Zum Inhalt springen
Nis2 Content Hub

v2 Entwurf Gesetz

Quelle: Bundesministerium des Innern und für Heimat

Bearbeitungsstand: 27.09.2023 12:52

Anmerkungen NIS2-Hub:

  • Bei den Entwürfen werden nicht alle Paragraphen kommentiert - daher: Es können sequentiell durchaus ein paar Dinge “fehlen”
  • Die Änderungen oder Vorschläge werdenn unter “Begründung” erläutert

Diskussionspapier des Bundesministeriums des Innern und für Heimat

Wirtschaftsbezogene Regelungen zur Umsetzung der NIS2-Richtlinie in  Deutschland

Inhaltsübersicht

Artikel 1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über  die Sicherheit der Informationstechnik von Einrichtungen (BSI-Gesetz – BSIG)

Artikel 2 Änderung des BSI-Gesetzes (FNA 206-2)

(…)

Artikel 29 Inkrafttreten, Außerkrafttreten

Artikel 1 

Gesetz über das Bundesamt für Sicherheit in der Informations technik und über die Sicherheit der Informationstechnik  von Einrichtungen

(BSI-Gesetz – BSIG)

Inhaltsübersicht entfernt, da verwirrend und nicht relevant aufgrund des Menu rechts auf der Seite

Teil 1

A l l g e m e i n e V o r s c h r i f t e n

§ 2

Begriffsbestimmungen

(1) Im Sinne dieses Gesetzes ist oder sind

1. „Beinahevorfall“ ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Ver traulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die  über informationstechnische Systeme, Komponenten und Prozesse angeboten werden  oder zugänglich sind, beeinträchtigt haben könnte, dessen Eintritt jedoch erfolgreich  verhindert wurde oder auf andere Weise nicht eingetreten ist;

2. „Cloud Computing-Dienst“ ein digitaler Dienst, der auf Abruf die Verwaltung und den  umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam  nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen auf mehrere  Standorte verteilt sind;

3. „Content Delivery Network“ ein Netz dezentraler Server zur Gewährleistung einer ho hen Verfügbarkeit, Zugänglichkeit oder Zustellung digitaler Inhalte und Dienste für In ternetnutzer mit möglichst niedriger Latenz im Auftrag von Inhalte- und Diensteanbie tern;

4. „Cyberbedrohung“ eine Cyberbedrohung im Sinne des Artikel 2 Nummer 8 der Verord nung (EU) 2019/881;

5. „Datenverkehr“ mittels technischer Protokolle übertragene Daten; Telekommunikati onsinhalte nach § 3 Absatz 1 des Telekommunikation-Telemedien-Datenschutz-Ge setzes und Nutzungsdaten nach § 2 Absatz 2 Nummer 3 des Telekommunikation-Te lemedien-Datenschutz-Gesetzes können enthalten sein;

6. „DNS-Diensteanbieter“ eine natürliche oder juristische Person, die

a) für Internet-Endnutzer öffentlich verfügbare rekursive Dienste zur Auflösung von  Domain-Namen anbietet oder

b) autoritative Dienste zur Auflösung von Domain-Namen zur Nutzung durch Dritte,  mit Ausnahme von Root- Namenservern, anbietet;

7. „Domain-Name-Registry-Dienstleister“ ein Registrar oder eine Stelle, die im Namen  von Registraren tätig ist, insbesondere Anbieter oder Wiederverkäufer von Daten schutz- oder Proxy-Registrierungsdiensten;

8. „erhebliche Cyberbedrohung“ eine Cyberbedrohung, die das Potenzial besitzt, die in formationstechnischen Systeme, Komponenten und Prozesse aufgrund ihrer besonde ren technischen Merkmale erheblich zu beeinträchtigen; eine Beeinträchtigung ist er heblich, wenn sie erheblichen materiellen oder immateriellen Schaden verursachen

kann;

9. „erheblicher Sicherheitsvorfall“ ein Sicherheitsvorfall, der

a) schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die  betreffende Einrichtung verursacht hat oder verursachen kann; oder

b) andere natürliche oder juristische Personen durch erhebliche materielle oder im materielle Schäden beeinträchtigt hat oder beeinträchtigen kann,

soweit nach Absatz 2 keine weitergehende Begriffsbestimmung erfolgt;

10. „Forschungseinrichtung“ eine Einrichtung, deren primäres Ziel es ist, angewandte For schung oder experimentelle Entwicklung im Hinblick auf die Nutzung der Ergebnisse  dieser Forschung für kommerzielle Zwecke durchzuführen, die jedoch Bildungseinrich tungen nicht einschließt,

11. „Geschäftsleiter“ eine natürliche Personen, die nach Gesetz, Satzung oder Gesell schaftsvertrag zur Führung der Geschäfte und zur Vertretung einer Einrichtung berufen  ist; Leiterinnen und Leiter von Einrichtungen der Bundesverwaltung im Sinne des § 29 gelten nicht als Geschäftsleiter.;

12. „IKT-Dienst“ ein IKT-Dienst im Sinne des Artikels 2 Nummer 13 der Verordnung (EU)  2019/881;

13. „IKT-Produkt“ ein IKT-Produkt im Sinne des Artikels 2 Nummer 12 der Verordnung (EU)  2019/881;

14. „IKT-Prozess“ ein IKT-Prozess im Sinne des Artikels 2 Nummer 14 der Verordnung  (EU) 2019/881;

15. „Informationstechnik“ ein technisches Mittel zur Verarbeitung von Informationen;

16. „Internet Exchange Point“ oder „IXP“ eine Netzeinrichtung, die die Zusammenschaltung  von mehr als zwei unabhängigen Netzen (autonomen Systemen) ermöglicht, in erster  Linie zur Erleichterung des Austauschs von Internet-Datenverkehr, der nur der Zusam menschaltung autonomer Systeme dient und weder voraussetzt, dass der Internet-Da tenverkehr zwischen zwei beliebigen teilnehmenden autonomen Systemen über ein  drittes autonomes System läuft; noch den betreffenden Datenverkehr verändert oder  anderweitig beeinträchtigt;

17. […];

18. „kritische Anlage“ eine Anlage, die von hoher Bedeutung für das Funktionieren des  Gemeinwesens ist, da durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Ver sorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden;  welche Anlagen im Einzelnen kritische Anlagen sind, bestimmt sich nach § 28 Absatz 6;

19. […];

20. „Managed Security Service Provider“ oder „MSSP“ ein MSP, der Unterstützung für Tä tigkeiten im Zusammenhang mit dem Risikomanagement im Bereich der Cybersicher heit durchführt oder erbringt;

21. „Managed Service Provider“ oder „MSP“ jemand, der Dienste im Zusammenhang mit  der Installation, der Verwaltung, dem Betrieb oder der Wartung von IKT-Produkten, - Netzen, -Infrastruktur, -Anwendungen oder jeglicher anderer Netz- und

Informationssysteme durch Unterstützung oder aktive Verwaltung in den Räumlichkei ten der Kunden oder aus der Ferne erbringt;

22. „NIS2-Richtlinie“ die Richtlinie 2022/2555 des Europäischen Parlaments und des Ra tes vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersi cherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der  Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L  333 vom 27.12.2022, S. 80) in der jeweils geltenden Fassung;

23. „Online-Marktplatz“ ein Dienst im Sinne des § 312l Absatz 3 BGB;

24. „Online-Suchmaschine“ ein digitaler Dienst im Sinne des Artikels 2 Nummer 5 der Ver ordnung (EU) 2019/1150;

25. „Plattform für Dienste sozialer Netzwerke“ eine Plattform, auf der Endnutzer mit unter schiedlichen Geräten insbesondere durch Chats, Posts, Videos und Empfehlungen mit einander in Kontakt treten und kommunizieren sowie Inhalte teilen und entdecken kön nen;

26. „Protokolldaten“ Steuerdaten eines informationstechnischen Protokolls zur Datenüber tragung, die unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen oder  auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur  Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sind;  Verkehrsdaten gemäß § 3 Nummer 70 des Telekommunikationsgesetzes und Nut zungsdaten nach § 2 Absatz 2 Nummer 3 des Telekommunikation-Telemedien-Daten schutz-Gesetzes können enthalten sein;

27. „Protokollierungsdaten“ Aufzeichnungen über technische Ereignisse oder Zustände in nerhalb informationstechnischer Systeme;

28. „qualifizierter Vertrauensdienst“ ein qualifizierter Vertrauensdienst im Sinne des Arti kels 3 Nummer 17 der Verordnung (EU) Nr. 910/2014;

29. „qualifizierter Vertrauensdiensteanbieter“ ein qualifizierter Vertrauensdiensteanbieter  im Sinne des Artikels 3 Nummer 20 der Verordnung (EU) Nr. 910/2014;

30. „Rechenzentrumsdienst“ ein Dienst, mit dem spezielle Strukturen oder Gruppen von  Strukturen für die zentrale Unterbringung, die Verbindung und den Betrieb von IT- und  Netzausrüstungen zur Erbringung von Datenspeicher-, Datenverarbeitungs- und Da tentransportdiensten sowie alle Anlagen und Infrastrukturen für die Leistungsverteilung  und die Umgebungskontrolle bereitgestellt werden;

31. „Schadprogramme“ Programme und sonstige informationstechnische Routinen und  Verfahren, die dem Zweck dienen, unbefugt Daten zu nutzen oder zu löschen oder die  dem Zweck dienen, unbefugt auf sonstige informationstechnische Abläufe einzuwirken;

32. […];

33. „Schwachstelle“ eine Eigenschaft von IKT-Produkten oder IKT-Diensten durch deren  Au[snutzung es möglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang  zu fremden IKT-Produkten oder IKT-Diensten verschaffen oder die Funktion von IKT Produkten oder IKT-Diensten beeinflussen können;

34. „Sicherheit in der Informationstechnik“ die Einhaltung bestimmter Sicherheitsstan dards, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen betreffen,  durch Sicherheitsvorkehrungen

a) in informationstechnischen Systemen, Komponenten oder Prozessen oder

b) bei der Anwendung von informationstechnischen Systemen, Komponenten oder  Prozessen;

35. „Sicherheitsvorfall“ ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder  Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste,  die über informationstechnische Systeme, Komponenten und Prozesse angeboten  werden oder zugänglich sind, beeinträchtigt;

36. „Systeme zur Angriffserkennung“ durch technische Werkzeuge und organisatorische  Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstech nische Systeme; wobei die Angriffserkennung durch Abgleich der in einem informati onstechnischen System verarbeiteten Daten mit Informationen und technischen Mus tern, die auf Angriffe hindeuten, erfolgt;

37. „Top Level Domain Name Registry“ eine Einrichtung, welche die Registrierung von In ternet-Domain-Namen innerhalb einer spezifischen Top Level Domain (TLD) verwaltet  und betreibt, einschließlich des Betriebs ihrer Namenserver, der Pflege ihrer Daten banken und der Verteilung von TLD-Zonendateien über die Namenserver, zuständig  ist, unabhängig davon, ob der Betrieb durch die Einrichtung selbst erfolgt oder ausge lagert wird, jedoch mit Ausnahme von Situationen, in denen TLD-Namen von einem  Register nur für seine eigenen Zwecke verwendet werden;

38. „Vertrauensdienst“ ein Vertrauensdienst im Sinne des Artikels 3 Nummer 16 der Ver ordnung (EU) Nr. 910/2014;

39. „Vertrauensdiensteanbieter“ ein Vertrauensdiensteanbieter im Sinne des Artikels 3  Nummer 19 der Verordnung (EU) Nr. 910/2014;

40. „Zertifizierung“ die Feststellung einer Zertifizierungsstelle, dass ein Produkt, ein Pro zess, ein System, ein Schutzprofil (Sicherheitszertifizierung), eine Person (Perso nenzertifizierung) oder ein IT-Sicherheitsdienstleister bestimmte Anforderungen erfüllt.

(2) Das Bundesministerium des Innern und für Heimat kann durch Rechtsverordnung,  die nicht der Zustimmung des Bundesrates bedarf, bestimmen, wann ein Sicherheitsvorfall  im Hinblick auf seine technischen oder organisatorischen Ursachen oder seine Auswirkun gen auf die Einrichtung, Staat, Wirtschaft und Gesellschaft oder die Anzahl der von den  Auswirkungen Betroffenen als erheblich im Sinne von Absatz 1 Nummer 10 anzusehen ist.  Das Bundesministerium kann die Ermächtigung durch Rechtsverordnung auf das Bundes amt übertragen. Für den Fall, dass die Europäische Kommission einen oder mehrere  Durchführungsrechtsakte gemäß Artikel 23 Absatz 11 Unterabsatz 2 der NIS2-Richtlinie  erlässt, worin näher bestimmt wird, in welchen Fällen ein Sicherheitsvorfall als erheblich  anzusehen ist, geht dieser oder gehen diese der Rechtsverordnung nach Satz 1 und 2 in soweit vor.

Teil 2 

D a s B u n d e s a m t

Kapitel 1 

Aufgaben und Befugnisse

§ 6

Informationsaustausch

(1) Das Bundesamt ermöglicht den Informationsaustausch besonders wichtiger Ein richtungen und wichtiger Einrichtungen, Einrichtungen der Bundesverwaltung sowie deren  jeweiligen Lieferanten oder Dienstleistern untereinander zu Cyberbedrohungen, Beinahe vorfällen, Schwachstellen, Techniken und Verfahren, Kompromittierungsindikatoren, geg nerische Taktiken, bedrohungsspezifische Informationen, Cybersicherheitswarnungen und  Empfehlungen für die Konfiguration von Cybersicherheitsinstrumenten sowie zur Aufde ckung von Cyberangriffen. Es betreibt dazu ein geeignetes Online-Portal.

(2) Die Teilnahme am Informationsaustausch steht grundsätzlich allen besonders  wichtigen Einrichtungen, wichtigen Einrichtungen, Einrichtungen der Bundesverwaltung so wie deren jeweiligen Lieferanten oder Dienstleistern offen. Das Bundesamt kann entspre chende Teilnahmebedingungen erstellen, die die Teilnahme am Informationsaustausch re geln. Das Bundesamt kann weiteren Stellen die Teilnahme ermöglichen.

§ 11 

Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer  Systeme in herausgehobenen Fällen

(1) Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit  eines informationstechnischen Systems einer Einrichtung der Bundesverwaltung oder einer  besonders wichtigen Einrichtung oder einer wichtigen Einrichtung um einen herausgehobe nen Fall, so kann das Bundesamt auf Ersuchen der betroffenen Einrichtung oder des be troffenen Betreibers oder einer anderen für die Einrichtung oder den Betreiber zuständigen  Behörde die Maßnahmen treffen, die zur Wiederherstellung der Sicherheit oder Funktions fähigkeit des betroffenen informationstechnischen Systems erforderlich sind. Soweit das  Bundesamt erste Maßnahmen zur Schadensbegrenzung und Sicherstellung des Notbetrie bes vor Ort ergreift, werden hierfür keine Gebühren oder Auslagen für die Tätigkeit des  Bundesamtes erhoben. Hiervon unberührt bleiben etwaige Kosten für die Hinzuziehung  qualifizierter Dritter.

(2) Ein herausgehobener Fall nach Absatz 1 liegt insbesondere dann vor, wenn es  sich um einen Angriff von besonderer technischer Qualität handelt oder die zügige Wieder herstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen  Systems von besonderem öffentlichem Interesse ist.

(3) Das Bundesamt darf bei Maßnahmen nach Absatz 1 personenbezogene oder dem  Fernmeldegeheimnis unterliegende Daten erheben und verarbeiten, soweit dies zur Wie derherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen

informationstechnischen Systems erforderlich und angemessen ist. Die Daten sind unver züglich zu löschen, sobald sie für die Wiederherstellung der Sicherheit oder Funktionsfä higkeit des informationstechnischen Systems nicht mehr benötigt werden. Wenn die Daten  in Fällen des Absatzes 4 an eine andere Behörde zur Erfüllung von deren gesetzlichen  Aufgaben weitergegeben worden sind, darf das Bundesamt die Daten abweichend von  Satz 2 bis zur Beendigung der Unterstützung dieser Behörden weiterverarbeiten. Eine Nut zung zu anderen Zwecken ist unzulässig. § 8 Absatz 8 ist entsprechend anzuwenden.

(4) Das Bundesamt darf Informationen, von denen es im Rahmen dieser Vorschrift  Kenntnis erlangt, nur mit Einwilligung des Ersuchenden weitergeben, es sei denn, die In formationen lassen keine Rückschlüsse auf die Identität des Ersuchenden zu oder die In formationen können entsprechend § 8 Absatz 6 und 7 übermittelt werden. Zugang zu den  in Verfahren nach Absatz 1 geführten Akten wird Dritten nicht gewährt.

(5) Das Bundesamt kann sich bei Maßnahmen nach Absatz 1 mit der Einwilligung des  Ersuchenden der Hilfe qualifizierter Dritter bedienen, wenn dies zur rechtzeitigen oder voll ständigen Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen infor mationstechnischen Systems erforderlich ist. Die hierdurch entstehenden Kosten hat der  Ersuchende zu tragen. Das Bundesamt kann den Ersuchenden auch auf qualifizierte Dritte  verweisen. Das Bundesamt und vom Ersuchenden oder vom Bundesamt nach Satz 1 be auftragte Dritte können einander bei Maßnahmen nach Absatz 1 mit der Einwilligung des  Ersuchenden Daten übermitteln. Hierfür gilt Absatz 3 entsprechend.

(6) Soweit es zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des infor mationstechnischen Systems erforderlich ist, kann das Bundesamt vom Hersteller des in formationstechnischen Systems verlangen, an der Wiederherstellung der Sicherheit oder  Funktionsfähigkeit mitzuwirken.

(7) In begründeten Einzelfällen kann das Bundesamt auch bei anderen als den in  Absatz 1 genannten Einrichtungen tätig werden, wenn es darum ersucht wurde und es sich  um einen herausgehobenen Fall im Sinne des Absatzes 2 handelt. Ein begründeter Einzel fall liegt in der Regel vor, wenn eine Stelle eines Landes betroffen ist.

(8) Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atom gesetz bedürfen, ist in Fällen der Absätze 1, 4, 5 und 7 vor Tätigwerden des Bundesamtes  das Benehmen mit den zuständigen atomrechtlichen Aufsichtsbehörden des Bundes und  der Länder herzustellen. Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung  nach dem Atomgesetz bedürfen, haben bei Maßnahmen des Bundesamtes nach diesem  § 11 die Vorgaben aufgrund des Atomgesetzes Vorrang.

Teil 3 

S i c h e r h e i t d e r I n f o r m a t i o n s t e c h n i k

v o n E i n r i c h t u n g e n

Kapitel 1 

Anwendungsbereich

§ 28 

Besonders wichtige Einrichtungen und wichtige Einrichtungen

(1) Eine besonders wichtige Einrichtung ist

1. eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisa tionseinheit einer Gebietskörperschaft, die anderen natürlichen oder juristischen Per sonen entgeltlich Waren oder Dienstleistungen anbietet, die, einer der in Anlage 1 be stimmten Einrichtungsarten zuzuordnen ist und;

a) mindestens 250 Mitarbeiter beschäftigt, oder

b) einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanz summe von über 43 Millionen Euro aufweist;

2. ein qualifizierter Vertrauensdiensteanbieter, Top Level Domain Name Registries oder  DNS-Diensteanbieter,

3. ein Anbieter von Telekommunikationsdiensten oder öffentlich zugänglichen Telekom munikationsnetzen, der

a) mindestens 50 Mitarbeiter beschäftigt oder

b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen  Euro aufweist.

