IT-Sicherheitsgesetz – Handel von Lasten bedroht
In Betrachtung der sehr weitreichenden Regelungselemente sollte aus Sicht des Lebensmittelhandels zunächst sehr sorgfältig geprüft werden, welche Branchen und Wirtschaftszweige als unmittelbar gefährdete Kritische Infrastrukturen einzustufen sind. Hier pauschal und ohne nähere Begründung den Sektor Ernährung einzubeziehen, der dann in der Begründung in Richtung der Branchen Ernährungswirtschaft und Lebensmittelhandel konkretisiert wird, wird vom Handel weder als nachvollziehbar noch als zielführend eingestuft.
Besonderheiten des Lebensmittelhandels berücksichtigen
Bereits in der Stellungnahme des Lebensmittelhandels zum ersten Gesetzesvorschlag, die der Handel im April 2013 dem BMI übermittelt hatte, stellte die Branche nach eingehender Analyse fest, dass die Gefahr flächendeckender Versorgungsengpässe aufgrund von Cyberattacken als sehr gering eingeschätzt wird. Zwar bestehen durchaus Möglichkeiten, dass es in einzelnen Unternehmen oder Unternehmensteilen zu Störungen des Betriebes kommt, ein flächendeckender Ausfall über längere Zeit wird aber mit Blick auf die Anbieter- und Systemvielfalt im Handel als wenig realistisch eingestuft.
Sicherheit durch Systemvielfalt gegeben
Im Ergebnis wird deutlich, dass allein die große Vielfalt an Unternehmenseinheiten dazu führt, dass eine flächendeckende Gefährdung aller Unternehmen durch Cyberattacken sehr unwahrscheinlich ist. Hinzu kommen die ganz unterschiedlichen IT-Systeme im Handel. Dies trägt ebenfalls zur Erkenntnis bei, dass ein zentraler Angriff mit Auswirkungen auf alle Unternehmen des Lebensmittelhandels nur schwer möglich ist. Kritische Infrastrukturen, deren Ausfall die Versorgung der Bevölkerung gefährden könnten, sind daher im Lebensmittelhandel nicht auszumachen.
Handel bereits heute in der Pflicht
Aus den Handelshäusern wird zudem deutlich darauf hingewiesen, dass sich aus den im Unternehmensumfeld anwendbaren Gesetzen bereits heute konkrete Verpflichtungen für die Gewährleistung eines angemessenen IT-Sicherheitsniveaus in den Unternehmen ableiten lassen. Die Unternehmen des Lebensmittelhandels setzen diese gesetzlichen Forderungen - auch im eigenen Interesse - schon heute um. Dies geschieht insbesondere zur Absicherung der Geschäftsprozesse und somit zur Sicherstellung des Fortbestandes des eigenen Unternehmens. Hingegen wird ein weiteres Gesetz, wie im konkreten Fall das IT-Sicherheitsgesetz, als nicht geeignet eingestuft, das IT-Sicherheitsniveau in den Unternehmen zu erhöhen.
Unverhältnismäßige Kostenbelastungen drohen
Aus dem vorliegenden Gesetzestext lässt sich nicht einschätzen, welche konkreten Kostenbelastungen auf den Handel zukommen werden. Es ist nicht bekannt, welche Einrichtungen, Betriebe oder Betriebsteile des Lebensmittelhandels in welchen Regionen einbezogen werden sollen, was in einer späteren Verordnung geregelt werden soll. Jedoch wird bereits in diesem Entwurfsstadium deutlich, dass den Betreibern dann absehbar zusätzliche Kosten entstehen.
Dies geht beispielsweise aus dem Regelungsansatz hervor, der den Betreibern Nachweispflichten mit verpflichtenden Sicherheitsaudits, Prüfungen oder Zertifizierungen auferlegt. Die im Vorwort des Gesetzentwurfs enthaltene Aussage, Mehrkosten würden nur dort verursacht, wo bislang noch kein hinreichendes Niveau an IT-Sicherheit bzw. keine entsprechenden Meldewege etabliert sind, ist insoweit nicht plausibel. Es muss davon ausgegangen werden, dass für alle Betreiber Kritischer Infrastrukturen erhebliche Mehrkosten entstehen.
Handlungsbedarf: Energie und Telekommunikation
Flächendeckende Störungen der Energieversorgung und der Telekommunikation können hingegen dazu führen, dass auch der Lebensmittelhandel in seiner Versorgungsfunktion deutlich eingeschränkt wird. Insofern ist eine mittelbare Gefährdung des Handels durch die Abhängigkeit von Stromversorgung und Telekommunikation gegeben.
Werden jedoch Maßnahmen zum erweiterten Schutz der Stromversorgung und Telekommunikation ergriffen, ist auch diese mittelbare Gefährdungslage wirksam eingedämmt. Vor diesem Hintergrund begrüßt es der Handel, dass die Sektoren Energie und Telekommunikation im besonderen Fokus des vorgelegten Gesetzentwurfes im Hinblick auf die Prävention gegen Cyberattacken stehen.
Handel vom Regelungsbereich ausnehmen
Der Gesetzentwurf sieht zusätzliche IT-Sicherheitsmaßnahmen und Meldepflichten für den Lebensmittelhandel vor, die auf handelsseitige Ablehnung stoßen, da diese im Ergebnis der Analyse nicht zielführend und in ihren belastenden Auswirkungen als hochgradig unverhältnismäßig eingestuft werden müssen.
Auch wenn der Gesetzentwurf vom Bundeskabinett am 17. Dezember 2014 inzwischen beschlossen wurde, werden sich noch die Ländervertreter im Bundesrat bis Ende Februar 2015 und anschließend das Parlament und seine Ausschüsse mit der Vorlage befassen.
In diese Richtungen appellieren BVLH und HDE noch einmal mit Nachdruck, den Lebensmittelhandel vom Anwendungsbereich des Gesetzes vollständig auszunehmen.
Zudem sollte zunächst die europäische Richtlinie abgewartet werden. Der deutsche Gesetzgeber sollte im Sinne einheitlicher Regelungen und zur Vermeidung von Wettbewerbsverzerrungen zulasten deutscher Unternehmen nicht einseitig über die europäischen Vorgaben hinausgehen.