Bundesinnenminister Thomas de Maizière (CDU) geht teilweise auf Bedenken der Wirtschaft gegen das geplante IT-Sicherheitsgesetz ein. Zwar will er die Betreiber kritischer Infrastrukturen verpflichten, binnen zwei Jahren hohe Standards zum Schutz ihrer IT-Systeme zu erreichen, wie aus dem Entwurf des IT-Sicherheitsgesetzes hervorgeht, das dem „Handelsblatt“ (Dienstagausgabe) vorliegt. Auch werden sie erstmals verpflichtet, „Beeinträchtigungen ihrer informationstechnischen Systeme“ an das Bundesamt für die Sicherheit in der Informationstechnik (BSI) zu melden.
Zugleich jedoch reicht eine anonyme Information der Behörden aus, solange die angegriffenen Netze weiter funktionieren. Nur wenn es „zu einem Ausfall oder zu einer Beeinträchtigung der kritischen Infrastruktur“ führt, müssen die Unternehmen dies namentlich an das BSI melden. Die Wirtschaft hatte sich heftig gegen das Gesetz gewehrt.
Durch eine derartige Meldepflicht und Bekanntmachung von Hackerangriffe auf ihre Systeme fürchten Unternehmen erhebliche Imageschäden. Sie drängten auf eine Anonymisierung. Auch in einem weiteren zentralen Punkt kommt de Maizière der Wirtschaft entgegen: Der Staat wird den Unternehmen keine festen Sicherheitsstandards vorschreiben.
Vielmehr verpflichtet er die Branchen, selbständig Vorgaben zu entwickeln. Das BSI muss die Konzepte aber genehmigen. Weitgehend ausgenommen von den zahlreichen neuen Pflichten sind die staatlichen Infrastrukturbetreiber.
Die Wirtschaft kritisiert die Ausklammerung scharf: „Der Staat ist der größte Betreiber kritischer Infrastrukturen, die entsprechenden Meldepflichten und Sicherheitsstandards sollten daher auch für staatliche Stellen gelten“, sagte BDI-Experte Matthias Wachter.