v3 Entwurf Gesetz
Quelle: Bundesministerium des Innern und für Heimat
Bearbeitungsstand: 07.05.2024 10:19
Referentenentwurf
des Bundesministeriums des Innern und für Heimat
Entwurf eines Gesetzes zur Umsetzung der NIS2-Richtlinie und zur Re gelung wesentlicher Grundzüge des Informationssicherheitsmanage ments in der Bundesverwaltung
(NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz)
A. Problem und Ziel
Die moderne Wirtschaft Deutschlands ist für ihr Funktionieren, die Generierung von Wohl stand und Wachstum und auch für ihre Adaptionsfähigkeit auf geänderte wirtschaftspoliti sche und geopolitische Rahmenbedingungen angewiesen auf funktionierende und resili ente Infrastrukturen, sowohl im physischen als auch im digitalen Bereich. Diese Faktoren
haben in den vergangenen Jahren erheblich an Bedeutung gewonnen. Unternehmen sehen sich nicht nur in ihrem wirtschaftlichen Tun, sondern auch in dessen praktischer Absiche rung vor einer Vielzahl von Herausforderungen. Europaweit und global vernetzte Prozesse führen ebenso wie die zunehmende Digitalisierung aller Lebens- und somit auch Wirt schaftsbereiche zu einer höheren Anfälligkeit durch externe, vielfach nicht steuerbare Fak toren. Informationstechnik in kritischen Anlagen sowie in bestimmten Unternehmen spielt dabei eine zentrale Rolle. Ihre Sicherheit und Resilienz bilden auch die Grundlage für die Versorgungssicherheit, von der Versorgung mit Strom und Wasser bis hin zu Siedlungsab fällen. Gleiches gilt für das Funktionieren der Marktwirtschaft in Deutschland und dem Bin nenmarkt der Europäischen Union. Die Vernetzung und enge Verzahnung der Wirtschaft innerhalb Deutschlands und der Europäischen Union resultieren in Interdependenzen bei der Cybersicherheit. Die vor diesem Hintergrund erforderlichen Cybersicherheitsanforde rungen an juristische und natürliche Personen, die wesentliche Dienste erbringen oder Tä tigkeiten ausüben, werden mit der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27. Dezember 2022, S. 80, im Folgenden NIS2-Richtlinie) in der gesamten Euro päischen Union weiter angeglichen.
In Folge des völkerrechtswidrigen russischen Angriffskriegs auf die Ukraine hat sich nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Bericht zur Lage der IT-Sicherheit in Deutschland 2022 die IT-Sicherheitslage insgesamt zuge spitzt. Im Bereich der Wirtschaft zählen hierbei Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in diesem Zusammenhang auch insbesondere Cyberangriffe über die Lieferkette (sogenannte Supply-Chain-Angriffe) zu den größten Bedrohungen. Zusätzlich zu den bereits bekannten Bedrohungen entstanden in Folge des russischen Angriffskriegs auf die Ukraine und der damit einhergehenden „Zeitenwende“ auch neue Bedrohungen o der die Einschätzungen zu bereits bekannten Bedrohungen mussten aufgrund veränderter Rahmenbedingungen geändert werden. Beispiele hierfür bestehen im Bereich Hacktivis mus, insbesondere mittels Distributed-Denial-of-Service (DDoS)-Angriffen oder auch durch in Deutschland erfolgte Kollateralschäden in Folge von Cyber-Sabotage-Angriffen im Rah men des Krieges. Zudem haben auch Störungen und Angriffe im Bereich der Lieferketten sowohl aus den Bereichen Cybercrime als auch im Rahmen des Krieges zuletzt zugenom men. Diese Phänomene treten nicht mehr nur vereinzelt auf, sondern sind insgesamt Teil des unternehmerischen Alltags. Eine Erhöhung der Resilienz der Wirtschaft gegenüber den
Gefahren der digitalen Welt ist daher eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, um den Wirtschaftsstandort Deutschland robust und leistungsfähig zu halten.
Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich die bis herigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausrei chend effektiv erwiesen, um eine flächendeckende wirksame Steigerung des Sicherheits niveaus zu erreichen. Dies haben insbesondere Sachstandserhebungen zum Umsetzungs plan Bund sowie Prüfungen des Bundesrechnungshofs (BRH) bestätigt. Vor dem Hinter grund der durch aktuelle geopolitische Entwicklungen („Zeitenwende“) abermals verschärf ten Bedrohungslage hat sich das Risiko für staatliche Einrichtungen zudem weiter erhöht,
durch Gefährdungen aus dem Cyberraum in ihrer Handlungsfähigkeit eingeschränkt zu werden.
Dieser Entwurf steht im Kontext der gefährdeten rechtzeitigen Erreichung der Ziele der Re solution der Generalversammlung der Vereinten Nationen vom 25. September 2015 „Trans formation unserer Welt: die UN-Agenda 2030 für nachhaltige Entwicklung“. Der Entwurf soll insbesondere zur Erreichung des Nachhaltigkeitsziels 9 der UN-Agenda 2030 beitragen, eine hochwertige, verlässliche und widerstandsfähige Infrastruktur aufzubauen.
B. Lösung, Nutzen
Entsprechend der unionsrechtlichen Vorgaben wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I 2015 S. 1324) und dem Zweiten Gesetz zur Erhöhung der Sicherheit informations technischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS2-Umsetzungs- und Cybersicherheitsstär kungsgesetz für den Bereich bestimmter Unternehmen erweitert, zusätzlich werden ent sprechende Vorgaben für die Bundesverwaltung eingeführt. Schwerpunktmäßig werden fol gende Änderungen vorgenommen:
– Einführung der durch die NIS2-Richtlinie vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse be schränkten Anwendungsbereichs einhergeht.
– Der Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 NIS2- Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdiffe renziert wird.
– Die bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime der NIS2-Richtlinie ersetzt. Dabei soll der bürokratische Aufwand für die Einrichtungen im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums minimiert werden.
– Ausweitung des Instrumentariums des Bundesamts für Sicherheit in der Informations technik (BSI) im Hinblick auf von der NIS2-Richtlinie vorgegebene Aufsichtsmaßnah men.
– Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informations sicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Ver antwortlichkeiten.
– Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nati onalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhab bares Regelungsregime zu gewährleisten.
– Etablierung eines CISO Bund als zentralem Koordinator für Maßnahmen zur Informa tionssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Res sorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.
Ziel der NIS2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cy bersicherheitsniveau sichergestellt werden soll. Wichtige und besonders wichtige Einrich tungen sollen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des euro päischen Binnenmarktes verbessert werden. Die Konsequenzen eines Cyberangriffes sind sehr vielfältig und können nicht vollständig quantifiziert werden. So können durch Ransom ware-Angriffe Server medizinischer Einrichtungen verschlüsselt werden, was die Aufnahme neuer Notfälle und die ambulante Patientenversorgung tagelang verhindert. Dies etwa sind Risiken und Gefahren für Leib und Leben der Bevölkerung, die nicht in monetären Größen ausgedrückt werden können. Bezogen auf die unmittelbar durch Cyberangriffe verursach ten und bezifferbaren Schäden für Unternehmen in Deutschland schätzt der Branchenver band der deutschen Informations- und Telekommunikationsunternehmen (Bitkom e. V.) ein jährliches Gesamtschadensvolumen von rund 223,5 Milliarden Euro für das Jahr 2021. Im Jahr 2022 lag das Gesamtschadensvolumen bei 202,7 Milliarden Euro und im Jahr 2023 voraussichtlich bei 205,9 Milliarden Euro. Im Schnitt verursachen Cyberangriffe für Unter nehmen in Deutschland einen jährlichen Gesamtschaden von rund 210,7 Milliarden Euro in den letzten drei Jahren. Dabei hat Bitkom deutsche Unternehmen mit mindestens 10 Be schäftigten und einem Jahresumsatz von mindestens einer Millionen Euro befragt. Im Un ternehmensregister des Statistischen Bundesamts waren im Berichtsjahr 2021 insgesamt rund 3,4 Millionen rechtliche Einheiten registriert, davon beschäftigten 444 055 rechtliche Einheiten mindestens 10 Beschäftigten. Unter der Annahme einer Gleichverteilung des Ge samtschadensvolumens auf die Unternehmen mit mindestens 10 Beschäftigten ergibt sich ein Schadensvolumen pro Unternehmen von rund 500 000 Euro (=210,7 Milliarden Euro / 444 055 Unternehmen). Es ist anzunehmen, dass selbst bei einer vollständigen Umsetzung der von der NIS2-Richtlinie vorgegebenen Sicherheitsstandards nicht alle Schäden durch Cyberangriffe abgewehrt werden können. Nimmt man jedoch an, dass durch die Umset zung der vorliegenden Vorgaben die Hälfte des jährlich verursachten Schadens in den zur Umsetzung der NIS2-Richtlinie verpflichteten Unternehmen abgewehrt werden kann, so ergibt sich pro Unternehmen ein abgewehrter Schaden von rund 250 000 Euro. Hochge rechnet auf die voraussichtlich geschätzte Anzahl betroffener Unternehmen bedeutet dies einen abgewehrten Gesamtschaden in Höhe von ca. 3,6 Milliarden Euro (= 250 000 Euro * 14 500 Unternehmen) für die deutsche Wirtschaft. Zusätzlich zu dem hier geschätzten ab gewehrten Schaden in Höhe von ca. 3,6 Milliarden bei den Unternehmen muss ebenfalls ein mangels verfügbarer Daten nicht bezifferbarer abgewehrter Schaden in der öffentlichen Verwaltung sowie weitere Schäden mitberücksichtigt werden.
C. Alternativen
Keine.
D. Haushaltsausgaben ohne Erfüllungsaufwand
Für die Umsetzung dieses Gesetzes entstehen dem Bundeshaushalt einmalige Mehraus gaben in Höhe von […] Euro sowie laufende Mehrausgaben in Höhe von […] Euro jährlich. Mehrausgaben für Länder und Kommunen entstehen nicht.
[Die Gegenfinanzierung der aus diesem Vorhaben resultierenden Mehrbedarfe ist Gegen stand der weiteren Verhandlungen. Über jeweils ressortspezifische Einzelheiten ist im Rah men künftiger Haushaltsaufstellungsverfahren zu entscheiden.]
E. Erfüllungsaufwand
E.1 Erfüllungsaufwand für Bürgerinnen und Bürger
Es entsteht kein Erfüllungsaufwand für die Bürgerinnen und Bürger.
E.2 Erfüllungsaufwand für die Wirtschaft
Für die Wirtschaft erhöht sich der jährliche Erfüllungsaufwand um rund 2,3 Milliarden Euro. Insgesamt entsteht einmaliger Aufwand von rund zwei Milliarden Euro. Dieser ist fast aus schließlich der Kategorie Einführung oder Anpassung digitaler Prozessabläufe zuzuordnen.
Davon Bürokratiekosten aus Informationspflichten
Es entfallen rund 121 Millionen Euro auf Bürokratiekosten aus Informationspflichten.
E.3 Erfüllungsaufwand der Verwaltung
Für die Bundesverwaltung erhöht sich der jährliche Erfüllungsaufwand um mindestens 365 Millionen Euro. Der einmalige Erfüllungsaufwand beträgt mindestens 335 Millionen Euro.
Die Erfüllungsaufwände weniger Bundesbehörden sind in der vorliegenden Fassung der Schätzung des Erfüllungsaufwands noch nicht berücksichtigt.
F. Weitere Kosten
Keine.
— Start --- Gesetzesentwurf
des Bundesministeriums des Innern und für Heimat
Entwurf eines Gesetzes zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des
Informationssicherheitsmanagements in der Bundesverwaltung
(NIS2-Umsetzungs- und
Cybersicherheitsstärkungsgesetz)1)
Vom …
Der Bundestag hat das folgende Gesetz beschlossen:
Inhaltsübersicht entfernt, da verwirrend und nicht relevant aufgrund des Menu rechts auf der Seite
Artikel 1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz – BSIG)
Artikel 2 Änderung des BSI-Gesetzes (FNA 206-2) und des Telekommunikationsgeset zes (FNA 900-17)
Artikel 3 Änderung des BND-Gesetzes (FNA 12-6)
Artikel 4 Änderung der Sicherheitsüberprüfungsfeststellungsverordnung (FNA 12-10-3)
Artikel 5 Änderung des Telekommunikation-Telemedien-Datenschutz-Gesetzes (FNA 204-5)
Artikel 6 Änderung der Gleichstellungsbeauftragtenwahlverordnung (FNA 205-3-1)
Artikel 7 Änderung des Zweiten Gesetzes zur Erhöhung der Sicherheit informations technischer Systeme (FNA 206-2)
Artikel 8 Änderung der BSI-Zertifizierungs- und Anerkennungsverordnung (FNA 206-2- 1)
Artikel 9 Änderung der BSI IT-Sicherheitskennzeichenverordnung (FNA 206-2-3) Artikel 10 Änderung des De-Mail-Gesetzes (FNA 206-4)
Artikel 11 Änderung des E-Government-Gesetz (FNA 206-6)
Artikel 12 Änderung der Passdatenerfassungs- und Übermittlungsverordnung (FNA 210- 5-11)
Artikel 13 Änderung der Personalausweisverordnung (FNA 210-6-1) Artikel 14 Änderung der Kassensicherungsverordnung (FNA 610-1-26)
~~ ~~
1) Dieses Gesetz dient der Umsetzung der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheits niveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27.12.2022, S. 80).
Artikel 15 Änderung des Atomgesetzes (FNA 751-1)
Artikel 16 Änderung des Energiewirtschaftsgesetzes (FNA 752-6)
Artikel 17 Änderung des Messstellenbetriebsgesetzes (FNA 752-10) Artikel 18 Änderung des Energiesicherungsgesetzes (FNA 754-3) Artikel 19 Änderung des Fünften Buches Sozialgesetzbuch (FNA 860-5) Artikel 20 Änderung der Digitale Gesundheitsanwendungen-Verordnung (FNA 860-5-55) Artikel 21 Änderung des Sechsten Buches Sozialgesetzbuch (FNA 860-6)
Artikel 22 Änderung der Verordnung zum Barrierefreiheitsstärkungsgesetz (FNA 860-9- 4-1)
Artikel 23 Änderung des Telekommunikationsgesetzes (FNA 900-17) Artikel 24 Änderung der Krankenhausstrukturfonds-Verordnung (FNA 2126-9-19) Artikel 25 Änderung der Mess- und Eichverordnung (FNA 7141-8-1) Artikel 26 Änderung der Außenwirtschaftsverordnung (FNA 7400-4-1) Artikel 27 Änderung des Vertrauensdienstegesetzes (FNA 9020-13) Artikel 28 Evaluierung
Artikel 29 Inkrafttreten, Außerkrafttreten
Artikel 1
Gesetz über das Bundesamt für Sicherheit in der Informations technik und über die Sicherheit in der Informationstechnik von Einrichtungen
(BSI-Gesetz – BSIG)
Inhaltsübersicht
T e i l 1
A l l g e m e i n e V o r s c h r i f t e n
§ 1
Bundesamt für Sicherheit in der Informationstechnik
Das Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) ist eine Bundes oberbehörde im Geschäftsbereich des Bundesministeriums des Innern und für Heimat. Es ist die zentrale Stelle für Informationssicherheit auf nationaler Ebene. Aufgaben gegenüber den Bundesministerien führt das Bundesamt auf Grundlage wissenschaftlich-technischer Erkenntnisse durch.
§ 2
Begriffsbestimmungen
(1) Im Sinne dieses Gesetzes ist oder sind
1. „Beinahevorfall“ ein Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit ge speicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über informa tionstechnische Systeme, Komponenten und Prozesse angeboten werden oder zu gänglich sind, beeinträchtigt haben könnte, dessen Eintritt jedoch erfolgreich verhindert
worden ist oder aus anderen Gründen nicht erfolgt ist;
2. „Bodeninfrastruktur“ betreffend den Sektor Weltraum Einrichtungen, die der Kontrolle, Kommunikation, Beobachtung oder Steuerung des Startes, Fluges oder eventuellen Landung von Weltraumgegenständen dienen;
3. „Cloud-Computing-Dienst“ ein digitaler Dienst, der auf Abruf die Verwaltung eines ska lierbaren und elastischen Pools gemeinsam nutzbarer Rechenressourcen sowie den umfassenden Fernzugang zu diesem Pool ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind;
4. „Content Delivery Network“ oder „CDN“ eine Gruppe geographisch verteilter, zusam mengeschalteter Server, die mit dem Internet verbunden sind, mitsamt der hierfür er forderlichen Infrastruktur, die der Bereitstellung – also Caching – digitaler Inhalte und Dienste für Internetnutzer im Auftrag von Inhalte- und Diensteanbietern dienen, mit dem Ziel, die Gewährleistung einer hohen Verfügbarkeit, Zugänglichkeit oder Zustel lung mit möglichst niedriger Latenz;
5. „Cyberbedrohung“ eine Cyberbedrohung nach Artikel 2 Nummer 8 der Verordnung (EU) 2019/881;
6. „Datenverkehr“ mittels technischer Protokolle übertragene Daten; Telekommunikati onsinhalte nach § 3 Absatz 1 des Telekommunikation-Telemedien-Datenschutz-Ge setzes und Nutzungsdaten nach § 2 Absatz 2 Nummer 3 des Telekommunikation-Te lemedien-Datenschutz-Gesetzes können enthalten sein;
7. „DNS-Diensteanbieter“ eine natürliche oder juristische Person, die
a) für Internet-Endnutzer öffentlich verfügbare rekursive Dienste zur Auflösung von Domain-Namen anbietet oder
b) autoritative Dienste zur Auflösung von Domain-Namen zur Nutzung durch Dritte, mit Ausnahme von Root- Namenservern, anbietet;
8. „Domain-Name-Registry-Dienstleister“ ein Registrar oder eine Stelle, die im Namen von Registraren tätig ist, insbesondere Anbieter oder Wiederverkäufer von Daten schutz- oder Proxy-Registrierungsdiensten;
9. „erhebliche Cyberbedrohung“ eine Cyberbedrohung, die das Potenzial besitzt, die in formationstechnischen Systeme, Komponenten und Prozesse aufgrund der besonde ren technischen Merkmale der Cyberbedrohung erheblich zu beeinträchtigen; eine Be einträchtigung ist erheblich, wenn sie erheblichen materiellen oder immateriellen Scha den verursachen kann;
10. „erheblicher Sicherheitsvorfall“ ein Sicherheitsvorfall, der
a) schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann; oder
b) andere natürliche oder juristische Personen durch erhebliche materielle oder im materielle Schäden beeinträchtigt hat oder beeinträchtigen kann,
soweit nach Absatz 2 keine weitergehende Begriffsbestimmung erfolgt;
11. „Forschungseinrichtung“ eine Einrichtung, deren primäres Ziel es ist, angewandte For schung oder experimentelle Entwicklung im Hinblick auf die Nutzung der Ergebnisse dieser Forschung für kommerzielle Zwecke durchzuführen, die jedoch Bildungseinrich tungen nicht einschließt;
12. „Geschäftsleitung“ eine natürliche Personen, die nach Gesetz, Satzung oder Gesell schaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichti gen Einrichtung oder wichtigen Einrichtung berufen ist; Leiterinnen und Leiter von Ein richtungen der Bundesverwaltung nach § 29 gelten nicht als Geschäftsleitung;
13. „IKT-Dienst“ ein IKT-Dienst nach Artikel 2 Nummer 13 der Verordnung (EU) 2019/881;
14. „IKT-Produkt“ ein IKT-Produkt nach Artikel 2 Nummer 12 der Verordnung (EU) 2019/881;
15. „IKT-Prozess“ ein IKT-Prozess nach Artikel 2 Nummer 14 der Verordnung (EU) 2019/881;
16. „Informationssicherheit“ der angemessene Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen;
17. „Informationstechnik“ ein technisches Mittel zur Verarbeitung von Informationen;
18. „Institutionen der Sozialen Sicherung“ Körperschaften gemäß § 29 des Vierten Buches Sozialgesetzbuch, Arbeitsgemeinschaften gemäß § 94 des Zehnten Buches Sozialge setzbuch, die Versorgungsanstalt der deutschen Bühnen, die Versorgungsanstalt der deutschen Kulturorchester und die Versorgungsanstalt der bevollmächtigten Bezirks schornsteinfeger sowie die Deutsche Post AG, soweit sie mit der Berechnung oder Auszahlung von Sozialleistungen betraut ist;
19. „Internet Exchange Point“ oder „IXP“ eine Infrastruktur, die
a) die Zusammenschaltung von mehr als zwei unabhängigen autonomen Systemen ermöglicht, die in erster Linie zum Austausch von Internet-Datenverkehr genutzt wird,
b) nur der Zusammenschaltung autonomer Systeme dient, und
c) nicht voraussetzt, dass
aa) der Internet-Datenverkehr zwischen zwei beliebigen teilnehmenden autono men Systemen über ein drittes autonomes System läuft, oder
bb) den betreffenden Datenverkehr verändert oder diesen anderweitig beeinträch tigt;
20. „Kommunikationstechnik des Bundes“ Informationstechnik, die von einer oder mehre ren Einrichtungen der Bundesverwaltung oder im Auftrag einer oder mehrerer Einrich tungen der Bundesverwaltung betrieben wird und der Kommunikation oder dem Daten austausch innerhalb einer Einrichtung der Bundesverwaltung, der Einrichtungen der
Bundesverwaltung untereinander oder der Einrichtungen der Bundesverwaltung mit Dritten dient; davon ausgenommen ist die Kommunikationstechnik des Bundesverfas sungsgerichts, der Bundesgerichte, soweit sie nicht öffentlich-rechtliche Verwaltungs aufgaben wahrnehmen, des Bundestages, des Bundesrates, des Bundespräsidenten und des Bundesrechnungshofes, soweit sie ausschließlich in deren eigener Zuständig keit betrieben wird;
21. „kritische Anlage“ eine Anlage, die für die Erbringung einer kritischen Dienstleistung erheblich nach § 28 Absatz 7 ist;
22. „kritische Komponenten“ IKT-Produkte,
a) die in kritischen Anlagen eingesetzt werden,
b) bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähig keit kritischer Anlagen oder zu Gefährdungen für die öffentliche Sicherheit führen können und
c) die auf Grund eines Gesetzes unter Verweis auf diese Vorschrift aa) als kritische Komponente bestimmt werden oder
bb) eine auf Grund eines Gesetzes als kritisch bestimmte Funktion realisieren,
werden für einen der in § 28 Absatz 7 genannten Sektoren keine kritischen Komponen ten und keine kritischen Funktionen, aus denen kritische Komponenten abgeleitet wer den können, auf Grund eines Gesetzes unter Verweis auf diese Vorschrift bestimmt, gibt es in diesem Sektor keine kritischen Komponenten im Sinne von dieser Nummer;
23. „kritische Dienstleistung“ eine Dienstleistung zur Versorgung der Allgemeinheit in den Sektoren nach § 28 Absatz 7, deren Ausfall oder Beeinträchtigung zu erheblichen Ver sorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde;
24. „Managed Security Service Provider“ oder „MSSP“ ein MSP, der Unterstützung für Tä tigkeiten im Zusammenhang mit dem Risikomanagement im Bereich der Cybersicher heit durchführt oder erbringt;
25. „Managed Service Provider“ oder „MSP“ ein Anbieter von Diensten im Zusammenhang mit der Installation, der Verwaltung, dem Betrieb oder der Wartung von IKT-Produkten, -Netzen, -Infrastruktur, -Anwendungen oder jeglicher anderer Netz- und Informations systeme durch Unterstützung oder aktive Verwaltung in den Räumlichkeiten der Kun den oder aus der Ferne;
26. „NIS2-Richtlinie“ die Richtlinie 2022/2555 des Europäischen Parlaments und des Ra tes vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersi cherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27.12.2022, S. 80) in der jeweils geltenden Fassung;
27. „Online-Marktplatz“ ein Dienst nach § 312l Absatz 3 BGB;
28. „Online-Suchmaschine“ ein digitaler Dienst nach Artikel 2 Nummer 5 der Verordnung (EU) 2019/1150;
29. „Plattform für Dienste sozialer Netzwerke“ eine Plattform, auf der Endnutzer mit unter schiedlichen Geräten insbesondere durch Chats, Posts, Videos und Empfehlungen mit einander in Kontakt treten und kommunizieren sowie Inhalte teilen und entdecken kön nen;
30. „Protokolldaten“ Steuerdaten eines informationstechnischen Protokolls zur Datenüber tragung, die
a) zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwen dig sind und
b) unabhängig vom Inhalt des Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden;
Protokolldaten können Verkehrsdaten nach § 3 Nummer 70 des Telekommunikations gesetzes und Nutzungsdaten nach § 2 Absatz 2 Nummer 3 des Telekommunikation Telemedien-Datenschutz-Gesetzes enthalten;
31. „Protokollierungsdaten“ Aufzeichnungen über technische Ereignisse oder Zustände in nerhalb informationstechnischer Systeme;
32. „qualifizierter Vertrauensdienst“ ein qualifizierter Vertrauensdienst nach Artikel 3 Num mer 17 der Verordnung (EU) Nr. 910/2014;
33. „qualifizierter Vertrauensdiensteanbieter“ ein qualifizierter Vertrauensdiensteanbieter nach Artikel 3 Nummer 20 der Verordnung (EU) Nr. 910/2014;
34. „Rechenzentrumsdienst“ ein Dienst, ein Dienst, der Strukturen oder Gruppen von Strukturen umfasst, die dem vorrangigen Zweck der zentralen Unterbringung, der Zu sammenschaltung und dem Betrieb von IT- oder Netzwerkausrüstungen dienen, die Datenspeicherungs-, Datenverarbeitungs- o-der Datentransportdienste erbringen, mit samt aller benötigten Anlagen und Infrastrukturen, insbesondere für die Stromvertei lung und die Umgebungskontrolle;
35. „Schadprogramme“ Programme und sonstige informationstechnische Routinen und Verfahren, die dazu dienen, unbefugt Daten zu nutzen oder zu löschen oder unbefugt auf sonstige informationstechnische Abläufe einzuwirken;
36. „Schnittstellen der Kommunikationstechnik des Bundes“ sicherheitsrelevante Netzwer kübergänge innerhalb der Kommunikationstechnik des Bundes sowie zwischen dieser und der Informationstechnik der einzelnen Einrichtungen der Bundesverwaltung, Grup pen von Einrichtungen der Bundesverwaltung oder Dritter; nicht als Schnittstellen der Kommunikationstechnik des Bundes gelten die Komponenten an den Netzwerküber gängen, die in eigener Zuständigkeit der in Nummer 20 genannten Gerichte und Ver fassungsorgane betrieben werden;
37. „Schwachstelle“ eine Eigenschaft von IKT-Produkten oder IKT-Diensten, die von Drit ten ausgenutzt werden kann, um sich gegen den Willen des Berechtigten Zugang zu den IKT-Produkten oder IKT-Diensten zu verschaffen oder die Funktion der IKT-Pro dukte oder IKT-Dienste zu beeinflussen;
38. „Sicherheit in der Informationstechnik“ die Einhaltung bestimmter Sicherheitsstan dards, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen
a) in informationstechnischen Systemen, Komponenten oder Prozessen oder
b) bei der Anwendung informationstechnischer Systeme, Komponenten oder Pro zesse;
39. „Sicherheitsvorfall“ ein Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über infor mationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zu gänglich sind, beeinträchtigt;
40. „Systeme zur Angriffserkennung“ durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstech nische Systeme; wobei die Angriffserkennung durch Abgleich der in einem informati onstechnischen System verarbeiteten Daten mit Informationen und technischen Mus tern, die auf Angriffe hindeuten, erfolgt;
41. „Top Level Domain Name Registry“ ein Unternehmen, das die Registrierung von Inter net-Domain-Namen innerhalb einer spezifischen Top Level Domain (TLD) verwaltet und betreibt, einschließlich des Betriebs ihrer Namenserver, der Pflege ihrer Daten banken und der Verteilung von TLD-Zonendateien über die Namenserver, unabhängig davon, ob der Betrieb durch das Unternehmen selbst erfolgt oder ausgelagert wird; keine Top Level Domain Name Registry sind Register, die TLD-Namen nur für eigene Zwecke verwenden;
42. „Vertrauensdienst“ ein Vertrauensdienst nach Artikel 3 Nummer 16 der Verordnung (EU) Nr. 910/2014;
43. „Vertrauensdiensteanbieter“ ein Vertrauensdiensteanbieter nach Artikel 3 Nummer 19 der Verordnung (EU) Nr. 910/2014;
44. „Weltraumgestützte Dienste“ betreffend den Sektor Weltraum Dienste, die auf Daten und Informationen beruhen, die entweder von Weltraumgegenständen erzeugt oder über diese weitergegeben werden und deren Störung zu breiteren Kaskadeneffekten, die weitreichende und lang anhaltende negative Auswirkungen auf die Erbringung von Diensten im gesamten Binnenmarkt haben können, führen kann;
45. „Zertifizierung“ die Feststellung einer Zertifizierungsstelle, dass ein Produkt, ein Pro zess, ein System, ein Schutzprofil (Sicherheitszertifizierung), eine Person (Perso nenzertifizierung) oder ein IT-Sicherheitsdienstleister bestimmte Anforderungen erfüllt.
