Sehr geehrte Herr Präsident! Meine sehr geehrten Damen und Herren! Die Frage der IT‑Sicherheit ist die Frage der nationalen Souveränität. Das Voranschreiten der Digitalisierung macht deutlich, dass wir als Regierung, aber auch als Parlament gefragt sind, zu handeln. Dem, meine Damen und Herren, sind wir nachgekommen.

Herr Minister, ein offenes Wort: Es hat Ewigkeiten gebraucht zwischen dem zweiten und dem dritten Referentenentwurf. Ein Jahr ist ins Land gegangen, und tatsächlich sind in der öffentlichen Anhörung deutliche Kritikpunkte genannt worden. Wir, die Regierungsfraktionen, haben genau zugehört, und so ist dieser Gesetzentwurf im Wesentlichen auch verändert worden. Ich kann für die SPD-Bundestagsfraktion erklären: Wir haben an wesentlichen Punkten unsere Auffassung durchgesetzt.

(Beifall bei der SPD)

Ich danke dem Koalitionspartner, dass er dem gefolgt ist.

Im Mittelpunkt steht ein gestärktes Bundesamt für Sicherheit in der Informationstechnik, personell und finanziell gestärkt. Aber das BSI braucht auf der anderen Seite auch eine klare Aufgabenbeschreibung, damit es seiner neuen Rolle, insbesondere mit Blick auf den Verbraucherinnen- und Verbraucherschutz nachkommen kann.

(Beifall bei der SPD)

Wenn jetzt Schwachstellen genannt werden, dann ist die Öffentlichkeit zu informieren, auch ohne sich mit anderen Sicherheitsbehörden ins Benehmen zu setzen. Es geht darum, insgesamt die Sicherheit in der Informationstechnik durchzusetzen – das ist keine Frage des Ob, sondern das muss gemacht werden –, und damit ist die Öffentlichkeit zu informieren. Das Bundesamt wird damit in seiner Unabhängigkeit als selbstständige Behörde gestärkt. Das ist ein wesentliches Ziel gewesen.

Andere Mängel im Regierungsentwurf hätten zu wesentlich mehr Verwerfungen geführt. Schauen wir uns das Thema „kritische Komponenten in kritischen Infrastrukturen“ an. Wir haben uns durchgesetzt, als es darum ging, Fragen der Sicherheitstechnik, nämlich die Zertifizierung entsprechender Komponenten, von der sehr entscheidenden Frage der politischen Vertrauenswürdigkeit von Herstellern zu trennen, damit die Wirtschaft die Rahmenbedingungen kennt, an denen wir das messen. Wir als Parlament geben die Ordnung vor, der die Behörden dann folgen. Es wird geschaut: Wie schaut es mit dem Herstellerland aus? Wie schaut es mit dem Beherrschungsverhältnis bei entsprechenden Produzenten aus?

Wir haben noch etwas Wesentliches geregelt, was im Regierungsentwurf überhaupt nicht ausreichend geregelt wurde. Es geht nämlich nicht nur um die Frage: Was ist vor der Entscheidung über den Einbau einer kritischen Komponente? Jetzt regeln wir auch den Fall: Was ist, wenn diese kritischen Komponenten in den kritischen Infrastrukturen verbaut worden sind und ein Hersteller seinen Pflichten nicht mehr nachkommt, zum Beispiel seiner Pflicht, Updates zur Verfügung zu stellen? Wir haben auch eindeutig in das Gesetz geschrieben, was ist, wenn er den Schutzzielen in der IT‑Sicherheit nicht Rechnung trägt,

(Beifall des Abg. Falko Mohrs [SPD])

Vertraulichkeit, Verfügbarkeit und Integrität.

(Beifall bei der SPD)

Meine Damen und Herren, wir kommen damit unserer Verantwortung als Parlament nach. Natürlich hätte man sich mehr vorstellen können. Und es sind von der demokratischen Opposition tatsächlich noch einige Vorschläge eingebracht worden. Ein offenes Wort: Wir hätten uns eine noch stärkere Unabhängigkeit vorstellen können. Aber wir haben in das Gesetz etwas eingebaut, das deutlich über die Entgegennahme eines Berichtes zur Lage der IT‑Sicherheit in den nächsten Jahren hinausgeht. Zukünftig wird es nicht nur alle paar Jahre irgendeine Evaluierung geben; wir beschließen dieses IT‑Sicherheitsgesetz 2.0 schließlich lange vor dem Zeitpunkt, zu dem es diese Evaluierung hätte geben sollen. Zukünftig wird an den Ausschuss für Inneres und Heimat nicht nur dieser Bericht übergeben, sondern es wird auch automatisch über die Fortentwicklung des Rechts berichtet, und wir als Gesetzgeber werden darüber informiert, wie – und darauf haben Bürgerinnen und Bürger, Wirtschaft und Verbände einen klaren Anspruch – mit den neuen Befugnissen umgegangen wird, die wir als Parlament der Regierung gegeben haben, damit wir auch unterjährig, lange vor dem Ablauf einer solchen Evaluierung, unserer Verantwortung nachkommen können, bestmögliche Gesetze zur Verbesserung der IT‑Sicherheit zu schreiben.

(Beifall bei der SPD)

Natürlich werden sich dem neuen Gesetzgeber Fragen stellen, wenn es um Entschädigungen geht, wenn die Anwendung kritischer Komponenten zukünftig untersagt wird. Das werden wir genau betrachten müssen. Wir werden auch betrachten müssen, was sich auf europäischer Ebene tut; aber hier haben wir dem BSI klare Vorgaben gemacht, was die Definition des Standes der Technik oder die Fortentwicklung angeht.

Meine Damen und Herren, wir laden Sie herzlich ein, das Gesetz zu beschließen und sind froh, dass wir uns in wesentlichen Punkten durchsetzen konnten.

(Beifall bei der SPD)

Vielen Dank, lieber Kollege Hartmann. – Das Wort hat nun der Kollege Manuel Höferlin, FDP-Fraktion.

(Beifall bei der FDP)