angemessenen IT-Sicherheitsanforderungen sowie korrespondierender Prüfspezifikationen. Die Entwicklung dieser Anforderungen und Spezifikationen ist zeitintensiv, so dass eine Ausweitung nur sukzessive und nicht sogleich für alle verbrauchernahen Produkte erfolgen kann.

Zu c)

Der Evaluierungsbericht zum IT-Sicherheitskennzeichen spricht sich bereits für eine Mehrstufigkeit des IT-Sicherheitskennzeichens, etwa in Form einer Skala, aus. Einer gesetzlichen Änderung bedarf es nicht, um diese einzuführen. Bei den weiteren Prüfungen wird abzuwägen sein, ob der mögliche Mehrwert in einem angemessenen Verhältnis zum erwartbaren Aufwand steht. Zudem muss eine Überfrachtung des IT-Sicherheitskennzeichens vermieden werden, um dessen Aussagekraft für die Verbraucherinnen und Verbraucher zu wahren.