(2) Das Bundesministerium des Innern und für Heimat kann im Benehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz, dem Bundesministerium der Justiz, dem Bundesministerium der Finanzen, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Ge
sundheit, dem Bundesministerium für Digitales und Verkehr, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz durch Rechtsverordnung, die nicht der Zustimmung des Bundesra tes bedarf, bestimmen, wann ein Sicherheitsvorfall im Hinblick auf seine technischen oder organisatorischen Ursachen oder seine Auswirkungen auf die Einrichtung, Staat, Wirtschaft
und Gesellschaft oder die Anzahl der von den Auswirkungen Betroffenen als erheblich im Sinne von Absatz 1 Nummer 10 anzusehen ist. Das Bundesministerium kann die Ermäch tigung durch Rechtsverordnung auf das Bundesamt übertragen. Für den Fall, dass die Eu ropäische Kommission einen oder mehrere Durchführungsrechtsakte gemäß Artikel 23 Ab satz 11 Unterabsatz 2 der NIS2-Richtlinie erlässt, worin näher bestimmt wird, in welchen Fällen ein Sicherheitsvorfall als erheblich anzusehen ist, geht dieser oder gehen diese der Rechtsverordnung nach Satz 1 und 2 insoweit vor.
T e i l 2
D a s B u n d e s a m t
Kapitel 1
Aufgaben und Befugnisse
§ 3
Aufgaben des Bundesamtes
(1) Das Bundesamt fördert die Sicherheit in der Informationstechnik. Hierzu nimmt es folgende wichtige im öffentlichen Interesse liegende Aufgaben wahr:
1. Gefahren für die Sicherheit in der Informationstechnik des Bundes abwehren;
2. Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen sammeln und aus werten und die gewonnenen Erkenntnisse anderen Stellen zu Verfügung stellen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist, und Dritten zur Verfügung stellen, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist;
3. Aufgaben in der Kooperationsgruppe und im CSIRTs-Netzwerk nach Artikel 14 und 15 der NIS2-Richtlinie wahrnehmen;
4. Sicherheitsrisiken bei der Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen untersuchen, insbesondere von informationstechnischen Verfahren und Geräten für die Sicherheit in der Informationstechnik (IT-Sicherheitspro dukte), soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist, einschließ lich der Forschung im Rahmen seiner gesetzlichen Aufgaben;
5. Kriterien, Verfahren und Werkzeuge für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und für die Prüfung und Bewer tung der Konformität im Bereich der IT-Sicherheit entwickeln;
6. Peer Reviews nach Artikel 19 der NIS2-Richtlinie durchführen;
7. Sicherheitsanforderungen für die Kommunikationsinfrastruktur der ressortübergreifen den Kommunikationsnetze sowie weiterer staatlicher Kommunikationsinfrastrukturen des Bundes im Benehmen mit den jeweiligen Betreibern festlegen sowie Einhaltung dieser Sicherheitsanforderungen überprüfen;
8. Sicherheit von informationstechnischen Systemen oder Komponenten prüfen und be werten sowie Sicherheitszertifikate erteilen;
9. Aufgaben und Befugnisse nach Artikel 58 Absatz 7 und 8 der Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizie rung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Auf hebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit, ABl. L 151 vom 7.6.2019, S. 15) als nationale Behörde für die Cybersicherheitszertifizierung wahr nehmen;
10. Konformität im Bereich der IT-Sicherheit von informationstechnischen Systemen und Komponenten mit technischen Richtlinien des Bundesamtes prüfen und bestätigen;
11. informationstechnische Systeme oder Komponenten, die für die Verarbeitung amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes im Bereich des Bundes oder bei Unternehmen im Rahmen von Aufträgen des Bundes eingesetzt werden sollen prüfen, bewerten und zulassen;
12. Schlüsseldaten und Betrieb von Krypto- und Sicherheitsmanagementsystemen für in formationssichernde Systeme des Bundes herstellen, die im Bereich des staatlichen Geheimschutzes oder auf Anforderung der betroffenen Behörde auch in anderen Be reichen eingesetzt werden;
13. bei organisatorischen und technischen Sicherheitsmaßnahmen unterstützen und bera ten sowie technische Prüfungen zum Schutz amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes gegen die Kenntnisnahme durch Un befugte durchführen;
14. sicherheitstechnische Anforderungen an die einzusetzende Informationstechnik des Bundes und an die Eignung von Auftragnehmern im Bereich von Informationstechnik des Bundes mit besonderem Schutzbedarf entwickeln;
15. IT-Sicherheitsprodukte und IT-Sicherheitsdienstleistungen für Einrichtungen der Bun desverwaltung bereitstellen;
16. die für die Sicherheit in der Informationstechnik zuständigen Stellen des Bundes, ins besondere soweit sie Beratungs- oder Kontrollaufgaben wahrnehmen unterstützen; dies gilt vorrangig für die Bundesbeauftragte oder den Bundesbeauftragten für den Da tenschutz und die Informationsfreiheit, dessen Unterstützung im Rahmen der Unab hängigkeit erfolgt, die ihm bei der Erfüllung seiner Aufgaben nach der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Da tenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverord nung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) und dem Bundesdatenschutzgesetz zusteht;
17. Einrichtungen der Bundesverwaltung in Fragen der Informationssicherheit, einschließ lich der Behandlung von Sicherheitsvorfällen, beraten und unterstützen sowie konkrete, praxisnahe Hilfsmittel zur Umsetzung von Informationssicherheitsvorgaben, insbeson dere der Vorgaben nach § 30 und § 44, bereitstellen;
18. Unterstützung
a) der Polizeien und Strafverfolgungsbehörden des Bundes bei der Wahrnehmung ihrer gesetzlichen Aufgaben,
b) des Bundesamtes für Verfassungsschutz und des Militärischen Abschirmdienstes bei der Auswertung und Bewertung von Informationen, die bei der Beobachtung von Bestrebungen, die gegen die freiheitliche demokratische Grundordnung, den Bestand des Staates oder die Sicherheit des Bundes oder eines Landes gerichtet
sind oder bei der Beobachtung sicherheitsgefährdender oder geheimdienstlicher Tätigkeiten im Rahmen der gesetzlichen Befugnisse nach den Verfassungsschutz gesetzen des Bundes beziehungsweise dem MAD-Gesetz anfallen,
c) des Bundesnachrichtendienstes bei der Wahrnehmung seiner gesetzlichen Aufga ben;
die Unterstützung darf nur gewährt werden, soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen; die Unterstützungs ersuchen sind durch das Bundesamt aktenkundig zu machen;
19. die zuständigen Stellen der Länder in Fragen der Abwehr von Gefahren für die Sicher heit in der Informationstechnik auf deren Ersuchen unterstützen;
20. Einrichtungen der Bundesverwaltung sowie Hersteller, Vertreiber und Anwender in Fra gen der Sicherheit in der Informationstechnik, insbesondere unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen, beraten, informieren und warnen;
21. Verbraucherschutz und Verbraucherinformation im Bereich der Sicherheit in der Infor mationstechnik, insbesondere Beratung und Warnung von Verbrauchern in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen feh lender oder unzureichender Sicherheitsvorkehrungen;
22. geeignete Kommunikationsstrukturen zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung aufbauen sowie Zusammenarbeit zum Schutz der Sicherheit in der Informationstechnik kritischer Anlagen im Verbund mit der Privatwirtschaft koordinie ren;
23. Aufgaben als zentrale Stelle im Bereich der Sicherheit in der Informationstechnik im Hinblick auf die Zusammenarbeit mit den zuständigen Stellen im Ausland, unbeschadet besonderer Zuständigkeiten anderer Stellen;
24. Aufgaben nach § 40 als zentrale Stelle für die Sicherheit in der Informationstechnik besonders wichtiger Einrichtungen und wichtiger Einrichtungen einschließlich des Er suchens und Erbringens von Amtshilfe nach Artikel 37 der NIS2-Richtinie;
25. bei der Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechni scher Systeme in herausgehobenen Fällen nach § 11 unterstützen;
26. Empfehlungen für Identifizierungs- und Authentisierungsverfahren und Bewertung die ser Verfahren im Hinblick auf die Informationssicherheit erarbeiten;
27. einen Stand der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte, unter Berücksichtigung bestehender Normen und Standards sowie Einbeziehung der betroffenen Wirtschaftsverbände, beschreiben und veröffentlichen;
28. mit nationalen Computer-Notfallteams von Drittländern oder gleichwertigen Stellen von Drittländern kooperieren sowie diese Teams oder Stellen unterstützen; Einsätze des Bundesamtes in Drittländern dürfen nicht gegen den Willen des Staates erfolgen, auf dessen Hoheitsgebiet die Maßnahme stattfinden soll; die Entscheidung über einen Ein
satz des Bundesamtes in Drittländern trifft das Bundesministerium des Innern und für Heimat im Einvernehmen mit dem Auswärtigen Amt.
(2) Das Bundesamt kann die Länder auf Ersuchen bei der Sicherung ihrer Informati onstechnik unterstützen.
(3) Das Bundesamt kann besonders wichtige Einrichtungen auf deren Ersuchen bei der Sicherung ihrer Informationstechnik beraten und unterstützen oder auf qualifizierte Si cherheitsdienstleister verweisen.
§ 4
Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes
(1) Das Bundesamt ist die zentrale Meldestelle für die Zusammenarbeit der Einrich tungen der Bundesverwaltung in Angelegenheiten der Sicherheit in der Informationstech nik.
(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe
1. alle für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik erforder lichen Informationen, insbesondere zu Schwachstellen, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweise, zu sammeln und auszuwerten,
2. die Einrichtungen der Bundesverwaltung unverzüglich über die sie betreffenden Infor mationen nach Nummer 1 und die in Erfahrung gebrachten Zusammenhänge zu unter richten,
3. den Einrichtungen der Bundesverwaltung Empfehlungen zum Umgang mit den Gefah ren bereitzustellen.
(3) Ausgenommen von den Unterrichtungspflichten nach Absatz 2 Nummer 2 sind In formationen, die aufgrund von Regelungen zum Geheimschutz oder Vereinbarungen mit Dritten nicht weitergegeben werden dürfen oder deren Weitergabe im Widerspruch zu der verfassungsrechtlichen Stellung eines Abgeordneten des Bundestages oder eines Verfas sungsorgans oder der gesetzlich geregelten Unabhängigkeit einzelner Stellen stünde.
§ 5
Allgemeine Meldestelle für die Sicherheit in der Informationstechnik
(1) Zur Wahrnehmung der Aufgaben nach § 3 nimmt das Bundesamt als zentrale Stelle für Meldungen von Dritten Informationen über Sicherheitsrisiken in der Informations technik entgegen und wertet diese Informationen aus. Das Bundesamt ist dabei der natio nale Koordinator für die Zwecke einer koordinierten Offenlegung von Schwachstellen nach Artikel 12 Absatz 1 der NIS2-Richtlinie.
(2) Das Bundesamt nimmt zur Wahrnehmung der Aufgaben nach Absatz 1 Informati onen zu Schwachstellen, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweisen sowie zu Sicherheitsvorfällen, Cyberbedrohungen und Beinahevorfällen entgegen. Das Bundes amt richtet hierzu geeignete Meldemöglichkeiten ein. Die Meldungen können anonym erfol gen. Erfolgt die Meldung nicht anonym, kann der Meldende mit der Meldung oder später verlangen, dass seine personenbezogenen Daten nur anonymisiert weitergegeben werden dürfen. Dies gilt nicht in den Fällen des § 8 Absatz 6 und 7 Satz 1. Eine Übermittlung der personenbezogenen Daten in den Fällen von § 8 Absatz 6 und 7 Satz 1 hat zu unterblei ben, wenn für das Bundesamt erkennbar ist, dass die schutzwürdigen Interessen des Mel denden das Allgemeininteresse an der Übermittlung überwiegen. Zu berücksichtigen ist da bei auch die Art und Weise, in der der Meldende die Erkenntnisse gewonnen hat. Die Ent scheidung nach Satz 6 muss dem oder der behördlichen Datenschutzbeauftragten des
Bundesamtes sowie einem oder einer weiteren Bediensteten des Bundesamtes, der oder die die Befähigung zum Richteramt hat, zur vorherigen Prüfung vorgelegt werden.
(3) Das Bundesamt soll die gemäß Absatz 2 gemeldeten Informationen nutzen, um
1. Dritte über bekannt gewordene Schwachstellen, Schadprogramme, erfolgte oder ver suchte Angriffe auf die Sicherheit in der Informationstechnik zu informieren, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist,
2. die Öffentlichkeit oder betroffene Kreise gemäß § 13 zu warnen und zu informieren,
3. Einrichtungen der Bundesverwaltung gemäß § 4 Absatz 2 Nummer 2 über die sie be treffenden Informationen zu unterrichten,
4. besonders wichtige Einrichtungen und wichtige Einrichtungen gemäß § 40 Absatz 3 Nummer 4 Buchstabe a über die sie betreffenden Informationen zu un terrichten,
5. seine Aufgaben als zuständige Behörde, CSIRT und zentrale Anlaufstelle im Sinne der NIS2-Richtlinie wahrzunehmen.
(4) Eine Weitergabe nach Absatz 3 Nummer 1, 2 oder 4 erfolgt nicht, soweit die ge mäß Absatz 2 gemeldeten Informationen
1. Betriebs- und Geschäftsgeheimnisse von Dritten beinhalten und die Maßnahmen nach Absatz 3 nicht ohne Bekanntgabe dieser Betriebs- und Geschäftsgeheimnisse durch geführt werden können oder
2. auf Grund von Vereinbarungen des Bundesamtes mit Dritten nicht übermittelt werden dürfen.
(5) Sonstige gesetzliche Meldepflichten, Regelungen zum Geheimschutz, gesetzliche Übermittlungshindernisse und Übermittlungsregelungen bleiben unberührt.
§ 6
Informationsaustausch
(1) Das Bundesamt betreibt eine Online-Plattform zum Informationsaustausch mit wichtigen Einrichtungen, besonders wichtigen Einrichtungen und Einrichtungen der Bun desverwaltung. Es kann die beteiligten Hersteller, Lieferanten oder Dienstleister zum Aus tausch über Cyberbedrohungen, Schwachstellen, Beinahevorfällen, IT-Sicherheitsmaß nahmen sowie zur Aufdeckung und Abwehr von Cyberangriffen hinzuziehen. Das Bundes amt kann weiteren Stellen die Teilnahme ermöglichen.
(2) Das Bundesamt gibt Teilnahmebedingungen für den Informationsaustausch und die Plattformnutzung zwischen den Teilnehmenden vor.
§ 7
Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte
(1) Das Bundesamt ist befugt, die Sicherheit der Kommunikationstechnik des Bundes und ihrer Komponenten, einschließlich technischer Infrastrukturen, die zum Betrieb der Kommunikationstechnik des Bundes erforderlich sind, zu kontrollieren. Es kann hierzu die
Bereitstellung der zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1 und 20 erforderlichen Informationen, insbesondere zu technischen Details, zu Strategien, Planun gen und Regelungen mit Bezug zur Kommunikationstechnik des Bundes einschließlich Auf bau- und Ablauforganisation verlangen sowie Unterlagen und Datenträger des Betreibers
der jeweiligen Kommunikationstechnik des Bundes oder eines mit Betriebsleistungen be auftragten Dritten einsehen und die unentgeltliche Herausgabe von Kopien dieser Unterla gen und Dokumente, auch in elektronischer Form, verlangen, soweit nicht Geheimschutz interessen oder überwiegende Sicherheitsinteressen des Betreibers entgegenstehen.
(2) Dem Bundesamt ist in den Zeiten, zu denen die Räume normalerweise für die je weilige geschäftliche oder betriebliche Nutzung zur Verfügung stehen, zu den Grundstü cken und Betriebsräumen, einschließlich Datenverarbeitungsanlagen und -geräten, die für die Kommunikationstechnik des Bundes verwendet werden, Zugang zu gewähren, soweit dies zur Erfüllung der Zwecke nach Absatz 1 erforderlich ist.
(3) Bei Anlagen eines Dritten, bei dem eine Schnittstelle zur Kommunikationstechnik des Bundes besteht, kann das Bundesamt auf der Schnittstellenseite der Einrichtung nur mit Zustimmung des Dritten die Sicherheit der Schnittstelle kontrollieren. Es kann hierzu mit Zustimmung des Dritten die zur Aufgabenerfüllung erforderlichen Informationen, insbeson
dere zu technischen Details, zu Strategien, Planungen und Regelungen sowie Unterlagen und Datenträger des Betreibers einsehen und unentgeltlich Kopien, auch in elektronischer Form, anfertigen.
(4) Das Bundesamt teilt das Ergebnis seiner Kontrolle nach den Absätzen 1 bis 3 dem jeweiligen überprüften Betreiber, im Falle einer Einrichtung der Bundesverwaltung zusätz lich der oder dem Informationssicherheitsbeauftragten des Ressorts sowie der zuständigen Rechts- und Fachaufsicht sowie dem Koordinator oder der Koordinatorin für Informations sicherheit mit. Das Bundesamt führt vor der Finalisierung des Prüfberichts eine Sachver haltsklärung mit der geprüften Einrichtung durch. Mit der Mitteilung soll das Bundesamt Vorschläge zur Verbesserung der Informationssicherheit, insbesondere zur Beseitigung der festgestellten Mängel, verbinden. Für die Mitteilung an Stellen außerhalb des Betreibers gilt § 4 Absatz 3 entsprechend.
(5) Ausgenommen von den Befugnissen nach den Absätzen 1 bis 3 sind Kontrollen der Auslandsinformations- und -kommunikationstechnik nach § 9 Absatz 2 des Gesetzes über den Auswärtigen Dienst, soweit sie im Ausland belegen ist oder für das Ausland oder für Anwender im Ausland betrieben wird. Die Bestimmungen für die Schnittstellen der Kom
munikationstechnik des Bundes im Inland bleiben davon unberührt. Näheres zu Satz 1 re gelt eine Verwaltungsvereinbarung zwischen dem Bundesministerium des Innern und für Heimat und dem Auswärtigen Amt.
(6) Die Befugnisse nach den Absätzen 1 bis 3 gelten im Geschäftsbereich des Bun desministeriums der Verteidigung nicht für die Kontrolle der Informations- und Kommunika tionstechnik, die von den Streitkräften für ihre Zwecke oder dem Militärischen Abschirm dienst genutzt wird. Nicht ausgenommen ist die Informations- und Kommunikationstechnik
von Dritten, insbesondere von IT-Dienstleistern, soweit sie nicht ausschließlich für die Zwe cke der Streitkräfte betrieben wird. Die Bestimmungen für die Schnittstellen der Kommuni kationstechnik des Bundes bleiben von den Sätzen 1 und 2 unberührt. Näheres regelt eine Verwaltungsvereinbarung zwischen dem Bundesministerium des Innern und für Heimat und dem Bundesministerium der Verteidigung.
(7) Stellt das Bundesamt im Rahmen seiner Kontrollen fest, dass ein Verstoß gegen die Verpflichtungen dieses Gesetzes eine offensichtliche Verletzung des Schutzes perso nenbezogener Daten im Sinne von Artikel 4 Nummer 12 der Verordnung (EU) 2016/679 zur Folge hat, die gemäß Artikel 33 dieser Verordnung zu melden ist, unterrichtet es unverzüg lich die zuständigen Aufsichtsbehörden.
(8) Das Bundesamt unterrichtet den Haushaltsausschuss des Deutschen Bundesta ges kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über die Anwendung dieser Vorschrift.
§ 8
Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes
(1) Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes
1. Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, er heben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Be seitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist,
2. die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten, soweit dies für die Erkennung und Abwehr von Schadpro grammen und sonstigen erheblichen Gefahren für die Kommunikationstechnik des Bundes erforderlich ist.
Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, müssen die automatisierte Auswertung dieser Daten und deren anschließende vollständige und nicht wiederherstellbare Löschung unverzüglich erfolgen. Die Verwendungsbeschränkungen gel ten nicht für Protokolldaten, sofern diese weder personenbezogene noch dem Fernmelde geheimnis unterliegende Daten beinhalten. Die Einrichtungen der Bundesverwaltung sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu einrichtungsinternen Protokolldaten nach Satz 1 Nummer 1 sowie zu Schnittstellendaten nach Satz 1 Nummer 2 sicherzustellen. Protokolldaten der Bundesgerichte dürfen nur in deren Einvernehmen erhoben werden.
(2) Protokolldaten nach Absatz 1 Satz 1 Nummer 1 dürfen über den für die automati sierte Auswertung nach Absatz 1 Satz 1 Nummer 1 erforderlichen Zeitraum hinaus, längs tens jedoch für 18 Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte dafür bestehen, dass diese im Falle der Bestätigung eines Verdachts nach Absatz 4 Satz 2 zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen, oder zur Er kennung und Abwehr anderer Schadprogramme oder sonstiger Gefahren für die Kommu nikationstechnik des Bundes erforderlich sein können. Durch organisatorische und techni sche Maßnahmen ist sicherzustellen, dass eine Auswertung der nach diesem Absatz ge speicherten Daten nur automatisiert erfolgt und dass ein Zugriff auf Daten, die länger als drei Monate gespeichert sind, nur bei Vorliegen tatsächlicher Erkenntnisse über die Betrof fenheit des Bundes mit einem Schadprogramm oder einer sonstigen erheblichen Gefahr für die Kommunikationstechnik des Bundes erfolgt. Die Daten sind zu pseudonymisieren, so weit dies automatisiert möglich ist. Eine nicht automatisierte Verarbeitung ist nur nach Maß gabe der nachfolgenden Absätze zulässig. Soweit hierzu die Wiederherstellung pseudony misierter Protokolldaten erforderlich ist, muss diese durch die Präsidentin oder den Präsi denten des Bundesamtes oder die Vertretung im Amt angeordnet werden. Die Entschei dung ist zu dokumentieren.
(3) Protokolldaten dürfen vor ihrer Pseudonymisierung und Speicherung nach Absatz 2 zur Sicherstellung einer fehlerfreien automatisierten Auswertung manuell verar beitet werden. Liegen Hinweise vor, dass die fehlerfreie automatisierte Auswertung wegen eines erheblichen Fehlers erschwert wird, darf der Personenbezug von Protokolldaten zur Sicherstellung der fehlerfreien automatisierten Auswertung wiederhergestellt werden, so fern dies im Einzelfall erforderlich ist. Absatz 2 Satz 3 bis 6 gilt entsprechend.
(4) Eine über die Absätze 1 und 2 hinausgehende Verwendung personenbezogener Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass
1. diese Daten ein Schadprogramm enthalten,
2. diese Daten durch ein Schadprogramm übermittelt wurden,
3. diese Daten im Zusammenhang mit einer sonstigen erheblichen Gefahr für die Kom munikationstechnik des Bundes stehen oder
4. sich aus diesen Daten Hinweise auf ein Schadprogramm oder eine sonstige Gefahr für die Kommunikationstechnik des Bundesergeben können ergeben können,
und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen. Im Falle der Bestätigung des Verdachts ist die weitere Verarbeitung personen bezogener Daten zulässig, soweit dies erforderlich ist
1. zur Abwehr des Schadprogramms der sonstigen erheblichen Gefahren für die Kommu nikationstechnik des Bundes,
2. zur Abwehr von Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder
3. zur Erkennung und Abwehr anderer Schadprogramme oder Gefahren für die Kommu nikationstechnik des Bundes.
Ein Schadprogramm kann beseitigt oder in seiner Funktionsweise gehindert werden. Es dürfen die erforderlichen technischen Maßnahmen getroffen werden, um eine sonstige Ge fahr für die Kommunikationstechnik des Bundes zu beseitigen. Das Bundesamt kann die Daten an die betroffene Einrichtung der Bundesverwaltung übermitteln soweit dies für eine Verwendung nach den Sätzen 1 bis 4 erforderlich ist. Die nicht automatisierte Verwendung der Daten nach den Sätzen 1 und 2 darf nur durch einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet werden.
(5) Die Beteiligten des Kommunikationsvorgangs sind spätestens nach dem Erkennen und der Abwehr eines Schadprogramms oder seiner Wirkungen oder von sonstigen erheb lichen Gefahren für die Kommunikationstechnik des Bundes die von einem Schadpro gramm ausgehen, zu benachrichtigen, wenn sie bekannt sind oder ihre Identifikation ohne unverhältnismäßige weitere Ermittlungen möglich ist und nicht überwiegende schutzwür dige Belange Dritter entgegenstehen. Die Unterrichtung kann unterbleiben, wenn die Per son nur unerheblich betroffen wurde und wenn anzunehmen ist, dass sie an einer Benach richtigung kein Interesse hat. Das Bundesamt legt Fälle, in denen es von einer Benachrich tigung absieht, dem behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem weiteren Bediensteten des Bundesamtes, der die Befähigung zum Richteramt hat, zur Kon trolle vor. Wenn der behördliche Datenschutzbeauftragte der Entscheidung des Bundesam tes widerspricht, ist die Benachrichtigung nachzuholen. Die Entscheidung über die Nicht benachrichtigung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist nach zwölf Monaten zu löschen. In den Fällen der Absätze 6 und 7 erfolgt die Benachrichtigung durch die dort genannten Behör den in entsprechender Anwendung der für diese Behörden geltenden Vorschriften. Enthal ten diese Vorschriften keine Bestimmungen zu Benachrichtigungspflichten, sind die Vor schriften der Strafprozessordnung entsprechend anzuwenden.
(6) Das Bundesamt kann die nach Absatz 4 verwendeten personenbezogenen Daten an die Strafverfolgungsbehörden zur Verfolgung einer mittels eines Schadprogramms oder im Rahmen einer sonstigen erheblichen Gefahr für die Kommunikationstechnik des Bundes begangenen Straftat nach den §§ 202a, 202b, 303a oder 303b des Strafgesetzbuches übermitteln. Es kann diese Daten ferner übermitteln
1. an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für die öffentliche Sicherheit, die unmittelbar von einem Schadprogramm ausgeht,
2. an das Bundesamt für Verfassungsschutz zur Unterrichtung über Tatsachen, die si cherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht erken nen lassen, sowie an den Militärischen Abschirmdienst, wenn sich diese Tätigkeiten gegen Personen, Dienststellen oder Einrichtungen im Geschäftsbereich des Bundes ministeriums der Verteidigung richten,
3. an den Bundesnachrichtendienst zur Unterrichtung über Tatsachen, die einen interna tionalen kriminellen, terroristischen oder staatlichen Angriff mittels Schadprogrammen oder vergleichbarer schädlich wirkender informationstechnischer Mittel auf die Vertrau lichkeit, Integrität oder Verfügbarkeit von IT-Systemen in Fällen von erheblicher Bedeu tung mit Bezug zur Bundesrepublik Deutschland erkennen lassen,.
