Am zweiten Konferenztag der Public IT-Security (PITS) 2018 in Berlin moderierte DsiN-Geschäftsführer Dr. Michael Littger das Expertenpanel zum Thema „IT-Sicherheitsgesetz 2.0 –warum Versionsnummern an Gesetzen keinen Sinn und nicht alles besser machen“. Anknüpfend an die Abenddiskussion vom Vortag, die sich mit den Gefahren eines digitalen Blackouts befasste, diskutierte Littger mit Markus Bartsch, Business Development, TÜV NORD GROUP, Heiko Hußmann, IT-Sicherheitsbeauftragter, Landeshauptstadt Hannover, Dr. Roderic Ortern, Fachanwalt IT-Recht, BHO Legal sowie Dirk Woywod, CTO der Firma Verimi.
In der eineinhalbstündigen Paneldiskussion wurden die Erfolge des IT-Sicherheitsgesetzes sowie die sich daraus ergebenden Empfehlungen für eine Novelle des Gesetzes diskutiert. Einig waren sich die Teilnehmer, dass das derzeitige Gesetz in einigen Bereichen für viele Führungskräfte weiterhin Fragen hinsichtlich der praktischen Umsetzung aufwerfe. Dies betreffe insbesondere den Begriff einer Umsetzung der Sicherheitsmaßnahmen nach dem Stand der Technik. Auf der anderen Seite sorge die Auseinandersetzung damit in vielen Managementebenen für das dringend nötige Bewusstsein beim Thema IT-Sicherheit. Diesen Effekt bestätige Hußmann auch auf einer weiteren Ebene: Durch die verpflichtende Einführung eines Informationssicherheits-Managementsystems (ISM) hätten sich viele Mitarbeiter mit IT-Sicherheit ausgiebiger befassen müssen, und haben dadurch selber einen höheren Grad der Sensibilisierung erhalten.
Ein weiteres Thema der Runde war die Meldepflicht zu IT-Sicherheitsvorfällen kritischer Infrastrukturbetreiber. Derzeit wird diskutiert, die Meldepflicht auf mittelständische Unternehmen weiter auszudehnen. Einig waren sich die Teilnehmer, dass die Meldepflicht geeignet sei, damit andere Unternehmen rechtzeitig über neue Angriffe und Schwachstellen informiert werden können, und somit größerer Schaden von Wirtschaft und Gesellschaft abgewendet werden könne. Ortner plädierte hierbei für eine EU-weite Harmonisierung der Meldepflichten.
In einem weiteren Punkt waren sich die Teilnehmer einig: im Mittelpunkt des IT-Sicherheitsgesetzes müsse stets der Schutz der Bürger stehen. Vor diesem Hintergrund sollten bestehende Lücken im Gesetz geschlossen werden, die Transparenz von Sicherheitsangeboten und Standards gestärkt, und die Befähigung eines jeden einzelnen Bürgers und Mitarbeiters zum digitalen Schutz gefördert werden.