TeleTrusT-Stellungnahme zum BMI-Referentenentwurf zur Cyberresilienz-Verordnung
Der Bundesverband IT-Sicherheit (TeleTrusT) nimmt Stellung zum BMI-Referentenentwurf für ein Durchführungsgesetz zur EU-Cyberresilienz-Verordnung. Der Referentenentwurf greift die durch den CRA erforderlichen nationalen Regelungen zwar im Grundsatz auf, bleibt in seiner derzeitigen Fassung jedoch in zentralen Punkten hinter den praktischen und rechtlichen Anforderungen zurück.
Die vorgesehene Aufgabenbündelung beim BSI ist nur dann tragfähig, wenn dessen personelle, technische und organisatorische Ausstattung verlässlich und dauerhaft abgesichert wird. Daran fehlt es bislang, so der Verband.
Besonders kritisch sind die zu weit gefasste Ausnahmeregelung für die Notifizierung von Konformitätsbewertungsstellen ohne Akkreditierung, die unzureichend konkretisierten Unterstützungsleistungen für Wirtschaftsakteure sowie die unklare Ausgestaltung des Reallabors für Cyberresilienz. In allen drei Bereichen besteht die Gefahr, dass der Entwurf formale Strukturen schafft, ohne deren praktische Wirksamkeit belastbar sicherzustellen.
TeleTrusT hält daher eine deutliche Nachschärfung des Entwurfs für erforderlich. Notwendig sind insbesondere eine verlässliche Finanzierung und Ausstattung des BSI und der DAkkS, enge und klare Voraussetzungen für Ausnahmen von der akkreditierungsbasierten Notifizierung, ein substanziell ausgebautes und praxisnahes Unterstützungskonzept für Unternehmen sowie transparente und nachvollziehbare Regelungen zum Reallabor.