(7) Für sonstige Zwecke kann das Bundesamt die Daten übermitteln
1. an die Strafverfolgungsbehörden zur Verfolgung einer Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere einer in § 100a Absatz 2 der Strafprozessord nung bezeichneten Straftat,
2. an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person oder Sa chen von bedeutendem Wert, deren Erhalt im öffentlichen Interesse geboten ist,
3. an die Verfassungsschutzbehörden des Bundes und der Länder sowie an den Militäri schen Abschirmdienst, wenn tatsächliche Anhaltspunkte für Bestrebungen in der Bun desrepublik Deutschland vorliegen, die durch Anwendung von Gewalt oder darauf ge richtete Vorbereitungshandlungen gegen die in § 3 Absatz 1 des Bundesverfassungs schutzgesetzes beziehungsweise § 1 Absatz 1 des MAD-Gesetzes genannten Schutz güter gerichtet sind,
4. an den Bundesnachrichtendienst, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand Straftaten nach § 3 Absatz 1 Nummer 8 des Artikel 10-Geset zes plant, begeht oder begangen hat und dies von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland ist,
Die Übermittlung nach Satz 1 Nummer 1 und 2 bedarf der vorherigen gerichtlichen Zustim mung. Für das Verfahren nach Satz 1 Nummer 1 und 2 gelten die Vorschriften des Geset zes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Ge richtsbarkeit entsprechend. Zuständig ist das Amtsgericht, in dessen Bezirk das Bundesamt
seinen Sitz hat. Die Übermittlung nach Satz 1 Nummer 3 und 4 erfolgt nach Zustimmung des Bundesministeriums des Innern und für Heimat; die §§ 9 bis 16 des Artikel 10-Gesetzes gelten entsprechend.
(8) Eine über die vorstehenden Absätze hinausgehende inhaltliche Auswertung zu an deren Zwecken und die Weitergabe von personenbezogenen Daten an Dritte sind unzuläs sig. Soweit möglich, ist technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Werden aufgrund der Maßnahmen der Absätze 1 bis 4 Erkenntnisse aus dem Kernbereich privater Lebensgestaltung oder Daten nach Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 erlangt, dürfen diese Erkenntnisse und Daten nicht verwendet werden. Erkenntnisse aus dem Kernbereich privater Lebensge staltung sind unverzüglich zu löschen. Dies gilt auch in Zweifelsfällen. Die Tatsache der Erlangung und Löschung dieser Erkenntnisse ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu lö schen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des Kalenderjahres, das dem Jahr folgt, in dem die der Dokumentation erstellt worden ist. Werden im Rahmen der Absatz 5 oder 6 Inhalte oder Umstände der Kommunikation von in
§ 53 Absatz 1 Satz 1 der Strafprozessordnung genannten Personen übermittelt, auf die sich das Zeugnisverweigerungsrecht dieser Personen erstreckt, ist die Verwertung dieser Daten zu Beweiszwecken in einem Strafverfahren nur insoweit zulässig, als Gegenstand dieses Strafverfahrens eine Straftat ist, die im Höchstmaß mit mindestens fünf Jahren Freiheits
strafe bedroht ist.
(9) Vor Aufnahme der Datenerhebung und -verwendung hat das Bundesamt ein Da tenerhebungs- und -verwendungskonzept zu erstellen und für Kontrollen durch die Bundes beauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bereitzuhalten. Das Konzept hat dem besonderen Schutzbedürfnis der Regierungskommu nikation Rechnung zu tragen. Die für die automatisierte Auswertung verwendeten Kriterien sind zu dokumentieren. Die oder der Bundesbeauftragte für den Datenschutz und die Infor mationsfreiheit teilt das Ergebnis seiner Kontrollen nach § 16 des Bundesdatenschutzge setzes auch den Ressorts mit.
(10) Das Bundesamt unterrichtet die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über
1. die Anzahl der Vorgänge, in denen Daten nach Absatz 6 Satz 1, Absatz 6 Satz 2 Nummer 1 oder Absatz 7 Nummer 1 übermittelt wurden, aufgegliedert nach den einzelnen Übermittlungsbefugnissen,
2. die Anzahl der personenbezogenen Auswertungen nach Absatz 4 Satz 1, in denen der Verdacht widerlegt wurde,
3. die Anzahl der Fälle, in denen das Bundesamt nach Absatz 5 Satz 2 oder 3 von einer Benachrichtigung der Betroffenen abgesehen hat.
(11) Das Bundesamt unterrichtet kalenderjährlich jeweils bis zum 30. Juni des dem Be richtsjahr folgenden Jahres den Ausschuss für Inneres und Heimat des Deutschen Bundes tages über die Anwendung dieser Vorschrift.
§ 9
Verarbeitung von Protokollierungsdaten der Kommunikationstechnik des Bundes
(1) Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes und ihrer Komponenten, einschließlich technischer Infrastrukturen, die zum Betrieb der Kommunikationstechnik des Bundes erforderlich sind, Protokollierungsdaten, die durch den Betrieb von Kommunikationstechnik des Bundes anfallen, verarbeiten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen, Fehlern oder Sicherheitsvorfällen in der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist und Geheimschutzinteressen oder überwiegende Sicherheitsinte
ressen der betroffenen Stellen nicht entgegenstehen.
(2) Die Einrichtungen der Bundesverwaltung sind verpflichtet, das Bundesamt bei Maßnahmen nach Absatz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu einrichtungsinternen Protokollierungsdaten nach Satz 1 sicherzustellen. Hierzu dürfen sie dem Bundesamt die entsprechenden Protokollierungsdaten übermitteln. § 8 Absatz 1 Satz 5, Absatz 2 bis 5, 9 und 10 gilt entsprechend. § 7 Absatz 8 gilt für die Verpflichtung nach Satz 1entsprechend.
§ 10
Anordnungen von Maßnahmen zur Abwendung oder Behebung von Sicherheitsvor fällen
Das Bundesamt kann im Einzelfall gegenüber Einrichtungen der Bundesverwaltung Maßnahmen anordnen, die zur Abwendung oder Behebung eines gegenwärtigen Sicher heitsvorfalls erforderlich sind. Ferner kann das Bundesamt die Einrichtungen der Bundes verwaltung zur Berichterstattung innerhalb einer angemessenen Frist zu den nach Satz 1 angeordneten Maßnahmen auffordern. Der oder die jeweils zuständige Informationssicher heitsbeauftragte des Ressorts wird über Anweisungen und Aufforderungen nach Satz 1 und 2 durch das Bundesamt informiert. Der Bericht ist dem Bundesamt und zugleich dem oder der Informationssicherheitsbeauftragten des jeweils zuständigen Ressorts zu übermitteln. Für die Berichterstattung gilt § 4 Absatz 3 entsprechend.
§ 11
Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen
(1) Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines informationstechnischen Systems einer Einrichtung der Bundesverwaltung oder einer besonders wichtigen Einrichtung oder einer wichtigen Einrichtung um einen herausgehobe nen Fall, so kann das Bundesamt auf Ersuchen der betroffenen Einrichtung oder des be troffenen Betreibers oder einer anderen für die Einrichtung oder den Betreiber zuständigen Behörde die Maßnahmen treffen, die zur Wiederherstellung der Sicherheit oder Funktions fähigkeit des betroffenen informationstechnischen Systems erforderlich sind. Soweit das Bundesamt erste Maßnahmen zur Schadensbegrenzung und Sicherstellung des Notbetrie bes vor Ort ergreift, werden hierfür keine Gebühren oder Auslagen für die Tätigkeit des Bundesamtes erhoben. Hiervon unberührt bleiben etwaige Kosten für die Hinzuziehung qualifizierter Dritter.
(2) Ein herausgehobener Fall nach Absatz 1 liegt insbesondere dann vor, wenn es sich um einen Angriff von besonderer technischer Qualität handelt oder wenn die zügige Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstech nischen Systems von besonderem öffentlichem Interesse ist.
(3) Das Bundesamt darf bei Maßnahmen nach Absatz 1 personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten verarbeiten, soweit dies zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich und angemessen ist. Die Daten sind unverzüglich zu löschen, sobald sie für die Wiederherstellung der Sicherheit oder Funktionsfähigkeit des informationstechnischen Sys
tems nicht mehr benötigt werden. Wenn die Daten in Fällen des Absatzes 4 an eine andere Behörde zur Erfüllung von deren gesetzlichen Aufgaben weitergegeben worden sind, darf das Bundesamt die Daten abweichend von Satz 2 bis zur Beendigung der Unterstützung dieser Behörden weiterverarbeiten. Eine Nutzung zu anderen Zwecken ist unzulässig. § 8 Absatz 8 ist entsprechend anzuwenden.
(4) Das Bundesamt darf Informationen, von denen es im Rahmen dieser Vorschrift Kenntnis erlangt, nur mit Einwilligung des Ersuchenden weitergeben, es sei denn, die In formationen lassen keine Rückschlüsse auf die Identität des Ersuchenden zu oder die In formationen können entsprechend § 8 Absatz 6 und 7 übermittelt werden. Hiervon sind er forderliche Informationsaustausche zwischen dem Bundesamt und dem Bundesamt für Be völkerungsschutz und Katastrophenhilfe nach § 3 Absatz 5 des Dachgesetzes zur Stärkung der physischen Resilienz von Betreibern kritischer Anlagen (KRITIS-Dachgesetz)
ausgenommen. Zugang zu den in Verfahren nach Absatz 1 geführten Akten wird Dritten nicht gewährt.
(5) Das Bundesamt kann sich bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden der Hilfe qualifizierter Dritter bedienen, wenn dies zur rechtzeitigen oder voll ständigen Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen infor mationstechnischen Systems erforderlich ist. Die hierdurch entstehenden Kosten hat der Ersuchende zu tragen. Das Bundesamt kann den Ersuchenden auch auf qualifizierte Dritte verweisen. Das Bundesamt und vom Ersuchenden oder vom Bundesamt nach Satz 1 be auftragte Dritte können einander bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden Daten übermitteln. Hierfür gilt Absatz 3 entsprechend.
(6) Soweit es zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des infor mationstechnischen Systems erforderlich ist, kann das Bundesamt vom Hersteller des in formationstechnischen Systems verlangen, an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit mitzuwirken.
(7) In begründeten Einzelfällen kann das Bundesamt auch bei anderen als den in Absatz 1 genannten Einrichtungen tätig werden, wenn das Bundesamt darum ersucht wurde und wenn es sich um einen herausgehobenen Fall nach Absatzes 2 handelt. Ein begründeter Einzelfall liegt in der Regel vor, wenn eine Stelle eines Landes betroffen ist.
(8) Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atom gesetz bedürfen, ist in Fällen der Absätze 1, 4, 5 und 7 vor Tätigwerden des Bundesamtes das Benehmen mit den zuständigen atomrechtlichen Aufsichtsbehörden des Bundes und der Länder herzustellen. Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atomgesetz bedürfen, haben bei Maßnahmen des Bundesamtes nach diesem § 11 die Vorgaben aufgrund des Atomgesetzes Vorrang.
§ 12
Bestandsdatenauskunft
(1) Das Bundesamt darf zur Erfüllung seiner gesetzlichen Aufgabe nach § 3 Absatz 1 Satz 1 Nummer 1, 2, 20, 24 oder 25 von demjenigen, der geschäftsmäßig Te lekommunikationsdienste erbringt oder daran mitwirkt, über Bestandsdaten gemäß § 3 Nummer 6 des Telekommunikationsgesetzes und über die nach § 172 des Telekommuni kationsgesetzes erhobenen Daten (§ 174 Absatz 1 Satz 1 des Telekommunikationsgeset zes) Auskunft verlangen. Die Auskunft nach Satz 1 darf nur verlangt werden zum Schutz der Versorgung der Bevölkerung in den Sektoren des § 28 Absatz 7 oder der öffentlichen Sicherheit, um damit eine Beeinträchtigung der Sicherheit oder Funktionsfähigkeit informa tionstechnischer Systeme einer besonders wichtigen Einrichtung oder wichtigen Einrich tung abzuwenden, wenn Tatsachen den Schluss auf ein wenigstens seiner Art nach kon kretisiertes und zeitlich absehbares Geschehen zulassen, das auf die informationstechni schen Systeme bestimmbarer Infrastrukturen oder Unternehmen abzielen wird, und wenn die in die Auskunft aufzunehmenden Daten im Einzelfall erforderlich sind, um die Betroffe nen nach Absatz 4 vor dieser Beeinträchtigung zu warnen, über diese Beeinträchtigung zu informieren oder bei der Beseitigung zu beraten oder zu unterstützen.
(2) Die Auskunft nach Absatz 1 darf auch anhand einer zu einem bestimmten Zeit punkt zugewiesenen Internetprotokoll-Adresse verlangt werden (§ 174 Absatz 1 Satz 3, § 177 Absatz 1 Nummer 3 des Telekommunikationsgesetzes). Die rechtlichen und tatsäch lichen Grundlagen des Auskunftsverlangens sind aktenkundig zu machen.
(3) Der auf Grund eines Auskunftsverlangens Verpflichtete hat die zur Auskunftsertei lung erforderlichen Daten unverzüglich und vollständig zu übermitteln.
(4) Nach erfolgter Auskunft weist das Bundesamt die besonders wichtige Einrichtung oder die wichtige Einrichtung auf die bei ihr drohenden Beeinträchtigungen hin. Nach Mög lichkeit weist das Bundesamt die besonders wichtige Einrichtung oder die wichtige Einrich tung auf technische Mittel hin, mittels derer die festgestellten Beeinträchtigungen durch die besonders wichtige Einrichtung oder die wichtige Einrichtung selbst beseitigt werden kön nen.
(5) Das Bundesamt kann personenbezogene Daten, die es im Rahmen dieser Vor schrift verarbeitet, entsprechend § 8 Absatz 6 und 7 übermitteln.
(6) In den Fällen des Absatzes 2 ist die betroffene Person über die Auskunft zu be nachrichtigen. Im Falle der Weitergabe der Information nach § 8 Absatz 6 oder wenn Tat sachen die Annahme rechtfertigen, dass die Voraussetzungen einer Weitergabe nach § 8 Absatz 6 vorliegen, ergeht darüber keine Benachrichtigung an die betroffene Person, sofern und solange überwiegende schutzwürdige Belange Dritter entgegenstehen. Wird nach Satz 2 die Benachrichtigung zurückgestellt oder wird von ihr abgesehen, sind die Gründe aktenkundig zu machen.
(7) Das Bundesamt unterrichtet die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit jeweils bis zum 30. Juni des dem Berichts jahr folgenden Jahres über
1. die Gesamtzahl der Vorgänge, in denen Daten nach Absatz 1 oder Absatz 2 an das Bundesamt übermittelt wurden, und
2. die Übermittlungen nach Absatz 5.
(8) Das Bundesamt hat den Verpflichteten für ihm erteilte Auskünfte eine Entschädi gung zu gewähren. Der Umfang der Entschädigung bemisst sich nach § 23 und Anlage 3 des Justizvergütungs- und -entschädigungsgesetzes; die Vorschriften über die Verjährung in § 2 Absatz 1 und 4 des Justizvergütungs- und -entschädigungsgesetzes finden entspre chende Anwendung.
§ 13
Warnungen
(1) Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 20 und 21 kann das Bundesamt
1. die folgenden Warnungen und Informationen an die Öffentlichkeit oder an die betroffe nen Kreise richten:
a) Warnungen vor Schwachstellen und anderen Sicherheitsrisiken in informations technischen Produkten und Diensten,
b) Warnungen vor Schadprogrammen,
c) Warnungen bei einem Verlust oder einem unerlaubten Zugriff auf Daten, d) Informationen über sicherheitsrelevante IT-Eigenschaften von Produkten und
e) Informationen über Verstöße besonders wichtiger Einrichtungen oder wichtiger Einrichtungen gegen die Pflichten aus diesem Gesetz sowie
2. Sicherheitsmaßnahmen und Einsatz bestimmter Sicherheitsprodukte empfehlen.
Das Bundesamt kann zur Wahrnehmung der Aufgaben nach Satz 1 Dritte einbeziehen, wenn dies für eine wirksame und rechtzeitige Warnung erforderlich ist.
(2) Die Hersteller betroffener Produkte sind rechtzeitig vor Veröffentlichung der War nungen zu informieren. Diese Informationspflicht besteht nicht,
1. wenn hierdurch die Erreichung des mit der Maßnahme verfolgten Zwecks gefährdet würde oder
2. wenn berechtigterweise davon ausgegangen werden kann, dass der Hersteller an einer vorherigen Benachrichtigung kein Interesse hat.
Soweit entdeckte Schwachstellen oder Schadprogramme nicht allgemein bekannt werden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist, kann es den Kreis der zu warnenden Personen einschränken. Kriterien für die Auswahl des zu warnenden Perso
nenkreises nach Satz 3 sind insbesondere die besondere Gefährdung bestimmter Einrich tungen oder die besondere Zuverlässigkeit des Empfängers.
(3) Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 20 und 21 kann das Bundesamt die Öffentlichkeit unter Nennung der Bezeichnung und des Herstellers des betroffenen Produkts und Dienstes
1. vor Schwachstellen in informationstechnischen Produkten und Diensten und vor Schadprogrammen warnen, wenn hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik hiervon ausgehen, oder
2. Sicherheitsmaßnahmen sowie den Einsatz bestimmter informationstechnischer Pro dukte und Dienste empfehlen.
Stellen sich die an die Öffentlichkeit gegebenen Informationen im Nachhinein als falsch heraus oder stellen sich die zugrunde liegenden Umstände als unzutreffend wiedergegeben heraus, ist dies unverzüglich öffentlich bekannt zu machen. Warnungen nach Satz 1 sind sechs Monate nach der Veröffentlichung zu entfernen, wenn nicht weiterhin hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik bestehen. Wird eine Warnung nach Satz 3 nicht entfernt, so ist diese Entscheidung regel
mäßig zu überprüfen.
§ 14
Untersuchung der Sicherheit in der Informationstechnik, Auskunftsverlangen
(1) Das Bundesamt kann zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 20, 21, 24 oder 25 auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte und Systeme untersuchen. Es kann sich hierbei der Unterstützung Dritter bedienen, soweit berechtigte Interessen des Herstellers der betroffenen Produkte und Systeme dem nicht entgegenste
hen.
(2) Soweit erforderlich, kann das Bundesamt für Untersuchungen nach Absatz 1 von Herstellern informationstechnischer Produkte und Systeme alle notwendigen Auskünfte, insbesondere auch zu technischen Details, verlangen. In dem Auskunftsverlangen gibt das Bundesamt die Rechtsgrundlage, den Zweck des Auskunftsverlangens und die benötigten Auskünfte an und legt eine angemessene Frist für die Übermittlung der Auskünfte fest. Das Auskunftsverlangen enthält ferner einen Hinweis auf die in § 61 vorgesehenen Sanktionen.
(3) Das Bundesamt gibt Auskünfte sowie die aus den Untersuchungen gewonnen Er kenntnisse unverzüglich an die zuständigen Aufsichtsbehörden des Bundes oder, sofern keine Aufsichtsbehörde vorhanden ist, an das jeweilige Ressort weiter, wenn Anhaltspunkte bestehen, dass diese sie zur Erfüllung ihrer Aufgaben benötigen.
(4) Die Auskünfte und die aus den Untersuchungen gewonnenen Erkenntnisse dürfen nur zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 20, 21, 24 und 25 ge nutzt werden. Das Bundesamt darf seine Erkenntnisse weitergeben und veröffentlichen, soweit dies zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 20, 21, 24 und 25 erforderlich ist. Zuvor ist dem Hersteller der betroffenen Produkte und Systeme mit angemessener Frist Gelegenheit zur Stellung nahme zu geben. Von einer Gelegenheit zur Stellungnahme kann abgesehen werden, wenn die Erkenntnisse ohne erkennbaren Bezug zum Hersteller oder der untersuchten in formationstechnischen Produkte und Systeme weitergegeben oder veröffentlicht werden.
(5) Kommt ein Hersteller der Aufforderung des Bundesamtes nach Absatz 2 Satz 1 nicht oder nur unzureichend nach, kann das Bundesamt hierüber die Öffentlichkeit infor mieren. Es kann hierbei den Namen des Herstellers sowie die Bezeichnung des betroffenen Produkts oder Systems angeben und darlegen, inwieweit der Hersteller seiner Auskunfts pflicht nicht nachgekommen ist. Zuvor ist dem Hersteller mit angemessener Frist Gelegen heit zur Stellungnahme zu gewähren. § 13 Absatz 2 Satz 2 gilt entsprechend.
§ 15
Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffs methoden
(1) Das Bundesamt kann im Rahmen seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 2, 20 oder 24 zur Detektion von Schwachstellen und ande ren Sicherheitsrisiken bei Einrichtungen der Bundesverwaltung, besonders wichtigen Ein richtungen oder wichtigen Einrichtungen Abfragen an den Schnittstellen öffentlich erreich barer informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen durch führen, um festzustellen, ob diese Schnittstellen unzureichend geschützt und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sein können, oder wenn die entsprechen den Einrichtungen darum ersuchen. Erlangt das Bundesamt dabei Informationen, die durch Artikel 10 des Grundgesetzes geschützt sind, darf es diese nur zum Zwecke der Übermitt lung nach § 8 Absatz 6 und 7 verarbeiten. Sofern die Voraussetzungen des § 8 Absatz 6 und 7 nicht vorliegen, sind Informationen, die nach Artikel 10 des Grundgeset zes geschützt sind, unverzüglich zu löschen. Abfragen nach Satz 1 dürfen nur durch eine Bedienstete oder einen Bediensteten des Bundesamtes mit der Befähigung zum Richter amt angeordnet werden.
(2) Wird durch Abfragen gemäß Absatz 1 eine bekannte Schwachstelle oder ein an deres Sicherheitsrisiko eines informationstechnischen Systems erkannt, informiert das Bundesamt darüber unverzüglich die für das informationstechnische System Verantwortli chen. Gehört das informationstechnische System zu einer Einrichtung der Bundesverwal tung, sind zugleich die Informationssicherheitsbeauftragten der betroffenen Einrichtung der Bundesverwaltung nach § 45 und des übergeordneten Ressorts nach § 46 zu informieren. Das Bundesamt soll dabei auf bestehende Abhilfemöglichkeiten hinweisen. Sind dem Bun desamt die Verantwortlichen nicht bekannt oder ist ihre Identifikation nur mit unverhältnis mäßigem Aufwand oder über eine Bestandsdatenabfrage nach § 12 möglich, ist hilfsweise der betreibende Dienstleister des jeweiligen Netzes oder Systems unverzüglich zu benach richtigen, wenn überwiegende Sicherheitsinteressen nicht entgegenstehen. Das Bundes amt unterrichtet die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit jeweils bis zum 30. Juni des Folgejahres über die Anzahl der gemäß Absatz 1 ergriffenen Abfragen.
(3) Das Bundesamt darf zur Erfüllung seiner Aufgaben Systeme und Verfahren ein setzen, welche einem Angreifer einen erfolgreichen Angriff vortäuschen, um den Einsatz von Schadprogrammen oder andere Angriffsmethoden zu erheben und auszuwerten. Das Bundesamt darf dabei die zur Auswertung der Funktionsweise der Schadprogramme und Angriffsmethoden erforderlichen Daten verarbeiten.
§ 16
Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Tele kommunikationsdiensten
(1) Zur Abwehr konkreter erheblicher Gefahren für die in Absatz 2 genannten Schutz güter kann das Bundesamt anordnen, dass ein Anbieter von öffentlich zugänglichen Tele kommunikationsdiensten im Sinne des Telekommunikationsgesetzes (Anbieter von öffent lich zugänglichen Telekommunikationsdiensten) mit mehr als 100 000 Kunden
1. die in § 169 Absatz 6 und 7 des Telekommunikationsgesetzes bezeichneten Maßnah men trifft oder
2. technische Befehle zur Bereinigung von einem konkret benannten Schadprogramm an betroffene informationstechnische Systeme verteilt,
sofern und soweit der Anbieter von öffentlich zugänglichen Telekommunikationsdiensten dazu technisch in der Lage und es ihm wirtschaftlich zumutbar ist. Vor der Anordnung der Maßnahmen nach Satz 1 Nummer 1 oder 2 durch das Bundesamt ist Einvernehmen mit der Bundesnetzagentur herzustellen. Vor der Anordnung der Maßnahme nach Satz 1 Nummer 2 durch das Bundesamt ist zusätzlich Einvernehmen mit der oder dem Bun
desbeauftragten für den Datenschutz und die Informationsfreiheit herzustellen. Die Daten, auf die mit der Maßnahme nach Satz 1 Nummer 2 zugegriffen werden soll, sind in der An ordnung zu benennen. § 8 Absatz 8 Satz 2 bis 8 gilt entsprechend. Widerspruch und An fechtungsklage gegen die Anordnungen nach Satz 1 haben keine aufschiebende Wirkung.
(2) Schutzgüter gemäß Absatz 1 Satz 1 sind die Verfügbarkeit, Integrität oder Vertrau lichkeit
1. der Kommunikationstechnik des Bundes, einer besonders wichtigen Einrichtung oder einer wichtigen Einrichtung,
2. von Informations- oder Kommunikationsdiensten oder
3. von Informationen, sofern deren Verfügbarkeit, Unversehrtheit oder Vertraulichkeit durch unerlaubte Zugriffe auf eine erhebliche Anzahl von telekommunikations- oder informationstechnischen Systemen von Nutzern eingeschränkt wird.
(3) Ordnet das Bundesamt eine Maßnahme nach Absatz 1 Satz 1 Nummer 1 an, so kann es gegenüber dem Anbieter von öffentlich zugänglichen Telekommunikationsdiensten auch anordnen, den Datenverkehr an eine vom Bundesamt benannte Anschlusskennung umzuleiten.
(4) Das Bundesamt darf Daten, die von einem Anbieter von öffentlich zugänglichen Telekommunikationsdiensten nach Absatz 1 Satz 1 Nummer 1 und Absatz 3 umgeleitet wurden, verarbeiten, um Informationen über Schadprogramme oder andere Sicherheitsrisi ken in informationstechnischen Systemen zu erlangen. Die übermittelten Daten dürfen durch das Bundesamt so lange gespeichert werden, wie dies für die Erfüllung des in Satz 1 genannten Zwecks erforderlich ist, längstens jedoch für drei Monate. § 8 Absatz 8 Satz 2 bis 8 gilt entsprechend. Das Bundesamt unterrichtet die
Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informati onsfreiheit jeweils bis zum 30. Juni des Folgejahres über die Gesamtzahl der angeordneten Datenumleitungen.
§ 17
Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Tele mediendiensten
Das Bundesamt kann in Einzelfällen zur Abwehr konkreter, erheblicher Gefahren für informationstechnische Systeme einer Vielzahl von Nutzern, die von Telemedienangeboten von Anbietern von Telemedien nach § 2 Absatz 2 Nummer 1 des Telekommunikation-Te lemedien-Datenschutz-Gesetzes ausgehen, die durch ungenügende technische und orga nisatorische Vorkehrungen nach § 19 Absatz 4 des Telekommunikation-Telemedien-Da tenschutz-Gesetzes unzureichend gesichert sind und dadurch keinen hinreichenden Schutz bieten vor
1. unerlaubten Zugriffen auf die für diese Telemedienangebote genutzten technischen Einrichtungen oder
2. Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gegenüber dem jeweiligen Anbieter von Telemedien nach § 2 Absatz 2 Nummer 1 des Te lekommunikation-Telemedien-Datenschutz-Gesetzes anordnen, dass dieser die jeweils zur Herstellung des ordnungsgemäßen Zustands seiner Telemedienangebote erforderlichen technischen und organisatorischen Maßnahmen ergreift, um den ordnungsgemäßen Zu stand seiner Telemedienangebote herzustellen. Die Zuständigkeit der Aufsichtsbehörden der Länder bleibt im Übrigen unberührt.
§ 18
Anordnungen von Maßnahmen des Bundesamtes gegenüber Herstellern von IKT Produkten
Soweit erforderlich, kann das Bundesamt von einem Hersteller betroffener IKT-Pro dukte die Mitwirkung an der Beseitigung oder Vermeidung erheblicher Sicherheitsvorfälle bei besonders wichtigen Einrichtungen und wichtigen Einrichtungen verlangen.
§ 19
Bereitstellung von IT-Sicherheitsprodukten
Die Bereitstellung von IT-Sicherheitsprodukten durch das Bundesamt nach § 3 Absatz 1 Satz 2 Nummer 15 erfolgt durch Eigenentwicklung oder nach Durchführung von Vergabeverfahren aufgrund einer entsprechenden Bedarfsfeststellung. IT-Sicherheits produkte können nur in begründeten Ausnahmefällen durch eine Eigenentwicklung des Bundesamtes zur Verfügung gestellt werden. Die Vorschriften des Vergaberechts und der Bundeshaushaltsordnung bleiben unberührt. Wenn das Bundesamt IT-Sicherheitsprodukte bereitstellt, können die Einrichtungen der Bundesverwaltung oder von ihnen beauftragte Dritte diese Produkte beim Bundesamt abrufen.
