In der nun verabschiedeten Fassung sieht das Gesetz vor, Normen und Standards bei der Beschreibung des Stands der Technik durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und für die technischen Vorgaben des neu einzuführenden IT-Sicherheitskennzeichens vorrangig zu berücksichtigen. In vorherigen Referentenentwürfen sollten technische Richtlinien des BSI diese Vorgaben leisten. DIN und DKE hatten im Gesetzgebungsprozess argumentiert, dass ein solcher nationaler Alleingang die von der Bundesregierung angestrebte europäische Harmonisierung von IT-Sicherheitsanforderungen gefährden könnte.
Mit dem IT-Sicherheitsgesetz 2.0 will die Bundesregierung Risikobewusstsein und Beurteilungsfähigkeit von Verbrauchern unter anderem durch die Einführung eines IT-Sicherheitskennzeichens fördern. Die Anbringung dieses Kennzeichens ist für Hersteller freiwillig und soll für mehr Transparenz und Nachvollziehbarkeit sorgen. Das Gesetz sieht vor, dem IT-Sicherheitskennzeichen (vor allem internationale und europäische) Normen und Standards zugrunde zu legen.
DIN und DKE haben stets darauf hingewiesen, dass die Organisationen als Vertreter Deutschlands in der europäischen und internationalen Normung allen nationalen Stakeholdern Zugang zum Erstellungsprozess der Dokumente verschaffen und sicherstellen, dass das Normenwerk in sich kohärent und widerspruchsfrei ist. Das nun beschlossene IT-Sicherheitsgesetz 2.0 stärkt die enge Zusammenarbeit zwischen DIN, DKE und BSI, welches in den Normungsgremien die Erarbeitung kohärenter Normen und Standards mitgestalten kann.
Das Gesetz wird nun dem Bundesrat zugeleitet und voraussichtlich im Mai dort bestätigt. Mit Veröffentlichung im Bundesgesetzblatt tritt es anschließend in Kraft. Für die konkrete Ausgestaltung des IT-Sicherheitskennzeichens und des Beantragungsprozesses wird das Bundesministerium des Innern, für Bau und Heimat (BMI) eine Rechtsverordnung erlassen.