4. ein Betreiber kritischer Anlagen oder

5. eine Einrichtung, die gemäß Anlage 3 dem Teilsektor Zentralregierung des Sektors öf fentliche Verwaltung angehört.

Ausgenommen sind Finanzunternehmen im Sinne des Artikel 2 Absatz 2 der Verordnung  (EU) 2022/2554 und Unternehmen, für welche die Anforderungen der Verordnung (EU)  2022/2554 auf Grund von § 1a Absatz 2 Kreditwesengesetz oder § 293 Absatz 5 Versiche rungsaufsichtsgesetz gelten.

(2) Eine wichtige Einrichtung ist

1. eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisa tionseinheit einer Gebietskörperschaft, die anderen natürlichen oder juristischen Per sonen entgeltlich Waren oder Dienstleistungen anbietet, die einer der in  Anlagen 1 und 2 bestimmten Einrichtungsarten zuzuordnen ist und die

a) mindestens 50 Mitarbeiter beschäftigt oder

b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen  Euro aufweist; oder

2. ein Vertrauensdiensteanbieter.

Ausgenommen sind besonders wichtige Einrichtungen sowie Finanzunternehmen im Sinne  des Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 und Unternehmen, für welche die  Anforderungen der Verordnung (EU) 2022/2554 auf Grund von § 1a Absatz 2 Kreditwesen gesetz oder § 293 Absatz 5 Versicherungsaufsichtsgesetz gelten.

(3) Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanz summe nach den Absätzen 1 und 2 ist auf die der Einrichtungsart zuzuordnende Geschäfts tätigkeit abzustellen und außer für rechtlich unselbstständige Organisationseinheiten einer  Gebietskörperschaft die Empfehlung 2003/361/EG mit Ausnahme von Artikel 3 Absatz 4  des Anhangs anzuwenden. Die Daten von Partner- oder verbundenen Unternehmen im  Sinne der Empfehlung 2003/361/EG sind nicht hinzuzurechnen, wenn das Unternehmen  unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit  Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Kom ponenten und Prozesse, unabhängig von seinem Partner oder verbundenen Unternehmen  ist.

(4) §§ 30 und 31 gelten nicht für

1. Besonders wichtige Einrichtungen und wichtige Einrichtungen, soweit sie ein öffentli ches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunika tionsdienste erbringen,

2. Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energie wirtschaftsgesetz vom 7. Juli 2005 (BGBl. I S. 1970; 3621), das zuletzt durch Artikel 9  des Gesetzes vom 26. Juli 2023 (BGBl. 2023 I Nr. 202) geändert worden ist, soweit sie  den Regelungen des § 5c des Energiewirtschaftsgesetzes unterliegen,

3. die Gesellschaft für Telematik nach § 306 Absatz 1 Satz 3 des Fünften Buches Sozial gesetzbuch, Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach  § 311 Absatz 6 und § 325 des Fünften Buches Sozialgesetzbuch zugelassenen  Dienste und Betreiber von Diensten, soweit sie die Telematikinfrastruktur für nach  § 327 Absatz 2 bis 5 des Fünften Buches Sozialgesetzbuch bestätigte Anwendungen  nutzen.

(5) Ein Betreiber kritischer Anlagen ist eine natürliche oder juristische Person oder  eine rechtlich unselbständige Organisationseinheit einer Gebietskörperschaft, die unter Be rücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden  Einfluss auf eine kritische Anlage ausübt.

(6) Eine kritische Anlage ist eine Anlage, die den Sektoren Energie, Transport und  Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser,  Ernährung, Informationstechnik und Telekommunikation, Weltraum sowie Siedlungsab fallentsorgung angehört und die von hoher Bedeutung für das Funktionieren des Gemein wesens ist, da durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungseng pässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden; welche Anlagen  im Einzelnen kritische Anlagen sind, bestimmt sich nach der Rechtsverordnung nach  § 57 Absatz 4.

(7) Eine Anlage ist ab dem durch die Rechtsverordnung nach § 57 Absatz 4 festge legten Stichtag eine kritische Anlage, wenn sie einer der durch die Rechtsverordnung

festgelegten Anlagenarten zuzuordnen ist und die durch Verordnung festgelegten Schwel lenwerte erreicht oder überschreitet.

(8) Eine Anlage ist ab dem nächsten folgenden durch die Rechtsverordnung nach  § 57 Absatz 4 als Stichtag festgelegten Tag keine kritische Anlage mehr, wenn sie die durch  die Verordnung festgelegten Schwellenwerte unterschreitet.

Kapitel 2 

Risikomanagement, Melde-, Registrierungs-, Nachweis

und Unterrichtungspflichten

§ 30 

Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger  Einrichtungen

(1) Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, ge eignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu  ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der  informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung  ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst  gering zu halten. Dabei sind das Ausmaß der Risikoexposition die Größe der Einrichtung,  die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvor fällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.

(2) Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlä gigen europäischen und internationalen Normen berücksichtigen und müssen auf einem  gefahrenübergreifenden Ansatz beruhen. Die Maßnahmen müssen zumindest Folgendes  umfassen:

1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme, 2. Bewältigung von Sicherheitsvorfällen,

3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach  einem Notfall, und Krisenmanagement,

4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehun gen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder  Diensteanbietern,

5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechni schen Systemen, Komponenten und Prozessen, einschließlich Management und Of fenlegung von Schwachstellen,

6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaß nahmen im Bereich der Cybersicherheit,

7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der  Cybersicherheit,

8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,

9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von An lagen,

10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen  Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebe nenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

(3) Der von der Europäischen Kommission gemäß Artikel 21 Absatz 5 Unterabsatz 1  der NIS2-Richtlinie erlassene Durchführungsrechtsakt zur Festlegung der technischen und  methodischen Anforderungen an die in Absatz 1 genannten Maßnahmen in Bezug auf  DNS-Diensteanbieter, Top Level Domain Name Registries, Cloud-Computing-Dienstleister,  Anbieter von Rechenzentrumsdiensten, Betreiber von Content Delivery Networks, Mana

ged Service Provider, Managed Security Service Provider, Anbieter von Online-Marktplät zen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrau ensdiensteanbieter, hat für die vorgenannten Einrichtungsarten Vorrang.

(4) Soweit die Europäische Kommission einen Durchführungsrechtsakt gemäß Arti kel 21 Absatz 5 Unterabsatz 2 der NIS2-Richtlinie erlässt, in dem die technischen und me thodischen Anforderungen sowie erforderlichenfalls die sektoralen Anforderungen der in  Absatz 2 genannten Maßnahmen festgelegt werden, so gehen diese den in Absatz 2 ge nannten Maßnahmen vor.

(5) Soweit die Durchführungsrechtsakte der Europäischen Kommission nach Arti kel 21 Absatz 5 der NIS2-Richtlinie keine abschließenden Bestimmungen über die techni schen und methodischen Anforderungen sowie erforderlichenfalls die sektoralen Anforde rungen der in Absatz 2 genannten Maßnahmen in Bezug auf besonders wichtige Einrich tungen und wichtige Einrichtungen enthalten, können diese Bestimmungen vom Bundes ministerium des Innern und Heimat im Benehmen mit den jeweils betroffenen Ressorts

durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, unter Berück sichtigung der möglichen Folgen unzureichender Maßnahmen sowie der Bedeutung be stimmter Einrichtungen präzisiert und erweitert werden.

(6) Besonders wichtige Einrichtungen und wichtige Einrichtung dürfen durch Rechts verordnung nach § 57 Absatz 4 bestimmte IKT-Produkte, IKT-Dienste und IKT-Prozesse  nur verwenden, wenn diese über eine Cybersicherheitszertifizierung gemäß europäischer  Schemata nach Artikel 49 der Verordnung (EU) 2019/881 verfügen.

(7) Besonders wichtige Einrichtungen sind ab dem [einsetzen: 1 Jahr nach Inkrafttre ten] verpflichtet, am Informationsaustausch nach § 6 teilzunehmen.

(8) Unbeschadet der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Strafta ten dürfen der Austausch von Informationen nach § 6 oder die freiwillige Meldung nach § 5 nicht dazu führen, dass der meldenden Einrichtung zusätzliche Verpflichtungen auferlegt  werden, die nicht für sie gegolten hätten, wenn sie die Meldung nicht übermittelt hätte.

(9) Besonders wichtige Einrichtungen und ihre Branchenverbände können branchen spezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Diese müssen Durchführungsrechtsakte der Europäischen Kommission so  berücksichtigen, dass sie nicht im Widerspruch zu den dort genannten Anforderungen ste hen sowie darin enthaltende Vorgaben nicht unterschritten werden. Das Bundesamt stellt  auf Antrag fest, ob diese branchenspezifisch und geeignet sind, die Anforderungen nach  Absatz 1 zu gewährleisten. Die Feststellung erfolgt

1. im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes.

Das Bundesamt kann zudem feststellen, ob die branchenspezifischen Sicherheitsstandards  zur Gewährleistung der Anforderungen nach § 39 Absatz 1 geeignet sind.

§ 31 

Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern  kritischer Anlagen

(1) Für Betreiber kritischer Anlagen gelten für die informationstechnischen Systeme,  Komponenten und Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kriti schen Anlagen maßgeblich sind, auch aufwändigere Maßnahmen nach § 30 als verhältnis mäßig, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines  Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Anlage steht.

(2) Betreiber kritischer Anlagen sind verpflichtet, Systeme zur Angriffserkennung ein zusetzen. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter  und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und aus werten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und  zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vor zusehen. Dabei soll der Stand der Technik eingehalten werden. Der hierfür erforderliche  Aufwand soll nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchti gung der betroffenen kritischen Anlage stehen.

§ 32 

Meldepflichten

(1) Besonders wichtige Einrichtungen und wichtige Einrichtungen übermitteln dem  Bundesamt über einen vom Bundesamt im Einvernehmen mit dem Bundesamt für Bevöl kerungsschutz und Katastrophenhilfe eingerichteten Meldeweg sowie im Falle von Einrich tungen der Bundesverwaltung zusätzlich der jeweiligen Aufsichtsbehörde:

1. unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung  von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der angegeben  wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige  oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkun

gen haben könnte;

2. unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung  von einem erheblichen Sicherheitsvorfall, eine Meldung über diesen Sicherheitsvorfall,  in der die in Nummer 1 genannten Informationen bestätigt oder aktualisiert werden und  eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines  Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittie

rungsindikatoren angegeben werden;

3. auf Ersuchen des Bundesamtes eine Zwischenmeldung über relevante Statusaktuali sierungen;

4. spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß  Nummer 2, vorbehaltlich Absatz 2, eine Abschlussmeldung, die Folgendes enthält:

a) eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines  Schweregrads und seiner Auswirkungen;

b) Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache,  die wahrscheinlich den Sicherheitsvorfall ausgelöst hat;

c) Angaben zu den getroffenen und laufenden Abhilfemaßnahmen; d) gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls;

(2) Dauert der Sicherheitsvorfall im Zeitpunkt des Absatz 1 Nummer 4 noch an, legt  die betreffende Einrichtung statt einer Abschlussmeldung zu diesem Zeitpunkt eine Fort schrittsmeldung und eine Abschlussmeldung innerhalb eines Monats nach Abschluss der  Bearbeitung des Sicherheitsvorfalls vor.

(3) Betreiber kritischer Anlagen sind zusätzlich verpflichtet, Angaben zur Art der be troffenen Anlage, der kritischen Dienstleistung und den Auswirkungen des Sicherheitsvor falls auf diese Dienstleistung zu übermitteln, wenn ein erheblicher Sicherheitsvorfall Aus wirkungen auf die von ihnen betriebene kritische Anlage hat oder haben könnte.

(4) Das Bundesamt kann die Einzelheiten zur Ausgestaltung des Meldeverfahrens  und zur Konkretisierung der Meldungsinhalte nach Anhörung der betroffenen Betreiber und  der betroffenen Wirtschaftsverbände festlegen, soweit sie möglichen Durchführungsrechts akten der Europäischen Kommission nicht widersprechen.

§ 33 

Registrierungspflicht

(1) Besonders wichtige Einrichtungen und wichtige Einrichtungen sowie Domain Name-Registry-Diensteanbieter sind verpflichtet, spätestens drei Monate nachdem sie erst mals oder erneut als eine der vorgenannten Einrichtungen gelten oder Domain-Name-Re gistry-Dienste anbieten, dem Bundesamt die folgenden Angaben zu übermitteln:

1. der Name der Einrichtung, einschließlich der Rechtsform und soweit einschlägig der  Handelsregisternummer,

2. die Anschrift und aktuellen Kontaktdaten, einschließlich E-Mail-Adresse, IP-Adressbe reiche und Telefonnummern,

3. der relevante in Anlage 1 oder 2 genannte Sektor oder soweit einschlägig Teilsektor,

4. eine Auflistung der Mitgliedstaaten der Europäischen Union, in denen die Einrichtung  Dienste der in Anlage 1 oder 2 genannten Einrichtungsarten erbringen.

(2) Betreiber kritischer Anlagen übermitteln mit den Angaben nach Absatz 1 die IP Adressbereiche der von ihnen betriebenen Anlagen sowie die für die von ihnen betriebenen  kritischen Anlagen ermittelte Anlagenkategorie und Versorgungskennzahlen gemäß der  Rechtsverordnung nach § 54 Absatz 1. Die Betreiber stellen sicher, dass sie über ihre in  Absatz 1 genannten Kontaktdaten jederzeit erreichbar sind.

(3) Die Registrierung von besonders wichtigen Einrichtungen und wichtigen Einrich tungen und Domain-Name-Registry-Diensteanbieter kann das Bundesamt auch selbst vor nehmen, wenn ihre Pflicht zur Registrierung nicht erfüllt wird.

(4) Rechtfertigen Tatsachen die Annahme, dass eine Einrichtung ihre Pflicht zur Re gistrierung nach Absatz 1 oder 2 nicht erfüllt, so hat diese dem Bundesamt auf Verlangen  die aus Sicht des Bundesamtes für die Bewertung erforderlichen Aufzeichnungen, Schrift stücke und sonstigen Unterlagen in geeigneter Weise vorzulegen und Auskunft zu erteilen,

soweit nicht Geheimschutzinteressen oder überwiegende Sicherheitsinteressen entgegen stehen.

(5) Bei Änderungen der nach Absatz 1 oder 2 zu übermittelnden Angaben sind geän derte Versorgungskennzahlen einmal jährlich, alle anderen Angaben unverzüglich, spätes tens jedoch zwei Wochen ab dem Zeitpunkt, zu dem die Einrichtung Kenntnis von der Än derung erhalten hat, dem Bundesamt zu übermitteln.

(6) Das Bundesamt kann die Einzelheiten zur Ausgestaltung des Registrierungsver fahrens festlegen.

§ 34 

Besondere Registrierungspflicht für bestimmte Einrichtungsarten

(1) Eine Einrichtung der in § 63 Absatz 1 Satz 1 genannten Einrichtungsart übermittelt  bis zum 17. Januar 2025 dem Bundesamt folgende Angaben:

1. Name der Einrichtung;

2. einschlägiger Sektor, Teilsektor und Einrichtungsart wie in Anlage 1 bestimmt;

3. Anschrift der Hauptniederlassung in der Europäischen Union im Sinne des  § 60 Absatz 2 und seiner sonstigen Niederlassungen in der Europäischen Union oder,  falls er nicht in der Europäischen Union niedergelassen ist, Anschrift seines nach  § 63 Absatz 3 benannten Vertreters;

4. aktuelle Kontaktdaten, einschließlich E-Mail-Adressen und Telefonnummern der Ein richtung und soweit erforderlich, seines nach § 63 Absatz 3 benannten Vertreters;

5. die Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste erbringt,  und

6. die IP-Adressbereiche der Einrichtung.

(2) Im Fall einer Änderung der gemäß Absatz 1 übermittelten Angaben unterrichten  die Einrichtungen der in § 63 Absatz 1 Satz 1 genannten Einrichtungsart das Bundesamt  unverzüglich über diese Änderung, jedoch spätestens innerhalb von drei Monaten ab dem  Tag an dem die Änderung eingetreten ist.

(3) Mit Ausnahme der in Absatz 1 Nummer 6 genannten Angaben leitet das Bundes amt die nach diesem § 33 übermittelten Angaben an die ENISA weiter.

(4) Das Bundesamt kann für die Übermittlung der Angaben nach den  Absätzen 1 und 2 einen geeigneten Meldeweg vorsehen.

§ 35 

Unterrichtungspflichten

(1) Im Fall eines erheblichen Sicherheitsvorfalls kann das Bundesamt besonders  wichtige Einrichtungen und wichtige Einrichtungen anweisen, die Empfänger ihrer Dienste  unverzüglich über diese erheblichen Sicherheitsvorfälle zu unterrichten, die die Erbringung

des jeweiligen Dienstes beeinträchtigen könnten. Die Unterrichtung nach Satz 1 kann, so weit sinnvoll, auch durch eine Veröffentlichung im Internet erfolgen.

(2) Einrichtungen im Sinne des Absatz 1 aus den Sektoren Finanz- und Versiche rungswesen, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten  und Digitale Dienste teilen den potenziell von einer erheblichen Cyberbedrohung betroffe nen Empfängern ihrer Dienste und dem Bundesamt unverzüglich alle Maßnahmen oder  Abhilfemaßnahmen mit, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen  können. Die Einrichtungen im Sinne des Absatz 1 informieren diese Empfänger auch über  die erhebliche Cyberbedrohung selbst. Die Unterrichtungspflicht nach diesem Absatz gilt  nur dann, wenn in Abwägung der Interessen der Einrichtung im Sinne des Absatz 1 und  derjenigen des Empfängers letztere überwiegen.

§ 36 

Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen

(1) Im Fall einer Meldung einer Einrichtung gemäß § 31 übermittelt das Bundesamt  dieser unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach Eingang der Mel dung eine erste Rückmeldung zu dem Sicherheitsvorfall und, auf Ersuchen der Einrichtung,  Orientierungshilfen oder operative Beratung für die Durchführung möglicher Abhilfemaß nahmen. Das Bundesamt kann auf Ersuchen der betreffenden Einrichtung zusätzliche tech nische Unterstützung leisten.

(2) Ist eine Sensibilisierung der Öffentlichkeit erforderlich, um einen erheblichen Si cherheitsvorfall zu verhindern oder zu bewältigen oder liegt die Offenlegung des erhebli chen Sicherheitsvorfalls anderweitig im öffentlichen Interesse, so kann das Bundesamt  nach Anhörung der betreffenden Einrichtung die Öffentlichkeit über den erheblichen Sicher heitsvorfall informieren oder die Einrichtung verpflichten, dies zu tun. Soweit es sich bei der  betreffenden Einrichtung um eine Stelle des Bundes handelt, gilt für die Information der  Öffentlichkeit § 4 Absatz 3 entsprechend.