Kapitel 2
Datenverarbeitung
§ 20
Verarbeitung personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten durch das Bundesamt ist zulässig, wenn die Verarbeitung zur Erfüllung seiner im öffentlichen Interesse liegenden Aufgaben erforderlich ist.
(2) Die Verarbeitung personenbezogener Daten durch das Bundesamt zu anderen Zwecken als demjenigen, zu dem die Daten ursprünglich erhoben wurden, ist unbeschadet von Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung und von § 23 des Bundesdatenschutzgesetzes zulässig, wenn
1. die Verarbeitung erforderlich ist
a) zur Sammlung, Auswertung oder Untersuchung von Informationen über Sicher heitsrisiken oder Sicherheitsvorkehrungen für die Informationstechnik oder
b) zur Unterstützung, Beratung oder Warnung in Fragen der Sicherheit in der Infor mationstechnik und
2. kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.
(3) Eine Verarbeitung von besonderen Kategorien personenbezogener Daten durch das Bundesamt ist abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 und unbeschadet des § 22 Absatz 1 des Bundesdatenschutzgesetzes zulässig, wenn
1. die Verarbeitung erforderlich ist zur Abwehr einer erheblichen Gefahr für die Netz-, Da ten- oder Informationssicherheit,
2. ein Ausschluss dieser Daten von der Verarbeitung die Erfüllung der Aufgaben des Bun desamtes unmöglich machen oder diese erheblich gefährden würde und
3. kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss dieser Daten von der Verarbeitung überwiegt.
(4) Das Bundesamt sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 des Bundesdaten schutzgesetzes vor.
§ 21
Beschränkungen der Rechte der betroffenen Person
Für die Rechte der betroffenen Person gegenüber dem Bundesamt gelten ergänzend zu den in der Verordnung (EU) 2016/679 enthaltenen Ausnahmen die nachfolgenden Be schränkungen. Soweit dieses Gesetz keine oder geringere Beschränkungen der Rechte der betroffenen Person enthält, gelten für die Beschränkungen im Übrigen die Regelungen des Bundesdatenschutzgesetzes ergänzend.
§ 22
Informationspflicht bei Erhebung von personenbezogenen Daten
(1) Die Pflicht zur Information gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 besteht ergänzend zu den in Artikel 13 Absatz 4 und Artikel 14 Absatz 5 der Ver ordnung (EU) 2016/679 genannten Ausnahmen nicht, wenn
1. die Informationserteilung die ordnungsgemäße Erfüllung der in der Zuständigkeit des Bundesamtes liegenden Aufgaben gefährden würde oder
2. die Informationserteilung die öffentliche Sicherheit oder Ordnung oder die Gewährleis tung der Netz- und Informationssicherheit auf sonstige Weise gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde
und deswegen das Interesse der betroffenen Person an der Informationserteilung zurück treten muss.
(2) Unterbleibt eine Information der betroffenen Person nach Maßgabe des Absatzes 1, ergreift das Bundesamt geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung der in Artikel 13 Ab satz 1 und 2 und Artikel 14 Absatz 1 und 2 der Verordnung (EU) 2016/679 genannten In formationen für die Öffentlichkeit in präziser, transparenter, verständlicher und leicht zu gänglicher Form in einer klaren und einfachen Sprache. Das Bundesamt hält schriftlich fest, aus welchen Gründen es von einer Information der betroffenen Person abgesehen hat.
§ 23
Auskunftsrecht der betroffenen Person
(1) Das Recht auf Auskunft gemäß Artikel 15 Absatz 1 und 2 der Verordnung (EU) 2016/679 besteht nicht, wenn und soweit
1. die Auskunftserteilung die ordnungsgemäße Erfüllung der Aufgaben gefährden würde, die in der Zuständigkeit des Bundesamtes liegen,
2. die Auskunftserteilung
a) die öffentliche Sicherheit oder die Gewährleistung der Netz- und Informationssi cherheit gefährden würde oder
b) sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde oder
3. die Auskunftserteilung strafrechtliche Ermittlungen oder die Verfolgung von Straftaten gefährden würde
und deswegen das Interesse der betroffenen Person an der Auskunftserteilung zurücktre ten muss.
(2) § 34 Absatz 2 bis 4 des Bundesdatenschutzgesetzes gilt entsprechend.
§ 24
Recht auf Berichtigung
(1) Das Recht der betroffenen Person auf Berichtigung und Vervollständigung gemäß Artikel 16 der Verordnung (EU) 2016/679 besteht nicht, wenn und soweit die Erfüllung der Rechte der betroffenen Person die ordnungsgemäße Erfüllung der in der Zuständigkeit des Bundesamtes liegenden Aufgaben gefährden würde und deswegen das Interesse der be
troffenen Person an der Ausübung dieser Rechte zurücktreten muss.
(2) In den Fällen des Absatzes 1 hat die betroffene Person einen Anspruch darauf, den Daten für die Dauer der Verarbeitung eine Gegendarstellung beizufügen, sofern dies für eine faire und transparente Verarbeitung erforderlich ist.
§ 25
Recht auf Löschung
(1) Im Fall der nicht automatisierten Verarbeitung besteht die Pflicht des Bundesamtes zur Löschung personenbezogener Daten gemäß Artikel 17 Absatz 1 und 2 der Verordnung (EU) 2016/679 ergänzend zu den in Artikel 17 Absatz 3 genannten Ausnahmen nicht, wenn
1. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unver hältnismäßig hohem Aufwand möglich ist und
2. das Interesse der betroffenen Person an der Löschung als gering anzusehen ist.
In diesem Fall tritt an die Stelle der Löschung eine Einschränkung der Verarbeitung gemäß Artikel 18 der Verordnung (EU) 2016/679. Die Sätze 1 und 2 sind nicht anzuwenden, wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden.
(2) Ist die Löschung lediglich für eine etwaige gerichtliche Überprüfung von Maßnah men nach § 8 Absatz 4 zurückgestellt, dürfen die Daten ohne Einwilligung der betroffenen Person nur zu diesem Zweck verwendet werden. Sie sind für andere Zwecke in der Verar beitung einzuschränken. § 8 Absatz 8 bleibt unberührt.
§ 26
Recht auf Einschränkung der Verarbeitung
Die Pflicht des Bundesamtes zur Einschränkung der Verarbeitung gemäß Artikel 18 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 besteht für die Dauer der Überprü fung der Richtigkeit der personenbezogenen Daten nicht, wenn
1. die Verarbeitung oder Weiterverarbeitung durch dieses Gesetz ausdrücklich geregelt ist oder
2. die Einschränkung der Verarbeitung die Abwehr von Gefahren für die Sicherheit in der Informationstechnik gefährden würde.
§ 27
Widerspruchsrecht
Das Recht der betroffenen Person auf Widerspruch gemäß Artikel 21 Absatz 1 der Ver ordnung (EU) 2016/679 besteht nicht, wenn
1. an der Verarbeitung ein zwingendes öffentliches Interesse besteht, das die Interessen der betroffenen Person überwiegt, oder
2. eine Rechtsvorschrift das Bundesamt zur Verarbeitung verpflichtet.
Darüber hinaus darf das Bundesamt die personenbezogenen Daten ergänzend zu Arti kel 21 Absatz 1 Satz 2 der Verordnung (EU) 2016/679 so lange verarbeiten, bis das Bun desamt geprüft hat, ob zwingende schutzwürdige Gründe für die Verarbeitung bestehen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.
T e i l 3
S i c h e r h e i t i n d e r I n f o r m a t i o n s t e c h n i k
v o n E i n r i c h t u n g e n
Kapitel 1
Anwendungsbereich
§ 28
Besonders wichtige Einrichtungen und wichtige Einrichtungen
(1) Als besonders wichtige Einrichtung gelten
1. Betreiber kritischer Anlagen,
2. qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS Diensteanbieter
3. Anbieter öffentlich zugänglicher Telekommunikationsdienste oder öffentliche Telekom munikationsnetze, die
a) mindestens 50 Mitarbeiter beschäftigen oder
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen;
4. natürliche oder juristische Personen oder rechtlich unselbstständige Organisationsein heiten einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbieten, die einer der in Anlage 1 bestimmten Einrichtungsarten zuzuordnen ist und die
a) mindestens 250 Mitarbeiter beschäftigt oder
b) einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanz summe von über 43 Millionen Euro aufweisen.
Davon ausgenommen sind Einrichtungen der Bundesverwaltung, insofern sie nicht gleich zeitig Betreiber kritischer Anlagen sind.
(2) Als wichtige Einrichtungen gelten
1. Vertrauensdiensteanbieter
2. Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die
a) weniger als 50 Beschäftigte haben und
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger aufweisen.
3. eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisa tionseinheit einer Gebietskörperschaft, die anderen natürlichen oder juristischen Per sonen entgeltlich Waren oder Dienstleistungen anbietet, die einer der in Anlagen 1 und 2 bestimmten Einrichtungsarten zuzuordnen ist und die
a) mindestens 50 Mitarbeiter beschäftigt oder
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist.
Davon ausgenommen sind besonders wichtige Einrichtungen und Einrichtungen der Bun desverwaltung.
(3) Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanz summe nach den Absätzen 1 und 2 ist auf die der Einrichtungsart zuzuordnende Geschäfts tätigkeit abzustellen und außer für rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft die Empfehlung 2003/361/EG mit Ausnahme von Artikel 3 Absatz 4 des Anhangs anzuwenden. Die Daten von Partner- oder verbundenen Unternehmen im Sinne der Empfehlung 2003/361/EG sind nicht hinzuzurechnen, wenn das Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Kom ponenten und Prozesse, unabhängig von seinen Partner- oder verbundenen Unternehmen ist.
(4) Die §§ 31, 32, 35 und 39 gelten nicht für:
1. Besonders wichtige Einrichtungen und wichtige Einrichtungen, soweit sie
a) ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Te lekommunikationsdienste erbringen, und
b) den Regelungen des Telekommunikationsgesetzes unterliegen;
2. Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energie wirtschaftsgesetz vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 1 des Gesetzes vom 5. Februar 2024 (BGBl. 2024 I Nr. 32) geändert worden ist, soweit sie den Regelungen des § 5c des Energiewirtschaftsgesetzes unterliegen.
(5) Die §§ 30, 31, 32, 35, 36, 38 und 39 gelten gilt nicht für
1. Finanzunternehmen nach Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 und Un ternehmen, für welche die Anforderungen der Verordnung (EU) 2022/2554 auf Grund von § 1a Absatz 2 Kreditwesengesetz oder § 293 Absatz 5 Versicherungsaufsichtsge setz gelten,
2. die Gesellschaft für Telematik nach § 306 Absatz 1 Satz 3 des Fünften Buches Sozial gesetzbuch, ein Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach § 311 Absatz 6 und § 325 des Fünften Buches Sozialgesetzbuch zugelassenen Dienste und ein Betreiber von Diensten, soweit dieser die Telematikinfrastruktur für nach § 327 Absatz 2 bis 5 des Fünften Buches Sozialgesetzbuch bestätigte Anwen dungen nutzt.
(6) Ein Betreiber kritischer Anlagen ist eine natürliche oder juristische Person oder eine rechtlich unselbständige Organisationseinheit einer Gebietskörperschaft, die unter Be rücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine oder mehrere kritische Anlagen ausübt.
(7) Eine Anlage ist ab dem durch die Rechtsverordnung nach § 58 Absatz 4 festge legten Stichtag erheblich nach § 2 Absatz 1 Nummer 21, wenn sie einer der durch Rechts verordnung nach § 58 Absatz 4 festgelegten Anlagenarten in den Sektoren Energie, Trans port und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Wasser, Ernäh rung, Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsor gung zuzuordnen ist und diese die durch die Rechtsverordnung nach § 58 Absatz 4 festge legten Schwellenwerte überschreitet.
(8) Eine Anlage ist ab dem nächsten folgenden durch die Rechtsverordnung nach § 58 Absatz 4 als Stichtag festgelegten Tag nicht mehr erheblich nach § 2 Absatz 1 Nummer 21, wenn sie die durch die Verordnung festgelegten Schwellenwerte unterschreitet.
(9) Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Vertrauensdiensteanbieter, Managed Service Provider und Managed Security Services Provider sind keine wichtigen oder besonders wichtigen Einrichtungen im Sinne dieses Ge setzes, wenn diese
1. im ausschließlichen mittel- oder unmittelbaren Eigentum von Gebietskörperschaften, ausgenommen des Bundes, stehen,
2. keine Waren oder Dienstleistungen gegen Entgelt für Einrichtungen der Bundesverwal tung anbieten und
3. durch landesrechtliche Vorschriften unter Bezugnahme auf diesen Absatz reguliert werden.
§ 29
Einrichtungen der Bundesverwaltung
(1) Einrichtungen der Bundesverwaltung im Sinne dieses Gesetzes sind 1. Stellen des Bundes, sowie
2. Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie ihre Vereini gungen, ungeachtet ihrer Rechtsform, auf Bundesebene;
hiervon ausgenommen sind Institutionen der Sozialen Sicherung, berufsständische Körper schaften des öffentlichen Rechts sowie Industrie- und Handelskammern.
(2) Für Einrichtungen der Bundesverwaltung finden die Regelungen für besonders wichtige Einrichtungen Anwendung. Davon ausgenommen sind die Regelungen in den §§ 38, 40 Absatz 3 und § 61, 65.
(3) Die Geschäftsbereiche des Auswärtigen Amts und des Bundesministeriums der Verteidigung sowie der Bundesnachrichtendienst und das Bundesamt für Verfassungs schutz sind zusätzlich von den Regelungen der §§ 10, 13 Absatz 1 Nummer 1 Buchstabe e, § 30, 33, 35 und 50 Absatz 3 ausgenommen. Das Auswärtige Amt erlässt im Einvernehmen mit dem Bundesministerium des Innern und für Heimat eine allgemeine Verwaltungsvorschrift, um die Ziele der NIS2-Richtlinie im Ge schäftsbereich des Auswärtigen Amtes durch ergebnisäquivalente Maßnahmen umzuset zen.
Kapitel 2
Risikomanagement, Melde-, Registrierungs-, Nachweis
und Unterrichtungspflichten
§ 30
Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen
(1) Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, ge eignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informations technischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu hal ten. Dabei sind das Ausmaß der Risikoexposition die Größe der Einrichtung, die Umset zungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen so wie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen. Die Ein haltung der Verpflichtung nach Satz 1 ist durch die Einrichtungen zu dokumentieren.
(2) Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlä gigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. Die Maßnahmen müssen zumindest Folgendes umfassen:
1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informations technik,
2. Bewältigung von Sicherheitsvorfällen,
3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehun gen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechni schen Systemen, Komponenten und Prozessen, einschließlich Management und Of fenlegung von Schwachstellen,
6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaß nahmen im Bereich der Sicherheit in der Informationstechnik,
7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik,
8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,
10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebe nenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
(3) Der von der Europäischen Kommission gemäß Artikel 21 Absatz 5 Unterabsatz 1 der NIS2-Richtlinie erlassene Durchführungsrechtsakt zur Festlegung der technischen und methodischen Anforderungen an die in Absatz 1 genannten Maßnahmen in Bezug auf DNS-Diensteanbieter, Top Level Domain Name Registries, Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Betreiber von Content Delivery Networks, Mana
ged Service Provider, Managed Security Service Provider, Anbieter von Online-Marktplät zen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrau ensdiensteanbieter hat für die vorgenannten Einrichtungsarten Vorrang.
(4) Soweit die Europäische Kommission einen Durchführungsrechtsakt gemäß Arti kel 21 Absatz 5 Unterabsatz 2 der NIS2-Richtlinie erlässt, in dem die technischen und me thodischen Anforderungen sowie erforderlichenfalls die sektoralen Anforderungen der in Absatz 2 genannten Maßnahmen festgelegt werden, so gehen diese Anforderungen den in Absatz 2 genannten Maßnahmen vor, soweit sie entgegenstehen.
(5) Soweit die Durchführungsrechtsakte der Europäischen Kommission nach Arti kel 21 Absatz 5 der NIS2-Richtlinie keine abschließenden Bestimmungen über die techni schen und methodischen Anforderungen sowie erforderlichenfalls die sektoralen Anforde rungen an die in Absatz 2 genannten Maßnahmen in Bezug auf besonders wichtige Ein richtungen und wichtige Einrichtungen enthalten, können diese Bestimmungen vom Bun desministerium des Innern und Heimat im Benehmen mit den jeweils betroffenen Ressorts
durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, unter Berück sichtigung der möglichen Folgen unzureichender Maßnahmen sowie der Bedeutung be stimmter Einrichtungen präzisiert und erweitert werden.
(6) Besonders wichtige Einrichtungen und wichtige Einrichtung dürfen durch Rechts verordnung nach § 58 Absatz 3 bestimmte IKT-Produkte, IKT-Dienste und IKT-Prozesse nur verwenden, wenn diese über eine Cybersicherheitszertifizierung gemäß europäischer Schemata nach Artikel 49 der Verordnung (EU) 2019/881 verfügen.
(7) Unbeschadet der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Strafta ten dürfen der Austausch von Informationen nach § 6 oder die freiwillige Meldung nach § 5 nicht dazu führen, dass der meldenden Einrichtung zusätzliche Verpflichtungen auferlegt werden, die nicht für sie gegolten hätten, wenn sie die Meldung nicht übermittelt hätte.
(8) Besonders wichtige Einrichtungen und ihre Branchenverbände können branchen spezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Diese vorgeschlagenen Sicherheitsstandards müssen Durchführungsrechts akte der Europäischen Kommission so berücksichtigen, dass sie nicht im Widerspruch zu
den dort genannten Anforderungen stehen sowie darin enthaltende Vorgaben nicht unter schritten werden. Das Bundesamt stellt auf Antrag fest, ob die vorgeschlagenen Sicher heitsstandards branchenspezifisch und geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt:
1. im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe; 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes.
(9) Betreiber kritischer Anlagen können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach § 39 Absatz 1 vorschlagen. Absatz 8 Satz 2 bis 4 gelten entsprechend.
§ 31
Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen
(1) Für Betreiber kritischer Anlagen gelten für die informationstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kriti schen Anlagen maßgeblich sind, im Vergleich zu anderen informationstechnischen Syste men, Komponenten und Prozessen besonders wichtiger Einrichtungen auch aufwändigere Maßnahmen nach § 30 als verhältnismäßig, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Anlage steht.
(2) Betreiber kritischer Anlagen sind verpflichtet, Systeme zur Angriffserkennung ein zusetzen. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und aus werten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vor zusehen. Dabei soll der Stand der Technik eingehalten werden. Der hierfür erforderliche Aufwand soll nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchti gung der betroffenen kritischen Anlage stehen.
§ 32
Meldepflichten
(1) Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, fol gende Informationen an eine vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete gemeinsame Meldestelle zu melden:
1. unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkun
gen haben könnte;
2. unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Meldung über diesen Sicherheitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittie
rungsindikatoren angegeben werden;
3. auf Ersuchen des Bundesamtes eine Zwischenmeldung über relevante Statusaktuali sierungen;
4. spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Nummer 2, vorbehaltlich Absatz 2, eine Abschlussmeldung, die Folgendes enthält:
a) eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen;
b) Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat;
c) Angaben zu den getroffenen und laufenden Abhilfemaßnahmen; d) gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls; Die Verpflichtung nach Satz 1 gilt frühestens ab Einrichtung des Meldewegs.
(2) Dauert der Sicherheitsvorfall zum im Absatz 1 Nummer 4 genannten Zeitpunkt noch an, legt die betreffende Einrichtung statt einer Abschlussmeldung zu diesem Zeitpunkt eine Fortschrittsmeldung vor.Die Abschlussmeldung ist dann innerhalb eines Monats nach Abschluss der Bearbeitung des Sicherheitsvorfalls vorzulegen.
(3) Betreiber kritischer Anlagen sind zusätzlich verpflichtet, Angaben zur Art der be troffenen Anlage und der kritischen Dienstleistung sowie zu den Auswirkungen des Sicher heitsvorfalls auf diese Dienstleistung zu übermitteln, wenn ein erheblicher Sicherheitsvorfall Auswirkungen auf die von ihnen betriebene kritische Anlage hat oder haben könnte.
(4) Das Bundesamt legt die Einzelheiten zur Ausgestaltung des Meldeverfahrens und zur Konkretisierung der Meldungsinhalte nach Anhörung der betroffenen Betreiber und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesamt für Bevölkerungs schutz und Katastrophenhilfe fest, soweit sie möglichen Durchführungsrechtsakten der Eu ropäischen Kommission nicht widersprechen. Die Informationen nach Satz 1 werden durch das Bundesamt auf dessen Internetseite veröffentlicht.
(5) Das Bundesamt informiert die zuständigen Aufsichtsbehörden des Bundes unver züglich über die bei ihm eingegangenen Meldungen.
§ 33
Registrierungspflicht
(1) Besonders wichtige Einrichtungen und wichtige Einrichtungen sowie Domain Name-Registry-Diensteanbieter sind verpflichtet, spätestens drei Monate, nachdem sie erstmals oder erneut als eine der vorgenannten Einrichtungen gelten oder Domain-Name Registry-Dienste anbieten, dem Bundesamt über eine gemeinsam vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Registrie rungsmöglichkeit folgenden Angaben zu übermitteln:
1. Name der Einrichtung, einschließlich der Rechtsform und soweit einschlägig der Han delsregisternummer;
2. Anschrift und aktuelle Kontaktdaten, einschließlich E-Mail-Adresse, öffentliche IP-Ad ressbereiche und Telefonnummern;
3. relevanter in Anlage 1 oder 2 genannter Sektor oder soweit einschlägig Branche,
4. Auflistung derjenigen Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste der in Anlage 1 oder 2 genannten Einrichtungsarten erbringen, und
5. die für die Tätigkeiten, aufgrund derer die Registrierung erfolgt, zuständigen Aufsichts behörden des Bundes und der Länder.
(2) Betreiber kritischer Anlagen übermitteln mit den Angaben nach Absatz 1 die kriti sche Dienstleistung, die öffentlichen IP-Adressbereiche der von ihnen betriebenen Anlagen sowie die für die von ihnen betriebenen kritischen Anlagen ermittelte Anlagenkategorie und ermittelte Versorgungskennzahlen gemäß der Rechtsverordnung nach § 58 Absatz 4 sowie den Standort der Anlagen und eine Kontaktstelle. Die Betreiber stellen sicher, dass sie über ihre in Satz 1 genannte Kontaktstelle jederzeit erreichbar sind.
(3) Die Registrierung von besonders wichtigen Einrichtungen und wichtigen Einrich tungen und Domain-Name-Registry-Diensteanbieter kann das Bundesamt im Einverneh men mit den jeweils zuständigen Aufsichtsbehörden auch selbst vornehmen, wenn ihre Pflicht zur Registrierung nicht erfüllt wird.
(4) Rechtfertigen Tatsachen die Annahme, dass eine Einrichtung ihre Pflicht zur Re gistrierung nach Absatz 1 oder 2 nicht erfüllt, so hat diese dem Bundesamt auf Verlangen die aus Sicht des Bundesamtes für die Bewertung erforderlichen Aufzeichnungen, Schrift stücke und sonstigen Unterlagen in geeigneter Weise vorzulegen und Auskunft zu erteilen, soweit nicht Geheimschutzinteressen oder überwiegende Sicherheitsinteressen entgegen stehen.
(5) Bei Änderungen der nach Absatz 1 oder 2 zu übermittelnden Angaben sind dem Bundesamt geänderte Versorgungskennzahlen einmal jährlich zu übermitteln und alle an deren Angaben unverzüglich, spätestens jedoch zwei Wochen ab dem Zeitpunkt, zu dem die Einrichtung Kenntnis von der Änderung erhalten hat, zu übermitteln.
(6) Das Bundesamt legt die Einzelheiten zur Ausgestaltung des Registrierungsverfah rens im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe fest. Die Festlegung nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der Internet seite des Bundesamts.
§ 34
Besondere Registrierungspflicht für bestimmte Einrichtungsarten
(1) Eine Einrichtung der in § 64 Absatz 1 Satz 1 genannten Einrichtungsart ist ver pflichtet, bis zum 17. Januar 2025 dem Bundesamt die folgenden Angaben zu übermitteln:
1. Name der Einrichtung;
2. einschlägiger Sektor, Branche und Einrichtungsart wie in Anlage 1 bestimmt;
3. Anschrift der Hauptniederlassung in der Europäischen Union nach § 64 Absatz 2 und ihrer sonstigen Niederlassungen in der Europäischen Union oder, falls er nicht in der Europäischen Union niedergelassen ist, Anschrift seines nach § 64 Absatz 3 benann ten Vertreters;
4. aktuelle Kontaktdaten, einschließlich E-Mail-Adressen und Telefonnummern der Ein richtung und soweit erforderlich, ihres nach § 64 Absatz 3 benannten Vertreters;
5. die Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste erbringt, und
6. die öffentlichen IP-Adressbereiche der Einrichtung.
(2) Im Fall einer Änderung der gemäß Absatz 1 übermittelten Angaben unterrichten die Einrichtungen der in § 64 Absatz 1 Satz 1 genannten Einrichtungsart das Bundesamt unverzüglich über diese Änderung, jedoch spätestens innerhalb von drei Monaten ab dem Tag, an dem die Änderung eingetreten ist.
(3) Mit Ausnahme der in Absatz 1 Nummer 6 genannten Angaben leitet das Bundes amt die nach diesem § 34 übermittelten Angaben an die ENISA weiter.
(4) Das Bundesamt kann für die Übermittlung der Angaben nach den Absätzen 1 und 2 einen geeigneten Meldeweg vorsehen.
§ 35
Unterrichtungspflichten
(1) Im Fall eines erheblichen Sicherheitsvorfalls kann das Bundesamt besonders wichtige Einrichtungen und wichtige Einrichtungen anweisen, die Empfänger ihrer Dienste unverzüglich über diesen erheblichen Sicherheitsvorfall zu unterrichten, der die Erbringung des jeweiligen Dienstes beeinträchtigen könnten. Das Bundesamt setzt die für die Einrich
tung zuständige Aufsichtsbehörde des Bundes über Anweisungen nach Satz 1 in Kenntnis. Die Unterrichtung nach Satz 1 kann, auch durch eine Veröffentlichung auf der Internetseite der Einrichtung erfolgen.
(2) Einrichtungen nach Absatz 1 aus den Sektoren Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten und Digitale Dienste teilen den potenziell von einer erheblichen Cyberbedrohung betroffenen Empfän gern ihrer Dienste und dem Bundesamt unverzüglich alle Maßnahmen oder Abhilfemaß nahmen mit, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können. Die Einrichtungen informieren diese Empfänger auch über die erhebliche Cyberbedrohung selbst. Die Unterrichtungspflicht gilt nur dann, wenn in Abwägung der Interessen der Ein richtung und des Empfängers die Interessen des Empfängers überwiegen.
§ 36
Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen
(1) Im Fall einer Meldung einer Einrichtung gemäß § 32 übermittelt das Bundesamt dieser unverzüglich und nach Möglichkeit innerhalb von 24 Stunden eine Bestätigung über den Eingang der Meldung und, auf Ersuchen der Einrichtung, Orientierungshilfen oder ope rative Beratung zu Abhilfemaßnahmen. Das Bundesamt kann auf Ersuchen der betreffen den Einrichtung zusätzliche technische Unterstützung leisten.
(2) Ist eine Sensibilisierung der Öffentlichkeit erforderlich, um einen erheblichen Si cherheitsvorfall zu verhindern oder zu bewältigen, oder liegt die Offenlegung des erhebli chen Sicherheitsvorfalls anderweitig im öffentlichen Interesse, so kann das Bundesamt nach Anhörung der betreffenden Einrichtung die Öffentlichkeit über den erheblichen Sicher heitsvorfall informieren oder die Einrichtung verpflichten, dies zu tun. Handelt es sich bei der betreffenden Einrichtung um eine Einrichtung der Bundesverwaltung, gilt für die Infor mation der Öffentlichkeit § 4 Absatz 3 entsprechend.
