An verschiedenen Stellen des aktuellen Entwurfs aus Mai 2020 werden Kompetenzen, die bisher der Normung zugehörig gewesen sind, zunehmend beim BSI zentralisiert. Hierzu gehört beispielsweise die Erweiterung der Aufgabenbeschreibung nach § 3 Abs. 1 Nr. 20 BSIG-E, einen Stand der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte zu entwickeln und zu veröffentlichen, aber auch, dass der Gesetzentwurf in seiner gegenwärtigen Fassung an verschiedenen Stellen auf technische Richtlinien (TR) des BSI Bezug nimmt, die konkrete gesetzliche Anforderungen sowie den „Stand der Technik“ ausgestalten sollen. Zentrales Beispiel ist hier der Regelungsvorschlag in § 8a Abs. 1a BSIG-E: Demnach wird die Einhaltung des Stands der Technik für die Betreiber von kritischen Infrastrukturen dann vermutet, wenn die getroffenen Maßnahmen einer TR des BSI in der jeweils geltenden Fassung entsprechen. Dies ist nicht nur im Hinblick auf das paritätisch ausgestaltete, nationale Normungsverfahren problematisch, sondern auch für die Schaffung von international und allgemein anerkannten Standards in der IT-Sicherheit. Durch nationale Alleingänge werden hier letztlich mehr Barrieren geschaffen, die auch der europäischen Harmonisierung bei der Entwicklung von IT-Sicherheitsstandards im gemeinsamen europäischen Binnenmarkt entgegenwirken.
Mit dem Entwurf zum IT-SiG 2.0 geht ein erheblicher Ausbau der Befugnisse und Kapazitäten des BSI einher. Die damit verbundene Informationszentralisierung beim BSI erscheint vor dem Hintergrund der fehlenden organisationalen Selbstständigkeit der Behörde zunehmend kritisch, da die Tätigkeit des BSI unter dem Dach des BMI stattfindet, das gleichzeitig auch Aufsichtsbehörde für Behörden im Bereich der nachrichtendienstlichen Tätigkeit sowie der Gefahrenabwehr und Strafverfolgung ist, die teils Kompetenzen besitzen, informationstechnische Systeme zu kompromittieren. Hier ist, auch vor dem Hintergrund des verstärkten personellen Ausbaus des BSI, die Stellung einer grds. unabhängigen obersten Bundesbehörde, ähnlich dem BfDI, anzustreben. Besonders deutlich wird diese Problematik am Regelungsvorschlag gem. § 8a Abs. 3 S. 4 BSIG-E, wonach die KRITIS-Betreiber dem BSI eine Liste aller IT-Produkte zu übermitteln haben, die für die Funktionsfähigkeit der kritischen Infrastruktur von Bedeutung sind. Derartige Daten aus dem Asset-Management können und sollten nicht einer zentralen Stelle übermittelt werden, sondern der jeweilige Datensatz sollte beim entsprechenden Betreiber verbleiben, der das IT-Sicherheitsmanagement insoweit eigenständig betreibt.
Der Entwurf zu § 9b BSIG regelt den Umgang mit dem Einsatz kritischer Komponenten nicht vertrauenswürdiger Hersteller und wurde vor allem durch die Huawei-Debatte zu 5G im Jahr 2019 vorangetrieben. In Abs. 2 wird bestimmt, dass kritische Komponenten nur von solchen Herstellern eingesetzt werden dürfen, die eine Erklärung über ihre Vertrauenswürdigkeit gegenüber dem Betreiber der Kritischen Infrastruktur abgegeben haben (sog. „Garantieerklärung“). Die Garantieerklärung erstreckt sich auf die gesamte Lieferkette des Herstellers. Die Anforderungen werden im Einzelnen durch das BMI durch Allgemeinverfügung bestimmt. So lobenswert die Feststellung der IT-Sicherheit über den gesamten Herstellungsprozess eines Produktes hinweg auch sein mag, so stellt sich nach wie vor für die praktische Umsetzung die Frage, wie dies zweifelsfrei und vollständig realisiert werden kann, so z.B., wenn Open Source-Komponenten in der Produktentwicklung zur Anwendung gelangen. Deshalb sollte bei der Schaffung neuer KRITIS-Regelungen insbesondere auch die operative Sichtweise stärker als bisher berücksichtigt werden. Nur auf diese Weise kann ein praxisnahes Recht der IT-Sicherheit geschaffen werden.