§ 38 

Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter besonders  wichtiger Einrichtungen und wichtiger Einrichtungen

(1) Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtungen  sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanage mentmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu über wachen.

(2) Ein Verzicht der Einrichtung auf Ersatzansprüche aufgrund einer Verletzung der  Pflichten nach Absatz 1 oder ein Vergleich der Einrichtung über diese Ansprüche ist un wirksam. Dies gilt nicht, wenn der Ersatzpflichtige zahlungsunfähig ist und sich zur Abwen dung des Insolvenzverfahrens mit seinen Gläubigern vergleicht oder wenn die Ersatzpflicht  in einem Insolvenzplan geregelt wird.

(3) Die Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtun gen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fä higkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im  Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrach ten Dienste zu erwerben.

§ 39 

Nachweispflichten für Betreiber kritischer Anlagen

(1) Betreiber kritischer Anlagen haben die Erfüllung der Anforderungen nach  § 30 Absatz 1 und § 31 zu einem vom Bundesamt im Benehmen mit dem Bundesamt für  Bevölkerungsschutz und Katastrophenhilfe festgelegten Zeitpunkt frühestens drei Jahre  nach Inkrafttreten dieses Gesetzes und anschließend alle drei Jahre dem Bundesamt auf  geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen  oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse  der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufge

deckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der  Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln die Vor lage eines geeigneten Mängelbeseitigungsplanes und im Einvernehmen mit der zuständi gen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichts behörde die Beseitigung der Sicherheitsmängel verlangen. Das Bundesamt kann die Vor lage eines geeigneten Nachweises über die erfolgte Mängelbeseitigung verlangen.

(2) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Prüfungen und Er bringung der Nachweise nach Absatz 1 Anforderungen an die Art und Weise der Durchfüh rung, an die Geeignetheit der zu erbringenden Nachweise sowie nach Anhörung der be troffenen Betreiber und Einrichtungen und der betroffenen Wirtschaftsverbände fachliche

und organisatorische Anforderungen an die prüfenden Stellen festlegen. Die Festlegung  nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der Internetseite des Bundesamts.

§ 40 

Zentrale Melde- und Anlaufstelle

(1) Das Bundesamt ist die zentrale Meldestelle für besonders wichtige Einrichtungen  und wichtige Einrichtungen in Angelegenheiten der Sicherheit in der Informationstechnik  und zentrale Anlaufstelle für die Aufsicht in Angelegenheiten der Sicherheit in der Informa tionstechnik über besonders wichtige Einrichtungen und wichtige Einrichtungen und fun giert dabei als nationale Verbindungsstelle um:

1. die grenzüberschreitende Zusammenarbeit von Behörden der Länder, die diese als  zuständige Behörde für die Aufsicht von Einrichtungen der öffentlichen Verwaltung auf  regionaler Ebene im Sinne des Artikels 2 Absatz 2 Buchstabe f Nummer ii der NIS2- Richtlinie bestimmt haben, Bundesnetzagentur und Bundesanstalt für Finanzdienstleis tungsaufsicht mit den für die Überwachung der Anwendung der NIS2-Richtlinie zu ständigen Behörden anderer Mitgliedstaaten und gegebenenfalls mit der Europäischen  Kommission und der ENISA

2. sowie die sektorübergreifende Zusammenarbeit mit in Nummer 1 genannten Behörden  der Länder, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, Bundesnetza gentur und Bundesanstalt für Finanzdienstleistungsaufsicht

zu gewährleisten.

(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe

1. die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentli chen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu  Schwachstellen, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die  Sicherheit in der Informationstechnik und zu der dabei beobachteten Vorgehensweise,

2. deren potentielle Auswirkungen auf die Verfügbarkeit der kritischen Anlagen in Zusam menarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölke rungsschutz und Katastrophenhilfe zu analysieren,

3. das Lagebild bezüglich der Sicherheit in der Informationstechnik der kritischen Anlagen  oder besonders wichtigen Einrichtungen oder wichtigen Einrichtungen kontinuierlich zu  aktualisieren und

4. unverzüglich

a) die besonders wichtigen Einrichtungen und wichtigen Einrichtungen über sie be treffende Informationen nach den Nummern 1 bis 3 durch Übermittlung an die  Kontaktdaten nach § 32 Absatz 1 Nummer 2 sowie

b) die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union  über nach Absatz 4 oder nach vergleichbaren Regelungen gemeldete erhebliche  Störungen, die Auswirkungen in diesem Mitgliedstaat haben,

zu unterrichten und

5. soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist, im Rahmen vorab abgestimm ter Prozesse zur Weitergabe und Wahrung der notwendigen Vertraulichkeit den zu ständigen Behörden des Bundes und der Länder Informationen zu besonders wichtigen  Einrichtungen zur Verfügung zu stellen.

(3) Das Bundesamt hat zur Wahrnehmung seiner Aufgabe als zentrale Anlaufstelle

1. Anfragen von den in Absatz 1 genannten Stellen anzunehmen oder soweit zutreffend  an eine oder mehrere in Absatz 1 genannten Stellen weiterzuleiten,

2. Antworten auf die in Absatz 2 Nummer 2 genannten Anfragen zu erstellen und dabei  soweit zutreffend die in Absatz 1 genannten Stellen zu beteiligen oder Antworten der  in Absatz 1 genannten Stellen an die in Absatz 1 genannten Stellen weiterzuleiten,

3. auf eigenes Betreiben nach § 31 eingegangene Meldungen an zentrale Anlaufstellen  der anderen betroffenen Mitgliedstaaten der Europäischen Union weiterzuleiten,

4. gegebenenfalls und insbesondere, wenn der erhebliche Sicherheitsvorfall zwei oder  mehr Mitgliedstaaten der Europäischen Union betrifft, die anderen betroffenen Mitglied staaten und die ENISA über den erheblichen Sicherheitsvorfall zu unterrichten, wobei  diese Informationen umfassen die Art der gemäß § 31 Absatz 2 erhaltenen Informatio nen und das Bundesamt dabei das wirtschaftliche Interesse der Einrichtung sowie die  Vertraulichkeit der bereitgestellten Informationen wahrt.

(4) Während einer erheblichen Störung gemäß § 31 Absatz 1, kann das Bundesamt  im Einvernehmen mit der jeweils zuständigen Aufsichtsbehörde des Bundes von den be troffenen Betreibern kritischer Anlagen die Herausgabe der zur Bewältigung der Störung  notwendigen Informationen einschließlich personenbezogener Daten verlangen. Betreiber  kritischer Anlagen sind befugt, dem Bundesamt auf Verlangen die zur Bewältigung der Stö rung notwendigen Informationen einschließlich personenbezogener Daten zu übermitteln,  soweit dies zur Bewältigung einer erheblichen Störung gemäß Absatz 4 Satz 1 Nummer 2  erforderlich ist.

(5) Soweit im Rahmen dieser Vorschrift personenbezogene Daten verarbeitet werden,  ist eine über die vorstehenden Absätze hinausgehende Verarbeitung zu anderen Zwecken  unzulässig. § 8 Absatz 8 Satz 3 bis 9 ist entsprechend anzuwenden.

Teil 4 

D a t e n b a n k e n d e r D o m a i n - N a m e - R e g i s t r i e r u n g s d a - ten

§ 51 

Pflicht zum Führen einer Datenbank

(1) Um einen Beitrag zur Sicherheit, Stabilität und Resilienz des Domain Name Sys tems zu leisten, sind Top Level Domain Name Registries und Domain-Name-Registry Dienstleister verpflichtet, genaue und vollständige Domain-Namen-Registrierungsdaten in  einer eigenen Datenbank im Einklang mit dem Datenschutzrecht in Bezug auf personenbe zogene Daten mit der gebotenen Sorgfalt zu sammeln und zu pflegen.

(2) Die Datenbank im Sinne des Absatzes 1 hat die erforderlichen Angaben zu enthal ten, anhand derer die Inhaber der Domain-Namen und die Kontaktstellen, die die Domain Namen im Rahmen der TLD verwalten, identifiziert und kontaktiert werden können. Diese  Angaben müssen Folgendes umfassen:

1. den Domain-Namen,

2. das Datum der Registrierung;

3. den Namen des Domain-Inhabers, seine E-Mail-Adresse und Telefonnummer;

4. die Kontakt-E-Mail-Adresse und die Telefonnummer der Anlaufstelle, die den Domain Namen verwaltet, falls diese sich von denen des Domain-Inhabers unterscheiden.

(3) Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister sind  verpflichtet Vorgaben und Verfahren, einschließlich Überprüfungsverfahren, vorzuhalten,  mit denen sichergestellt wird, dass die Datenbanken im Sinne des Absatz 1 genaue und  vollständige Angaben enthalten. Diese Vorgaben und Verfahren sind öffentlich zugänglich  zu machen.

(4) Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister sind  verpflichtet, unverzüglich nach der Registrierung eines Domain-Namens die nicht perso nenbezogenen Domain-Namen-Registrierungsdaten öffentlich zugänglich zu machen.

§ 52 

Verpflichtung zur Zugangsgewährung

Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister sind ver pflichtet,

1. auf rechtmäßige und hinreichend begründete Anträge berechtigten Zugangsnachfra gern im Einklang mit dem Datenschutzrecht Zugang zu bestimmten Domain-Namen Registrierungsdaten zu gewähren und

2. alle Anträge auf Zugang unverzüglich und in jedem Fall innerhalb von 72 Stunden nach  Eingang eines Antrags auf Zugang zu beantworten.

Diese Vorgaben und Verfahren im Hinblick auf die Offenlegung solcher Daten sind öffentlich  zugänglich zu machen. Das Auskunftsverfahren bei Bestandsdaten gemäß § 22 des Tele kommunikation-Telemedien-Datenschutz-Gesetzes bleibt unberührt.

§ 53 

Kooperationspflicht

Um zu vermeiden, dass die Einhaltung der in § 51 und § 52 festgelegten Verpflichtun gen zu einer doppelten Erhebung von Domain-Namen-Registrierungsdaten führt, sind Top  Level Domain Name Registries und Domain-Name-Registry-Dienstleister insoweit zur Ko operation verpflichtet.

Teil 6 

V e r o r d n u n g s e r m ä c h t i g u n g e n , G r u n d r e c h t s e i n - s c h r ä n k u n g e n u n d B e r i c h t s p f l i c h t e n

§ 57 

Ermächtigung zum Erlass von Rechtsverordnungen

(1) Das Bundesministerium des Innern und für Heimat bestimmt nach Anhörung der  betroffenen Wirtschaftsverbände und im Einvernehmen mit dem Bundesministerium für  Wirtschaft und Klimaschutz durch Rechtsverordnung, die nicht der Zustimmung des Bun desrates bedarf, das Nähere über das Verfahren der Erteilung von Sicherheitszertifikaten  und Anerkennungen nach § 54 und deren Inhalt.

(2) Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord nung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung der betroffenen  Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Kli maschutz und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und  Verbraucherschutz die Einzelheiten der Gestaltung, des Inhalts und der Verwendung des  IT-Sicherheitskennzeichens nach § 52, um eine einheitliche Gestaltung des Kennzeichens  und eine eindeutige Erkennbarkeit der gekennzeichneten informationstechnischen Pro dukte zu gewährleisten, sowie die Einzelheiten des Verfahrens zur Feststellung der Eig nung branchenabgestimmter IT-Sicherheitsvorgaben und des Antragsverfahrens auf Frei gabe einschließlich der diesbezüglichen Fristen und der beizufügenden Unterlagen sowie  das Verfahren und die Gestaltung des Verweises auf Sicherheitsinformationen.

(3) Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord nung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern  der Wissenschaft, der betroffenen Einrichtungen und der betroffenen Wirtschaftsverbände  im Einvernehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz, dem Bun desministerium der Finanzen, dem Bundesministerium der Justiz, dem Bundesministerium  für Arbeit und Soziales, dem Bundesministerium der Verteidigung, dem Bundesministerium  für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundes ministerium für Digitales und Verkehr und dem Bundesministerium für Umwelt, Naturschutz,  nukleare Sicherheit und Verbraucherschutz welche durch eine besonders wichtige Einrich tung oder wichtige Einrichtung eingesetzten Produkte, Dienste oder Prozesse gemäß  § 30 Absatz 9 über eine Cybersicherheitszertifizierung verfügen müssen, da sie für die Er bringung der Dienste der Einrichtung maßgeblich sind und Art und Ausmaß der

Risikoexposition der Einrichtung einen verpflichtenden Einsatz von zertifizierten Produkten,  Diensten oder Prozessen in diesem Bereich erforderlich machen.

(4) Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord nung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern  der Wissenschaft, der betroffenen Betreiber und Wirtschaftsverbände im Einvernehmen mit  dem Bundesministerium für Wirtschaft und Klimaschutz, dem Bundesministerium der Fi nanzen, dem Bundesministerium der Justiz, dem Bundesministerium für Arbeit und Sozia les, dem Bundesministerium der Verteidigung, dem Bundesministerium für Ernährung und  Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Digi tales und Verkehr und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicher heit und Verbraucherschutz unter Festlegung der in den jeweiligen Sektoren wegen ihrer  Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzuse henden Versorgungsgrads, welche Anlagen als kritische Anlagen im Sinne dieses Geset zes gelten. Der als bedeutend anzusehende Versorgungsgrad ist anhand branchenspezifi scher Schwellenwerte für jede als kritisch anzusehende Dienstleistung zu bestimmen. Zu gang zu Akten, die die Erstellung oder Änderung dieser Verordnung betreffen, wird nicht  gewährt.

Teil 7 

S a n k t i o n s v o r s c h r i f t e n u n d A u f s i c h t

§ 60 

Sanktionsvorschriften

(1) Ordnungswidrig handelt, wer entgegen § 39 Absatz 1 Satz 1 in Verbindung mit der  Rechtsverordnung nach § 57 Absatz 4 Satz 1 einen Nachweis nicht richtig oder nicht voll ständig erbringt.

(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1. einer vollziehbaren Anordnung nach

a) § 11 Absatz 6, § 16 Absatz 1 Satz 1, auch in Verbindung mit § 16 Absatz 3, § 17 Satz 1, oder § 34 Absatz 1 Satz 6,

b) § 14 Absatz 2 Satz 1 oder § 64 Absatz 8 Satz 1 oder Absatz 9 Satz 1 oder § 65 c) § 18

d) § 40 Absatz 4 Satz 1

zuwiderhandelt,

2. entgegen § 30 Absatz 1 in Verbindung mit einer Rechtsverordnung nach § 57 Absatz  4 Satz 1 eine dort genannte Maßnahme nicht, nicht richtig, nicht vollständig oder nicht  rechtzeitig ergreift,

3. entgegen § 32 Absatz 1 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht  rechtzeitig übermittelt,

4. entgegen § 33 Absatz 1 oder Absatz 5 jeweils in Verbindung mit einer Rechtsverord nung nach § 57 Absatz 4 Satz 1 oder entgegen § 34 Absatz 1 eine Angabe oder Än derung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt,,

5. entgegen § 33 Absatz 2 Satz 2 nicht sicherstellt, dass er erreichbar ist,

6. entgegen § 34 Absatz 2 das Bundesamt nicht, nicht richtig, nicht vollständig oder nicht  rechtzeitig unterrichtet,

7. entgegen § 39 Absatz 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach  § 57 Absatz 4 Satz 1, einen Nachweis nicht oder nicht rechtzeitig erbringt

8. entgegen § 64 Absatz 5 Satz 3 das Betreten eines dort genannten Raums nicht gestat tet, eine dort genannte Unterlage nicht oder nicht rechtzeitig vorlegt, eine Auskunft  nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung  nicht oder nicht rechtzeitig gewährt,

9. vorgibt, Inhaber einer Zertifizierung nach § 54 Absatz 2 Satz 1 zu sein, ohne dass diese  besteht,

10. entgegen § 55 Absatz 2 Satz 2 als Konformitätsbewertungsstelle tätig wird,

11. vorgibt, Inhaber eines europäischen Cybersicherheitszertifikats oder Aussteller einer  EU-Konformitätserklärung zu sein, obwohl diese nicht besteht, widerrufen oder für un gültig erklärt wurde,

12. entgegen § 56 Absatz 4 Satz 1 das IT-Sicherheitskennzeichen verwendet, 13. einer verbindlichen Anweisung nach § 64 Absatz 7 oder § 65 nicht nachkommt.

(3) Ordnungswidrig handelt, wer eine in Absatz 1 bezeichnete Handlung fahrlässig  begeht.

(4) Ordnungswidrig handelt, wer gegen die Verordnung (EU) 2019/881 des Europäi schen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europä ischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Infor mations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU)

Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl. L 151 vom 7.6.2019, S. 15) verstößt,  indem er vorsätzlich oder fahrlässig

1. entgegen Artikel 55 Absatz 1 eine dort genannte Angabe nicht, nicht richtig, nicht voll ständig oder nicht binnen eines Monats nach Ausstellung zugänglich macht oder

2. entgegen Artikel 56 Absatz 8 Satz 1 eine Information nicht, nicht richtig, nicht vollstän dig oder nicht unverzüglich nach Feststellung einer Schwachstelle oder Unregelmäßig keit gibt.

(5) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 2 Nummer 1 Buchstabe a mit einer Geldbuße bis zu zwei Millionen Euro, wobei  § 30 Absatz 2 Satz 3 des Gesetzes über Ordnungswidrigkeiten anzuwenden ist, sowie in  den Fällen des Absatzes 2 Nummer 1 Buchstabe c, Nummern 4, 6, 9, 10, 11 und 12 mit  einer Geldbuße bis zu fünfhunderttausend Euro und in den Fällen des  Absatzes 2 Nummer 1 Buchstabe b und des Absatzes 3 mit einer Geldbuße bis zu einhun derttausend Euro geahndet werden.

(6) Handelt es sich bei dem Betroffenen um eine wichtige Einrichtung kann die Ord nungswidrigkeit in den Fällen der Absatz 2 Nummer 2 und 3 mit einer Geldbuße bis zu 7

Millionen Euro oder mit einem Höchstbetrag von mindestens 1,4 % des gesamten weltwei ten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der  Betroffene angehört, in den Fällen des Absatzes 2 Nummer 1 Buchstabe d, Nummer 4 mit  einer Geldbuße bis zu fünfhunderttausend Euro und in dem Fall des  Absatzes 2 Nummer 13 mit einer Geldbuße bis zu einhunderttausend Euro geahndet wer den.

(7) Handelt es sich bei dem Betroffenen um eine besonders wichtige Einrichtung, kann  die Ordnungswidrigkeit in den Fällen der Absätze 1 und 2 Nummer 2, 3 und 7 mit einer  Geldbuße bis zu 10 Millionen Euro oder mit einem Höchstbetrag von mindestens 2 % des  gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unter

nehmens, dem der Betroffene angehört, in den Fällen des Absatzes 2 Nummer 1  Buchstabe d, Nummern , 4, 8 und 13 mit einer Geldbuße bis zu fünfhunderttausend Euro  und in den Fällen des Absatzes 2 Nummer 5 mit einer Geldbuße bis zu einhunderttausend  Euro geahndet werden.

