Es kann nicht pauschal davon ausgegangen werden, dass die vom BSI durchgeführte Evaluierung des IT-Sicherheitsgesetzes 2.0 die besseren Ergebnisse erbracht hat, als wenn die Evaluierung wie ursprünglich beabsichtigt im Rahmen einer Verhandlungsvergabe ohne Teilnahmewettbewerb durchgeführt worden wäre oder dass die Anforderungen teilweise sogar übertroffen sein sollen, wie öffentlich kommuniziert wurde. So geht zum einen aus dem vom BMI veröffentlichten „Konzept zur Evaluierung des IT-Sicherheitsgesetzes 2.0“ klar hervor, dass der Richtwert für einen Bericht bei maximal 35 Seiten liegt – die nun veröffentlichte Fassung ist abzüglich Vorblätter, Inhaltsverzeichnis und Schlussblatt lediglich 15 Seiten lang. Inhaltlich ist der durch das BMI vorgelegte Bericht sogar eher enttäuschend, indem er bis auf die Ergebnisse aus der Betreiber-Umfrage keine nennenswerten neuen Kenntnisse enthält und eine intensive und kritische Auseinandersetzung mit dem Thema vermissen lässt. Das BSI und das BMI stehen als handelnde Akteure im Mittelpunkt und die ergriffenen Maßnahmen werden als „wirksam“ beschrieben und einzelne kritische Punkte wirken eher wie Feigenblätter anstelle einer sachlichen und kritikoffenen Auseinandersetzung. Hierin zeigt sich mehr als deutlich das Problem, dass die durchführende Einrichtung nicht zugleich die evaluierende Einrichtung sein kann. Die positiven Ergebnisse überraschen umso mehr, als dass das IT-SiG 2.0 und die in ihm beschriebenen Maßnahmen im Gesetzgebungsverfahren in den Jahren 2019-2021 deutlich und nicht nur in Einzelfällen kritisiert wurden. Überdies schreibt schon das vom BMI veröffentliche Konzept zur Evaluierung vor, dass gem. Art. 6 Abs. 1 Nr. 1 IT-SiG 2.0 die Evaluierung unter Einbeziehung von wissenschaftlichem Sachverstand erfolgen soll. Wie dies im vorliegend veröffentlichten Bericht geschehen sein soll, ist bis auf eine allgemeine Mail des BMI an einen groß angelegten Verteiler unklar. Im gesamten Bericht wird die Wissenschaft nur drei Mal in nebensächlichen Halbsätzen zitiert, was den Gedanken einer „Einbeziehung“ ad absurdum führt.
Im Ergebnis wird damit – bis auf die BSI-Umfrage – die wissenschaftliche und methodische Durchführung der Evaluierung auf eine anonyme Mailabfrage in einem Großverteiler degradiert. Ob dies im Sinne des Gesetzgebers des ursprünglichen Evaluierungsverfahrens ist, darf stark angezweifelt werden. #cybersecurity #itsig #bmi
Link zum Interview: https://background.tagesspiegel.de/cybersecurity/it-sig-2-0-am-ziel-vorbei-evaluiert