Dennoch gebe es bei der konkreten Umsetzung des Gesetzes weiterhin zahlreiche Unsicherheiten. „Noch ist unklar, für welche Unternehmen das Gesetz tatsächlich gilt“, sagte Kempf. Die Bundesregierung geht derzeit davon aus, dass nur rund 2.000 der zu den Betreibern kritischer Infrastrukturen zählenden Unternehmen unter das Gesetz fallen. Eine konkrete Festlegung soll allerdings erst im Rahmen einer Rechtsverordnung erfolgen. „Die Unternehmen brauchen möglichst schnell Planungs- und Rechtssicherheit“, betonte Kempf. Das gelte auch für die Frage, welche IT-Sicherheitsvorfälle als relevant bzw. schwerwiegend und damit als meldepflichtig eingestuft werden. Zudem müssten die Behörden mit den notwendigen Personal- und Sachmitteln ausgestattet werden. Der Gesetzentwurf beziffert den Bedarf auf rund 420 Stellen in Behörden wie BSI, Bundeskriminalamt, Verfassungsschutz oder Bundesnetzagentur. Personal- und Sachkosten belaufen sich auf rund 40 Millionen Euro pro Jahr. „Diese Vorgaben müssen im Bundeshaushalt berücksichtigt werden, damit das Gesetz auch seine Wirkung entfalten kann“, forderte Kempf. „Die staatlichen Stellen in Deutschland müssen für den Schutz vor Cyberterrorismus und Cyberkriminalität besser ausgestattet werden.“

Positiv bewertet der BITKOM, dass die Wirtschaft bei der Formulierung der jeweiligen Sicherheitsstandards eingebunden wird. Nur so lasse sich laut Kempf das Sicherheitsniveau den Erfordernissen der jeweiligen kritischen Infrastrukturen anpassen, die von der Energieversorgung über IT- und Telekommunikationsdienstleister bis zur Ernährungswirtschaft reichen.

Ausführliche Stellungnahme zum Gesetzentwurf hier