(8) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über  Ordnungswidrigkeiten ist das Bundesamt.

(9) Verhängen die in Artikel 55 oder 56 der Verordnung (EU) 2016/679 genannten  Aufsichtsbehörden gemäß Artikel 58 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679  eine Geldbuße, so darf ein weiteres Bußgeld für einen Verstoß nach diesem Gesetz, der  sich aus demselben Verhalten ergibt wie jener Verstoß, nicht verhängt werden.

(10)Soweit das Bundesamt Zwangsgelder verhängt, beträgt deren Höhe abweichend  von § 11 Absatz 3 des Verwaltungsverfahrensgesetzes bis zu 100.000 Euro.

§ 64 

Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen

(1) Das Bundesamt kann einzelne besonders wichtige Einrichtungen verpflichten, Au dits, Prüfungen oder Zertifizierungen von unabhängigen Stellen zur Prüfung der Erfüllung  der Anforderungen nach den §§ 30, 31 und 32 durchführen zu lassen.

(2) Das Bundesamt kann nach Anhörung der betroffenen Einrichtungen und Wirt schaftsverbände fachliche und organisatorische Anforderungen für die prüfenden Stellen  festlegen. Die Festlegung nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der Inter netseite des Bundesamtes.

(3) Das Bundesamt kann von besonders wichtigen Einrichtungen Nachweise über die  Erfüllung einzelner oder aller Anforderungen nach den §§ 30, 31 und 32 verlangen. Soweit  das Bundesamt von seinem Recht nach Absatz 1 Gebrauch gemacht hat, kann es hierbei  auch die Übermittlung der Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizie

rungen einschließlich der dabei aufgedeckten Sicherheitsmängel sowie die Vorlage der Do kumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicher heitsmängeln die Vorlage eines geeigneten Mängelbeseitigungsplans im Einvernehmen mit  der zuständigen Aufsichtsbehörde des Bundes oder der sonst zuständigen Aufsichtsbe hörde verlangen. Das Bundesamt kann die Vorlage eines geeigneten Nachweises über die  erfolgte Mängelbeseitigung verlangen.

(4) Bei der Auswahl, von welchen Einrichtungen das Bundesamt nach Absatz 3 Nach weise anfordert, berücksichtigt das Bundesamt das Ausmaß der Risikoexposition, die  Größe der Einrichtung sowie die Eintrittswahrscheinlichkeit und Schwere von möglichen

Sicherheitsvorfällen sowie ihre möglichen gesellschaftlichen und wirtschaftlichen Auswir kungen.

(5) Das Bundesamt kann bei besonders wichtigen Einrichtungen die Einhaltung der  Anforderungen nach diesem Gesetz überprüfen. Es kann sich bei der Durchführung der  Überprüfung eines qualifizierten unabhängigen Dritten bedienen. Die Besonders wichtige  Einrichtung hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum  Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der übli

chen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeich nungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft  zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt  das Bundesamt Gebühren und Auslagen bei der jeweiligen besonders wichtigen Einrich tung nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die be rechtigte Zweifel an der Einhaltung der Anforderungen nach § 30 Absatz 1 begründeten.

(6) Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen Anweisun gen in Bezug auf Maßnahmen erlassen, die zur Verhütung oder Behebung eines Sicher heitsvorfalls erforderlich sind. Ferner kann das Bundesamt die Einrichtungen zur Berichter stattung zu den nach Satz 1 angeordneten Maßnahmen auffordern.

(7) Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen verbindliche  Anweisungen zur Umsetzung der Verpflichtungen nach diesem Gesetz erlassen.

(8) Das Bundesamt kann besonders wichtige Einrichtungen anweisen, die natürlichen  oder juristischen Personen, für die sie Dienste erbringen oder Tätigkeiten ausüben und die  potenziell von einer erheblichen Cyberbedrohung betroffen sind, über die Art der Bedro hung und mögliche Abwehr- oder Abhilfemaßnahmen zu unterrichten, die von diesen na türlichen oder juristischen Personen als Reaktion auf diese Bedrohung ergriffen werden  können. Zudem kann es besonders wichtige Einrichtungen anweisen, Informationen zu Ver stößen gegen diese Richtlinie nach bestimmten Vorgaben öffentlich bekannt zu machen.

(9) Das Bundesamt kann für besonders wichtige Einrichtungen einen Überwachungs beauftragten benennen, der die Einhaltung der Verpflichtungen aus §§ 28, 29 und 37 über wacht. Die Benennung erfolgt für einen bestimmten Zeitraum und muss die Aufgaben des  Überwachungsbeauftragten genau festlegen.

(10)Sofern besonders wichtige Einrichtungen den Anordnungen des Bundesamtes  nach diesem Gesetz trotz Fristsetzung nicht nachkommen, kann das Bundesamt die jeweils  zuständige Aufsichtsbehörde des Bundes auffordern

1. die Genehmigung für einen Teil oder alle Dienste oder Tätigkeiten dieser Einrichtung  vorübergehend auszusetzen

2. den natürlichen Personen, die als Geschäftsführung oder gesetzliche Vertreter für Lei tungsaufgaben in der besonders wichtigen Einrichtung zuständig sind, die Wahrneh mung der Leitungsaufgaben vorübergehend untersagen.

Die Aussetzung nach Buchstabe a und die Untersagung nach Buchstabe b sind nur solange  zulässig, bis die Besonders wichtige Einrichtung den Anordnungen des Bundesamtes nach kommt, wegen deren Nichtbefolgung sie verhängt ausgesprochen wurden.

(11)Soweit das Bundesamt Aufsichtsmaßnahmen gegenüber besonders wichtigen  Einrichtungen ausübt, die gleichzeitig Betreiber kritischer Anlagen sind, informiert es die  zuständige Aufsichtsbehörde des Bundes darüber.

(12)Stellt das Bundesamt im Zuge der Beaufsichtigung oder Durchsetzung fest, dass  der Verstoß einer besonders wichtigen Einrichtung gegen Verpflichtungen aus § 30 oder 31

eine Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4 Num mer 12 der Verordnung (EU) 2016/679 zur Folge haben kann, die gemäß Artikel 33 der  vorgenannten Verordnung zu melden ist, unterrichtet das Bundesamt unverzüglich die in  Artikel 55 oder 56 der Verordnung (EU) 2016/679 genannten Aufsichtsbehörden.

§ 65 

Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen

Rechtfertigen Tatsachen die Annahme, dass eine wichtige Einrichtung die Anforderun gen aus den §§ 30, 31 und 32 nicht oder nicht richtig umsetzt, so kann das Bundesamt die  Einhaltung der Anforderungen nach den §§ 30, 31 und 32 überprüfen und Maßnahmen  nach § 64 treffen.

Anlage 1 

Sektoren mit hoher Kritikalität

Spalte A Spalte B Spalte C Spalte D
Nr. Sektor Teilsektor Einrichtungsart
1 Energie
1.1 Stromversorgung
1.1.1 Stromlieferanten gemäß § 3 Nr. 31a EnWG
1.1.2 Betreiber von Elektrizitätsverteilernetzen ge mäß §3 Nr. 3 EnWG
1.1.3 Betreiber von Übertragungsnetzen gemäß §  3 Nr. 10 EnWG
1.1.4 Betreiber von Erzeugungsanlagen gemäß §  3 Nr. 18d EnWG
1.1.5 Nominierte Strommarktbetreiber im Sinne  des Artikels 2 Nummer 8 der Verordnung  (EU) 2019/943 des Europäischen Parla ments und des Rates
1.1.6 Aggregatoren gemäß § 3 Nr. 1a EnWG
1.1.7 Betreiber von Energiespeicheranlagen ge mäß § 3 Nr. 15d EnWG
1.1.8 Anbieter von Ausgleichsleistungen im Sinne  von § 3 Nr. 1b EnWG
1.1.9 Ladepunktbetreiber gemäß § 2 Nr. 8 LSV
1.2 Fernwärme und -kälte versorgung
1.2.1 Betreiber von Fernwärme- bzw. Fernkälte versorgung im Sinne § 3 Nr. 19 und 20 GEG
1.3 Kraftstoff- und Heizöl versorgung
1.3.1 Betreiber von Erdöl-Fernleitungen
1.3.2 Betreiber von Anlagen zur Produktion, Raffi nation und Aufbereitung von Erdöl sowie  Betreiber von Erdöllagern und Erdöl-Fernlei tungen
1.3.3 Zentrale Bevorratungsstellen im Sinne des  Artikels 2 Buchstabe f der Richtlinie  2009/119/EG des Rates
1.4 Gasversorgung
1.4.1 Betreiber von Gasverteilnetzen gemäß § 3  Nr. 8 EnWG
1.4.2 Betreiber von Fernleitungsnetzen gemäß §  3 Nr. 5 EnWG
1.4.3 Betreiber von Gasspeicheranlagen gemäß §  3 Nr. 6 EnWG
1.4.4 Betreiber von LNG-Anlagen gemäß § 3 Nr.  9 EnWG
1.4.5 Gaslieferanten gemäß § 3 Nr. 19b EnWG
Spalte A Spalte B Spalte C Spalte D
Nr. Sektor Teilsektor Einrichtungsart
1.4.6 Betreiber von Anlagen zur Gewinnung von  Erdgas
1.4.7 Betreiber von Anlagen zur Raffination und  Aufbereitung von Erdgas
1.4.8 Betreiber im Bereich Wasserstofferzeugung,  -speicherung und -fernleitung
2 Transport und Verkehr
2.1 Luftverkehr
2.1.1 Luftfahrtunternehmen im Sinne des Artikels  3 Nummer 4 der Verordnung (EG) Nr.  300/2008, die für gewerbliche Zwecke ge nutzt werden
2.1.2 Flughafenleitungsorgane im Sinne des Arti kels 2 Nummer 2 der Richtlinie 2009/12/EG  des Europäischen Parlaments und des Ra tes, Flughäfen im Sinne des Artikels 2 Num mer 1 jener Richtlinie, einschließlich der in  Anhang II Abschnitt 2 der Verordnung (EU)  Nr. 1315/2013 des Europäischen Parla ments und des Rates aufgeführten Flughä fen des Kernnetzes, und Einrichtungen, die  innerhalb von Flughäfen befindliche zugehö rige Einrichtungen betreiben
2.1.3 Flugverkehrskontrolldienste im Sinne von §  27c Abs. 2 Nr. 1 lit. a) LuftVG
2.2 Schienenverkehr
2.2.1 Eisenbahninfrastrukturbetreiber im Sinne  des § 2 Nummer 6 und 6a des Allgemeinen  Eisenbahngesetz (AEG) einschließlich zent raler Einrichtungen, die den Zugbetrieb vo rausschauend und bei unerwartet eintreten den Ereignissen disponiert
2.2.2 Eisenbahnverkehrsunternehmen im Sinne  des § 2 Nummer 3 des Allgemeinen Eisen bahngesetz (AEG), einschließlich Betreiber  einer Serviceeinrichtung im Sinne des § 2  Nummer 9 jenes Gesetzes
2.3 Schifffahrt
2.3.1 Passagier- und Frachtbeförderungsunter nehmen der Binnen-, See- und Küsten schifffahrt, wie sie in Anhang I der Verord nung (EG) Nr. 725/2004 des Europäischen  Parlaments und des Rates für die Schifffahrt  definiert sind, ausschließlich der einzelnen  von diesen Unternehmen betriebenen  Schiffe.
2.3.2 Leitungsorgane von Häfen im Sinne des Ar tikels 3 Nummer 1 der Richtlinie  2005/65/EG des Europäischen Parlaments  und des Rates, einschließlich ihrer Hafenan lagen im Sinne des Artikels 2 Nummer 11  der Verordnung (EG) Nr. 725/2004, sowie  Einrichtungen, die innerhalb von Häfen be findliche Anlagen und Ausrüstung betreiben
2.3.3 Betreiber einer Anlage oder eines Systems  zum sicheren Betrieb einer Wasserstraße 
Spalte A Spalte B Spalte C Spalte D
Nr. Sektor Teilsektor Einrichtungsart
nach § 1 Absatz 6 Nummer 1 des Bun deswasserstraßengesetzes.
2.4 Straßenverkehr
2.4.1 Betreiber einer Anlage oder eines System  zur Verkehrsbeeinflussung im Straßenver kehr einschließlich der in § 1 Absatz 4 Num mer 1, 3 und 4 des Bundesfernstraßenge setzes genannten Einrichtungen, zum Bei spiel Verkehrs-, Betriebs- und Tunnelleit zentralen, Entwässerungsanlagen, intelli gente Verkehrssysteme und Fachstellen für  Informationstechnik und -sicherheit im Stra ßenbau, sowie der Telekommunikations netze der Bundesautobahnen.
2.4.2 Betreiber eines intelligentes Verkehrssys tem im Sinne des § 2 Nummer 1 des Intelli gente Verkehrssysteme Gesetz.
3 Finanz- und Versiche rungswesen
3.1 Bankwesen
3.1.1 Kreditinstitute: Einrichtungen deren Tätigkeit  darin besteht, Einlagen oder andere rück zahlbare Gelder des Publikums entgegen zunehmen und Kredite für eigene Rechnung  zu gewähren
3.2 Finanzmarktinfrastruktu ren
3.2.1 Handelsplätze im Sinne von  § 2 Abs. 22 WpHG
3.2.2 Zentrale Gegenparteien, die zwischen die  Gegenparteien der auf einem oder mehre ren Märkten gehandelten Kontrakte tritt und  somit als Käufer für jeden Verkäufer bzw.  als Verkäufer für jeden Käufer fungiert
4 Gesundheit
4.1.1 Erbringer von Gesundheitsdienstleistungen
4.1.2 EU-Referenzlaboratorien im Sinne des Arti kels 15 der Verordnung (EU) 2022/2371 des  Europäischen Parlaments und des Rates
4.1.3 Unternehmen, die Forschungs- und Ent wicklungstätigkeiten in Bezug auf Arzneimit tel im Sinne des § 2 AMG ausüben.
4.1.4 Unternehmen, die pharmazeutische Erzeug nisse im Sinne des Abschnitts C Abteilung  21 der Statistischen Systematik der Wirt schaftszweige in der Europäischen Gemein schaft (NACE Rev. 2) herstellen
4.1.5 Unternehmen, die Medizinprodukte herstel len, die während einer Notlage im Bereich  der öffentlichen Gesundheit als kritisch im  Sinne des Artikels 22 der Verordnung (EU)  2022/123 des Europäischen Parlaments  und des Rates („Liste kritischer Medizinpro dukte für Notlagen im Bereich der öffentli chen Gesundheit“) eingestuft werden
Spalte A Spalte B Spalte C Spalte D
Nr. Sektor Teilsektor Einrichtungsart
5 Wasser und Abwasser
5.1 Trinkwasserversorgung
5.1.1 Betreiber von Wasserversorgunsanlagen im  Sinne von § 2 Nr. 3 TrinkwV, jedoch unter  Ausschluss der Lieferanten, für die die Lie ferung von Wasser für den menschlichen  Gebrauch ein nicht wesentlicher Teil ihrer  allgemeinen Tätigkeit der Lieferung anderer  Rohstoffe und Güter ist.
5.2 Abwasserbeseitigung
5.2.1 Unternehmen, die Abwasser im Sinne des §  2 Abs. 1 AbwAG sammeln, entsorgen oder  behandeln, jedoch unter Ausschluss der Un ternehmen, für die das Sammeln, die Ent sorgung oder die Behandlung solchen Ab wassers ein nicht wesentlicher Teil ihrer all gemeinen Tätigkeit ist.
6 Informationstechnik  und Telekommunika tion
6.1.1 Betreiber von Internet-Knoten (Internet  Exchange Points)
6.1.2 DNS-Dienstanbieter, ausgenommen Betrei ber von Root-Nameservern
6.1.3 TLD-Namensregister
6.1.4 Anbieter von Cloud-Computing-Diensten
6.1.5 Anbieter von Rechenzentrumsdiensten
6.1.6 Betreiber von Inhaltszustellnetzen (Content  Delivery Networks)
6.1.7 Vertrauensdienstanbieter
6.1.8 Anbieter öffentlicher elektronischer Kommu nikationsnetze
6.1.9 Anbieter öffentlich zugänglicher elektronsi cher Kommunikationsdienste
6.1.10 Managed Services Provider
6.1.11 Managed Security Services Provider
7 Weltraum
7.1.1 Betreiber von Bodeninfrastrukturen, die sich  im Eigentum von Mitgliedstaaten oder priva ten Parteien befinden und von diesen ver waltet und betrieben werden und die Erbrin gung von weltraumgestützten Diensten un terstützen, ausgenommen Anbieter öffentli cher elektronischer Kommunikationsnetze

Anlage 2

Sonstige kritische Sektoren

Spalte A Spalte B Spalte C Spalte D
Nr. Sektor Teilsektor Einrichtungsart
1 Transport und Verkehr
1.1 Post- und Kurierdienste
1.1.1 Anbieter von Postdienstleistungen im Sinne  des § 4 Nr. 1 PostG, einschließlich Anbieter  von Kurierdiensten
2 Siedlungsabfallentsor gung
2.1.1 Unternehmen der Abfallbewirtschaftung im  Sinne des § 3 Abs. 14 KrWG, ausgenom men Unternehmen, für die Abfallbewirt schaftung nicht ihre Hauptwirtschaftstätig keit ist.
3 Produktion, Herstel lung und Handel mit  chemischen Stoffen
3.1.1 Unternehmen im Sinne des Artikels 3 Num mern 9 und 14 der Verordnung (EG) Nr.  1907/2006 des Europäischen Parlaments  und des Rates , die Stoffe herstellen und mit  Stoffen oder Gemischen handeln, und Un ternehmen, die Erzeugnisse im Sinne des  Artikels 3 Nummer 3 der genannten Verord nung aus Stoffen oder Gemischen produzie ren
4 Produktion, Verarbei tung und Vertrieb von  Lebensmitteln
4.1.1 Lebensmittelunternehmen im Sinne des Ar tikels 3 Nummer 2 der Verordnung (EG) Nr.  178/2002 des Europäischen Parlaments  und des Rates, die im Großhandel sowie in  der industriellen Produktion und Verarbei tung tätig sind
5 Verarbeitendes Ge werbe/Herstellung von  Waren
5.1.1 Unternehmen, die Medizinprodukte im  Sinne des Artikels 2 Nummer 1 der Verord nung (EU) 2017/745 des Europäischen Par laments und des Rates(4)herstellen, und  Einrichtungen, die In-vitro-Diagnostika im  Sinne des Artikels 2 Nummer 2 der Verord nung (EU) 2017/746 des Europäischen Par laments und des Rates(5)herstellen, mit  Ausnahme der unter Anhang I Nummer 5  fünfter Gedankenstrich dieser Richtlinie auf geführten Einrichtungen, die Medizinpro dukte herstellen
Spalte A Spalte B Spalte C Spalte D
Nr. Sektor Teilsektor Einrichtungsart
5.2 Herstellung von Medizin produkten und In-vitro Diagnostika
5.2.1 Unternehmen, die eine der Wirtschaftstätig keiten im Sinne des Abschnitts C Abteilung  26 der Statistischen Systematik der Wirt schaftszweige in der Europäischen Gemein schaft (NACE Rev. 2) ausüben
5.3 Herstellung von Daten verarbeitungsgeräten,  elektronischen und opti schen Erzeugnissen
5.3.1 Unternehmen, die eine der Wirtschaftstätig keiten im Sinne des Abschnitts C Abteilung  27 der Statistischen Systematik der Wirt schaftszweige in der Europäischen Gemein schaft (NACE Rev. 2) ausüben
5.4 Maschinenbau
5.4.1 Unternehmen, die eine der Wirtschaftstätig keiten im Sinne des Abschnitts C Abteilung  28 der Statistischen Systematik der Wirt schaftszweige in der Europäischen Gemein schaft (NACE Rev. 2) ausüben
5.5 Herstellung von Kraftwa gen und Kraftwagentei len
5.5.1 Unternehmen, die eine der Wirtschaftstätig keiten im Sinne des Abschnitts C Abteilung  29 der Statistischen Systematik der Wirt schaftszweige in der Europäischen Gemein schaft (NACE Rev. 2) ausüben
5.6 Sonstiger Fahrzeugbau
5.6.1 Unternehmen, die eine der Wirtschaftstätig keiten im Sinne des Abschnitts C Abteilung  30 der Statistischen Systematik der Wirt schaftszweige in der Europäischen Gemein schaft (NACE Rev. 2) ausüben
6 Anbieter digitaler  Dienste
6.1.1 Anbieter von Online-Marktplätzen
6.1.2 Anbieter von Online-Suchmaschinen
6.1.3 Anbieter von Plattformen für Dienste sozia ler Netzwerke
7 Forschung
7.1.1 Forschungseinrichtungen

Artikel 2 

Änderung des BSI-Gesetzes (FNA 206-2)

Das BSI-Gesetz, das zuletzt durch Artikel 1 dieses Gesetzes geändert worten ist, wird  wie folgt geändert:

1. § 2 Absatz 1 Nummer 18 wird wie folgt neu gefasst:

„18. „kritische Anlage“ eine Anlage im Sinne von § 2 Nummer 3 des Gesetzes zur  Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen“.