§ 37
Ausnahmebescheid
(1) Das Bundesministerium des Innern und für Heimat kann auf Vorschlag des Bun deskanzleramts, des Bundesministeriums der Justiz, des Bundesministeriums für Verteidi gung, des Bundesministeriums für Finanzen, der Ministerien für Inneres und Justiz der Län der oder auf eigenes Betreiben besonders wichtige Einrichtungen oder wichtige Einrichtun gen von Verpflichtungen nach diesem Gesetz nach Maßgabe des Absatzes 2 teilweise be freien (einfacher Ausnahmebescheid) oder nach Maßgabe des Absatzes 3 insgesamt be freien (erweiterter Ausnahmebescheid), sofern die Einrichtung Vorgaben einhält, die den
Verpflichtungen nach diesem Gesetz gleichwertig sind. Die Entscheidung nach Satz 1 er folgt mit dem jeweils zuständigen Ministerium im Einvernehmen, im Fall der Ministerien für Inneres und Justiz der Länder im Benehmen.
(2) Einrichtungen, die
1. in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Straf verfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, (relevante Bereiche) tätig sind oder Dienste erbringen oder
2. ausschließlich für Behörden, die Aufgaben in relevanten Bereichen erfüllen, tätig sind oder Dienste erbringen,
können für diese Tätigkeiten oder Dienste von den Risikomanagementmaßnahmen nach § 30 und Meldepflichten nach § 32 befreit werden. Die Sicherheit in der Informationstechnik dieser Einrichtungen muss in diesen Fällen anderweitig gewährleistet sein und beaufsichtigt werden.
(3) Einrichtungen, die ausschließlich in relevanten Bereichen tätig sind oder Dienste erbringen, können insgesamt von den in Absatz 2 genannten Pflichten und von den Regist rierungspflichten nach § 33 und § 34 befreit werden. Absatz 2 Satz 2 gilt entsprechend.
(4) Die Absätze 1 bis 3 gelten nicht, wenn die betreffende Einrichtung ein Vertrauens diensteanbieter ist.
(5) Ein Ausnahmebescheid nach diesem Gesetz ist zu widerrufen, wenn nachträglich Tatsachen eintreten, die zur Ablehnung einer Erteilung einer Ausnahme hätten führen müs sen. Abweichend von Satz 1 kann im Falle eines vorübergehenden Wegfalls der Voraus setzungen des Absatz 2 Nummer 1 oder 2 von einem Widerruf abgesehen werden.
§ 38
Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen beson ders wichtiger Einrichtungen und wichtiger Einrichtungen
(1) Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtun gen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikoma nagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.
(2) Ein Verzicht der Einrichtung auf Ersatzansprüche aufgrund einer Verletzung der Pflichten nach Absatz 1 oder ein in einem groben Missverhältnis zu einer bestehenden Un gewissheit über das Rechtsverhältnis stehender Vergleich der Einrichtung über diese An sprüche ist unwirksam. Dies gilt nicht, wenn der Ersatzpflichtige zahlungsunfähig ist und
sich zur Abwendung des Insolvenzverfahrens mit seinen Gläubigern vergleicht oder wenn die Ersatzpflicht in einem Insolvenzplan geregelt wird.
(3) Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrich tungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik und die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste zu er werben.
§ 39
Nachweispflichten für Betreiber kritischer Anlagen
(1) Betreiber kritischer Anlagen haben die Erfüllung der Anforderungen nach § 30 Absatz 1 und § 31 zu einem vom Bundesamt im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe festgelegten Zeitpunkt frühestens drei Jahre nachdem sie erstmals oder erneut als ein Betreiber einer kritischen Anlage gelten und an
schließend alle drei Jahre dem Bundesamt auf geeignete Weise nachzuweisen. Der Nach weis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlan gen. Es kann bei Sicherheitsmängeln die Vorlage eines geeigneten Mängelbeseitigungs planes und im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheits mängel verlangen. Das Bundesamt kann die Vorlage eines geeigneten Nachweises über die erfolgte Mängelbeseitigung verlangen.
(2) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Prüfungen und Er bringung der Nachweise nach Absatz 1 Anforderungen an die Art und Weise der Durchfüh rung, an die Geeignetheit der zu erbringenden Nachweise sowie nach Anhörung der be troffenen Betreiber und Einrichtungen und der betroffenen Wirtschaftsverbände fachliche
und organisatorische Anforderungen an die prüfenden Stellen im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe festlegen. Die Festlegung nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der Internetseite des Bundesamtes.
(3) Abweichend von Absatz 1 Satz 1 legt das Bundesamt für Betreiber kritischer An lagen, die bis zum Inkrafttreten dieses Gesetzes Betreiber Kritischer Infrastrukturen nach § 2 Absatz 10 BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert worden ist, waren, den Zeitpunkt der Nachweiserbringung auf frühestens drei Jahre nach Erbringung des letzten Nachweises nach § 8a Absatz 3 BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert worden ist, fest.
§ 40
Nationale Verbindungsstelle sowie zentrale Melde- und Anlaufstelle für besonders wichtige und wichtige Einrichtungen
(1) Das Bundesamt ist die nationale Verbindungsstelle, sowie die zentrale Melde- und Anlaufstelle für die Aufsicht für besonders wichtige Einrichtungen und wichtige Einrichtun gen in der Sicherheit in der Informationstechnik.
(2) Zur Wahrnehmung seiner Aufgabe als nationale Verbindungsstelle koordiniert das Bundesamt
1. die grenzüberschreitende Zusammenarbeit der Länderbehörden, die die Länder als zu ständige Behörden für die Aufsicht von Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene nach Artikel 2 Absatz 2 Buchstabe f Nummer ii der NIS2-Richtlinie bestimmt haben, sowie der Bundesnetzagentur und der Bundesanstalt für Finanz dienstleistungsaufsicht mit den für die Überwachung der Anwendung der NIS2-Richt linie zuständigen Behörden anderer Mitgliedstaaten und gegebenenfalls mit der Euro päischen Kommission und der ENISA;
2. sowie die sektorübergreifende Zusammenarbeit der in Nummer 1 genannten Länder behörden, des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe, der Bun desnetzagentur und der Bundesanstalt für Finanzdienstleistungsaufsicht.
(3) Zur Wahrnehmung seiner Aufgabe als zentrale Meldestelle hat das Bundesamt
1. die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentli chen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Schwachstellen, zu Schadprogrammen und zu Angriffen,
2. die Relevanz dieser Informationen nach Nummer 1 für die Verfügbarkeit kritischer Dienstleistungen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu analysieren,
3. das Lagebild bezüglich der Sicherheit in der Informationstechnik von kritischen Anla gen, besonders wichtigen Einrichtungen und wichtigen Einrichtungen kontinuierlich zu aktualisieren und
4. unverzüglich
a) die Betreiber kritischer Anlagen über sie betreffende Informationen nach den Nummern 1 bis 3 nach § 33 Absatz 1 Nummer 2 zu unterrichten und unter Berück sichtigung der Interessen nationaler Sicherheit und Verteidigung
b) die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 5 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben, zu unterrichten und
c) das Auswärtige Amt über nach § 32 Absatz 1 gemeldete erhebliche Sicherheits vorfälle mit internationalem Bezug, zu unterrichten und
5. im Rahmen vorab zwischen dem Bundesamt und den Empfängern abgestimmter Pro zesse zur Weitergabe und Wahrung der notwendigen Vertraulichkeit den zuständigen Behörden des Bundes und der Länder Informationen zu besonders wichtigen Einrich tungen zur Verfügung zu stellen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist.
(4) Zur Wahrnehmung seiner Aufgabe als zentrale Anlaufstelle hat das Bundesamt
1. Anfragen der in Absatz 2 genannten Stellen anzunehmen und an die zuständigen in Absatz 2 genannten Stellen weiterzuleiten,
2. Antworten auf die in Absatz 2 Nummer 2 genannten Anfragen zu erstellen und dabei die in Absatz 1 genannten Stellen zu beteiligen oder Antworten der in Absatz 2 genann ten Stellen an die in Absatz 2 genannten Stellen weiterzuleiten, nach § 32 eingegan gene Meldungen an zentrale Anlaufstellen der anderen betroffenen Mitgliedstaaten der Europäischen Union weiterzuleiten,
3. wenn ein erheblicher Sicherheitsvorfall zwei oder mehr Mitgliedstaaten der Europäi schen Union betrifft, die anderen betroffenen Mitgliedstaaten und die ENISA über den erheblichen Sicherheitsvorfall zu unterrichten, wobei die Art der gemäß § 32 Absatz 2 erhaltenen Informationen mitzuteilen und das wirtschaftliche Interesse der Einrichtung sowie die Vertraulichkeit der bereitgestellten Informationen zu gewahren ist.
(5) Während eines erheblichen Sicherheitsvorfalls gemäß § 32 Absatz 1 kann das Bundesamt im Einvernehmen mit der jeweils zuständigen Aufsichtsbehörde des Bundes von den betroffenen Betreibern kritischer Anlagen die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen. Betreiber kritischer Anlagen sind befugt, dem Bundesamt auf Verlangen die zur Bewälti
gung der Störung notwendigen Informationen einschließlich personenbezogener Daten zu übermitteln, soweit dies zur Bewältigung eines erheblichen Sicherheitsvorfalls erforderlich ist.
(6) Soweit im Rahmen dieser Vorschrift personenbezogene Daten verarbeitet werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung zu anderen Zwecken unzulässig. § 8 Absatz 8 Satz 3 bis 9 ist entsprechend anzuwenden.
§ 41
Untersagung des Einsatzes kritischer Komponenten
(1) Ein Betreiber kritischer Anlagen hat den geplanten erstmaligen Einsatz einer kriti schen Komponente gemäß § 2 Absatz 1 Nummer 22 dem Bundesministerium des Innern und für Heimat vor ihrem Einsatz anzuzeigen. In der Anzeige sind die kritische Komponente und die geplante Art ihres Einsatzes anzugeben. Satz 1 gilt für einen Betreiber kritischer Anlagen nicht, wenn dieser den Einsatz einer anderen kritischen Komponente desselben Typs für dieselbe Art des Einsatzes bereits nach Satz 1 angezeigt hat und ihm dieser nicht untersagt wurde.
(2) Das Bundesministerium des Innern und für Heimat kann den geplanten erstmali gen Einsatz einer kritischen Komponente gegenüber dem Betreiber kritischer Anlagen im Benehmen mit den in § 58 Absatz 4 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt bis zum Ablauf von zwei Monaten nach Eingang der Anzeige nach Ab satz 1 untersagen oder Anordnungen erlassen, wenn der Einsatz die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt. Bei der Prü fung einer voraussichtlichen Beeinträchtigung der öffentlichen Ordnung oder Sicherheit kann insbesondere berücksichtigt werden, ob
1. der Hersteller unmittelbar oder mittelbar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert wird,
2. der Hersteller bereits an Aktivitäten beteiligt war oder ist, die nachteilige Auswirkungen auf die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland oder eines anderen Mitgliedstaates der Europäischen Union, der Europäischen Freihandelsasso ziation oder des Nordatlantikvertrages oder auf deren Einrichtungen hatten, oder
3. der Einsatz der kritischen Komponente im Einklang mit den sicherheitspolitischen Zie len der Bundesrepublik Deutschland, der Europäischen Union oder des Nordatlantik vertrages steht.
Vor Ablauf der Frist von zwei Monaten nach Anzeige nach Absatz 1 ist der Einsatz nicht gestattet. Das Bundesministerium des Innern und für Heimat kann die Frist gegenüber der Einrichtung um weitere zwei Monate verlängern, wenn die Prüfung besondere Schwierig keiten tatsächlicher oder rechtlicher Art aufweist.
(3) Kritische Komponenten gemäß § 2 Absatz 1 Nummer 22 dürfen nur eingesetzt werden, wenn der Hersteller eine Erklärung über seine Vertrauenswürdigkeit (Garantieer klärung) gegenüber dem Betreiber der kritischen Anlage abgegeben hat. Die Garantieer klärung ist der Anzeige nach Absatz 1 beizufügen. Aus der Garantieerklärung muss hervor gehen, wie der Hersteller sicherstellt, dass die kritische Komponente nicht über technische Eigenschaften verfügt, die spezifisch geeignet sind, missbräuchlich, insbesondere zum Zwecke von Sabotage, Spionage oder Terrorismus auf die Sicherheit, Vertraulichkeit, In tegrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage einwirken zu können. Das Bundesministerium des Innern und für Heimat legt die Einzelheiten der Mindestanfor derungen an die Garantieerklärung im Einvernehmen mit den in § 58 Absatz 4 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt durch Allgemeinverfügung fest, die im Bundesanzeiger bekannt zu machen ist. Die Einzelheiten der Mindestanforderungen an die Garantieerklärung müssen aus den Schutzzielen der Sicherheit, Vertraulichkeit, In tegrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage folgen und die Vermei dung von Gefahren für die öffentliche Sicherheit und Ordnung, insbesondere im Sinne von Absatz 2 Satz 2, adressieren, die aus der Sphäre des Herstellers der kritischen Kompo nente, insbesondere dessen Organisationsstruktur, stammen. Die Sätze 1 und 2 gelten erst ab der Bekanntmachung der Allgemeinverfügung nach Satz 4 und nicht für bereits vor die sem Zeitpunkt eingesetzte kritische Komponenten. Soweit Änderungen der Allgemeinver fügung erfolgen, sind diese für bereits nach diesem Absatz abgegebene Garantieerklärun gen unbeachtlich.
(4) Das Bundesministerium des Innern und für Heimat kann den weiteren Einsatz ei ner kritischen Komponente gegenüber dem Betreiber kritischer Anlagen im Einvernehmen mit den in § 58 Absatz 4 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt untersagen oder Anordnungen erlassen, wenn der weitere Einsatz die öffentliche Ord nung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt, ins besondere, wenn der Hersteller der kritischen Komponente nicht vertrauenswürdig ist. Absatz 2 Satz 2 gilt entsprechend.
(5) Ein Hersteller einer kritischen Komponente kann insbesondere dann nicht vertrau enswürdig sein, wenn hinreichende Anhaltspunkte dafür bestehen, dass
1. er gegen die in der Garantieerklärung eingegangen Verpflichtungen verstoßen hat, 2. in der Garantieerklärung angegebene Tatsachenbehauptungen unwahr sind,
3. er Sicherheitsüberprüfungen und Penetrationsanalysen an seinem Produkt und in der Produktionsumgebung nicht im erforderlichen Umfang in angemessener Weise unter stützt,
4. Schwachstellen oder Manipulationen nicht unverzüglich, nachdem er davon Kenntnis erlangt, beseitigt und dem Betreiber kritischer Anlagen meldet,
5. die kritische Komponente auf Grund von Mängeln ein erhöhtes Gefährdungspotenzial aufweist oder aufgewiesen hat, missbräuchlich auf die Sicherheit, Vertraulichkeit, In tegrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage einwirken zu kön nen oder
6. die kritische Komponente über technische Eigenschaften verfügt oder verfügt hat, die spezifisch geeignet sind oder waren, missbräuchlich auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage einwirken zu können.
(6) Wurde nach Absatz 4 der weitere Einsatz einer kritischen Komponente untersagt, kann das Bundesministerium des Innern und für Heimat im Einvernehmen mit den in § 58 Absatz 4 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt
1. den geplanten Einsatz weiterer kritischer Komponenten desselben Typs und desselben Herstellers untersagen und
2. den weiteren Einsatz kritischer Komponenten desselben Typs und desselben Herstel lers unter Einräumung einer angemessenen Frist untersagen.
(7) Bei schwerwiegenden Fällen nicht vorliegender Vertrauenswürdigkeit nach Ab satz 5 kann das Bundesministerium des Innern und für Heimat den Einsatz aller kritischen Komponenten des Herstellers im Einvernehmen mit den in § 58 Absatz 4 aufgeführten je weils betroffenen Ressorts sowie dem Auswärtigen Amt untersagen.
§ 42
Auskunftsverlangen
Zugang zu den Informationen und Akten in Angelegenheiten nach Teil 2 §§ 4 bis 10 und Teil 3 dieses Gesetzes wird nicht gewährt. Die Akteneinsichtsrechte von Verfahrens beteiligten bleiben unberührt.
Kapitel 3
Informationssicherheit der Einrichtungen der Bundesverwaltung
§ 43
Informationssicherheitsmanagement
(1) Die Einrichtungsleitung ist dafür verantwortlich, unter Berücksichtigung der Be lange des IT-Betriebs die Voraussetzungen zur Gewährleistung der Informationssicherheit zu schaffen. [Hierfür sind bedarfsgerechte finanzielle, personelle und Sachmittel einzuset zen.]
(2) Die Einrichtungsleitung nimmt regelmäßig an Schulungen teil, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Manage mentpraktiken im Bereich der Informationssicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.
(3) Soweit mit Leistungen für Informationstechnik des Bundes privatrechtlich organi sierte Stellen beauftragt werden, ist vertraglich sicherzustellen, dass diese sich zur Einhal tung der Voraussetzungen zur Gewährleistung der Informationssicherheit verpflichten. Dies gilt auch für den Fall, dass Schnittstellen zur Kommunikationstechnik des Bundes einge richtet werden. Die Pflichten der Einrichtungsleitung nach Absatz 1 bleiben hiervon unbe rührt.
(4) Die Registrierung von Einrichtungen der Bundesverwaltung nach § 33 obliegt der Einrichtungsleitung. Die Einrichtungen der Bundesverwaltung weisen die Erfüllung der An forderungen nach Absatz 1 spätestens vier Jahre nach Inkrafttreten dieses Gesetzes und anschließend regelmäßig dem Bundesamt nach dessen Vorgaben nach.
(5) Werden, über die sich aus § 32 ergebenden Meldepflichten hinaus, Einrichtungen der Bundesverwaltung Informationen nach § 4 Absatz 2 Nummer 1 bekannt, die für die Er füllung von Aufgaben oder die Sicherheit der Kommunikationstechnik des Bundes von Be deutung sind, unterrichten diese das Bundesamt hierüber unverzüglich, soweit andere
Vorschriften dem nicht entgegenstehen. Ausgenommen von den Meldepflichten für Einrich tungen der Bundesverwaltung nach § 32 sowie nach Satz 1 dieses Absatzes sind Informa tionen, die aufgrund von Regelungen zum Geheimschutz oder Vereinbarungen mit Dritten nicht weitergegeben werden dürfen oder deren Weitergabe im Widerspruch zu der verfas sungsrechtlichen Stellung eines Abgeordneten des Bundestages oder eines Verfassungs organs oder der gesetzlich geregelten Unabhängigkeit einzelner Stellen stünde. Die Ein richtungen der Bundesverwaltung melden dem Bundesamt kalenderjährlich jeweils bis zum 31. Januar eines Jahres die Gesamtzahl der nach Satz 2 nicht übermittelten Informationen.
(6) Das Bundesministerium des Innern und für Heimat erlässt im Einvernehmen mit den Ressorts allgemeine Verwaltungsvorschriften zur Durchführung des Absatzes 5.
§ 44
Vorgaben des Bundesamtes
(1) Das Bundesamt legt durch den IT-Grundschutz und durch Mindeststandards für die Sicherheit in der Informationstechnik des Bundes in der jeweils gültigen Fassung die Mindestanforderungen für Einrichtungen der Bundesverwaltung fest. Die Vorgaben nach Satz 1 werden durch das Bundesamt regelmäßig evaluiert und entsprechend dem Stand der Technik sowie unter Berücksichtigung der Erfahrungen aus der Praxis fortentwickelt. Die Mindeststandards legt das Bundesamt im Benehmen mit den Ressorts und weiteren obersten Bundesbehörden fest. Durch die Umsetzung der in Satz 1 genannten Anforderun
gen ist die Erfüllung der Vorgaben nach § 30 gewährleistet, soweit nicht die Europäische Kommission einen Durchführungsrechtsakt gemäß Artikel 21 Absatz 5 Unterabsatz 2 der NIS2-Richtlinie erlässt, in dem die technischen und methodischen Anforderungen über die Anforderungen aus Satz 1 hinausgehen. Bei der Umsetzung muss berücksichtigt werden, ob Einrichtungen der Bundesverwaltung gleichzeitig Betreiber kritischer Anlagen sind. Das Bundesamt berät die Einrichtungen der Bundesverwaltung auf Ersuchen bei der Umset
zung und Einhaltung dieser Anforderungen, stellt Hilfsmittel zur Verfügung und unterstützt die Bereitstellung entsprechender Lösungen durch die IT-Dienstleister des Bundes über den gesamten Lebenszyklus. Insbesondere berücksichtigt es die Erfahrungen aus dieser Mitwirkung bei der Fortschreibung der Vorschriften nach Satz 1.
(2) Das Bundesamt stellt im Rahmen seiner Aufgaben nach § 3 Absatz 1 Satz 2 Num mer 10 technische Richtlinien und Referenzarchitekturen bereit, die von den Einrichtungen der Bundesverwaltung als Rahmen für die Entwicklung sachgerechter Anforderungen an Auftragnehmer (Eignung) und IT-Produkte (Spezifikation) für die Durchführung von Verga beverfahren berücksichtigt werden. Die Vorschriften des Vergaberechts und des Geheim schutzes bleiben unberührt.
(3) Für die Einrichtungen der Bundesverwaltung kann der Koordinator oder die Koor dinatorin für Informationssicherheit im Einvernehmen mit den Ressorts festlegen, dass sie verpflichtet sind, nach § 19 bereitgestellte IT-Sicherheitsprodukte beim Bundesamt abzuru fen. Eigenbeschaffungen sind in diesem Fall nur zulässig, wenn das spezifische Anforde rungsprofil den Einsatz abweichender Produkte erfordert. Dies gilt nicht für die in § 2 Absatz 1 Nummer 20 genannten Gerichte und Verfassungsorgane sowie die Aus landsinformations- und -kommunikationstechnik gemäß § 7 Absatz 5.
§ 45
Informationssicherheitsbeauftragte der Einrichtungen der Bundesverwaltung
(1) Die Leitungen von Einrichtungen der Bundesverwaltung bestellen jeweils eine In formationssicherheitsbeauftragte oder einen Informationssicherheitsbeauftragten sowie mindestens eine zur Vertretung berechtigte Person.
(2) [Für die Erfüllung ihrer Aufgaben sind bedarfsgerechte finanzielle, personelle und Sachmittel zur Verfügung zu stellen, die sie zur Erfüllung ihrer Aufgaben eigenständig ver walten]. Die Informationssicherheitsbeauftragen der Einrichtungen müssen die zur Erfül lung ihrer Aufgaben erforderliche Fachkunde erwerben. Sie sowie ihre Vertreter unterste hen der Fachaufsicht des oder der jeweils zuständigen Informationssicherheitsbeauftragten des Ressorts.
(3) Die Informationssicherheitsbeauftragten sind für den Aufbau und die Aufrechter haltung des Informationssicherheitsprozesses der Einrichtung zuständig. Sie erstellen ein Informationssicherheitskonzept, welches mindestens die Vorgaben des Bundesamtes nach § 44 Absatz 1 erfüllt. Sie wirken auf die operative Umsetzung des Informationssicherheits konzepts hin und kontrollieren diese innerhalb der Einrichtung. Die Informationssicherheits beauftragen beraten die Einrichtungsleitung in allen Fragen der Informationssicherheit und unterrichten die Einrichtungsleitung sowie den oder die jeweils zuständige Informationssi cherheitsbeauftragte des Ressorts regelmäßig sowie anlassbezogen über ihre Tätigkeit, über den Stand der Informationssicherheit innerhalb der Einrichtung, über die [angemes sene] Mittel- und Personalausstattung sowie über Sicherheitsvorfälle.
(4) Die Informationssicherheitsbeauftragten der Einrichtungen sind bei allen Maßnah men zu beteiligen, die die Informationssicherheit der Einrichtung betreffen. Sie haben ein unmittelbares Vortragsrecht bei der jeweiligen Einrichtungsleitung sowie bei dem oder der Informationssicherheitsbeauftragten des jeweils zuständigen Ressorts.
§ 46
Informationssicherheitsbeauftragte der Ressorts
(1) Die Ressortleitungen sowie die Leitungen weiterer oberster Bundesbehörden mit Geschäftsbereich bestellen jeweils eine Informationssicherheitsbeauftragte oder einen In formationssicherheitsbeauftragten des Ressorts, der oder dem unter Berücksichtigung der Belange des IT-Betriebs die Steuerung und Überwachung des Informationssicherheitsma nagements innerhalb des Ressorts bzw. innerhalb der obersten Bundesbehörde und ihres Geschäftsbereichs obliegt, sowie mindestens eine zur Vertretung berechtigte Person. Er oder sie wirkt auf eine angemessene Umsetzung der Informationssicherheit in ihrem oder seinem Ressort hin.
(2) [Für die Erfüllung seiner oder ihrer Aufgaben sind bedarfsgerechte finanzielle, per sonelle und Sachmittel zur Verfügung zu stellen, die der oder die Informationssicherheits beauftragte des Ressorts zur Erfüllung seiner oder ihrer Aufgaben eigenständig verwaltet.] Der oder die Informationssicherheitsbeauftragte des Ressorts muss die zur Erfüllung seiner
oder ihrer Aufgaben erforderliche Fachkunde besitzen.
(3) Der oder die Informationssicherheitsbeauftragte koordiniert jeweils die Fortschrei bung von Informationssicherheitsleitlinien für sein oder ihr Ressort. Er oder sie unterrichtet die Ressortleitung über seine oder ihre Tätigkeit und über den Stand der Informationssi cherheit innerhalb des Ressorts, über die [angemessene] Mittel- und Personalausstattung sowie über Sicherheitsvorfälle. In begründeten Einzelfällen kann der Informationssicher heitsbeauftragte des Ressorts im Benehmen mit dem oder der jeweiligen IT-Beauftragten
des Ressorts den Einsatz bestimmter IT-Produkte in Einrichtungen der Bundesverwaltung innerhalb des jeweiligen Ressorts ganz oder teilweise untersagen. Über eine Untersagung ist der Koordinator oder die Koordinatorin für Informationssicherheit zu unterrichten.
(4) Der oder die Informationssicherheitsbeauftragte des Ressorts kann im Benehmen mit dem Koordinator oder der Koordinatorin für Informationssicherheit Einrichtungen der Bundesverwaltung innerhalb des Ressorts von Verpflichtungen nach diesem Teil teilweise oder insgesamt durch Erteilung eines Ausnahmebescheides befreien. Voraussetzung hier
für ist, dass sachliche Gründe für die Erteilung einer Ausnahme vorliegen und durch die Befreiung keine nachteiligen Auswirkungen für die Informationssicherheit des Bundes zu befürchten sind. Über erteilte Ausnahmebescheide ist das Bundesamt zu unterrichten. Satz 1 gilt nicht, wenn die jeweilige Einrichtung der Bundesverwaltung die Voraussetzungen des § 28 Absatz 1 Satz 1 oder § 28 Absatz 2 Satz 1 erfüllt.
(5) Der oder die Informationssicherheitsbeauftragte des Ressorts ist bei allen Geset zes-, Verordnungs- und sonstigen wichtigen Vorhaben innerhalb des Ressorts zu beteili gen, soweit diese Fragen der Informationssicherheit berühren. Er oder sie hat ein unmittel bares Vortragsrecht bei der jeweiligen Ressortleitung sowie bei dem Koordinator oder der
Koordinatorin für Informationssicherheit.
§ 47
Wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes
(1) Für die Planung und Umsetzung von wesentlichen Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes sind eigene Informationssicherheitsbeauf tragte nach § 45 zu bestellen. Digitalisierungsvorhaben oder Kommunikationsinfrastruktu ren des Bundes sind insbesondere dann wesentlich, wenn dabei Kommunikationstechnik des Bundes ressortübergreifend betrieben wird oder der ressortübergreifenden Kommuni kation oder dem ressortübergreifenden Datenaustausch dient. Soweit bei ressortübergrei fenden Digitalisierungsvorhaben oder Kommunikationsinfrastrukturen eine Bestellung durch Einrichtungen in verschiedenen beteiligten Ressorts und weiteren obersten Bundes behörden in Betracht kommt und Einvernehmen darüber nicht innerhalb einer angemesse nen Frist hergestellt werden kann, entscheidet der Koordinator oder die Koordinatorin für Informationssicherheit, durch welche Einrichtung die Bestellung erfolgt. Die Informationssi cherheitsbeauftragten nach Satz 1 unterstehen in einer obersten Bundesbehörde der Ein richtungsleitung und in einer nachgeordneten Behörde der Fachaufsicht des oder der je weils zuständigen Informationssicherheitsbeauftragten des Ressorts.
