Frage: Welches Datum ist oder war nach Auffassung der Bundesregierung der korrekte Zeitpunkt für die vom Gesetzgeber ausdrücklich gewünschte Evaluation des IT-Sicherheitsgesetzes (siehe Bundestagsdrucksache 18/5121, S. 17), und welche konkreten Schritte hat die Bundesregierung bislang unternommen, um Artikel 1 Nummern 2, 7 und 8 des IT-Sicherheitsgesetzes vom 17. Juli 2015 „unter Einbeziehung eines wissenschaftlichen Sachverständigen, der im Einvernehmen mit dem Deutschen Bundestag bestellt wird, zu evaluieren“ (Zitat aus Artikel 10 des. Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015; Volltext: https://offenegesetze.de/veroeffentlichung/bgbl1/2015/31#page=10)? (Drucksache 19/26311)

Antwort des Parlamentarischen Staatssekretärs Dr. Günter Krings vom 27. Januar 2021

Gemäß Artikel 10 des IT-Sicherheitsgesetzes vom 17. Juli 2015 (Bundesgesetzblatt (BGBl. I S. 1324) sind § 2 Absatz 10, §§ 8a bis 8d sowie § 10 des Bundesamtes für Sicherheit in der Informationstechnik (BSI)- Gesetz vier Jahre nach Inkrafttreten der Rechtsverordnung nach Artikel 1 Nummer 8 des IT-Sicherheitsgesetzes (Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung)) zu evaluieren. Die BSI-Kritisverordnung ist zunächst am 22. April 2016 (BGBl. I S. 958) noch nicht vollständig, sondern nur für die Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung in Kraft getreten. Erstmals vollständig mit allen Sektoren (vgl. Artikel 1 Nummer 2 des IT-Sicherheitsgesetzes) ist die BSI-Kritisverordnung am 30. Juni 2017 (BGBl. I S. 1903) durch die Ergänzung der Sektoren Finanzen, Transport und Verkehr sowie Gesundheit in Kraft getreten.

Der korrekte Zeitpunkt für die Evaluierung nach Artikel 10 des IT-Sicherheitsgesetzes ist nach Auffassung der Bundesregierung mithin der 29. Juni 2021.

Die Evaluierung hat dementsprechend noch nicht stattgefunden.