2. In § 28 werden die Absätze 5 bis 8 gestrichen.

3. § 54 Absatz 4 wird gestrichen.

Artikel 29 

Inkrafttreten, Außerkrafttreten

(1) Dieses Gesetz tritt vorbehaltlich der Absätze 2 und 3 am 1. Oktober 2024 in Kraft.  Gleichzeitig tritt das BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821) außer Kraft.

(2) Artikel 2 tritt an dem Tag in Kraft, an dem [die KRITIS-Dachgesetz-Verordnung] in  Kraft tritt, aber nicht vor dem Inkrafttretenstermin nach Absatz 1. Das Bundesministerium  des Innern und für Heimat gibt den Tag des Inkrafttretens nach diesem Absatz im Bundes gesetzblatt bekannt.

(3) Artikel 27 tritt am 18. Oktober 2024 in Kraft.

Begründung 

B. Besonderer Teil

Zu Artikel 1 (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik  und über die Informationssicherheit von Einrichtungen)

Die Änderung der Gesetzesüberschrift durch die Ergänzung „und über die Sicherheit in der  Informationstechnik von Betreibern und Einrichtungen“ soll dem Umstand Rechnung tra gen, dass es sich nicht um ein reines Errichtungsgesetz einer Bundesbehörde handelt.

Die Schaffung einer (amtlichen) Inhaltsübersicht erfolgt aufgrund des gestiegenen Umfangs  des Gesetzes sowie Strukturierung des Gesetzes in Teile und Kapitel zur besseren Über sicht für den Rechtsanwender.

Zu Teil 1 (Allgemeine Vorschriften)

Zu § 2 (Begriffsbestimmungen)

Die Begriffsbestimmungen werden zur Steigerung der Übersichtlichkeit in Nummern anstatt  von einzelnen Absätzen gestaltet, welche alphabetisch sortiert werden. Dies war infolge der  Einführung zahlreicher neuer Begriffsbestimmungen, bedingt durch die Vorgaben der NIS 2-Richlinie, erforderlich geworden. Eine thematische Sortierung scheidet aufgrund der gro ßen Anzahl der Begriffe aus, eine Übersichtlichkeit für den Rechtsanwender könnte dann  nicht mehr gewährleistet werden.

Zu Absatz 1

Zu Nummer 1

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 5 der NIS2-Richtlinie. Zu Nummer 2

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 30 der NIS2-Richtli nie.

Zu Nummer 3

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 32 der NIS2-Richtli nie.

Zu Nummer 4

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 10 der NIS2-Richtli nie.

Zu Nummer 5

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 9 fort.

Zu Nummer 6

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 20 der NIS2-Richtli nie.

Zu Nummer 7

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 22 der NIS2-Richtli nie.

Zu Nummer 8

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 11 der NIS2-Richtli nie.

Zu Nummer 9

Die Begriffsbestimmung dient der Umsetzung von Artikel 23 Absatz 3 und Absatz 11 Un terabsatz 2 der NIS2-Richtlinie.

Zu Nummer 10

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 41 der NIS2-Richtli nie. Ein primäres Ziel im Sinne der Vorschrift dürfte ab einem Überschreiten von 50 % der  Gesamttätigkeit gegeben sein.

Zu Nummer 11

Die Begriffsbestimmung dient der Umsetzung von Artikel 20 der NIS2-Richtlinie. Da die  Pflichten und Befugnisse der Leitungen von Einrichtungen des Bundes im Sinne des § 29  abweichend in § 43 geregelt sind, werden diese hier explizit von der Definition ausgenom men.

Zu Nummer 12

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 13 der NIS2-Richtli nie. Mit „IKT-Dienst“ ist in der Verordnung (EU) 2019/881 ein Dienst gemeint, der vollständig  oder überwiegend aus der Übertragung, Speicherung, Abfrage oder Verarbeitung von In formationen mittels informationstechnischen Systemen, Komponenten und Prozessen be steht.

Zu Nummer 13

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 12 der NIS2-Richtli nie. Mit „IKT-Produkt“ ist in der Verordnung (EU) 2019/881 ein Element oder eine Gruppe  von Elementen eines Netz- oder Informationssystems gemeint. Der Begriff wird zur euro paweiten Vereinheitlichung der Terminologie im Rahmen der Umsetzung der NIS2-Richt linie eingeführt und ersetzt den alten Begriff des IT-Produkts in § 2 Absatz 9a BSI-Gesetz  a.F. Inhaltlich ergeben sich zwischen beiden Begriffen keine Unterschiede.

Zu Nummer 14

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 14 der NIS2-Richtli nie. Mit dem Begriff „IKT-Prozess“ meint die Verordnung (EU) 2019/881 jegliche Tätigkei ten, mit denen ein ITK-Produkt oder -Dienst konzipiert, entwickelt, bereitgestellt oder ge pflegt werden soll.

Zu Nummer 15

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 1 fort.

Zu Nummer 16

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 18 der NIS2-Richtli nie.

Zu Nummer 17

[…]

Zu Nummer 18

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 10 BSI-Gesetz mit Änderungen  aufgrund der neuen Regelungssystematik fort. Die Ergebnisse der Evaluierung dieser Norm  gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Sicherheit  informationstechnischer Systeme wurden berücksichtigt.

Zu Nummer 19

[…].

Zu Nummer 20

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 40 der NIS2-Richtli nie.

Zu Nummer 21

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 39 der NIS2-Richtli nie.

Zu Nummer 22

Die Begriffsbestimmung dient der Vereinfachung der zahlreichen Zitate der NIS2-Richtlinie  im BSI-Gesetz.

Zu Nummer 23

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 28 der NIS2-Richtli nie.

Zu Nummer 24

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 29 der NIS2-Richtli nie.

Zu Nummer 25

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 33 der NIS2-Richtli nie.

Zu Nummer 26

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 8 fort.

Zu Nummer 27

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 8a fort.

Zu Nummer 28

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 26 der NIS2-Richtli nie.

Zu Nummer 29

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 27 der NIS2-Richtli nie.

Zu Nummer 30

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 31 der NIS2-Richtli nie.

Zu Nummer 31

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 5 fort.

Zu Nummer 32

[…]

Zu Nummer 33

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 6 fort und dient gleichzeitig der  Umsetzung von Artikel 6 Nummer 15 der NIS2-Richtlinie.

Zu Nummer 34

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 2 Satz 2 fort. Zu Nummer 35

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 6 der NIS2-Richtlinie. Zu Nummer 36

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 9b fort.

Zu Nummer 37

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 21 der NIS2-Richtli nie.

Zu Nummer 38

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 24 der NIS2-Richtli nie.

Zu Nummer 39

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 25 der NIS2-Richtli nie.

Zu Nummer 40

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 7 fort.

Zu Absatz 2

Absatz 2 dient der Umsetzung von Artikel 23 Absatz 11 Unterabsatz 2 der NIS2-Richtlinie.  Das Bundesamt kann Vorgaben dazu machen, wann Sicherheitsvorfälle als erheblich gel ten. Soweit die Europäische Kommission dahingehende Durchführungsrechtsakte erlässt,  genießen diese Vorrang. Die Vorgaben des Bundesamtes haben dann nur noch konkreti sierende Wirkung, soweit die Durchführungsrechtsakte Auslegungsspielräume lassen.

Zu Teil 2 (Das Bundesamt)

Zu Kapitel 1 (Aufgaben und Befugnisse)

Zu § 6 (Informationsaustausch)

Die neue Vorschrift dient der Umsetzung von Artikel 29 der NIS2-Richtlinie. Das Bundes amt ermöglicht den Informationsaustausch zu Cyberbedrohungen (§ 2 Absatz 1 Num mer 4), Beinahevorfällen (§ 2 Absatz 1 Nummer 1), Schwachstellen (§ 2 Absatz 1 Num mer 35), Techniken und Verfahren (techniques and procedures), Kompromittierungsindika toren (indicators of compromise), gegnerische Taktiken (adversarial tactics), bedrohungs spezifische Informationen (threat-actor-specific information), Cybersicherheitswarnungen

und Empfehlungen für die Konfiguration von Cybersicherheitsinstrumenten sowie zur Auf deckung von Cyberangriffen.Dieser Informationsaustausch ermöglicht den teilnehmenden  Einrichtungen einen verbesserten Zugang zu Lageinformationen und ermöglicht den Teil nehmern frühzeitig zu beobachteten Bedrohungen in Austausch zu treten und fördert damit  die Cybersicherheit und Resilienz der Einrichtungen.

Durch die Erstellung von Teilnahmebedingungen kann das BSI die organisatorischen Rah menbedingungen des Informationsaustausches regeln um den geordneten und sicheren  Betrieb des Informationsaustauschs bzw. des dafür vorgesehenen Online-Portals sicherzu stellen.

In diesem Zusammenhang kann etwa der Umgang mit vertraulichen Informationen (z.B.  durch Einhaltung des sog. „Traffic Light Protocols“ oder den Einsatz verschlüsselter E-Mail Kommunikation) geregelt werden.

Zu § 11 (Wiederherstellung der Sicherheit oder Funktionsfähigkeit  informationstechnischer Systeme in herausgehobenen Fällen)

§ 11 führt den bisherigen § 5b fort.

Zu Absatz 1

Absatz 1 führt den bisherigen § 5b Absatz 1 fort. Es erfolgt eine Folgeänderungen aufgrund  neuer Einrichtungskategorien sowie einer Anpassung in Umsetzung von Artikel 11 Absatz 1  Buchstabe d der NIS2-Richtlinie. Ferner wird eine Begriffskonsolidierung vorgenommen zu  „Einrichtungen der Bundesverwaltung“.

Zu Absatz 2

Absatz 2 führt den bisherigen § 5b Absatz 2 fort.

Zu Absatz 3

Absatz 3 führt den bisherigen § 5b Absatz 3 fort.

Zu Absatz 4

Absatz 4 führt den bisherigen § 5b Absatz 4 fort.

Zu Absatz 5

Absatz 5 führt den bisherigen § 5b Absatz 5 fort.

Zu Absatz 6

Absatz 6 führt den bisherigen § 5b Absatz 6 fort.

Zu Absatz 7

Absatz 7 führt den bisherigen § 5b Absatz 7 fort.

Zu Absatz 8

Absatz 8 führt den bisherigen § 5b Absatz 8 fort.

Zu Teil 3 (Sicherheit der Informationstechnik

von Einrichtungen)

Zu Kapitel 1 (Anwendungsbereich)

Zu § 28 (Besonders wichtige Einrichtungen und wichtige Einrichtungen) Der § 28 dient der Umsetzung von Artikel 3 NIS2-Richtlinie.

Zu Absatz 1

Absatz 1 dient der Definition besonders wichtiger Einrichtungen. Durch die Einbeziehung  von rechtlich unselbstständigen Organisationseinheiten einer Gebietskörperschaft wird si chergestellt, dass Eigenbetriebe und Landesbetriebe, die entsprechende Dienste gemäß  der Einrichtungsdefinitionen erbringen, adäquat adressiert werden können, auch wenn  diese keine juristische oder natürliche Person sind. Die in der Kommissionsempfehlung  2003/361 EG genannten Größenschwellen für Mitarbeiteranzahl und Jahresumsatz werden  zur Verbesserung der Lesbarkeit in diesem Gesetz grundsätzlich ausdefiniert.

Soweit in diesem Absatz Einrichtungskategorien ohne eine explizite Angabe der Mitarbei teranzahl, des Jahresumsatzes oder der Jahresbilanzsumme angegeben sind, gelten diese  Definitionen jeweils unabhängig von der Unternehmensgröße.

Zu Nummer 1

Nummer 1 dient der Umsetzung von Artikel 3 Absatz 1 Buchstabe a der NIS2-Richtlinie. Zu Nummer 2

Nummer 2 dient der Umsetzung von Artikel 3 Absatz 1 Buchstabe b der NIS2-Richtlinie. Zu Nummer 3

Nummer 3 dient der Umsetzung von Artikel 3 Absatz 1 Buchstabe c der NIS2-Richtlinie. Zu Nummer 4

Nummer 4 dient der Vereinheitlichungen der in diesem Gesetz genutzten und durch die  NIS2-Richtlinie vorgesehenen Einrichtungsarten.

Zu Nummer 5

Nummer 5 dient der Umsetzung von Artikel 3 Absatz 1 Buchstabe d in Verbindung mit Ar tikel 2 Absatz 2 Buchstabe f Nummer i der NIS2-Richtlinie. Unter dem von der NIS2-Richt linie vorgegebenen Begriff der „Zentralregierung“ werden in Anlehnung an die deutsche  Definition von „zentrale Regierungsbehörden“ in der Richtlinie 2014/24/EU die Bundesmi nisterien und das Bundeskanzleramt ausgenommen der jeweiligen Geschäftsbereichsbe hörden gefasst werden. Die genaue Festlegung erfolgt in Anlage 3.

Zu Absatz 2

Absatz 2 dient der Definition wichtiger Einrichtungen. Die obenstehenden Hinweise in der  Begründung zu Absatz 1 gelten entsprechend.

Zu Nummer 1

Nummer 1 dient der Umsetzung von Artikel 3 Absatz 2 der NIS2-Richtlinie. Zu Nummer 2

Nummer 2 dient der Umsetzung von Artikel 2 Absatz 2 Buchstabe a Nummer ii der NIS2- Richtlinie. Während qualifizierte Vertrauensdiensteanbieter besonders wichtige Einrichtun gen sind, sind die übrigen Vertrauensdiensteanbieter wichtige Einrichtungen.

Zu Absatz 3

Bei der Bestimmung der maßgeblichen Mitarbeiterzahlen und des Umsatzes sind nur die jenigen Teile der Einrichtung einzubeziehen, die tatsächlich im Bereich der in den Anlagen  1 und 2 genannten Definitionen der Einrichtungskategorien tätig sind, Querschnittsaufga ben wie beispielsweise Personal, Buchhaltung etc. sind hierbei anteilig zu berücksichtigen.  Hierdurch wird sichergestellt, dass Einrichtungen, die insgesamt die Größenschwelle für  Mitarbeiteranzahl, Jahresumsatz oder Jahresbilanzsumme überschreiten, deren haupt sächliche Geschäftstätigkeit jedoch nicht einer Einrichtungskategorie gemäß Anlage 1 oder  2 dieses Gesetzes zuzuordnen ist, nicht in unverhältnismäßiger Weise erfasst werden.

Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme ist im  Übrigen für Einrichtungen, die keine rechtlich unselbstständige Organisationseinheit einer  Gebietskörperschaft sind, die Kommissionsempfehlung 2003/361/EG mit Ausnahme von  Artikel 3 Absatz 4 der Empfehlung anzuwenden. Die Daten von Partner- oder verbundenen  Unternehmen im Sinne der Empfehlung 2003/361/EG sind nicht hinzuzurechnen, wenn das  betreffende Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tat

sächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb der  informationstechnischen Systeme, Komponenten und Prozesse ausübt, die das Unterneh men für die Erbringung seiner Dienste nutzt. Hierdurch wird sichergestellt, dass Partnerun ternehmen oder Tochterunternehmen, die für sich alleine gesehen die vorgesehenen  Schwellen für Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme nicht erreichen o der überschreiten, nur in denjenigen Fällen als besonders wichtige Einrichtung gelten kön nen, wenn sie keinen bestimmenden Einfluss auf ihre eigenen informationstechnischen  Systeme, Komponenten und Prozesse ausüben, weil diese beispielsweise von einem Part nerunternehmen betrieben werden.

Zu Absatz 4

Absatz 4 regelt Ausnahmen für bestimmte Einrichtungskategorien, die spezialgesetzlich re guliert werden. Absatz 4 führt den bisherigen § 8d Absatz 2 fort. Die Ergebnisse der Evalu ierung dieser Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhö hung der Sicherheit informationstechnischer Systeme wurden berücksichtigt.

Zu Nummer 1

Nummer 1 führt den bisherigen § 8d Absatz 2 Nummer 1 fort. Die Vorschrift dient der Um setzung von Erwägungsgrund 92 und 95 der NIS2-Richtlinie.

Zu Nummer 2

Nummer 2 führt den bisherigen § 8d Absatz 2 Nummer 2 fort.

Zu Nummer 3

Nummer 3 führt den bisherigen § 8d Absatz 2 Nummer 3 fort.

Zu Absatz 5

Absatz 5 dient der Definition von Betreibern kritischer Anlagen.

Zu Absatz 6

Absatz 6 dient der Definition kritischer Anlagen.

Zu Absatz 7

Absatz 7 regelt den Stichtag, ab dem eine Anlage als kritische Anlage gilt. Zu Absatz 8

Absatz 8 regelt den Stichtag, ab dem eine Anlage nicht mehr als kritische Anlage gilt.