(2) [Zur Gewährleistung der Informationssicherheit bei der Planung und Umsetzung von wesentlichen Digitalisierungsvorhaben sind bedarfsgerechte Mittel für die Informations sicherheit einzusetzen.] Die jeweils verantwortliche Einrichtung soll das Bundesamt früh zeitig beteiligen und dem Bundesamt Gelegenheit zur Stellungnahme geben.
§ 48
Amt des Koordinators für Informationssicherheit
Die Bundesregierung bestellt eine Koordinatorin oder einen Koordinator für Informati onssicherheit.
§ 49
Aufgaben des Koordinators
Dem Koordinator oder der Koordinatorin für Informationssicherheit obliegt die zentrale Koordinierung des Informationssicherheitsmanagements des Bundes. Zu diesem Zweck erhält er unter Berücksichtigung der Ergebnisse der Kontrollen nach § 7 einen Überblick über die Informationssicherheitslage in der Bundesverwaltung. Er oder sie koordiniert die Erstellung und Aktualisierung von Informationssicherheitsleitlinien des Bundes und unter
stützt die Ressorts bei der Umsetzung der Vorgaben zur Informationssicherheit. Dabei wirkt er oder sie auf ein angemessenes Verhältnis zwischen dem Einsatz von Informationstech nik und Informationssicherheit hin. Bei der Fortschreibung der Informationssicherheitsleitli nien des Bundes berücksichtigt er oder sie die Erfahrungen aus der Unterstützung der Res sorts.
§ 50
Befugnisse des Koordinators
(1) Zur Wahrnehmung der Aufgaben nach § 49 informieren die Ressorts den Koordi nator oder die Koordinatorin für Informationssicherheit über alle Gesetzes-, Verordnungs und sonstigen wichtigen Vorhaben, soweit sie Fragen der Informationssicherheit berühren. Er oder sie kann der Bundesregierung Vorschläge machen und Stellungnahmen zuleiten. Die Ressorts unterstützen den Koordinator oder die Koordinatorin bei der Erfüllung seiner oder ihrer Aufgaben.
(2) Zur Wahrnehmung seiner oder ihrer Aufgaben hat der Koordinator oder die Koor dinatorin ein direktes Vortragsrecht vor dem Ausschuss für Inneres und Heimat und dem Haushaltsausschuss des Deutschen Bundestages zu allen Themen der Informationssicher heit in Einrichtungen der Bundesverwaltung.
(3) Der Koordinator oder die Koordinatorin kann im Benehmen mit dem oder der In formationssicherheitsbeauftragten des jeweils zuständigen Ressorts Einrichtungen anwei sen, innerhalb von drei Monaten nach der Vorlage der Ergebnisse von Kontrollen gemäß § 7 ein Sofortprogramm vorzulegen, welches die Einhaltung der Anforderungen innerhalb einer angemessenen Umsetzungsfrist sichert.
T e i l 4
D a t e n b a n k e n d e r D o m a i n - N a m e - R e g i s t r i e r u n g s d a - ten
§ 51
Pflicht zum Führen einer Datenbank
(1) Um einen Beitrag zur Sicherheit, Stabilität und Resilienz des Domain Name Sys tems zu leisten, sind Top Level Domain Name Registries und Domain-Name-Registry Dienstleister verpflichtet, genaue und vollständige Domain-Namen-Registrierungsdaten in einer eigenen Datenbank im Einklang mit dem Datenschutzrecht in Bezug auf personenbe zogene Daten mit der gebotenen Sorgfalt zu sammeln und zu pflegen.
(2) Die Datenbank hat die erforderlichen Angaben zu enthalten, anhand derer die In haber der Domain-Namen und die Kontaktstellen, die die Domain-Namen im Rahmen der TLD verwalten, identifiziert und kontaktiert werden können. Diese Angaben müssen Fol gendes umfassen:
1. den Domain-Namen;
2. das Datum der Registrierung;
3. den Namen des Domain-Inhabers, seine E-Mail-Adresse und Telefonnummer;
4. die Kontakt-E-Mail-Adresse und die Telefonnummer der Anlaufstelle, die den Domain Namen verwaltet, falls diese sich von denen des Domain-Inhabers unterscheiden.
(3) Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister sind verpflichtet, Vorgaben und Verfahren, einschließlich Überprüfungsverfahren, vorzuhalten, mit denen sichergestellt wird, dass die Datenbank genaue und vollständige Angaben ent hält. Diese Vorgaben und Verfahren sind öffentlich zugänglich zu machen.
(4) Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister sind verpflichtet, unverzüglich nach der Registrierung eines Domain-Namens die nicht perso nenbezogenen Domain-Namen-Registrierungsdaten öffentlich zugänglich zu machen.
§ 52
Verpflichtung zur Zugangsgewährung
(1) Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister sind verpflichtet,
1. einem berechtigten Zugangsnachfrager auf rechtmäßigen und hinreichend begründe ten Antrag im Einklang mit dem Datenschutzrecht Zugang zu bestimmten Domain-Na men-Registrierungsdaten zu gewähren und
2. alle Anträge auf Zugang unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Eingang eines Antrags auf Zugang zu beantworten.
(2) Die in Absatz 1 genannten Vorgaben und Verfahren im Hinblick auf die Offenle gung der Domain-Namen-Registrierungsdaten sind öffentlich zugänglich zu machen. Das Auskunftsverfahren bei Bestandsdaten gemäß § 22 des Telekommunikation-Telemedien Datenschutz-Gesetzes bleibt unberührt.
§ 53
Kooperationspflicht
Um zu vermeiden, dass die Einhaltung der in § 51 und § 52 festgelegten Verpflichtun gen zu einer doppelten Erhebung von Domain-Namen-Registrierungsdaten führt, sind Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister insoweit zur Ko operation verpflichtet.
T e i l 5
Zertifizierung und Kennzeichen
§ 54
Zertifizierung
(1) Das Bundesamt ist nationale Zertifizierungsstelle der Bundesverwaltung für IT-Si cherheit.
(2) Für bestimmte Produkte oder Leistungen kann beim Bundesamt eine Sicherheits oder Personenzertifizierung oder eine Zertifizierung als IT-Sicherheitsdienstleister bean tragt werden. Die Anträge werden in der zeitlichen Reihenfolge ihres Eingangs bearbeitet; hiervon kann abgewichen werden, wenn das Bundesamt wegen der Anzahl und des Um fangs anhängiger Prüfungsverfahren eine Prüfung in angemessener Zeit nicht durchführen kann und an der Erteilung eines Zertifikats ein öffentliches Interesse besteht. Der Antrag steller hat dem Bundesamt die Unterlagen vorzulegen und die Auskünfte zu erteilen, deren Kenntnis für die Prüfung und Bewertung des Systems oder der Komponente oder der Eig nung der Person sowie für die Erteilung des Zertifikats erforderlich ist.
(3) Die Prüfung und Bewertung können durch vom Bundesamt anerkannte sachver ständige Stellen erfolgen.
(4) Das Sicherheitszertifikat wird erteilt, wenn
1. informationstechnische Systeme, Komponenten, Produkte oder Schutzprofile den vom Bundesamt festgelegten Kriterien entsprechen und
2. das Bundesministerium des Innern und für Heimat die Erteilung des Zertifikats nicht nach Absatz 5 untersagt hat.
Vor Erteilung des Sicherheitszertifikats legt das Bundesamt den Vorgang dem Bundesmi nisterium des Innern und für Heimat zur Prüfung nach Absatz 5 vor.
(5) Das Bundesministerium des Innern und für Heimat kann eine Zertifikatserteilung nach Absatz 4 im Einzelfall untersagen, wenn überwiegende öffentliche Interessen, insbe sondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung ent gegenstehen.
(6) Für die Zertifizierung von Personen und IT-Sicherheitsdienstleistern gilt Absatz 4 entsprechend.
(7) Eine Anerkennung nach Absatz 3 wird erteilt, wenn
1. die sachliche und personelle Ausstattung sowie die fachliche Qualifikation und Zuver lässigkeit der Konformitätsbewertungsstelle den vom Bundesamt festgelegten Kriterien entsprechen und
2. das Bundesministerium des Innern und für Heimat festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
Das Bundesamt stellt durch die notwendigen Maßnahmen sicher, dass das Fortbestehen der Voraussetzungen nach Satz 1 regelmäßig überprüft wird.
(8) Sicherheitszertifikate anderer anerkannter Zertifizierungsstellen aus dem Bereich der Europäischen Union werden vom Bundesamt anerkannt, soweit sie eine den Sicher heitszertifikaten des Bundesamtes gleichwertige Sicherheit ausweisen und die Gleichwer tigkeit vom Bundesamt festgestellt worden ist.
§ 55
Konformitätsbewertung und Konformitätserklärung
(1) Das Bundesamt kann für die vom Bundesamt in einer Technischen Richtlinie fest gelegten Anforderungen und Vorgaben die Durchführung einer Selbstbewertung der Kon formität unter der alleinigen Verantwortung des Herstellers oder Anbieters von IKT-Produk ten, -Diensten und -Prozessen, einer Person oder einem IT-Sicherheitsdienstleisters, die
keine Verbraucherprodukte nach § 57 sind, zulassen. Der Hersteller oder Anbieter von IKT Produkten, -Diensten und -Prozessen, die Person oder der IT-Sicherheitsdienstleister kann unter den Voraussetzungen von Satz 1 eine Konformitätserklärung ausstellen, die bestätigt, dass die Erfüllung der in der Technischen Richtlinie festgelegten Anforderungen nachge wiesen wurde. Durch die Ausstellung einer solchen Erklärung übernimmt der Hersteller o der Anbieter der IKT-Produkte, -Dienste und -Prozesse, die Person oder der IT-Sicherheits dienstleister (Aussteller) die Verantwortung dafür, dass das IKT-Produkt, der IKT-Dienst, der IKT-Prozess, die Person oder die IT-Sicherheitsdienstleistung der Technischen Richtli nie festgelegten Anforderungen entspricht.
(2) Die Technische Richtlinie nach Absatz 1 kann insbesondere Vorgaben enthalten, über
1. den Inhalt und das Format der Konformitätserklärung,
2. Nachweise und Verfahren, die die Angaben der Konformitätserklärung belegen,
3. die Bedingungen für die Aufrechterhaltung, Fortführung und Verlängerung der Konfor mitätserklärung,
4. die Verwendung eines vom Bundesamt bereitgestellten Kennzeichens und Siegel so wie die Bedingungen für dessen Verwendung,
5. die Meldung und Behandlung erkannter Cybersicherheitslücken des IKT-Produktes, - Dienstes oder -Prozesses oder der IT-Sicherheitsdienstleistung,
6. die Bereitstellung von Informationen auf der Internetseite des Bundesamtes über die Konformitätserklärung, dessen Aussteller und das IKT-Produkt, den -Dienst, den -Pro zess, die Person oder die IT-Sicherheitsdienstleistung oder
7. die Befristung der Konformitätserklärung.
(3) Wird in den Vorgaben nach Absatz 2 festgelegt, dass die Angaben der Konformi tätserklärung nur durch eine akkreditierte Konformitätsbewertungsstelle belegt werden kann, so kann das Bundesamt auf Antrag Konformitätsbewertungsstellen, die im Anwen dungsbereich dieses Paragraphen tätig werden, eine Befugnis erteilen, als solche tätig zu werden, wenn die maßgeblichen Voraussetzungen der Technischen Richtlinie erfüllt sind. Ohne eine Befugniserteilung durch das Bundesamt dürfen Konformitätsbewertungsstellen im Anwendungsbereich dieses Paragraphen nicht tätig werden.
(4) Der Aussteller hält die Konformitätserklärung, die technische Dokumentation und alle weiteren einschlägigen Informationen in Bezug auf die Konformität der IKT-Produkte, - Dienste, der Person oder der IT-Sicherheitsdienstleistung mit den festgelegten Kriterien
während eines Zeitraums, der vom Bundesamt in der Technischen Richtlinie nach Absatz 1 festgelegt wurde, für das Bundesamt bereit. Eine Kopie der Konformitätserklärung ist dem Bundesamt vorzulegen.
(5) Das Bundesamt kann geeignete Maßnahmen ergreifen, um sicherzustellen, dass die Aussteller von Konformitätserklärungen den Anforderungen des Schemas und den Vor gaben dieses Paragraphen genügen und insbesondere
1. Aussteller von Konformitätserklärungen auffordern, ihm sämtliche Auskünfte zu ertei len, die es für die Erfüllung ihrer Aufgaben benötigt,
2. Untersuchungen in Form von Testkäufen oder Audits bei den Ausstellern von Konfor mitätserklärungen durchführen, um deren Einhaltung der in der Technischen Richtlinie festgelegten Anforderungen und Vorgaben nach Absatz 1 zu überprüfen und
3. Konformitätserklärungen nach Absatz 1 für ungültig erklären.
(6) Für Maßnahmen nach Absatz 4 kann das Bundesamt Gebühren erheben, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen der Technischen Richtlinie oder dieses Paragraphen begründeten.
§ 56
Nationale Behörde für die Cybersicherheitszertifizierung
(1) Das Bundesamt ist die nationale Behörde für die Cybersicherheitszertifizierung nach Artikel 58 Absatz 1 der Verordnung (EU) 2019/881.
(2) Das Bundesamt kann auf Antrag Konformitätsbewertungsstellen, die im Anwen dungsbereich der Verordnung (EU) 2019/881 sowie des § 54 dieses Gesetzes tätig werden, eine Befugnis erteilen, als solche tätig zu werden, wenn die Voraussetzungen des maßgeb lichen europäischen Schemas für die Cybersicherheitszertifizierung nach Artikel 54 der Ver ordnung (EU) 2019/881 oder des § 54 dieses Gesetzes erfüllt sind. Ohne eine Befugniser teilung durch das Bundesamt dürfen Konformitätsbewertungsstellen im Anwendungsbe reich der Verordnung (EU) 2019/881 nicht tätig werden.
(3) Soweit dies zur Erfüllung seiner Aufgaben nach Artikel 58 Absatz 7 der Verord nung (EU) 2019/881 und nach § 54 dieses Gesetzes erforderlich ist, kann das Bundesamt von Konformitätsbewertungsstellen, denen eine Befugnis nach Absatz 2 erteilt wurde, von Inhabern europäischer Cybersicherheitszertifikate und von Ausstellern von EU-Konformi tätserklärungen im Sinne von Artikel 56 Absatz 8 der Verordnung (EU) 2019/881 die erfor derlichen Auskünfte und sonstige Unterstützung, insbesondere die Vorlage von Unterlagen oder Mustern, verlangen. § 3 Absatz 1 Satz 1 und 3 des Akkreditierungsstellengesetzes gilt entsprechend.
(4) Das Bundesamt kann Untersuchungen in Form von Auditierungen nach Artikel 58 Absatz 8 Buchstabe b der Verordnung (EU) 2019/881 bei Konformitätsbewertungsstellen, denen eine Befugnis nach Absatz 2 erteilt wurde, bei Inhabern europäischer Cybersicher heitszertifikate und bei Ausstellern von EU-Konformitätserklärungen im Sinne von Artikel 56 Absatz 8 der Verordnung (EU) 2019/881 durchführen, um die Einhaltung der Bestimmun gen des Titels III der Verordnung (EU) 2019/881 zu überprüfen. § 3 Absatz 1 Satz 1 bis 3 des Akkreditierungsstellengesetzes gilt entsprechend.
(5) Das Bundesamt ist befugt, Betriebsstätten, Geschäfts- und Betriebsräume von Konformitätsbewertungsstellen, denen eine Befugnis nach Absatz 2 erteilt wurde, und von
Inhabern europäischer Cybersicherheitszertifikate im Sinne von Artikel 56 Absatz 8 der Ver ordnung (EU) 2019/881 in den Zeiten, zu denen die Räume normalerweise für die jeweilige geschäftliche oder betriebliche Nutzung zur Verfügung stehen, zu betreten, zu besichtigen und zu prüfen, soweit dies zur Erfüllung seiner Aufgaben nach Artikel 58 Absatz 7 der Ver ordnung (EU) 2019/881 sowie nach § 54 dieses Gesetzes erforderlich ist. § 3 Absatz 1 Satz 1 bis 3 des Akkreditierungsstellengesetzes gilt entsprechend.
(6) Das Bundesamt kann von ihm ausgestellte Cybersicherheitszertifikate oder durch eine Konformitätsbewertungsstelle, der eine Befugnis nach Absatz 2 erteilt wurde, nach Ar tikel 56 Absatz 6 der Verordnung (EU) 2019/881 ausgestellte Cybersicherheitszertifikate widerrufen oder EU-Konformitätserklärungen im Sinne der Verordnung (EU) 2019/881 für ungültig erklären,
1. sofern diese Zertifikate oder EU-Konformitätserklärungen die Anforderungen nach der Verordnung (EU) 2019/881 oder eines europäischen Schemas für die Cybersicher heitszertifizierung nach Artikel 54 der Verordnung (EU) 2019/881 nicht erfüllen oder
2. wenn das Bundesamt die Erfüllung nach Nummer 1 nicht feststellen kann, weil der In haber des europäischen Cybersicherheitszertifikats oder der Aussteller der EU-Konfor mitätserklärung seinen Mitwirkungspflichten nach Absatz 3 nicht nachgekommen ist o der weil dieser das Bundesamt bei der Wahrnehmung seiner Befugnisse nach Absatz 4
oder im Falle eines Inhabers eines europäischen Cybersicherheitszertifikats auch nach Absatz 5 behindert hat.
(7) Das Bundesamt kann von ihm erteilte Befugnisse nach Absatz 2 widerrufen,
1. sofern die Voraussetzungen des maßgeblichen europäischen Schemas für die Cyber sicherheitszertifizierung nach Artikel 54 Verordnung (EU) 2019/881 oder des § 54 die ses Gesetzes nicht erfüllt sind oder
2. wenn das Bundesamt die Erfüllung dieser Voraussetzungen nicht feststellen kann, weil die Konformitätsbewertungsstelle ihren Mitwirkungspflichten nach Absatz 3 nicht nach gekommen ist oder weil diese das Bundesamt bei der Wahrnehmung seiner Befug nisse nach den Absätzen 4 und 5 behindert hat.
§ 57
Freiwilliges IT-Sicherheitskennzeichen
(1) Das Bundesamt führt zur Information von Verbrauchern über die IT-Sicherheit von Produkten bestimmter vom Bundesamt festgelegter Produktkategorien ein einheitliches IT Sicherheitskennzeichen ein. Das IT-Sicherheitskennzeichen trifft keine Aussage über die den Datenschutz betreffenden Eigenschaften eines Produktes.
(2) Das IT-Sicherheitskennzeichen besteht aus
1. einer Zusicherung des Herstellers oder Diensteanbieters, dass das Produkt für eine festgelegte Dauer bestimmte IT-Sicherheitsanforderungen erfüllt (Herstellererklärung), und
2. einer Information des Bundesamtes über sicherheitsrelevante IT-Eigenschaften des Produktes (Sicherheitsinformation).
(3) Die IT-Sicherheitsanforderungen, auf die sich die Herstellererklärung bezieht, er geben sich aus einer Norm oder einem Standard oder aus einer branchenabgestimmten IT Sicherheitsvorgabe, die die jeweilige Produktkategorie umfasst, sofern das Bundesamt in
einem Verfahren, das durch Rechtsverordnung nach § 58 Absatz 2 geregelt wird, festge stellt hat, dass die Norm oder der Standard oder die branchenabgestimmte IT-Sicherheits vorgabe geeignet ist, ausreichende IT-Sicherheitsanforderungen für die Produktkategorie abzubilden. Ein Anspruch auf diese Feststellung besteht nicht. Liegt keine Feststellung nach Satz 1 vor, ergeben sich die IT-Sicherheitsvorgaben aus einer vom Bundesamt veröf fentlichten Technischen Richtlinie, die die jeweilige Produktkategorie umfasst, sofern das Bundesamt eine solche Richtlinie bereits veröffentlicht hat. Wird ein Produkt von mehr als einer oder einem bestehenden, als geeignet festgestellten Norm, Standard, branchenabge stimmten IT-Sicherheitsvorgabe oder Technischen Richtlinie umfasst, richten sich die An forderungen nach der oder dem jeweils spezielleren bestehenden, als geeignet festgestell ten Norm, Standard, branchenabgestimmten IT-Sicherheitsvorgabe oder Technischen Richtlinie.
(4) Das IT-Sicherheitskennzeichen darf nur dann für ein Produkt verwendet werden, wenn das Bundesamt das IT-Sicherheitskennzeichen für dieses Produkt freigegeben hat. Das Bundesamt prüft die Freigabe des IT-Sicherheitskennzeichens für ein Produkt auf An trag des Herstellers oder Diensteanbieters. Dem Antrag sind die Herstellererklärung zu dem Produkt sowie alle Unterlagen beizufügen, die die Angaben in der Herstellererklärung be legen. Das Bundesamt bestätigt den Eingang des Antrags und prüft die Plausibilität der Herstellererklärung anhand der beigefügten Unterlagen. Die Plausibilitätsprüfung kann auch durch einen vom Bundesamt beauftragten qualifizierten Dritten erfolgen. Für die An tragsbearbeitung kann das Bundesamt eine Verwaltungsgebühr erheben.
(5) Das Bundesamt erteilt die Freigabe des IT-Sicherheitskennzeichens für das jewei lige Produkt, wenn
1. das Produkt zu einer der Produktkategorien gehört, die das Bundesamt durch im Bun desanzeiger veröffentlichte Allgemeinverfügung bekannt gegeben hat,
2. die Herstellererklärung plausibel und durch die beigefügten Unterlagen ausreichend belegt ist und
3. die gegebenenfalls erhobene Verwaltungsgebühr beglichen wurde.
Die Erteilung der Freigabe erfolgt schriftlich und innerhalb einer angemessenen Frist, die in der Rechtsverordnung nach § 58 Absatz 2 bestimmt wird. Den genauen Ablauf des An tragsverfahrens und die beizufügenden Unterlagen regelt die Rechtsverordnung nach § 58 Absatz 2.
(6) Hat das Bundesamt die Freigabe erteilt, ist das Etikett des IT-Sicherheitskennzei chens auf dem jeweiligen Produkt oder auf dessen Umverpackung anzubringen, sofern dies nach der Beschaffenheit des Produktes möglich ist. Das IT-Sicherheitskennzeichen kann auch elektronisch veröffentlicht werden. Wenn nach der Beschaffenheit des Produktes das Anbringen nicht möglich ist, muss die Veröffentlichung des IT-Sicherheitskennzeichens elektronisch erfolgen. Das Etikett des IT-Sicherheitskennzeichens verweist auf eine Inter netseite des Bundesamtes, auf der die Herstellererklärung und die Sicherheitsinformatio nen abrufbar sind. Das genaue Verfahren und die Gestaltung des Verweises sind in der Rechtsverordnung nach § 58 Absatz 2 festzulegen.
(7) Nach Ablauf der festgelegten Dauer, für die der Hersteller oder Diensteanbieter die Erfüllung der IT-Sicherheitsanforderungen zusichert, oder nach Rücknahmeerklärung des Herstellers oder Diensteanbieters gegenüber dem Bundesamt erlischt die Freigabe. Das Bundesamt nimmt einen Hinweis auf das Erlöschen der Freigabe in die Sicherheitsin
formation auf.
(8) Das Bundesamt kann prüfen, ob die Anforderungen an die Freigabe des IT-Sicher heitskennzeichens für ein Produkt eingehalten werden. Werden bei der Prüfung Abwei chungen von der abgegebenen Herstellererklärung oder Schwachstellen festgestellt, kann
das Bundesamt die geeigneten Maßnahmen zum Schutz des Vertrauens der Verbraucher in das IT-Sicherheitskennzeichen treffen, insbesondere
1. Informationen über die Abweichungen oder Schwachstellen in geeigneter Weise in der Sicherheitsinformation veröffentlichen oder
2. die Freigabe des IT-Sicherheitskennzeichens widerrufen.
Absatz 7 Satz 2 gilt entsprechend.
(9) Bevor das Bundesamt eine Maßnahme nach Absatz 8 trifft, räumt es dem Herstel ler oder Diensteanbieter die Gelegenheit ein, die festgestellten Abweichungen oder Schwachstellen innerhalb eines angemessenen Zeitraumes zu beseitigen, es sei denn, ge wichtige Gründe der Sicherheit der Produkte erfordern eine sofortige Maßnahme. Die Be fugnis des Bundesamtes zur Warnung nach § 13 bleibt davon unberührt.
T e i l 6
V e r o r d n u n g s e r m ä c h t i g u n g e n , G r u n d r e c h t s e i n - s c h r ä n k u n g e n u n d B e r i c h t s p f l i c h t e n
§ 58
Ermächtigung zum Erlass von Rechtsverordnungen
(1) Das Bundesministerium des Innern und für Heimat bestimmt nach Anhörung der betroffenen Wirtschaftsverbände und im Einvernehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz durch Rechtsverordnung, die nicht der Zustimmung des Bun desrates bedarf, das Nähere über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen nach § 54 und deren Inhalt.
(2) Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord nung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Digitales und Ver kehr und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Ver braucherschutz die Einzelheiten der Gestaltung, des Inhalts und der Verwendung des IT Sicherheitskennzeichens nach § 52, um eine einheitliche Gestaltung des Kennzeichens und eine eindeutige Erkennbarkeit der gekennzeichneten informationstechnischen Pro dukte zu gewährleisten, sowie die Einzelheiten des Verfahrens zur Feststellung der Eig nung branchenabgestimmter IT-Sicherheitsvorgaben und des Antragsverfahrens auf Frei gabe einschließlich der diesbezüglichen Fristen und der beizufügenden Unterlagen sowie das Verfahren und die Gestaltung des Verweises auf Sicherheitsinformationen.
(3) Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord nung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Einrichtungen und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz, dem Bun desministerium der Finanzen, dem Bundesministerium der Justiz, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium der Verteidigung, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundes ministerium für Digitales und Verkehr, dem Bundesministerium für Bildung und Forschung und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbrau cherschutz, welche durch eine besonders wichtige Einrichtung oder eine wichtige Einrich tung eingesetzten Produkte, Dienste oder Prozesse gemäß § 30 Absatz 6 über eine
Cybersicherheitszertifizierung verfügen müssen, da sie für die Erbringung der Dienste der Einrichtung maßgeblich sind und Art und Ausmaß der Risikoexposition der Einrichtung ei nen verpflichtenden Einsatz von zertifizierten Produkten, Diensten oder Prozessen in die sem Bereich erforderlich machen.
(4) Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord nung, die nicht der Zustimmung des Bundesrates bedarf, im Einvernehmen mit dem Bun desministerium für Wirtschaft und Klimaschutz, dem Bundesministerium der Finanzen, dem Bundesministerium der Justiz, dem Bundesministerium für Arbeit und Soziales, dem Bun desministerium der Verteidigung, dem Bundesministerium für Ernährung und Landwirt schaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Digitales und Verkehr und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Ver braucherschutz unter Festlegung der in § 28 Absatz 7 genannten Sektoren wegen ihrer Be deutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehen den Versorgungsgrads, welche Anlagen als kritische Anlagen im Sinne dieses Gesetzes gelten. Der als bedeutend anzusehende Versorgungsgrad ist anhand branchenspezifischer Schwellenwerte für jede als kritisch anzusehende Dienstleistung zu bestimmen. Zugang zu Akten, die die Erstellung oder Änderung dieser Verordnung betreffen, wird nicht gewährt.
§ 59
Einschränkung von Grundrechten
Das Fernmeldegeheimnis (Artikel 10 des Grundgesetzes) wird durch die §§ 7, 8, 9, 11, 12, 15 und 16 eingeschränkt.
§ 60
Berichtspflichten des Bundesamtes
(1) Das Bundesamt unterrichtet das Bundesministerium des Innern und für Heimat über seine Tätigkeit.
(2) Die Unterrichtung nach Absatz 1 dient auch der Aufklärung der Öffentlichkeit durch das Bundesministerium des Innern und für Heimat über Gefahren für die Sicherheit in der Informationstechnik, die mindestens einmal jährlich in einem zusammenfassenden Bericht erfolgt. § 13 Absatz 2 ist entsprechend anzuwenden.
(3) Das Bundesministerium des Innern und für Heimat unterrichtet kalenderjährlich je weils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Ausschuss für Inneres und Heimat des Deutschen Bundestages über die Anwendung dieses Gesetzes. Es geht dabei auch auf die Fortentwicklung des maßgeblichen Unionsrechts ein.
(4) Das Bundesamt übermittelt bis zum 9. November 2018 und danach alle zwei Jahre bis zum 17. Oktober 2024 die folgenden Informationen an die Europäische Kommission:
1. die nationalen Maßnahmen zur Ermittlung der Betreiber kritischer Anlagen;
2. eine Aufstellung der im in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren, die in der Rechtsverordnung nach § 58 Absatz 4 wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versor gungsgrad;
3. eine zahlenmäßige Aufstellung der Einrichtungen der in Nummer 2 genannten Sekto ren, die in den in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren ermittelt werden, einschließlich eines Hinweises auf ihre Bedeutung für den jeweiligen Sektor.
Die Übermittlung darf keine Informationen enthalten, die zu einer Identifizierung einzelner Betreiber führen können. Das Bundesamt übermittelt die nach Satz 1 übermittelten Infor mationen unverzüglich dem Bundesministerium des Innern und für Heimat, dem Bundes kanzleramt, dem Bundesministerium für Wirtschaft und Klimaschutz, dem Bundesministe rium der Finanzen, dem Bundesministerium der Justiz, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium der Verteidigung, dem Bundesministerium für Er nährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministe rium für Digitales und Verkehr und dem Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit und Verbraucherschutz.
(5) Sobald bekannt wird, dass eine Einrichtung oder Anlage nach § 2 Absatz 1 Nummer 21 oder Teile einer Einrichtung oder Anlage eine wegen ihrer Bedeu tung als kritisch anzusehenden Dienstleistung in einem der in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren in einem anderen Mitgliedstaat der Europäischen Union bereitstellt, nimmt das Bundesamt zum Zweck der gemeinsamen Ermittlung der Einrichtun gen, die kritische Dienstleistungen in den in Anhang II der Richtlinie (EU) 2016/1148 ge nannten Teilsektoren erbringen, mit der zuständigen Behörde dieses Mitgliedstaats Kon sultationen auf.
(6) Das Bundesamt übermittelt bis zum 9. August 2018 und danach jährlich bis zum Berichtszeitraum Kalenderjahr 2023 an die Kooperationsgruppe nach Artikel 11 der Richt linie (EU) 2016/1148 einen zusammenfassenden Bericht zu den Meldungen, die die in An hang II der Richtlinie (EU) 2016/1148 genannten Sektoren oder digitale Dienste betreffen. Der Bericht enthält auch die Zahl der Meldungen und die Art der gemeldeten Sicherheits vorfälle sowie die ergriffenen Maßnahmen. Der Bericht darf keine Informationen enthalten, die zu einer Identifizierung einzelner Meldungen oder einzelner Einrichtungen führen kön nen.
(7) Das Bundesamt legt der ENISA erstmalig zum 18. Januar 2025 und in der Folge alle drei Monate einen zusammenfassenden Bericht vor, der anonymisierte und aggregierte Daten zu erheblichen Sicherheitsvorfällen, erheblichen Cyberbedrohungen und Beinahe vorfällen enthält, die gemäß § 32 und § 5 Absatz 2 gemeldet wurden. Der erstmalige Be richt nach Satz 1 enthält auch die Daten, die für das Jahr 2024 gemäß Absatz 6 übermitteln zu gewesen wären.
(8) Das Bundesamt übermittelt erstmalig zum 17. April 2025 und in der Folge alle zwei Jahre
1. der Europäischen Kommission und der Kooperationsgruppe nach Artikel 14 der NIS2- Richtlinie für jeden Sektor und Teilsektor gemäß Anhang I oder II der NIS2-Richtlinie die Anzahl der besonders wichtigen Einrichtungen und wichtigen Einrichtungen, die gemäß § 33 Absatz 1 registriert wurden, und
2. der Europäischen Kommission sachdienliche Informationen über die Anzahl der kriti schen Anlagen, über den Sektor und den Teilsektor gemäß Anhang I oder II der NIS 2-Richtlinie, zu dem sie gehören, über die Art der von ihnen erbrachten Dienste und über die Bestimmungen, auf deren Grundlage sie ermittelt wurden.
T e i l 7
S a n k t i o n s v o r s c h r i f t e n u n d A u f s i c h t
§ 61
Bußgeldvorschriften
(1) Ordnungswidrig handelt, wer entgegen § 39 Absatz 1 Satz 1 in Verbindung mit der Rechtsverordnung nach § 58 Absatz 4 Satz 1 einen Nachweis nicht richtig oder nicht voll ständig erbringt.
(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1. einer vollziehbaren Anordnung nach
a) § 11 Absatz 6, § 16 Absatz 1 Satz 1, auch in Verbindung mit § 16 Absatz 3, § 17 Satz 1, oder § 39 Absatz 1 Satz 6,
b) § 14 Absatz 2 Satz 1 oder § 65 Absatz 8 oder in Verbindung mit § 66, c) § 18 oder § 65 Absatz 6 Satz 1 und 2 oder in Verbindung mit § 66, d) § 40 Absatz 4 Satz 1,
e) § 65 Absatz 3 Satz 1 oder in Verbindung mit § 66,
f) § 65 Absatz 7 Satz 2 oder in Verbindung mit § 66,
zuwiderhandelt,
2. entgegen § 30 Absatz 1 in Verbindung mit einer Rechtsverordnung nach § 58 Absatz 4 Satz 1 eine dort genannte Maßnahme nicht, nicht richtig, nicht vollstän dig oder nicht rechtzeitig ergreift,
3. entgegen § 32 Absatz 1 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt,
4. entgegen § 33 Absatz 1 oder 2, jeweils in Verbindung mit einer Rechtsverordnung nach § 58 Absatz 4 Satz 1, oder entgegen § 34 Absatz 1 eine Angabe oder Änderung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt,
5. entgegen § 33 Absatz 2 Satz 2 nicht sicherstellt, dass er erreichbar ist,
6. entgegen § 34 Absatz 2 das Bundesamt nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet,
7. entgegen § 39 Absatz 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 58 Absatz 4 Satz 1 einen Nachweis nicht oder nicht rechtzeitig erbringt,
8. entgegen § 51 Absatz 1 gegenüber dem Bundesamt nicht vorweisen kann, dass er eine vollständige Datenbank vorhält oder entgegen § 52 Absatz 1 auf Anträge nicht oder nicht rechtzeitig antwortet oder den Zugang gewährt oder entgegen § 51 Absatz 3 und 4, § 52 Absatz 2 Satz 1 die erforderlichen Angaben nicht öffentlich macht,
9. vorgibt, Inhaber einer Zertifizierung nach § 54 Absatz 2 zu sein, ohne dass diese be steht,
10. vorgibt Aussteller einer Konformitätserklärung nach § 55 Absatz 1 zu sein, obwohl diese nicht besteht, widerrufen oder für ungültig erklärt wurde,
11. entgegen § 55 Absatz 3 Satz 2 als Konformitätsbewertungsstelle tätig wird, 12. entgegen § 56 Absatz 2 Satz 2 als Konformitätsbewertungsstelle tätig wird, 13. entgegen § 57 Absatz 4 Satz 1 das IT-Sicherheitskennzeichen verwendet,
14. entgegen § 65 Absatz 5 Satz 3 das Betreten eines dort genannten Raums nicht gestat tet, eine dort genannte Unterlage nicht oder nicht rechtzeitig vorlegt, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung nicht oder nicht rechtzeitig gewährt.
(3) Ordnungswidrig handelt, wer eine in Absatz 1 bezeichnete Handlung fahrlässig begeht.
(4) Ordnungswidrig handelt, wer gegen die Verordnung (EU) 2019/881 des Europäi schen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europä ischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Infor mations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU)
Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl. L 151 vom 7.6.2019, S. 15) verstößt, indem er vorsätzlich oder fahrlässig
1. entgegen Artikel 55 Absatz 1 eine dort genannte Angabe nicht, nicht richtig, nicht voll ständig oder nicht binnen eines Monats nach Ausstellung zugänglich macht oder
2. entgegen Artikel 56 Absatz 8 Satz 1 eine Information nicht, nicht richtig, nicht vollstän dig oder nicht unverzüglich nach Feststellung einer Schwachstelle oder Unregelmäßig keit gibt.
3. vorgibt, Inhaber eines europäischen Cybersicherheitszertifikats gemäß Artikel 56 oder Aussteller einer EU-Konformitätserklärung gemäß Artikel 53 Absatz 2 zu sein, obwohl diese nicht besteht, widerrufen oder für ungültig erklärt wurde.
(5) Die Ordnungswidrigkeit kann geahndet werden:
1. in den Fällen des Absatzes 1 und Absatzes 2 Nummer 7 Variante 1 mit einer Geldbuße bis zu zehn Millionen Euro,
2. in den Fällen des Absatzes 2 Nummer 2 und 3
a) bei besonders wichtigen Einrichtungen nach § 28 Absatz 1 Satz 1 mit einer Geld buße bis zu zehn Millionen Euro,
b) bei wichtigen Einrichtungen im Sinne des § 28 Absatz 2 Satz 1 mit einer Geldbuße bis zu sieben Millionen Euro,
3. in den Fällen des Absatzes 2 Nummer 1 Buchstabe a mit einer Geldbuße bis zu zwei Millionen Euro,
4. in den Fällen des Absatzes 2 Nummer 1 Buchstabe c, e, Nummern 4, 6,7 Variante 2, Nummern 8, 9, 10, 11 oder des Absatzes 4 mit einer Geldbuße bis zu fünfhunderttau send Euro und
5. in den Fällen des Absatzes 2 Nummer 1 Buchstabe b, d, f, Nummer 5, 12 oder des Ab satzes 3 mit einer Geldbuße bis zu einhunderttausend Euro.
In den Fällen des Satzes 1 Nummer 3 ist § 30 Absatz 2 Satz 3 des Gesetzes über Ordnungswidrigkeiten anzuwenden.
(6) Bei einer besonders wichtigen Einrichtung im Sinne des § 28 Absatz 1 Satz 1 mit einem Jahresumsatz von mehr als 500 Millionen Euro kann abweichend von Absatz 5 Satz 1 Nummer 2 Buchstabe a eine Ordnungswidrigkeit in den Fällen des Absatzes 2 Nummer 2 und 3 mit einer Geldbuße bis zu 2 Prozent des Jahresumsatzes ge
ahndet werden.
(7) Bei einer wichtigen Einrichtung im Sinne des § 28 Absatz 2 Satz 1 mit einem Jah resumsatz von mehr als 500 Millionen Euro kann abweichend von Absatz 5 Nummer 2 Buchstabe b eine Ordnungswidrigkeit in den Fällen des Absatzes 2 Nummer 2 und 3 mit einer Geldbuße bis zu 1,4 Prozent des Jahresumsatzes geahndet werden.
(8) Der Jahresumsatz im Sinne der Absätze 6 und 7 ist der gesamte weltweit getätigte Umsatz des Unternehmens, dem die besonders wichtige Einrichtung oder die wichtige Ein richtung angehört, der in dem Geschäftsjahr erzielt wurde, das dem Verstoß vorangeht.
(9) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist das Bundesamt.
(10)Verhängen die in Artikel 55 oder 56 der Verordnung (EU) 2016/679 genannten Aufsichtsbehörden gemäß Artikel 58 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679 eine Geldbuße, so darf eine weitere Geldbuße für einen Verstoß nach diesem Gesetz, der sich aus demselben Verhalten ergibt wie jener Verstoß, der Gegenstand der Geldbuße nach Artikel 58 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679 war, nicht verhängt werden.
§ 62
Zuwiderhandlungen durch Institutionen der sozialen Sicherung
Bei Zuwiderhandlungen gegen eine in § 61 Absatz 1 bis 4 genannte Vorschrift, die von Institutionen der Sozialen Sicherung begangen werden, finden die Sätze 2 bis 4 Anwen dung. Bei einer in Satz 1 genannten Zuwiderhandlung von Institutionen der Sozialen Siche rung in Trägerschaft des Bundes stellt das Bundesamt das Einvernehmen über die zu er greifenden Maßnahmen mit der für die Institution der Sozialen Sicherung zuständigen Auf sichtsbehörde her. Bei einer in Satz 1 genannten Zuwiderhandlung von Institutionen der Sozialen Sicherung in Trägerschaft der Länder informiert das Bundesamt die zuständige Aufsichtsbehörde und schlägt geeignete Maßnahmen vor. Die jeweils zuständige Aufsichts behörde informiert das Bundesamt über die Einleitung und Umsetzung von Aufsichtsmitteln und sorgt für deren Durchsetzung.
§ 63
Zuständigkeit des Bundesamtes
Das Bundesamt ist zuständige Aufsichtsbehörde für die Einhaltung der Vorschriften in Teil 3
1. durch wichtige und besonders wichtige Einrichtungen, die in der Bundesrepublik Deutschland niedergelassen sind, mit Ausnahme der in § 28 Absatz 4 und 5 genann ten Einrichtungen,
2. durch Betreiber kritischer Anlagen, deren kritische Anlagen sich auf dem Hoheitsgebiet der Bundesrepublik Deutschland befinden, mit Ausnahme der in § 28 Absatz 4 und 5 genannten Betreiber, und
3. durch Einrichtungen der Bundesverwaltung.
§ 64
Zentrale Zuständigkeit in der Europäischen Union für bestimmte Einrichtungsarten
(1) Abweichend von § 63 ist das Bundesamt für DNS-Diensteanbieter, Top Level Do main Name Registries, Domain-Name-Registry-Dienstleister, Anbieter von Cloud-Compu ting-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Content Delivery Net works, Managed Service Provider, Managed Security Service Provider sowie Anbieter von
Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netz werke nur dann zuständig, wenn diese ihre Hauptniederlassung in der Europäischen Union in der Bundesrepublik Deutschland hat. Ist dies der Fall, so ist das Bundesamt für die Ein richtung in der gesamten Europäischen Union zentral zuständig.
(2) Als Hauptniederlassung in der Europäischen Union im Sinne von Absatz 1 gilt der jenige Mitgliedstaat der Europäischen Union, in dem die Entscheidungen der Einrichtung im Zusammenhang mit den Maßnahmen zum Cybersicherheitsrisikomanagement vorwie gend getroffen werden. Kann ein solcher Mitgliedstaat nicht bestimmt werden oder werden solche Entscheidungen nicht in der Europäischen Union getroffen, so gilt als Hauptnieder lassung der Mitgliedstaat, in dem die Cybersicherheitsmaßnahmen durchgeführt werden. Kann ein solcher Mitgliedstaat nicht bestimmt werden, so gilt als Hauptniederlassung der Mitgliedstaat, in dem die betreffende Einrichtung die Niederlassung mit der höchsten Be schäftigtenzahl in der Europäischen Union hat.
(3) Hat eine Einrichtung der in Absatz 1 Satz 1 genannten Einrichtungsart keine Nie derlassung in der Europäischen Union, bietet aber Dienste innerhalb der Europäischen Union an, ist sie verpflichtet, einen Vertreter zu benennen. Der Vertreter muss in einem Mitgliedstaat der Europäischen Union niedergelassen sein, in der die Einrichtung die Dienste anbietet. Ist der Vertreter in der Bundesrepublik Deutschland niedergelassen, ist das Bundesamt für die Einrichtung zuständig. Hat eine Einrichtung der in Absatz 1 Satz 1 genannten Einrichtungsart in der Europäischen Union keinen Vertreter im Sinne dieses Ab satzes benannt, kann das Bundesamt sich für die betreffende Einrichtung zuständig erklä ren.
(4) Die Benennung eines Vertreters durch eine Einrichtung der in Absatz 1 Satz 1 ge nannten Einrichtungsart lässt rechtliche Schritte, die gegen die Einrichtung selbst eingelei tet werden könnten, unberührt.
(5) Hat das Bundesamt ein Amtshilfeersuchen eines anderen Mitgliedsstaats der Eu ropäischen Union zu einer Einrichtung der in Absatz 1 Satz 1 genannten Einrichtungsart erhalten, so ist das Bundesamt befugt, innerhalb der Grenzen dieses Ersuchens geeignete Aufsichts- und Durchsetzungsmaßnahmen in Bezug auf die betreffende Einrichtung zu er greifen, die in der Bundesrepublik Deutschland Dienste anbietet oder eine informations technisches System, Komponente oder Prozess betreibt. Satz 1 gilt entsprechend bei Amts hilfeersuchen eines anderen Mitgliedsstaats der Europäischen Union, der für eine Einrich tung in der gesamten Europäischen Union zuständig ist, wenn die Einrichtung in der
Bundesrepublik Deutschland Dienste anbietet oder ein informationstechnisches System, eine Komponente oder einen Prozess betreibt.
§ 65
Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen
(1) Das Bundesamt kann einzelne besonders wichtige Einrichtungen verpflichten, Au dits, Prüfungen oder Zertifizierungen von unabhängigen Stellen zur Prüfung der Erfüllung der Anforderungen nach den §§ 30, 31 und 32 durchführen zu lassen.
(2) Das Bundesamt kann nach Anhörung der betroffenen Einrichtungen und Wirt schaftsverbände fachliche und organisatorische Anforderungen für die prüfenden Stellen festlegen. Die Festlegung nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der Inter netseite des Bundesamtes.
(3) Das Bundesamt kann, neben der nach § 39 für Betreiber einer kritischen Anlage bestimmten Frist, auch gegenüber anderen besonders wichtigen Einrichtungen frühestens drei Jahre nach Inkrafttreten dieses Gesetzes die Vorlage von Nachweisen über die Erfül lung einzelner oder aller Anforderungen nach den §§ 30, 31 und 32 anordnen. Soweit das Bundesamt von seinem Recht nach Absatz 1 Gebrauch gemacht hat, kann es hierbei auch die Übermittlung der Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierun gen einschließlich der dabei aufgedeckten Sicherheitsmängel sowie die Vorlage der Doku mentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheits mängeln die Vorlage eines geeigneten Mängelbeseitigungsplans im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder der sonst zuständigen Aufsichtsbehörde verlangen. Das Bundesamt kann die Vorlage eines geeigneten Nachweises über die er folgte Mängelbeseitigung verlangen.
(4) Bei der Auswahl, von welchen Einrichtungen das Bundesamt nach Absatz 3 Nach weise anfordert, berücksichtigt das Bundesamt das Ausmaß der Risikoexposition, die Größe der Einrichtung sowie die Eintrittswahrscheinlichkeit und Schwere von möglichen Sicherheitsvorfällen sowie ihre möglichen gesellschaftlichen und wirtschaftlichen Auswir kungen.
(5) Das Bundesamt kann bei besonders wichtigen Einrichtungen die Einhaltung der Anforderungen nach diesem Gesetz überprüfen. Es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. Die besonders wichtige Einrichtung hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der übli
chen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeich nungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei der jeweiligen besonders wichtigen Einrich tung nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die be rechtigte Zweifel an der Einhaltung der Anforderungen nach § 30 Absatz 1 begründeten.
(6) Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen im Beneh men mit der zuständigen Aufsichtsbehörde Maßnahmen anordnen, die zur Verhütung oder Behebung eines Sicherheitsvorfalls oder eines Mangels erforderlich sind. Ein Benehmen mit der zuständigen Aufsichtsbehörde kann entfallen, sofern Gefahr im Verzug besteht. Ferner kann das Bundesamt die Berichterstattung zu den nach Satz 1 angeordneten Maß nahmen verlangen.
(7) Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen im Beneh men mit der zuständigen Aufsichtsbehörde Anordnungen zur Umsetzung der
Verpflichtungen nach diesem Gesetz erlassen. Ein Benehmen mit der zuständigen Auf sichtsbehörde kann entfallen, sofern Gefahr im Verzug besteht. Es kann die Umsetzung von im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen innerhalb einer ange messenen Frist anordnen.
(8) Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen anordnen,
1. die natürlichen oder juristischen Personen, für die sie Dienste erbringen oder Tätigkei ten ausüben und die potenziell von einer erheblichen Cyberbedrohung betroffen sind, über die Art der Bedrohung und mögliche Abwehr- oder Abhilfemaßnahmen zu unter richten, die diese Personen als Reaktion auf die Bedrohung ergreifen können, und
2. Informationen zu Verstößen gegen Verpflichtungen nach diesem Gesetz nach durch das Bundesamt bestimmten Vorgaben öffentlich bekannt zu machen.
(9) Sofern besonders wichtige Einrichtungen den Anordnungen des Bundesamtes nach diesem Gesetz trotz Fristsetzung nicht nachkommen, kann das Bundesamt dies der jeweils zuständigen Aufsichtsbehörde mitteilen. In diesem Fall kann die zuständige Auf sichtsbehörde
1. die Genehmigung für einen Teil oder alle Dienste oder Tätigkeiten dieser Einrichtung vorübergehend aussetzen und
2. natürlichen Personen die Ausübung von Leitungsaufgaben auf Geschäftsführungs- o der Vorstandsebene oder Ebene des rechtlichen Vertreters untersagen.
Die Aussetzung nach Satz 2 Nummer 1 und die Untersagung nach Satz 2 Nummer 2 sind nur solange zulässig, bis die besonders wichtige Einrichtung den Anordnungen des Bun desamtes nachkommt, wegen deren Nichtbefolgung sie ausgesprochen wurden.
(10)Soweit das Bundesamt Maßnahmen gegenüber besonders wichtigen Einrichtun gen durchführt, informiert es die zuständige Aufsichtsbehörde des Bundes darüber. Die In formation hat unverzüglich zu erfolgen, wenn es sich um Maßnahmen nach Absatz 6 oder 7 handelt, die wegen Gefahr im Verzug ohne Benehmen der zuständigen Aufsichtsbehörde
ergangen sind.
(11)Stellt das Bundesamt im Zuge der Beaufsichtigung einer Einrichtung oder Durch setzung einer Maßnahme fest, dass ein Verstoß gegen die Verpflichtungen dieses Geset zes eine offensichtliche Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4 Nummer 12 der Verordnung (EU) 2016/679 zur Folge hat, die gemäß Artikel 33 dieser Verordnung zu melden ist, unterrichtet es unverzüglich die zuständigen Aufsichtsbe hörden.
(12)Bei Einrichtungen, die in anderen Mitgliedsstaaten der Europäischen Union Dienste erbringen, kann das Bundesamt auch auf Ersuchen der jeweils zuständigen Auf sichtsbehörden des Mitgliedsstaats Maßnahmen nach den Absätzen 1 bis 11 ergreifen.
§ 66
Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen
Rechtfertigen Tatsachen die Annahme, dass eine wichtige Einrichtung die Anforderun gen aus den §§ 30, 31 und 32 nicht oder nicht richtig umsetzt, so kann das Bundesamt die Einhaltung der Anforderungen nach den §§ 30, 31 und 32 überprüfen und Maßnahmen nach § 65 treffen.
§ 67
Verwaltungszwang
Soweit das Bundesamt Zwangsgelder verhängt, beträgt deren Höhe abweichend von § 11 Absatz 3 des Verwaltungsvollstreckungsgesetzes bis zu 100.000 Euro.