Zu Kapitel 2 (Risikomanagement, Melde-, Registrierungs-, Nachweis und Unterrichtungspflichten)

Zu § 30 (Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und  wichtiger Einrichtungen)

§ 30 dient der Umsetzung von Artikel 21 der NIS2-Richtlinie. Für Einrichtungen der Bun desverwaltung wird § 30 durch § 44 umgesetzt.

Zu Absatz 1

Absatz 1 dient der Umsetzung von Artikel 21 Absatz 1 und 4 NIS2-Richtlinie. Risiken sind  das Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht  werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen  Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck  gebracht wird. Absatz 1 stellt klar, dass hierbei durch die Einrichtung nur geeignete, ver

hältnismäßige und wirksame Maßnahmen zu ergreifen sind. Im Bezug auf die Verhältnis mäßigkeit sind insbesondere die Risikoexposition, die Größe der Einrichtung, die Umset zungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen so wie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen. Dies

dient der Umsetzung von Artikel 21 Absatz 1 Unterabsatz 2 NIS2-Richtlinie. Damit keine  unverhältnismäßige finanzielle und administrative Belastungen für besonders wichtige und  wichtige Einrichtungen entstehen, sollen die genannten Risikomanagementmaßnahmen in  einem angemessenen Verhältnis zu den Risiken stehen, denen das betroffene Netz- und  Informationssystem ausgesetzt wird. Hierbei werden u.a. auch den Kosten der Umsetzung  sowie der Größe der Einrichtung Rechnung getragen. In die Bewertung der Angemessen

heit und Verhältnismäßigkeit kann ebenfalls einfließen, ob wichtige Einrichtungen im Ver gleich zu wesentlichen Einrichtungen grundsätzlich einer unterschiedlichen

Risikoexposition ausgesetzt sind. „Risiko“ wird als Potenzial für Verluste oder Störungen,  die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Aus maßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des  Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird.

Zu Absatz 2

Absatz 2 dient der Umsetzung von Artikel 21 Absatz 2 der NIS2-Richtlinie. Die hier ge nannten Vorgaben insbesondere im Bereich der Sicherheit der Lieferkette können auch die  Durchführung von External Attack Surface (EAS) Scans beinhalten. Mit der Vorgabe in  Nummer 2 ist der Fachbegriff „incident response“ gemeint.

Bei der Erwägung geeigneter Maßnahmen nach Absatz 4 Nummer 4 sind durch die Ein richtung die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und  Diensteanbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ih rer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse  zu berücksichtigen. Einrichtungen müssen bei der Erwägung geeigneter Maßnahmen nach  Satz 1 die Ergebnisse der gemäß Artikel 22 Absatz 1 der NIS2-Richtlinie durchgeführten  koordinierten Risikobewertungen kritischer Lieferketten berücksichtigen.

Zu Absatz 3

Absatz 3 dient der Umsetzung von Artikel 21 Absatz 5 Unterabsatz 1 der NIS2-Richtlinie. Zu Absatz 4

Absatz 4 dient der Umsetzung von Artikel 21 Absatz 5 Unterabsatz 2 der NIS2-Richtlinie. Soweit die Europäische Kommission einen Durchführungsrechtsakt gemäß Artikel 24 Ab satz 2 der NIS2-Richtlinie erlässt, gehen die darin enthaltenen Vorgaben an den Einsatz  zertifizierter IKT-Produkte, IKT-Dienste und IKT-Prozesse denen des Satzes 1 vor.

Zu Absatz 5

Zur angemessenen Berücksichtigung der Bedrohungslage muss das Bundesamt die Mög lichkeit haben, über die ggf. von der Europäischen Kommission erlassenen Maßnahmen  hinaus, die Umsetzung angemessener Maßnahmen zu fordern.

Zu Absatz 6

Absatz 6 dient der Umsetzung von Artikel 24 der NIS2-Richtlinie.

Zu Absatz 7

Absatz 7 geht über die reine 1:1-Umsetzung der NIS2-Richtlinie hinaus. Da die Umsetzung  des Artikel 29 der NIS2-Richtlinie über die zentrale Austauschplattform des BSI (BISP)  umgesetzt wird, soll durch diesen Absatz 7 der bidirektionale Austausch sichergestellt wer den.

Zu Absatz 8

Absatz 8 dient der Umsetzung von Artikel 30 der NIS2-Richtlinie.

Zu Absatz 9

Die Möglichkeit für KRITIS-Betreiber, für die Erfüllung der gesetzlichen Anforderungen  branchenspezifische Sicherheitsstandards (B3S) vorzuschlagen, die anschließend vom  Bundesamt im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und

Katastrophenhilfe sowie der zuständigen Aufsichtsbehörde des Bundes auf ihre Eignung  geprüft werden, hat sich in der Umsetzung der NIS-1 Richtlinie aus Sicht der Bundesregie rung grundsätzlich sehr bewährt. Da auch aus der Wirtschaft im Zuge der Evaluierung der  KRITIS-bezogenen Bestandteile des IT-Sicherheitsgesetzes 2.0 einstimmig eine Einfüh rung eines vergleichbaren Verfahrens angeregt wurde, wird in Absatz 9 eine vergleichbare  Regelung für besonders wichtige Einrichtungen eingeführt.

Zu § 31 (Besondere Anforderungen an die Risikomanagementmaßnahmen von  Betreibern kritischer Anlagen)

§ 31 definiert zusätzliche Anforderungen für Betreiber kritischer Anlagen. Zu Absatz 1

Absatz 1 sieht vor, dass bei den nach § 30 umzusetzenden Maßnahmen durch Betreiber  kritischer Anlagen in Bezug auf versorgungsrelevante informationstechnische Systeme,  Komponenten und Prozesse erhöhte Anforderungen bestehen im Vergleich zu den Anfor derungen an besonders wichtige Einrichtungen für sonstige, nicht versorgungsrelevante  Bereiche. Betreiber kritischer Anlagen haben innerhalb ihrer Einrichtung für die informati onstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der  von ihnen betriebenen kritischen Anlagen maßgeblich sind, gegenüber wichtigen und be sonders wichtigen Einrichtungen ein nochmals erhöhtes Sicherheitsniveau zu gewährleis ten. Hinsichtlich der besonders schweren gesellschaftlichen und wirtschaftlichen Auswir kungen einer Beeinträchtigung ist die Versorgungserheblichkeit der kritischen Anlagen für  die Bevölkerung besonderes Indiz für die wirtschaftliche Angemessenheit der Vornahme  von Sicherungsmaßnahmen. Daher gelten Maßnahmen, welche die Resilienz der Anlage  erhöhen, um auch in Bezug auf gängige realistische Bedrohungsszenarien entsprechend  der aktuellen Lageberichte und Bewertungen des Bundesamtes die Versorgungssicherheit  der Bevölkerung auf einem möglichst hohen Niveau sicherzustellen, grundsätzlich gegen über dem erforderlichen Aufwand als angemessen.

Der Absatz trifft mit dem Bezug auf Absatz 2 keine Aussage zur technischen Angemessen heit im Sinne der Eignung einer Maßnahme für die Minimierung eines Risikos, sondern  konkretisiert, dass bei kritischen Anlagen eine grundsätzliche Abwägung zugunsten der  Vornahme einer Maßnahme gegenüber dagegenstehenden Wirtschaftlichkeitserwägungen  zu treffen ist. Dabei fällt in Abgrenzung zu wichtigen und besonders wichtigen Einrichtungen  die Abwägung noch stärker zugunsten der Sicherheit der Funktionsfähigkeit der Anlage  aus. Die Abwägung bezieht sich auf Maßnahmen für die zur Funktionsfähigkeit erforderli chen informationstechnischen Systeme, Komponenten und Prozesse in der Anlage und so mit nicht auf die gesamte Einrichtung.

Zu Absatz 2

Absatz 2 verpflichtet Betreiber kritischer Anlagen, Systeme zur Angriffserkennung einzu setzen.

Zu § 32 (Meldepflichten)

Zu Absatz 1

Absatz 1 dient der Umsetzung von Artikel 23 Absatz 4 Satz 1 der NIS2-Richtlinie. Mit  „Kenntniserlangung“ ist gemeint, dass eine Mitarbeiterin oder ein Mitarbeiter der Einrichtung  innerhalb seiner Arbeitszeit Kenntnis über einen erheblichen Sicherheitsvorfall erlangt.

Zu Absatz 2

Absatz 2 dient der Umsetzung von Artikel 23 Absatz 4 Satz 1 Buchstabe e der NIS2-Richt linie.

Zu Absatz 3

Absatz 3 regelt, dass KRITIS-Betreiber bei der Erfüllung der Meldepflicht für Sicherheits vorfälle auch weiterhin weitergehende Angaben in Bezug auf die betroffenen Anlagen, die  betroffene kritische Dienstleistung sowie den Auswirkungen des Sicherheitsvorfalls auf  diese Dienstleistung zu übermitteln haben.

Zu Absatz 4

Um ein effizientes und bürokratiearmes Meldeverfahren sicherzustellen, kann das BSI Ein zelheiten des Meldeverfahrens nach Anhörung der betroffenen Betreiber und Wirt-schafts verbände festlegen. Soweit die Europäische Kommission einen Durchführungs-rechtsakt  gemäß Artikel 23 Absatz 11 Unterabsatz 1 der NIS2-Richtlinie erlässt, in dem die Art der  Angaben, das Format oder das Verfahren der Meldungen festgelegt ist, sind diese Vorga ben einzuhalten.

Zu § 33 (Registrierungspflicht)

§ 32 dient der Umsetzung von Artikel 3 Absatz 3 der NIS2-Richtlinie. Registrierungspflich ten für Einrichtungen der Bundesverwaltung werden in § 43 Absatz 4 abweichend geregelt.

Zu Absatz 1

Absatz 1 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 2 Satz 1 der NIS2-Richt linie. Gemäß § 29 trifft die Registrierungspflicht entsprechend auch Einrichtungen der Bun desverwaltung im gleichen Umfang. Dies wird in § 43 Absatz 3 Satz 1 klargestellt.

Zu Nummer 1

Nummer 1 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 1 Buchstabe a der NIS 2-Richtlinie. Die Vorgabe wird um die Handelsregisternummer erweitert, da die Firma allein  nicht eindeutig ist.

Zu Nummer 2

Nummer 1 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 1 Buchstabe b der NIS 2-Richtlinie.

Zu Nummer 3

Nummer 1 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 1 Buchstabe c der NIS 2-Richtlinie.

Zu Nummer 4

Nummer 1 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 1 Buchstabe d der NIS 2-Richtlinie.

Zu Absatz 2

Absatz 3 regelt für Betreiber kritischer Anlagen zusätzlich zu übermittelnde Angaben bei  der Registrierung. Absatz 3 führt den bisherigen § 8b Absatz 3 Satz 1 und 3 fort. Es wird

ergänzt, dass Betreiber kritischer Anlagen auch die Versorgungskennzahlen ihrer kriti schen Anlage übermitteln müssen.

Zu Absatz 3

Absatz 3 regelt, dass eine Registrierung von Einrichtungen und Diensteanbietern auch  durch das Bundesamt selbst vorgenommen werden kann, wenn eine Einrichtung oder ein  Anbieter ihre oder seine Pflicht zur Registrierung nicht erfüllt. Absatz 3 führt den bisherigen  § 8b Absatz 3 Satz 2 fort und erweitert diesen auf die hier genannten Einrichtungsarten.

Zu Absatz 4

Absatz 5 führt den bisherigen § 8b Absatz 3a fort.

Zu Absatz 5

Absatz 5 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 2 Satz 2 der NIS2-Richt linie.

Zu Absatz 6

Um einheitliche Registrierungsprozesse zu ermöglichen und somit den Verwaltungsauf wand für das Bundesamt sowie den Erfüllungsaufwand für die Wirtschaft effizient zu gestal ten, ist vorgesehen, dass das Bundesamt einheitliche Vorgaben zum Registrierungsverfah ren festlegen kann.

Zu § 34 (Besondere Registrierungspflicht für bestimmte Einrichtungsarten) § 34 dient der Umsetzung von Artikel 27 Absatz 2 bis 5 der NIS2-Richtlinie. Zu Absatz 4

Absatz 4 sieht vor, dass das BSI für die Registrierung etwa die Verwendung eines Online Formulars oder Vordrucks vorsehen kann, um die einheitliche Datenerfassung zu erleich tern.

Zu § 35 (Unterrichtungspflichten)

Zu Absatz 1

Absatz 1 dient der Umsetzung von Artikel 23 Absatz 1 Satz 2 der NIS2-Richtlinie.

Wenn die Erbringung von Diensten durch besonders wichtige und wichtige Einrichtungen  in Folge von aufgetretenen erheblichen Sicherheitsvorfällen beeinträchtigt wird, kann dies  regelmäßig auch zu weiteren Einschränkungen, darunter auch mittelbare Einschränkun gen, bei den Empfängern dieser Dienste führen. Dies kann beispielsweise der Fall sein,  wenn diese Dienste bei den Empfängern zur Erbringung weiterer oder anderer Dienste für  Dritte genutzt werden. Solche Supply-Chain-Angriffe sind regelmäßig schwer abzuwehren,  da die Schadensauswirkungen mit zeitlicher Verzögerung, an anderen Orten sowie bei vom  ursprünglichen Sicherheitsvorfall nicht unmittelbar betroffenen Unternehmen auftreten kön nen. Beispiele für solche Supply-Chain-Angriffe, die bei unbeteiligten dritten Unternehmen  zu weiteren Schadensauswirkungen führten, sind beispielsweise die presseöffentlich be kannten Vorfälle bei Solarwinds (2020), Kaseya (2021) oder ViaSat (2022). Um in Bezug  auf solche Angriffe die Resilienz in der Wirtschaft insgesamt zu erhöhen, kann es im Ein zelfall erforderlich sein, dass das Bundesamt entsprechende von einem Sicherheitsvorfall  betroffene Einrichtungen anweist, die Empfänger ihrer Dienste über den Sicherheitsvorfall

zu unterrichten, damit diese wiederum die erforderlichen Maßnahmen umsetzen können,  um weitere Schadensauswirkungen auf ihre eigenen Dienste möglichst zu vermeiden.

Zu Absatz 2

Absatz 2 dient der Umsetzung von Artikel 23 Absatz 2 der NIS2-Richtlinie. Nicht in allen  Sektoren können die Empfänger von Diensten selbst Maßnahmen gegen Cyberbedrohun gen ergreifen. Gerade bei der Versorgung mit Elektrizität oder Waren sind die Empfänger  nicht selbst der Cyberbedrohung ausgesetzt, sondern erst deren Folgen. In den Sektoren,  in denen die Dienste selbst mit Informationssystemen der Empfänger der Dienste intera gieren, ist eine Information der Empfänger oftmals sinnvoll. Die Einrichtungen haben sie  daher über die Bedrohung selbst und über mögliche Maßnahmen zu unterrichten, die die  Empfänger selbst zu ihrem Schutz ergreifen können.

Zu § 36 (Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen) Zu Absatz 1

Absatz 1 dient der Umsetzung von Artikel 23 Absatz 5 der NIS2-Richtlinie. Wird bei dem  erheblichen Sicherheitsvorfall ein krimineller Hintergrund vermutet, gibt das Bundesamt fer ner Orientierungshilfen für die Meldung des Sicherheitsvorfalls an die Strafverfolgungsbe hörden. Das Bundesamt wird als Orientierungshilfen für die Meldung des Sicherheitsvorfalls  an die Strafverfolgungsbehörden auf seiner Internetseite bereitstellen und auf diese gege benenfalls verweisen.

Zu Absatz 2

Absatz 2 dient der Umsetzung von Artikel 23 Absatz 7 der NIS2-Richtlinie. Nur das Bun desamt verfügt als zentrale Stelle nach der NIS2-Richtlinie über die Informationen und das  Lagebild, um entsprechende bundesweite Informationen auszugeben.

Zu § 38 (Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter  besonders wichtiger Einrichtungen und wichtiger Einrichtungen)

§ 38 dient der Umsetzung von Artikel 20 der NIS2-Richtlinie.

Zu Absatz 1

Absatz 1 dient der Umsetzung von Artikel 20 Absatz 1 der NIS2-Richtlinie und der dort  vorgesehenen Pflichten der organschaftlichen Geschäftsleiter. Auch bei Einschaltung von Hilfspersonen bleibt das Leitungsorgan letztverantwortlich. Für Einrichtungen der Bundes verwaltung ist die Verantwortlichkeit der Leitungen in § 43 Absatz 1 geregelt.

Zu Absatz 2

Absatz 2 dient der Umsetzung von Artikel 20 Absatz 1 am Ende der NIS2-Richtlinie. Die  Vorsehung einer zwingenden Norm ist zwar nicht ausdrücklich in der umzusetzenden Richt linienbestimmung enthalten. Jedoch wird hiermit der bestehende Umsetzungsspielraum  unionsrechtskonform ausgeübt. Denn soweit eine Richtlinie den Mitgliedsstaaten keine  zwingenden Vorgaben macht, sondern Spielräume für die Umsetzung lässt, sind diese  durch die Mitgliedsstaaten eigenständig so auszufüllen, dass die Ziele der Richtlinie voll ständig erreicht werden. Diesen Zielen würde es widersprechen, wenn es sich hier um eine  disponible Haftung handeln würde.

Die Binnenhaftung des Geschäftsleitungsorgans bei Verletzung von Pflichten nach dem  BSIG ergibt sich aus den allgemeinen Grundsätzen (bspw. § 93 AktG). Bei Amtsträgern  gehen beamtenrechtliche Vorschriften vor, eine Ausweitung der bestehenden Haftung von

Amtsträgern erfolgt mithin vor dem Hintergrund von Artikel 20 Absatz 1 Unterabsatz 2 der  NIS2-Richtlinie auch insoweit nicht. Für Einrichtungen der Bundesverwaltung ist die Ver antwortlichkeit der Leitungen in § 43 Absatz 1 geregelt.

Zu Absatz 3

Absatz 3 dient der Umsetzung von Artikel 20 Absatz 2 der NIS2-Richtlinie im Hinblick auf  Geschäftsleiter. Wichtige und besonders wichtige Einrichtungen werden aufgefordert, der artige Schulungen für alle Beschäftigten anzubieten. Für Einrichtungen der Bundesverwal tung gilt abweichend § 43 Absatz 2.

Zu § 39 (Nachweispflichten für Betreiber kritischer Anlagen)

§ 39 führt den bisherigen § 8a fort. Die Ergebnisse der Evaluierung dieser Norm gemäß  Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Sicherheit informati onstechnischer Systeme wurden berücksichtigt.

Zu Absatz 1

Absatz 1 führt den bisherigen § 8a Absatz 3 fort.

Zu Absatz 2

Absatz 2 führt den bisherigen § 8a Absatz 5 fort.

Zu § 40 (Zentrale Melde- und Anlaufstelle)

§ 40 führt den bisherigen § 8b fort. Die Ergebnisse der Evaluierung dieser Norm gemäß  Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Sicherheit informati onstechnischer Systeme wurden berücksichtigt.

Die geänderte Vorschrift dient der Umsetzung des Artikel 8 Absatz 3 bis 5 der NIS2-Richt linie. Um die Resilienz der Wirtschaft europaweit zu steigern, sieht die NIS2-Richtlinie u.a.  einen koordinierten Austausch von Informationen zwischen den Mitgliedstaaten untereinan der und mit Stellen der Union vor. Dieser erfolgt für Deutschland zentral über das Bundes amt in seiner Eigenschaft als zentrale Stelle nach der NIS2-Richtlinie.

Zu Absatz 1

Absatz 1 führt den bisherigen § 8b Absatz 1 fort. Die geänderte Vorschrift dient der Umset zung des Artikel 8 Absatz 3 bis 5 der NIS2-Richtlinie.

Zu Absatz 2

Absatz 1 führt den bisherigen § 8b Absatz 2 fort.

Zu Nummer 1

Nummer 1 führt den bisherigen § 8b Absatz 2 Nummer 1 fort.

Zu Nummer 2

Nummer 1 führt den bisherigen § 8b Absatz 2 Nummer 2 fort.

Zu Nummer 3

Nummer 1 führt den bisherigen § 8b Absatz 2 Nummer 3 fort.

Zu Nummer 4

Zu Buchstabe a

Buchstabe a führt den bisherigen § 8b Absatz 2 Nummer 1 Buchstabe a fort. Die Vorschrift  wird an die neuen Kategorien angepasst.

Zu Buchstabe b

Buchstabe b führt den bisherigen § 8b Absatz 2 Nummer 1 Buchstabe d fort. Zu Nummer 5

Nummer 5 enthält eine Neuregelung. Aufgrund der hohen Sicherheitsrelevanz der Angaben  von Betreibern kritischer Anlagen, ist eine restriktivere Behandlung angezeigt. Die bisheri gen § 8b Absatz 2 Nummer 1 Buchstaben b und c entfallen.

Zu Absatz 3

Zu Nummer 1

Nummer 1 dient der Umsetzung von Artikel 8 Absatz 3-5 der NIS2-Richtlinie. Zu Nummer 2

Nummer 2 dient der Umsetzung von Artikel 8 Absatz 3-5 der NIS2-Richtlinie. Zu Nummer 3

Nummer 3 dient der Umsetzung von Artikel 23 Absatz 8 der NIS2-Richtlinie. Zu Nummer 4

Nummer 4 dient der Umsetzung von Artikel 23 Absatz 6 der NIS2-Richtlinie. Zu Absatz 4

Absatz 4 führt den bisherigen § 8b Absatz 4a fort.

Zu Absatz 5

Absatz 5 führt den bisherigen § 8b Absatz 5 fort.

Zu Teil 4 (Datenbanken der Domain-Name-Registrierungsdaten)

Teil 4 dient der Umsetzung von Artikel 28 der NIS2-Richtlinie.

Zu § 51 (Pflicht zum Führen einer Datenbank)

Zu Absatz 1

Absatz 1 dient der Umsetzung von Artikel 28 Absatz 1 der NIS2-Richtlinie. Zu Absatz 2

Zu Nummer 1

Nummer 1 dient der Umsetzung von Artikel 28 Absatz 2 Buchstabe a der NIS2-Richtlinie.

Zu Nummer 2

Nummer 1 dient der Umsetzung von Artikel 28 Absatz 2 Buchstabe b der NIS2-Richtlinie. Zu Nummer 3

Nummer 1 dient der Umsetzung von Artikel 28 Absatz 2 Buchstabe c der NIS2-Richtlinie. Zu Nummer 4

Nummer 1 dient der Umsetzung von Artikel 28 Absatz 2 Buchstabe d der NIS2-Richtlinie. Zu Absatz 3

Absatz 3 dient der Umsetzung von Artikel 28 Absatz 3 der NIS2-Richtlinie. Zu Absatz 4

Absatz 4 dient der Umsetzung von Artikel 28 Absatz 4 der NIS2-Richtlinie. Zu § 52 (Verpflichtung zur Zugangsgewährung)

§ 52 dient der Umsetzung von Artikel 28 Absatz 5 der NIS2-Richtlinie. Zu § 53 (Kooperationspflicht)

§ 53 dient der Umsetzung von Artikel 28 Absatz 6 der NIS2-Richtlinie.

Zu Teil 6 (Verordnungsermächtigungen, Grundrechtseinschränkungen und  Berichtspflichten)

Zu § 57 (Ermächtigung zum Erlass von Rechtsverordnungen)

Zu Absatz 1

Absatz 1 führt den bisherigen § 10 Absatz 2 fort. In der auf Basis dieses Absatzes erlasse nen Rechtsverordnung können insbesondere jeweils für die Zertifizierung von Produkten  oder Komponenten, informationstechnischen Systemen, Schutzprofilen sowie Personen  und Anerkennung von sachverständigen Stellen die Modalitäten des Zertifizierungsverfah rens, wie etwa Antragsstellung und eventuelle Mitwirkungspflichten, sowie mögliche Ne benbestimmungen (wie zum Beispiel Befristungen) von Zertifikaten und Anerkennungen  geregelt werden.

Zu Absatz 2

Absatz 2 führt den bisherigen § 10 Absatz 3 fort. Gemäß der Begründung zum IT-Sicher heitsgesetz 2.0 können in der Verordnung etwa die Details der Ausgestaltung (grafische  Darstellung usw.) festgelegt werden. Auch die Verfahren zu Feststellung der Eignung bran chenabgestimmter IT-Sicherheitsvorgaben sowie zu Antragsstellung auf Freigabe durch ei nen Hersteller können darin näher geregelt werden. Insbesondere ist dort das genaue Ver fahren und die Gestaltung des Verweises auf Sicherheitsinformationen (zum Beispiel zu  verfügbaren Sicherheitsupdates oder bekanntgewordenen Schwachstellen), der Teil des  Etiketts des IT-Sicherheitskennzeichens sein soll, zu regeln.

Zu Absatz 3

Absatz 3 dient der Umsetzung von Artikel 24 der NIS2-Richtlinie. Wenn informationstech nische Produkte, Dienste oder Prozesse für die Erbringung von Diensten der Einrichtung  maßgeblich sind, können verpflichtende Zertifizierungen von diesen Produkten, Diensten  oder Prozessen dazu beitragen, das Risiko für Sicherheitsvorfälle in diesen Bereichen zu  verringern. Sofern Art und Ausmaß der Risikoexposition der Einrichtung diesen Eingriff  rechtfertigen, ist daher vorgesehen, dass BMI in Umsetzung des Artikel 24 Absatz 4 der  NIS2-Richtlinie eine Zertifizierung in diesen Bereichen verpflichtend vorschreiben kann.  Diese Vorschrift greift nur, insoweit auch entsprechende Zertifizierungsschemata vorhan

den sind. Vor Erlass der Rechtsverordnung ist durch das BMI und unter Beteiligung der  potenziell betroffenen Einrichtungen zu prüfen, dass für die einzubeziehenden Produkte,  Dienste oder Prozesse eine ausreichende Verfügbarkeit am Markt sichergestellt ist.

Zu Absatz 4

Absatz 4 führt den bisherigen § 10 Absatz 1 fort. Die Ergebnisse der Evaluierung dieser  Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Sicher heit informationstechnischer Systeme wurden berücksichtigt.

Der vorliegende Gesetzentwurf sieht vor, dass zusätzlich zu den gemäß der Vorgaben der  NIS2-Richtlinie verbindlichen Einrichtungskategorien innerhalb der Kategorie der beson ders wichtigen Einrichtungen weiterhin KRITIS-Betreiber anhand von Schwellenwerten mit  einem Bezug zur Versorgungsrelevanz definiert werden. Dies ist zum einen erforderlich,  um einen Gleichklang mit dem KRITIS-Dachgesetz und dem dort in Umsetzung der CER Richtlinie vorgesehenen Verfahren zur KRITIS Bestimmung zu erreichen. Gleichzeitig hat die Evaluierung der KRITIS bezogenen Bestandteile des IT-Sicherheitsgesetzes 2.0 erge ben, dass aufgrund der starken Ausweitung des Anwendungsbereichs des BSI-Gesetzes  im Zuge der NIS2-Umsetzung auch weiterhin eine Bestimmung von kritischen Infrastruk turen mit einem Fokus auf die Versorgungsrelevanz erfolgen sollte. Gemäß dieser Verord nung als KRITIS-Betreiber bestimmte Unternehmen gelten gleichzeitig als besonders wich tige Einrichtungen.

KRITIS-Betreiber werden in Zukunft weiterhin mit Schwellenwerten anhand ihrer Versor gungsrelevanz bestimmt.

Für den in der Rechtsverordnung festzusetzenden als bedeutend anzusehenden Versor gungsgrad anhand von branchenspezifischen Schwellenwerten soll das bereits in mehrjäh riger Verwaltungspraxis etablierte Verfahren der Verordnung zu Bestimmung Kritischer Inf rastrukturen (BSI-KritisV) weiter fortgeführt werden. Hierbei werden durch BMI gemeinsam

mit den jeweils zuständigen Ressorts sowie unter Beteiligung der KRITIS-Betreiber und  ihrer Branchenverbände geeignete Bemessungsgrößen für kritische Anlagen bestimmt, an hand derer der Versorgungsgrad im Sinne der durch die Anlage versorgten Personen nä herungsweise bestimmt werden kann. Diese Bemessungsgrößen stellen typischerweise  quantitative oder qualitative anlagenspezifische Eigenschaften wie Kapazitäten, Größen,  Typ oder Art der Anlage dar, die entweder den Betreibern bereits bekannt sind oder zumin dest mit möglichst geringem Aufwand für die jeweiligen Anlagen ermittelt werden können.  Anschließend werden für die so gefundenen Bemessungsgrößen Schwellenwerte be stimmt, bei deren Überschreitung der Versorgungsgrad der betreffenden Anlage als bedeu tend im Sinne dieses Gesetzes gilt und damit die Anlage eine kritische Anlage darstellt.

Zu Teil 7 (Sanktionsvorschriften und Aufsicht)

Zu § 60 (Sanktionsvorschriften)

§ 60 führt den bisherigen § 14 fort. Da der § 60 nunmehr auch einen Absatz betreffend des  Verwaltungszwangs umfasst, wird die Überschrift entsprechend geändert. Im Katalog der

Bußgeldvorschriften wurden die Verweise angepasst, Bußgeldtatbestände entsprechend  der Anforderungen durch die NIS2 Richtlinie ergänzt sowie der Bußgeldrahmen angepasst.

Zu Absatz 1

§ 60 Absatz 1 sanktioniert, wie bisher, Fälle, in denen die von den Betreibern zu erbringen den Nachweisen, Nachforderungen, Auskünfte und Kennzahlen vorsätzlich nicht richtig o der nicht vollständig erbracht werden.

In § 60 Absatz 1 wurden lediglich die Verweise angepasst. Besonders wichtige Einrichtun gen haben die Erfüllung der Anforderungen nach § 30 Absatz 1 spätestens zu einem vom  Bundesamt festgelegten Zeitpunkt anschließend alle zwei Jahre nachzuweisen. § 8a Ab satz 3 Satz 1 betraf die früheren Betreiber kritischer Infrastruktur, sodass hier eine Erset zung mit dem neu eingeführten Einrichtungsäquivalent der besonders wichtigen Einrichtun gen erfolgten musste. Die Betreiber kritischer Infrastrukturen sind als Einrichtungskategorie  mit einem Mehr an Pflichten ebenfalls erfasst.

Der Verweis auf § 10 Absatz 1 Satz 1, nunmehr § 57 Absatz 4 Satz 1 wurde ebenfalls an gepasst.

Zu Absatz 2

Mit § 60 Absatz 2 Nummer 1 lit. a, b c und d werden Fälle von Zuwiderhandlungen gegen  vollziehbare Anordnungen erfasst.

Eine separate Aufzählung soll, aufgrund unterschiedlicher Schwere der Zuwiderhandlun gen, eine entsprechende Bebußung in unterschiedlicher Höhe ermöglichen.

Zu Nummer 1

Zu Buchstabe a

In Nummer 1 Buchstabe a) wurden die Verweise angepasst und inhaltlich keine Änderun gen vorgenommen.

§ 5b Absatz 6 entspricht nunmehr dem § 11 Absatz 6. § 7c Absatz 1 entspricht dem § 16  Absatz 1 Satz 1, § 7d entspricht § 17 und § 8a Absatz 3 Satz 5 entspricht § 34 Absatz 1  Satz 6

Zu Buchstabe b

In Buchstabe b) wurde der Verweis angepasst.

§ 64 Absatz 8 Satz 1 oder Absatz 9 Satz 1 oder § 65 sehen respektive für besonders wich tige und wichtige Einrichtungen vor, dass das Bundesamt sie anweisen kann, die natürli chen oder juristischen Personen, für die sie Dienste erbringen oder Tätigkeiten ausüben  und die potenziell von einer erheblichen Cyberbedrohung betroffen sind, über die Art der  Bedrohung und mögliche Abwehr- oder Abhilfemaßnahmen zu unterrichten, die von diesen  natürlichen oder juristischen Personen als Reaktion auf diese Bedrohung ergriffen werden  können. Zudem kann es wichtige und wesentliche Einrichtungen anweisen, Informationen  zu Verstößen gegen diese Richtlinie nach bestimmten Vorgaben öffentlich bekannt zu ma chen. Ebenso wird eine Bußgeldbewehrung bei einem Verstoß gegen § 64 Absatz 5, der  vorsieht, dass das Bundesamt für besonders wichtige Einrichtungen einen Überwachungs beauftragten benennen, der die Einhaltung der Verpflichtungen aus §§ 30, 31 und 39 über wacht, geschaffen. Mit der Schaffung dieses Bußgeldtatbestandes wird den Anforderungen  aus Artikel 32 Absatz 4 Buchstabe i in Verbindung mit Buchstabe g der NIS2-Richtlinie  nachgekommen.

Zu Buchstabe c

In Buchstabe c) wurde der Verweis angepasst. Satz 2 entfällt aufgrund obiger Anpassun gen. § 8c Absatz 4 Satz 1 entfällt, da die Kategorie „Anbieter digitaler Dienste“ in den neuen  Einrichtungskategorien aufgeht.

Zu Buchstabe d

Die alte Nummer 8 mit einer Bußgeldahndung für Verstöße gegen Streichung des § 8c  Absatz 1 Satz 1 wird gestrichen, da dieser in den neuen Einrichtungskategorien aufgeht.  Es wird mit Buchstabe d ein neuer Bußgeldtatbestand geschaffen, der die Weigerung der  Herausgabe notwendiger Informationen zur Bewältigung einer Störung bei Betreibern kriti

scher Anlagen ahnden soll

Zu Nummer 2

In Nummer 2 wurden die Verweise angepasst. Der vormalige Bußgeldtatbestand schuf eine  Sanktionsmöglichkeit dafür, dass entgegen § 8a Absatz 1 Satz 1 in Verbindung mit einer  Rechtsverordnung nach § 10 Absatz 1 Satz 1 eine dort genannte Vorkehrung nicht, nicht  richtig, nicht vollständig oder nicht rechtzeitig getroffen wird. Dieser sah vor, dass angemes

sene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der  Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen  Systeme, Komponenten oder Prozesse zu getroffen werden, die für die Funktionsfähigkeit  der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Der Verweis wurde  angepasst und bezieht sich nunmehr auf den neugeschaffenen § 30 (Risikomanagement

maßnahmen), der § 8a Absatz 1 Satz 1 entspricht. Zudem wird hiermit den Anforderungen  der NIS2 Richtlinie nach einer Bebußung bei Verstößen gegen Risikomanagementmaß nahmen nachgekommen.

Zu Nummer 3

In Nummer 3 wurden die Verweise angepasst und entsprechend der Einführung der neuen  Einrichtungskategorien aktualisiert. Anpassung der Verweise und Aktualisierung – Melde pflichten:

§ 32 Absatz 1 BSIG nF definiert die Meldepflichten für besonders wichtige und wichtige  Einrichtungen (Umsetzung des Artikels 23 der NIS2-Richtlinie)

§ 8c und 8f entfallen, da die Regelungsadressaten in den neuen Einrichtungskategorien  aufgehen

Zu Nummer 4

In Nummer 4 wurden die Verweise angepasst und aktualisiert:

Nach Nummer 4 handelt ordnungswidrig, wer eine Angabe oder eine Änderung nicht, nicht  richtig, nicht vollständig oder nicht rechtzeitig übermittelt. § 8b Absatz 3 Satz 1 wird durch  § 32 Absatz 1, 3 ersetzt und auf die neugeschaffenen Einrichtungskategorien angepasst:  § 32 Absatz 1 definiert die Registrierungspflichten für wichtige und besonders wichtige Ein

richtungen, Absatz 3 die Anforderungen für kritische Einrichtungen.

§ 8f Absatz 5 Satz 1 entfällt, da dieser in den neuen Einrichtungskategorien aufgeht.

Ein Ersatz erfolgt jedoch durch § 33 Absatz 1, 2, der Registrierungspflichten für andere Ein richtungsarten vorsieht.

§ 32 Absatz 6 sieht vor, dass Änderungen der nach § 32 zu übermittelnden Angaben un verzüglich, spätestens jedoch zwei Wochen ab dem Zeitpunkt der Änderung dem Bundes amt zu übermitteln sind.

Eine Sanktionierung ist erforderlich, um eine bessere Durchsetzbarkeit der Registrierungs pflichten zu ermöglichen. Zweck dieser ist es, die unverzügliche Weiterleitung wichtiger Si cherheitsinformationen an betroffene Betreiber sicherzustellen. So kann bei Störungen und  sonstigen IT-Sicherheitsinformationen, die für die Verfügbarkeit und Funktionsfähigkeit der  Betreiber maßgeblich sind, ein verlässlicher, beständiger und schneller Informationsfluss  gewährleistet werden. Nur durch eine Erweiterung der Pflicht zur zeitnahen Mitteilung von  Änderungen kann diese effektiv gewährleistet werden.

Zu Nummer 5

In Nummer 5 wurden die Verweise angepasst und aktualisiert:

Zu Nummer 6

Anpassung des Verweises

Zu Nummer 7

Hier wurde der Verweis zur Aktualisierung der Nachweispflichten (siehe bereits unter Ab satz 1) angepasst und eine Aktualisierung der Nachweispflichten entsprechend der neuen  Einrichtungskategorien vorgenommen: Hier bestimmt § 34 Absatz 1 Satz 1 die Anforderun gen für besonders wichtige und wichtige Einrichtungen, § 39 Absatz 2 Satz 1 die für kriti sche Einrichtungen.

Zu Nummer 8

In Nummer 8 wurden inhaltlich ebenfalls keine Änderungen vorgenommen und die Ver weise lediglich angepasst. § 64 Absatz 5 Satz 3 bestimmt die Zutrittsverschaffungspflicht  bei besonders wichtigen Einrichtungen.

Zu Nummer 9

Mit Nummer 9 wurde ein neuer Bußgeldtatbestand geschaffen: § 54 Absatz 2 bestimmt,  dass für bestimmte Produkte oder Leistungen beim Bundesamt eine Sicherheits- oder Per sonenzertifizierung beantragt werden kann. Eine Ahndung im Rahmen eines Bußgeldes bei  Vorgabe über die Inhabereigenschaft einer solchen Zertifizierung ist aufgrund des Miss brauchspotentials sowie damit einhergehender unbefugter Nutzung erforderlich; auch da  hier keine effektive Verwaltungszwangsmöglichkeit besteht.

Zu Nummer 10

Lediglich Anpassung des Verweises

Zu Nummer 11

In Nummer 11 wurde ein neuer Bußgeldtatbestand geschaffen, der das Vorgeben Inhaber  eines europäischen Cybersicherheitszertifikats oder Aussteller einer EU-Konformitätserklä rung zu sein, obgleich diese nicht besteht, widerrufen oder für ungültig erklärt wurde, ahn den. Eine Notwendigkeit für die Ahndung ergibt sich anliegend an den Nummer 9 aus dem  Missbrauchspotential, Folgen einer unbefugten Nutzung und der fehlenden effektiven Ver waltungszwangsmöglichkeit

Zu Nummer 12

Lediglich Anpassung des Verweises.

Zu Nummer 13

In Nummer 13 wurde ein neuer Bußgeldtatbestand geschaffen, der ein Zuwiderhandeln ge gen eine verbindliche Anweisung § 64 Absatz 7 oder § 65 ahnden sollen. § 64 Absatz 7  und § 65 bestimmen, dass das Bundesamt gegenüber besonders wichtigen, respektive  wichtigen Einrichtungen verbindliche Anweisungen zur Umsetzung der Verpflichtungen  nach diesem Gesetz erlassen kann. Mit der Schaffung diese Bußgeldtatbestandes werden  Neuer Bußgeldtatbestand: Umsetzung NIS 2

Es werden hierbei Artikel 32, 33 Absatz 4 lit. f, i der NIS 2 Richtlinie umgesetzt, die eine  respektive Bebußung von wichtigen und besonders wichtigen Einrichtungen vorsehen,  wenn diese sie sich einer verbindlichen Anweisung widersetzen.

Zu Absatz 3

Redaktionelle Änderung von „Sicherheitslücke“ auf „Schwachstelle“.

Zu Absatz 4

Zu Nummer 1

Redaktionelle Änderung von „Sicherheitslücke“ auf „Schwachstelle“.

Zu Nummer 2

Redaktionelle Änderung von „Sicherheitslücke“ auf „Schwachstelle“.

Zu Absatz 5

§ 60 Absatz 5 regelt die Höhe der jeweiligen Bußgelder in einem allgemeinem Bußgeldtat bestand,. Das Stufensystem wurde beibehalten, wobei die Stufen vorliegend angepasst  wurden. Die Stufen sind auf den Werten 20 Millionen Euro (höchste Stufe), 500.000 Euro  (zweite Stufe) und 100.000 Euro (dritte Stufe) angesetzt.

Die höchste Stufe wird auf 20 Millionen Euro angesetzt. Für die Stufe von 20 Millionen Euro  bei einem Verstoß gegen Absatz 2 Nummer 1 Buchstabe a wurde keine Veränderung der  Bußgeldhöhe vorgenommen, da durch den Verweis auf § 30 Absatz 2 Satz 3 OWiG in § 14  Absatz 5 alte Fassung eine Anhebung der Bußgeldhöhe ebenfalls erfolgte.

Für die zweithöchste Stufe wurde ein Wert von 500.000 Euro angesetzt. Für einen Verstoß  gegen Absatz 2 Nummer 1 Buchstabe c ergab sich hierbei keine Veränderung. Auf der  zweithöchsten Stufe wurde ein Verstoß gegen Absatz 2 Nummer 4 und 6 aufgenommen.  Bei diesem handelt es sich um einen Verstoß gegen die Registrierungspflichten für andere  Einrichtungsarten nach § 32 Absatz 1 s.Domain-Name Registry Diensteanbieter oder An

bieter nach §§ 33 Absatz 1, 64 Absatz 1 ).

Für einen Verstoß gegen Absatz 2 Nummer 10 und 12 ergaben sich keine Veränderungen  in der Bußgeldhöhe.

Auf der zweithöchsten Stufe wurden zudem Verstöße gegen die neueingeführten Absatz 2  Nummern 9 und 11 aufgenommen. Bei diesen handelt es sich um Vorgabe der Inhaber schaft einer Zertifizierung nach § 54 Absatz 2 oder eines europäischen Cybersicherheits zertifikats. Bei der Einstufung wurde sich an der Bußgeldhöhe von Nummern 10 und 12,

die in der vormaligen und jetzigen Fassung ebenfalls in dieser Höhe angesiedelt sind und  im Unrechtsgehalt eine Entsprechung finden, orientiert.

Als niedrigste Stufe wurde die frühere 100.000 Euro übernommen. Hierbei ergaben sich für  einen Verstoß gegen Absatz 3 keine Veränderungen.

Zu Absatz 6

Mit § 60 Absatz 6 wurde ein Bußgeldtatbestand für die Einrichtungskategorie der wichtigen  Einrichtungen geschaffen. Eine Separierung erfolgte zur besseren Übersichtlichkeit und an gesichts der Änderungen in der Stufung aufgrund der Anforderungen der NIS 2 Richtlinie.  Die Stufen stellen sich wie folgt dar: Auf höchster Stufe wird ein Wert von 7 Millionen Euro  oder 1,4 Prozent des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten  Umsatzes des Unternehmens angesetzt. Auf zweiter Stufe wird ein Wert von 500.000 Euro,  auf niedrigster Stufe ein Wert von 100.000 Euro angesetzt.

Eine erste Bußgeldstufe in Höhe von 7 Millionen Euro oder einem Höchstbetrag von min destens § 1,4 Prozent des gesamten weltweiten im vorangegangenen Geschäftsjahr getä tigten Umsatzes des Unternehmens bestimmt Artikel 34 Absatz 4 der NIS 2 Richtlinie, der  eine derartige Bußgeldhöhe bei Verstößen gegen Risikomanagementmaßnahmen und  Meldepflichten (hier den Absätzen 2 Nummern 2 und 3) vorsieht.

Auf einer zweiten Stufe, in Höhe von 500.000 Euro, werden die Verstöße gegen Absatz 2  Nummern 1 Buchstabe d und Nummern 4, geahndet. Ein Verstoß gegen Absatz 2 Num mer 1 Buchstabe d, der die Herausgabe von notwendigen Informationen zur Bewältigung  der Störung betrifft, wurde auf dieser Stufe angesiedelt, um die Dringlichkeit der Heraus gabe derartiger Informationen zu verdeutlichen. Gleiches gilt für einen Verstoß gegen Ab satz 2 Nummer 4 und 6, der Verstöße gegen die Registrierungspflichten betrifft

Die unterste Stufe in Höhe von 100.000 Euro bei wichtigen Einrichtungen ahndet Verstöße  gegen Absatz 2 Nummern Nummer 4 und 13. Die neu geschaffene Nummer 4 betrifft Ver stöße gegen die Nichtmitteilung von Änderungen nach § 32. Hierbei wurde in Nummer 4  die Bußgeldhöhe im Vergleich zu besonders wichtigen und kritischen Einrichtungen in ein  Verhältnis gesetzt und auf unterster Ebene angegliedert. Die neu geschaffenen Nummern  13 wurde ebenfalls auf dieser untersten Stufe angesetzt, da im Falle von Nummer 13 erst mals eine Bebußung von Verstößen gegen Anweisungen geahndet.

Zu Absatz 7

Mit § 60 Absatz 7 wurde ein separater Bußgeldtatbestand für die Kategorie des Betreibers  kritischer Anlagen und besonders wichtige Einrichtungen geschaffen. Erwägungen waren  auch hier eine Übersichtlichkeit angesichts der unterschiedlichen Bußgeldhöhen zu schaf fen und den Anforderungen nach der Verhängung eines von an den Einrichtungskategorien  angelehnten abgestuften Systems geleiteten zu werden.

Eine Unterscheidung zwischen den beiden Kategorien der besonders wichtigen Einrichtung  und dem Betreiber kritischer Anlagen, in der Bußgeldhöhe wurde hier nicht vorgenommen  wegen marginaler Differenzen im Pflichtenkatalog. Eine entsprechende Differenzierung der  Bußgeldhöhe entsprechend des Verhältnismäßigkeitsgrundsatzes kann nach Schwere des  Verstoßes und Einrichtungsart durch das Bundesamt vorgenommen werden. So ist bei Be

treibern kritischer Anlagen der Bußgeldrahmen am oberen Rande auszuschöpfen.

Höchste Stufe ist hier die Stufe von 10 Millionen Euro oder mindestens 2 % des gesamten  weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens,  dem der Betroffene angehört. Auf dieser Stufe werden Verstöße gegen Absatz 1 und Ab satz 2 Nummern 2, 3 und 7 geahndet.

Bei einem Verstoß gegen Absatz 1 tritt keine Veränderung der Bußgeldhöhe ein, da der  frühere Verweis auf § 30 Absatz 2 Satz 3 OWiG zu einer Verzehnfachung führte, die hier  ebenfalls erreicht wird.

Ein Verstoß gegen Absatz 2 Nummer 2 wurde ebenfalls auf dieser höchsten Stufe ange setzt. Dieser sieht die Ahndung von Verstößen gegen Risikomanagementmaßnahmen iSd  § 30 Absatz 1 vor. Hier traf Artikel 34 Absatz 4 NIS2 Richtlinie dezidierte Vorgaben (10 Mil lionen Euro oder mindestens 2 % des gesamten weltweiten im vorangegangenen Ge schäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene angehört) die  übernommen wurden. Gleiches gilt für Nummer 3.

Ein Verstoß gegen Absatz 2 Nummer 7 (Nachweispflichten) ist auf der höchsten Stufe bei  besonders wichtigen Einrichtungen und Betreibern kritischer Anlagen angesiedelt. Die Buß geldhöhe wurde entsprechend Absatz 1 angepasst (vormals ebenso hoch durch den Ver weis des § 30 Absatz 2 Satz 3 OWiG). Ein Verstoß gegen Absatz 2 Nummer 8 (Meldepflich ten) musste auf höchster Bußgeldstufe angesetzt werden, da Artikel 34 Absatz 4 NIS2  Richtlinie hier ebenfalls Vorgaben für die Bußgeldhöhe, die hier umgesetzt wurde, schuf.

Zweithöchste Stufe ist die Stufe von 500.000 Euro. Absatz 2 Nummer 8, der den Verstoß  gegen eine Weigerung der Zutrittsgestattung bebußt, wurde auf eine Bußgeldhöhe von  500.000 Euro entsprechend der Bedeutung der besonders wichtigen Einrichtung und Be treiber kritischer Anlagen gesetzt. Bei Absatz 2 Nummer 4 erfolgte keine Änderung der vor herigen Bußgeldhöhe.

Ein Verstoß gegen die neugeschaffene Nummer 4 (Nichtmitteilung von Änderungen nach  § 32) wurde auf eine Bußgeldhöhe auf zweiter Stufe gesetzt und somit in der Höhe von  Verstößen bei wichtigen Einrichtungen höhergestuft.. Die neu geschaffene Nummer 13 wurde auf der zweiten Stufe angesetzt, da im Falle vor Nummer 13 erstmals eine Bebußung  von Verstößen gegen Anweisungen geahndet wird, jedoch im Vergleich zu einem Verstoß  bei einer wichtigen Einrichtung eine Abstufung bestehen sollte.

Unterste Stufe ist die Stufe von 100.000 Euro. Bei einem Verstoß gegen Absatz 2 Num mer 5 wurde die bisherige Bußgeldhöhe übernommen.

Zu Absatz 8

Keine Veränderung

Zu Absatz 9

Mit Absatz 9 wird Artikel 35 Absatz 2 NIS2 umgesetzt.

Zu Absatz 10

Mit Absatz 10 wird Artikel 34 Absatz 6 NIS 2 umgesetzt.

Zu § 64 (Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige  Einrichtungen)

Zu Absatz 1

§ 64 dient der Umsetzung von Artikel 32 der NIS2-Richtlinie. Da eine regelmäßige Nach weispflicht für die Umsetzung von Risikomanagementmaßnahmen ausschließlich für Be treiber kritischer Anlagen gilt, ist in § 64 vorgesehen, dass das Bundesamt die hier vorge sehenen Aufsichtsmaßnahmen in Bezug auf einzelne Einrichtungen ausüben kann. Dem nach ist das Bundesamt unter Anderem befugt, Einrichtungen zu verpflichten, Audits, Prü fungen oder Zertifizierungen von unabhängigen Stellen durchführen zu lassen. Auch ohne

verpflichtend durchzuführende Audits, Prüfungen oder Zertifizierungen kann das Bundes amt von einzelnen Einrichtungen Nachweise über die Erfüllung einzelner oder aller Anfode rungen nach den §§ 30, 31 und 32 verlangen. Sofern durch die Einrichtung keine Audits,  Prüfungen oder Zertifizierungen durchgeführt wurden, kann das Bundesamt hiernach auch  andere Nachweisunterlagen verlangen. Hierzu gehören beispielsweise unternehmensei gene Richtlinien und Dokumentationen, Berichte oder Selbsterklärungen.

Gemäß den Anforderungen der NIS2-Richtlinie ist es bei der Ausübung dieser Aufsichts maßnahmen in Bezug auf besonders wichtige Einrichtungen nicht erforderlich, dass dem  Bundesamt Hinweise oder Informationen vorliegen, welche die Annahme rechtfertigen,  dass eine Einrichtung die Anforderungen der §§ 30, 31 und 32 nicht oder nicht richtig um gesetzt hat. Stattdessen hat das das Bundesamt bei der Auswahl der Einrichtungen im  Sinne einer Priorisierung die in Absatz 4 genannten Kriterien zu berücksichtigen. Der Er messensspielraum des Bundesamts bei der Auswahl von Einrichtungen ist im Sinne der  NIS2-Richtlinie entsprechend weit auszulegen. Die in Absatz 4 genannten Kriterien dienen  insoweit der Priorisierung, in Bezug auf welche Einrichtungen die Aufsichtsmaßnahmen pri oritär angewendet werden sollten. Die in Absatz 4 genannten Kriterien eignen sich dagegen  nicht zum Ausschluss, beispielsweise um zu begründen, dass bestimmte Aufsichtsmaß nahmen nicht auf einzelne Einrichtungen anzuwenden sein sollten, da sie zum Beispiel  besonders klein sind oder die Eintrittswahrscheinlichkeit von Sicherheitsvorfällen als niedrig  eingeschätzt wird. Denn nach den Anforderungen der NIS2-Richtlinie muss das Bundes amt befugt sein, die hier genannten Aufsichtsmaßnahmen in Bezug auf alle besonders  wichtige Einrichtungen ausüben zu können.

Die Zuständigkeit des Bundesamtes für Einrichtungen der Bundesverwaltung richtet sich  nach den Befugnissen des Bundesamtes in Teil 2 Kapitel 1 sowie Teil 3.

Zu Absatz 6

Absatz 6 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe b der NIS2-Richtlinie. Zu Absatz 7

Absatz 7 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe c, d und f der NIS2- Richtlinie. Die Nachweise können durch dokumentierte IT-Sicherheitskonzepte, Prozess beschreibungen, Richtlinien, Daten, Dokumente und sonstige Informationen, die für die Be wertung der von der betreffenden Einrichtung ergriffenen Risikomanagementmaßnahmen

im Bereich der Cybersicherheit erforderlich sind.

Zu Absatz 8

Absatz 8 Satz 1 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe e der NIS2-Richt linie. Absatz 8 Satz 2 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe h der NIS2- Richtlinie.

Zu Absatz 9

Absatz 9 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe g der NIS2-Richtlinie. Zu Absatz 10

Zu Nummer 1

Nummer 1 dient der Umsetzung von Artikel 32 Absatz 5 Unterabsatz 1 Buchstabe a der  NIS2-Richtlinie.

Zu Nummer 2

Nummer 1 dient der Umsetzung von Artikel 32 Absatz 5 Unterabsatz 1 Buchstabe b der  NIS2-Richtlinie.

Zu Absatz 11

Absatz 11 dient der Umsetzung von Artikel 32 Absatz 9 der NIS2-Richtlinie. Zu Absatz 12

Absatz 12 dient der Umsetzung von Artikel 35 der NIS2-Richtlinie.

Zu § 65 (Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen)

§ 65 dient der Umsetzung von Artikel 33 der NIS2-Richtlinie. Für wichtige Einrichtungen  sind gemäß dieser Vorschrift grundsätzlich die gleichen Aufsichtsmaßnahmen des Bundes amts vorgesehen, wie in § 64 für besonders wichtige Einrichtungen. Jedoch gilt für wichtige  Einrichtungen als Voraussetzung zur Ausübung dieser Aufsichtsmaßnahmen, dass Tatsa chen die Annahme rechtfertigen, dass eine wichtige Einrichtung die Anforderungen aus den  §§ 30, 31 oder 32 nicht oder nicht richtig umgesetzt hat.

Zu Anlage 1 (Sektoren mit hoher Kritikalität)

Die Anlage dient der Umsetzung von Anhang I der NIS2-Richtlinie.

Zu Anlage 2 (Sonstige kritische Sektoren)

Die Anlage dient der Umsetzung von Anhang II der NIS2-Richtlinie.

Zu Artikel 2 (Änderung des BSI-Gesetzes (FNA 206-2))

Artikel 2 setzt die beabsichtigte Verschiebung der gesetzlichen Bestimmung kritischer An lagen in das Gesetz zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kri tischer Anlagen (KRITIS-Dachgesetz) um. Artikel 2 tritt nach der Regelung in Artikel 29 erst  mit dem Inkrafttreten einer Verordnung nach dem KRITIS-Dachgesetz in Kraft. Dabei han delt es sich um eine Nachfolgeverordnung der bisherigen BSI-Kritisverordnung.

Zu Artikel 29 (Inkrafttreten, Außerkrafttreten)

Zu Absatz 1

Bei einer Verkündung im März 2024 stehen den Einrichtungen noch sechs Monate für die  Umsetzung der in diesem Gesetz enthaltenen Verpflichtungen zur Verfügung. Der hier ge nannte Zeitpunkt ist der letzte Quartalsbeginn vor Ablauf der Umsetzungsfrist des Artikel 41  NIS2-Richtlinie am 17. Oktober 2024. Im Übrigen sind die für die Verpflichtungen von we sentlichen und wichtigen Einrichtungen maßgeblichen Inhalte der NIS2-Richtlinie bereits  seit dem Kommissionsentwurf aus Dezember 2020 bekannt.

Zu Absatz 2

Absatz 2 regelt die zeitliche Verknüpfung der Verschiebung bestimmter Regelungen zu kri tischen Anlagen in Artikel 2, die künftig in das Gesetz zur Umsetzung der CER-Richtlinie  und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz) verschoben wer den sollen.

Zu Absatz 3

Der Artikel 19 der Verordnung (EU) Nr. 910/2014 wird durch Artikel 42 der NIS2-Richtlinie  mit Wirkung für den 17. Oktober 2024 gelöscht, daher tritt dieser Änderungsbefehl verzögert  in Kraft.