Anlage 1
Sektoren besonders wichtiger und wichtiger Einrichtungen
| Spalte A | Spalte B | Spalte C | Spalte D |
| Nr. | Sektor | Branche | Einrichtungsart |
| 1 | Energie | ||
| 1.1 | Stromversorgung | ||
| 1.1.1 | Stromlieferanten gemäß § 3 Nr. 31a EnWG | ||
| 1.1.2 | Betreiber von Elektrizitätsverteilernetzen ge mäß §3 Nr. 3 EnWG | ||
| 1.1.3 | Betreiber von Übertragungsnetzen gemäß § 3 Nr. 10 EnWG | ||
| 1.1.4 | Betreiber von Erzeugungsanlagen gemäß § 3 Nr. 18d EnWG | ||
| 1.1.5 | Nominierte Strommarktbetreiber nach Arti kel 2 Nummer 8 der Verordnung (EU) 2019/943 des Europäischen Parlaments und des Rates | ||
| 1.1.6 | Aggregatoren gemäß § 3 Nr. 1a EnWG | ||
| 1.1.7 | Betreiber von Energiespeicheranlagen ge mäß § 3 Nr. 15d EnWG | ||
| 1.1.8 | Anbieter von Ausgleichsleistungen im Sinne von § 3 Nr. 1b EnWG | ||
| 1.1.9 | Ladepunktbetreiber gemäß § 2 Nr. 8 LSV | ||
| 1.2 | Fernwärme und -kälte versorgung | ||
| 1.2.1 | Betreiber von Fernwärme- bzw. Fernkälte versorgung im Sinne § 3 Nr. 19 und 20 GEG | ||
| 1.3 | Kraftstoff- und Heizöl versorgung | ||
| 1.3.1 | Betreiber von Erdöl-Fernleitungen | ||
| 1.3.2 | Betreiber von Anlagen zur Produktion, Raffi nation und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern und Erdöl-Fernlei tungen | ||
| 1.3.3 | Zentrale Bevorratungsstellen nach Artikel 2 Buchstabe f der Richtlinie 2009/119/EG des Rates | ||
| 1.4 | Gasversorgung | ||
| 1.4.1 | Betreiber von Gasverteilnetzen gemäß § 3 Nr. 8 EnWG | ||
| 1.4.2 | Betreiber von Fernleitungsnetzen gemäß § 3 Nr. 5 EnWG | ||
| 1.4.3 | Betreiber von Gasspeicheranlagen gemäß § 3 Nr. 6 EnWG | ||
| 1.4.4 | Betreiber von LNG-Anlagen gemäß § 3 Nr. 9 EnWG | ||
| 1.4.5 | Gaslieferanten gemäß § 3 Nr. 19b EnWG |
| Spalte A | Spalte B | Spalte C | Spalte D |
| Nr. | Sektor | Branche | Einrichtungsart |
| 1.4.6 | Betreiber von Anlagen zur Gewinnung von Erdgas | ||
| 1.4.7 | Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas | ||
| 1.4.8 | Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung | ||
| 2 | Transport und Verkehr | ||
| 2.1 | Luftverkehr | ||
| 2.1.1 | Luftfahrtunternehmen nach Artikel 3 Num mer 4 der Verordnung (EG) Nr. 300/2008, die für gewerbliche Zwecke genutzt werden | ||
| 2.1.2 | Flughafenleitungsorgane nach Artikel 2 Nummer 2 der Richtlinie 2009/12/EG des Europäischen Parlaments und des Rates, Flughäfen nach Artikel 2 Nummer 1 jener Richtlinie, einschließlich der in Anhang II Abschnitt 2 der Verordnung (EU) Nr. 1315/2013 des Europäischen Parlaments und des Rates aufgeführten Flughäfen des Kernnetzes, und Einrichtungen, die inner halb von Flughäfen befindliche zugehörige Einrichtungen betreiben | ||
| 2.1.3 | Anbieter von Flugsicherungsdiensten im Sinne von § 27c Abs. 2 Nr. 1 lit. a) und Nr. 2-6 LuftVG | ||
| 2.2 | Schienenverkehr | ||
| 2.2.1 | Eisenbahninfrastrukturbetreiber nach § 2 Nummer 6 und 6a des Allgemeinen Eisen bahngesetz (AEG) einschließlich zentraler Einrichtungen, die den Zugbetrieb voraus schauend und bei unerwartet eintretenden Ereignissen disponiert | ||
| 2.2.2 | Eisenbahnverkehrsunternehmen nach § 2 Nummer 3 AEG, einschließlich Betreiber ei ner Serviceeinrichtung nach § 2 Nummer 9 AEG | ||
| 2.3 | Schifffahrt | ||
| 2.3.1 | Passagier- und Frachtbeförderungsunter nehmen der Binnen-, See- und Küsten schifffahrt, wie sie in Anhang I der Verord nung (EG) Nr. 725/2004 des Europäischen Parlaments und des Rates für die Schifffahrt definiert sind, ausschließlich der einzelnen von diesen Unternehmen betriebenen Schiffe. | ||
| 2.3.2 | Leitungsorgane von Häfen nach Artikel 3 Nummer 1 der Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates, einschließlich ihrer Hafenanlagen nach Arti kel 2 Nummer 11 der Verordnung (EG) Nr. 725/2004, sowie Einrichtungen, die inner halb von Häfen befindliche Anlagen und Ausrüstung betreiben | ||
| 2.3.3 | Betreiber einer Anlage oder eines Systems zum sicheren Betrieb einer Wasserstraße nach § 1 Absatz 6 Nummer 1 des Bun deswasserstraßengesetzes. |
| Spalte A | Spalte B | Spalte C | Spalte D |
| Nr. | Sektor | Branche | Einrichtungsart |
| 2.4 | Straßenverkehr | ||
| 2.4.1 | Betreiber einer Anlage oder eines System zur Verkehrsbeeinflussung im Straßenver kehr einschließlich der in § 1 Absatz 4 Num mer 1, 3 und 4 des Bundesfernstraßenge setzes genannten Einrichtungen, zum Bei spiel Verkehrs-, Betriebs- und Tunnelleit zentralen, Entwässerungsanlagen, intelli gente Verkehrssysteme und Fachstellen für Informationstechnik und -sicherheit im Stra ßenbau, sowie der Telekommunikations netze der Bundesautobahnen. | ||
| 2.4.2 | Betreiber eines intelligentes Verkehrssys tem nach § 2 Nummer 1 des Intelligente Verkehrssysteme Gesetz. | ||
| 3 | Finanz- und Versiche rungswesen | ||
| 3.1 | Bankwesen | ||
| 3.1.1 | Kreditinstitute: Einrichtungen deren Tätigkeit darin besteht, Einlagen oder andere rück zahlbare Gelder des Publikums entgegen zunehmen und Kredite für eigene Rechnung zu gewähren | ||
| 3.2 | Finanzmarktinfrastruktu ren | ||
| 3.2.1 | Handelsplätze im Sinne von § 2 Abs. 22 WpHG | ||
| 3.2.2 | Zentrale Gegenparteien, die zwischen die Gegenparteien der auf einem oder mehre ren Märkten gehandelten Kontrakte tritt und somit als Käufer für jeden Verkäufer bzw. als Verkäufer für jeden Käufer fungiert | ||
| 4 | Gesundheit | ||
| 4.1.1 | Erbringer von Gesundheitsdienstleistungen im Sinne der Richtlinie (EU) 2011/24 des Europäischen Parlaments und des Rates | ||
| 4.1.2 | EU-Referenzlaboratorien nach Artikel 15 der Verordnung (EU) 2022/2371 des Europäi schen Parlaments und des Rates | ||
| 4.1.3 | Unternehmen, die Forschungs- und Ent wicklungstätigkeiten in Bezug auf Arzneimit tel nach § 2 AMG ausüben. | ||
| 4.1.4 | Unternehmen, die pharmazeutische Erzeug nisse nach Abschnitt C Abteilung 21 der Statistischen Systematik der Wirtschafts zweige in der Europäischen Gemeinschaft (NACE Rev. 2) herstellen | ||
| 4.1.5 | Unternehmen, die Medizinprodukte herstel len, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch nach Artikel 22 der Verordnung (EU) 2022/123 des Europäischen Parlaments und des Ra tes („Liste kritischer Medizinprodukte für Notlagen im Bereich der öffentlichen Ge sundheit“) eingestuft werden | ||
| 5 | Wasser |
| Spalte A | Spalte B | Spalte C | Spalte D |
| Nr. | Sektor | Branche | Einrichtungsart |
| 5.1 | Trinkwasserversorgung | ||
| 5.1.1 | Betreiber von Wasserversorgunsanlagen nach § 2 Nr. 3 TrinkwV, jedoch unter Aus schluss der Lieferanten, für die die Liefe rung von Wasser für den menschlichen Ge brauch ein nicht wesentlicher Teil ihrer all gemeinen Tätigkeit der Lieferung anderer Rohstoffe und Güter ist. | ||
| 5.2 | Abwasserbeseitigung | ||
| 5.2.1 | Unternehmen, die Abwasser nach § 2 Abs. 1 AbwAG sammeln, entsorgen oder behan deln, jedoch unter Ausschluss der Unter nehmen, für die das Sammeln, die Entsor gung oder die Behandlung solchen Abwas sers ein nicht wesentlicher Teil ihrer allge meinen Tätigkeit ist. | ||
| 6 | Informationstechnik und Telekommunika tion | ||
| 6.1.1 | Betreiber von Internet Exchange Points | ||
| 6.1.2 | DNS-Dienstanbieter, ausgenommen Betrei ber von Root-Nameservern | ||
| 6.1.3 | Top Level Domain Name Registry | ||
| 6.1.4 | Anbieter von Cloud-Computing-Diensten | ||
| 6.1.5 | Anbieter von Rechenzentrumsdiensten | ||
| 6.1.6 | Betreiber von Content Delivery Networks | ||
| 6.1.7 | Vertrauensdienstanbieter | ||
| 6.1.8 | Anbieter öffentlicher elektronischer Kommu nikationsnetze | ||
| 6.1.9 | Anbieter öffentlich zugänglicher elektronsi cher Kommunikationsdienste | ||
| 6.1.10 | Managed Services Provider | ||
| 6.1.11 | Managed Security Services Provider | ||
| 7 | Weltraum | ||
| 7.1.1 | Betreiber von Bodeninfrastrukturen, die sich im Eigentum von Mitgliedstaaten oder priva ten Parteien befinden und von diesen ver waltet und betrieben werden und die Erbrin gung von weltraumgestützten Diensten un terstützen, ausgenommen Anbieter öffentli cher elektronischer Kommunikationsnetze |
Anlage 2
Sektoren wichtiger Einrichtungen
| Spalte A | Spalte B | Spalte C | Spalte D |
| Nr. | Sektor | Branche | Einrichtungsart |
| 1 | Transport und Verkehr | ||
| 1.1 | Post- und Kurierdienste | ||
| 1.1.1 | Anbieter von Postdienstleistungen nach § 4 Nr. 1 PostG, einschließlich Anbieter von Ku rierdiensten | ||
| 2 | Abfallbewirtschaftung | ||
| 2.1.1 | Unternehmen der Abfallbewirtschaftung nach § 3 Abs. 14 KrWG, ausgenommen Un ternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist. | ||
| 3 | Produktion, Herstel lung und Handel mit chemischen Stoffen | ||
| 3.1.1 | Unternehmen nach Artikel 3 Nummern 9 und 11 der Verordnung (EG) Nr. 1907/2006 des Europäischen Parlaments und des Ra tes von chemischen Stoffen und Gemischen im Sinne des Artikels 3 Nummer 1 und 2 der genannten Verordnung, sofern diese in Ka tegorie 20 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Ge meinschaft (NACE Rev. 2) fallen | ||
| 4 | Produktion, Verarbei tung und Vertrieb von Lebensmitteln | ||
| 4.1.1 | Lebensmittelunternehmen nach Artikel 3 Nummer 2 der Verordnung (EG) Nr. 178/2002 des Europäischen Parlaments und des Rates, die im Großhandel sowie in der industriellen Produktion und Verarbei tung tätig sind | ||
| 5 | Verarbeitendes Ge werbe/Herstellung von Waren | ||
| 5.1 | Herstellung von Medizin produkten und In-vitro Diagnostika | ||
| 5.1.1 | Unternehmen, die Medizinprodukte nach Ar tikel 2 Nummer 1 der Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates(4)herstellen, und Unterneh men, die In-vitro-Diagnostika nach Artikel 2 Nummer 2 der Verordnung (EU) 2017/746 des Europäischen Parlaments und des Ra tes(5)herstellen, mit Ausnahme von Unter nehmen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öf fentlichen Gesundheit als kritisch nach Arti kel 22 der Verordnung (EU) 2022/123 des Europäischen Parlaments und des Rates („Liste kritischer Medizinprodukte für |
| Spalte A | Spalte B | Spalte C | Spalte D |
| Nr. | Sektor | Branche | Einrichtungsart |
| Notlagen im Bereich der öffentlichen Ge sundheit“) eingestuft werden | |||
| 5.2 | Herstellung von Daten verarbeitungsgeräten, elektronischen und opti schen Erzeugnissen | ||
| 5.2.1 | Unternehmen, die eine der Wirtschaftstätig keiten nach Abschnitt C Abteilung 26 der Statistischen Systematik der Wirtschafts zweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben | ||
| 5.3 | Herstellung von elektri schen Ausrüstungen | ||
| 5.3.1 | Unternehmen, die eine der Wirtschaftstätig keiten im Sinne des Abschnitts C Abteilung 27 der Statistischen Systematik der Wirt schaftszweige in der Europäischen Gemein schaft (NACE Rev. 2) ausüben | ||
| 5.4 | Maschinenbau | ||
| 5.4.1 | Unternehmen, die eine der Wirtschaftstätig keiten nach Abschnitt C Abteilung 28 der Statistischen Systematik der Wirtschafts zweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben | ||
| 5.5 | Herstellung von Kraftwa gen und Kraftwagentei len | ||
| 5.5.1 | Unternehmen, die eine der Wirtschaftstätig keiten nach Abschnitt C Abteilung 29 der Statistischen Systematik der Wirtschafts zweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben | ||
| 5.6 | Sonstiger Fahrzeugbau | ||
| 5.6.1 | Unternehmen, die eine der Wirtschaftstätig keiten nach Abschnitt C Abteilung 30 der Statistischen Systematik der Wirtschafts zweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben | ||
| 6 | Anbieter digitaler Dienste | ||
| 6.1.1 | Anbieter von Online-Marktplätzen | ||
| 6.1.2 | Anbieter von Online-Suchmaschinen | ||
| 6.1.3 | Anbieter von Plattformen für Dienste sozia ler Netzwerke | ||
| 7 | Forschung | ||
| 7.1.1 | Forschungseinrichtungen |
Artikel 2
Änderung des BSI-Gesetzes (FNA 206-2) und des Telekommuni kationsgesetzes (FNA 900-17)
(1) Das BSI-Gesetz, das zuletzt durch Artikel 1 dieses Gesetzes geändert worden ist, wird wie folgt geändert:
1. § 2 Absatz 1 Nummer 21 wird wie folgt neu gefasst:
„21. „kritische Anlage“ eine Anlage im Sinne von § 2 Nummer 3 des Dachgesetzes zur Stärkung der physischen Resilienz -von Betreibern kritischer Anlagen (KRITIS Dachgesetz);“.
2. § 2 Absatz 1 Nummer 23, § 28 Absatz 6, 7 und 8 und § 58 Absatz 4 werden gestri chen.
3. In § 2 Absatz 1 Nummer 22 und § 12 Absatz 1 Satz 2 wird jeweils die Angabe „§ 28 Absatz 7“ ersetzt durch die Angabe „§ 4 Absatz 1 des KRITIS-Dachgesetzes“.
4. In § 33 Absatz 2 wird die Angabe „§ 58 Absatz 4“ ersetzt durch die Angabe „§ 4 Absatz 4 des KRITIS-Dachgesetzes“.
5. In § 61 Absatz 1, 2 Nummer 2, 4 und 7 wird die Angabe „§ 58 Absatz 4 Satz 1“ jeweils ersetzt durch die Angabe „§ 4 Absatz 4 des KRITIS-Dachgesetzes“.
6. In § 41 Absatz 2 Satz 1, Absatz 3 Satz 4, Absatz 4 Satz 1, Absatz 6, 7 wird jeweils die Angabe „§ 58 Absatz 4“ durch die Angabe „§ 4 Absatz 5 des KRITIS-Dachgesetzes“ ersetzt.
7. [alte Berichtspflicht nach NIS1-RL] § 60 Absatz 4 bis 6 werden gestrichen.
(2) In § 174 Absatz 3 und 5 des Telekommunikationsgesetzes vom 23. Juni 2021 (BGBl. I S. 1858), das zuletzt durch Artikel 23 dieses Gesetzes geändert worden ist, wird die Angabe „§ 28 Absatz 7 des BSI-Gesetzes“ durch die Angabe „§ 4 Absatz 1 des KRITIS Dachgesetzes“ ersetzt.
Artikel 3
Änderung des BND-Gesetzes (FNA 12-6)
In § 24 des BND-Gesetz vom 20. Dezember 1990 (BGBl. I S. 2954, 2979), das zuletzt durch Artikel 1 des Gesetzes vom 22. Dezember 2023 (BGBl. 2023 I Nr. 410) geändert worden ist, wird die Angabe „§ 5 Absatz 7 Satz 2 bis 8 des BSI-Gesetzes“ durch die Angabe „§ 8 Absatz 8 Satz 2 bis 8 des BSI-Gesetzes“ ersetzt.
Artikel 4
Änderung der Sicherheitsüberprüfungsfeststellungsverordnung (FNA 12-10-3)
In § 1 Nummer 8 der Sicherheitsüberprüfungsfeststellungsverordnung vom 6. Februar 2023 (BGBl. 2023 I Nr. 33), wird die Angabe „§ 3 Absatz 1 Satz 2 Nummer 1, Nummer 13 Satz 1 Buchstabe b und c, Nummer 15 und Nummer 18 des BSI-Gesetzes“ durch die An gabe „§ 3 Absatz 1 Satz 2 Nummer 1, 18 Buchstabe b und c, Nummer 22 und 25 des BSI Gesetzes“ ersetzt.
Artikel 5
Änderung des Telekommunikation-Telemedien-Datenschutz-Ge setzes (FNA 204-5)
In § 19 des Telekommunikation-Telemedien-Datenschutz-Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982; 2022 I S. 1045), das zuletzt durch Artikel 4 des Gesetzes vom 12. August 2021 (BGBl. I S. 3544; 2022 I 1045) geändert worden ist, wird die Angabe „§ 7d Satz 1 BSI Gesetz“ durch die Angabe „§ 17 Satz 1 des BSI-Gesetzes“ ersetzt.
Artikel 6
Änderung der Gleichstellungsbeauftragtenwahlverordnung (FNA 205-3-1)
In § 19 Absatz 9 der Gleichstellungsbeauftragtenwahlverordnung vom 17. Dezember 2015 (BGBl. I S. 2274), die durch Artikel 3 des Gesetzes vom 7. August 2021 geändert worden ist, wird die Angabe „§ 9 des BSI-Gesetzes“ durch die Angabe „§ 54 des BSI-Ge setzes“ ersetzt.
Artikel 7
Änderung des Zweiten Gesetzes zur Erhöhung der Sicherheit in formationstechnischer Systeme (FNA 206-2)
Artikel 6 Absatz 1 des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstech nischer Systeme vom 18. Mai 2021 (BGBl. I S. 1122; 4304), wird wie folgt geändert:
1. Die Nummerbezeichnung „1.“ wird gestrichen und das Wort „und“, das nach der An gabe „(Artikel 1)“ folgt, wird durch einen Punkt „.“ ersetzt.
2. Nummer 2 wird aufgehoben.
Artikel 8
Änderung der BSI-Zertifizierungs- und Anerkennungsverordnung (FNA 206-2-1)
Die BSI-Zertifizierungs- und -Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231), die zuletzt durch Artikel 74 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist, wird wie folgt geändert:
1. Die Eingangsformel wird wie folgt neu gefasst:
„Auf Grund des § 58 Absatz 1 des BSI-Gesetzes in der Fassung der Bekanntma chung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bundesge setzblatt]) verordnet das Bundesministerium des Innern und für Heimat nach Anhörung der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz:“.
2. In § 1 wird die Angabe „§ 9 des BSI-Gesetzes“ durch die Angabe „§ 54 des BSI-Geset zes“ ersetzt.
3. In § 12 Absatz 1 wird die Angabe „§ 9 Absatz 4 des BSI-Gesetzes“ durch die Angabe „§ 54 Absatz 4 des BSI-Gesetzes“ ersetzt.
4. In § 15 Absatz 1 und § 18 Absatz 1 wird die Angabe „§ 9 Absatz 5 des BSI-Gesetzes“ durch die Angabe „§ 54 Absatz 6 des BSI-Gesetzes“ und die Angabe „§ 9 Absatz 4 Nummer 2 des BSI-Gesetzes“ durch die Angabe „§ 54 Absatz 4 Nummer 2 des BSI Gesetzes“ ersetzt.
5. § 21 wird wie folgt geändert:
a) In Absatz 1 wird die Angabe „§ 9 Absatz 6 des BSI-Gesetzes“ durch die Angabe „§ 54 Absatz 7 des BSI-Gesetzes“ ersetzt.
b) In Absatz 1 Nummer 2 wird die Angabe „§ 9 Absatz 6 Nummer 2 des BSI-Geset zes“ durch die Angabe „§ 54 Absatz 7 Satz 1 Nummer 2 des BSI-Gesetzes“ er setzt.
c) In Absatz 4 Satz 1 wird die Angabe „§ 9 Absatz 6 Satz 2 des BSI-Gesetzes“ durch die Angabe „§ 54 Absatz 7 Satz 2 des BSI-Gesetzes“ ersetzt.
Artikel 9
Änderung der BSI IT-Sicherheitskennzeichenverordnung (FNA 206-2-3)
Die BSI-IT-Sicherheitskennzeichenverordnung vom 24. November 2021 (BGBl. I S. 4978), wird wie folgt geändert:
1. Die Eingangsformel wird wie folgt neu gefasst:
„Auf Grund des § 58 Absatz 2 des BSI-Gesetzes in der Fassung der Bekanntma chung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bundesge setzblatt]) verordnet das Bundesministerium des Innern und für Heimat im
Einvernehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucher schutz:“.
2. In § 2 Nummer 4 wird die Angabe „§ 9c Absatz 3 Satz 1 des BSI-Gesetzes“ durch die Angabe „§ 57 Absatz 3 Satz 1 des BSI-Gesetzes“ ersetzt.
3. In § 3 Absatz 1 Satz 1 wird die Angabe „§ 9c Absatz 2 des BSI-Gesetzes“ durch die Angabe „§ 57 Absatz 2 des BSI-Gesetzes“ ersetzt.
4. In § 5 wird wie folgt geändert:
a) In Absatz 4 wird die Angabe „§ 9c Absatz 5 BSIG“ durch die Angabe „§ 57 Absatz 5 des BSI-Gesetzes“ ersetzt.
b) In Absatz 5 Satz 1 wird die Angabe „§§ 7 oder 7a des BSI-Gesetzes“ durch die Angabe „§ 13 oder 14 des BSI-Gesetzes“ und die Angabe „§ 9c Absatz 8 des BSI Gesetzes“ durch die Angabe „§ 57 Absatz 8 des BSI-Gesetzes“ ersetzt.
5. In § 6 Absatz 1 wird die Angabe „§ 9 des BSI-Gesetzes“ durch die Angabe „§ 54 des BSI-Gesetzes“ ersetzt.
6. In § 7 Absatz 3 und § 9 Absatz 1 Satz 1 wird die Angabe „§ 9c des BSI-Gesetzes“ durch die Angabe „§ 57 des BSI-Gesetzes“ ersetzt.
7. § 13 wird wie folgt geändert:
a) In Satz 1 wird die Angabe „§ 9c Absatz 2 des BSI-Gesetzes“ durch die Angabe „§ 56 Absatz 2 des BSI-Gesetzes“ ersetzt.
b) In Satz 2 wird die Angabe „§§ 7 oder 7a des BSI-Gesetzes“ durch die Angabe „§ 13 oder 14 des BSI-Gesetzes“ ersetzt.
8. In § 14 wird die Angabe „§ 10 Absatz 3 Satz 1 des BSI-Gesetzes“ durch die Angabe „§ 58 Absatz 2 des BSI-Gesetzes“ ersetzt.
Artikel 10
Änderung des De-Mail-Gesetzes (FNA 206-4)
In § 18 Absatz 3 Nummer 3 des De-Mail-Gesetzes vom 28. April 2011 (BGBl. I S. 666), das zuletzt durch Artikel 7 des Gesetzes vom 10. August 2021 (BGBl. I S. 3436) geändert worden ist, werden wie Wörter „§ 9 Absatz 2 Satz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik“ durch die Wörter „§ 54 Absatz 2 Satz 1 des BSI-Ge
setzes“ ersetzt.
Artikel 11
Änderung des E-Government-Gesetz (FNA 206-6)
In § 10 des E-Government-Gesetz vom 25. Juli 2013 (BGBl. I S. 2749), das zuletzt durch Artikel 1 des Gesetzes vom 16. Juli 2021 (BGBl. I S. 2941) geändert worden ist, wird Satz 2 gestrichen.
Artikel 12
Änderung der Passdatenerfassungs- und Übermittlungsverord nung (FNA 210-5-11)
In § 4 der Passdatenerfassungs- und Übermittlungsverordnung vom 9. Oktober 2007 (BGBl. I S. 2312), die zuletzt durch Artikel 79 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist, werden die Wörter „§ 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821)“ durch die Angabe „§ 54 des BSI-Gesetzes in der Fassung der Be
kanntmachung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bundes gesetzblatt])“ ersetzt.
Artikel 13
Änderung der Personalausweisverordnung (FNA 210-6-1)
In § 3 der Personalausweisverordnung vom 1. November 2010 (BGBl. I S. 1460), die zuletzt durch Artikel 3 der Verordnung vom 20. August 2021 (BGBl. I S. 3682) geändert worden ist, wird die Angabe „§ 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) geändert worden ist,“ durch die Angabe „§ 54 des BSI-Gesetzes in der Fassung der Bekanntma
chung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bundesgesetz blatt])“ ersetzt.
Artikel 14
Änderung der Kassensicherungsverordnung (FNA 610-1-26)
In § 11 Absatz 1 der Kassensicherungsverordnung vom 26. September 2017 (BGBl. I S. 3515), die durch Artikel 2 des Gesetzes vom 30. Juli 2021 (BGBl. I S. 3295) geändert worden ist, wird die Angabe „§ 9 des BSI-Gesetzes“ durch die Angabe „§ 54 des BSI-Ge setzes“ ersetzt.Artikel 15
Änderung des Atomgesetzes (FNA 751-1)
In § 44b des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das zuletzt durch Artikel 1 des Gesetzes vom 4. Dezember 2022 (BGBl. I S. 2153) geändert worden ist, wird die Angabe „§ 8b Absatz 1, 2 Nummer 1 bis 3, Num mer 4 Buchstabe a bis c und Absatz 7 des BSI-Gesetzes“ durch die Angabe „§ 40 Ab satz 1, 3 Nummer 1 bis 3, 4 Buchstabe a, Nummer 5 und Absatz 6 des BSI-Gesetzes“ er setzt.
Artikel 16
Änderung des Energiewirtschaftsgesetzes (FNA 752-6)
Das Energiewirtschaftsgesetz vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 1 des Gesetzes vom 5. Februar 2024 (BGBl. 2024 I Nr. 32) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht wird nach der Angabe zu § 5b folgende Angabe zu § 5c einge fügt:
„5c IT-Sicherheit im Anlagen- und Netzbetrieb“.
2. Nach § 5b wird folgender § 5c eingefügt:
㤠5c
IT-Sicherheit im Anlagen- und Netzbetrieb
(1) Betreiber von Energieversorgungsnetzen haben einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungs systeme, die für den sicheren Netzbetrieb notwendig sind, zu gewährleisten. Der an gemessene Schutz nach Satz 1 ist auch durch Berücksichtigung erforderlicher Anfor derungen bei der Beschaffung von Anlagengütern und Dienstleistungen sicherzustel len. Die Bundesnetzagentur bestimmt im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Festlegung nach § 29 Absatz 1 in einem Katalog von Sicherheitsanforderungen (IT-Sicherheitskatalog) die Anforderungen an den angemes senen Schutz. Dabei beteiligt die Bundesnetzagentur die Betreiber von Energieversor gungsnetzen und deren Branchenverbände. Die Bundesnetzagentur überprüft den IT Sicherheitskatalog alle zwei Jahre und aktualisiert ihn bei Bedarf. Ein angemessener Schutz nach Satz 1 liegt vor, wenn der IT-Sicherheitskatalog eingehalten und dies vom Betreiber dokumentiert worden ist
(2) Betreiber von Energieanlagen, die besonders wichtige Einrichtungen nach § 28 Absatz 1 Satz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informa tionstechnik und über die Sicherheit in der Informationstechnik von kritischen Anlagen und Einrichtungen (BSI-Gesetz) vom […] oder wichtige Einrichtungen nach § 28 Absatz 2 Satz 1 des BSI-Gesetzes sind und an ein Energieversorgungsnetz an geschlossen sind, haben einen angemessenen Schutz gegen Bedrohungen für Tele kommunikations- und elektronische Datenverarbeitungssysteme zu gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind.. Der angemessene Schutz nach Satz 1 ist auch durch Berücksichtigung erforderlicher Anforderungen bei der Beschaf fung von Anlagengütern und Dienstleistungen sicherzustellen. Die Bundesnetzagentur bestimmt im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Festlegung nach § 29 Absatz 1 in einem Katalog von Sicherheitsanforderungen (IT-Sicherheitskatalog) die Anforderungen an den angemessenen Schutz. Dabei betei ligt die Bundesnetzagentur die Betreiber nach Satz 1 und deren Branchenverbände. Die Bundesnetzagentur überprüft den IT-Sicherheitskatalog alle zwei Jahre und aktu alisiert ihn bei Bedarf. Für Telekommunikations- und elektronische Datenverarbei tungssysteme von Anlagen nach § 7 Absatz 1 des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das zuletzt durch Artikel 1 des Gesetzes vom 4. Dezember 2022 (BGBl. I S. 2153) geändert worden ist, haben Vor gaben auf Grund des Atomgesetzes Vorrang vor den Anforderungen des Katalogs nach Satz 1. Die für die nukleare Sicherheit zuständigen Genehmigungs- und Auf sichtsbehörden des Bundes und der Länder sind bei der Erarbeitung des Katalogs von Sicherheitsanforderungen zu beteiligen. Ein angemessener Schutz nach Satz 1 liegt vor, wenn der IT-Sicherheitskatalog eingehalten und dies vom Betreiber dokumentiert worden ist.
(3) Die IT-Sicherheitskataloge nach den Absätzen 1 und 2 sollen den Stand der Technik einhalten und unter Berücksichtigung der einschlägigen europäischen und in ternationalen Normen sowie der Umsetzungskosten ein Sicherheitsniveau der informa tionstechnischen Systeme, Komponenten und Prozesse gewährleisten, das dem be stehenden Risiko angemessen ist. Bei der Bewertung, ob Maßnahmen dem bestehen den Risiko angemessen sind, sind das Ausmaß der Risikoexposition und die Größe des Betreibers sowie die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvor fällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen, zu berücksich tigen. Die IT-Sicherheitskataloge nach den Absätzen 1 und 2 umfassen zumindest:
1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme 2. Bewältigung von Sicherheitsvorfällen,
3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Bezie hungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und In formationssystemen, einschließlich Management und Offenlegung von Schwach stellen,
6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagement maßnahmen im Bereich der Cybersicherheit,
7. Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierli chen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhelb der Einrich tung,11. Einsatz von Systemen zur Angriffserkennung nach § 2 Absatz 1 Nummer 40 des BSI-Gesetzes.
Die Bundesnetzagentur kann in den IT-Sicherheitskatalogen nach den Absätzen 1 und 2 nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation sowie Behebung der Sicherheitsmängel treffen. Die Sicherheitskataloge nach den Absätzen 1 und 2 enthalten auch Regelungen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen.
(4) Betreiber von Energieversorgungsnetzen und solche Betreiber von Energie anlagen, die kritische Anlagen nach § 2 Absatz 1 Nummer 21 des BSI-Gesetzes sind, übermitteln der Bundesnetzagentur die Dokumentation nach Absatz 3 Satz 4. Bei Be darf kann die Bundesnetzagentur die Vorlage des Mängelbeseitigungsplans anfordern. Die Bundesnetzagentur kann bei Sicherheitsmängeln aus dem Mängelbeseitigungs plan die Beseitigung dieser innerhalb einer durch die Bundesnetzagentur gesetzten Frist verlangen. Die Betreiber nach Satz 1 haben der Bundesnetzagentur und den in deren Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonsti gen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforder liche Unterstützung zu gewähren. Für die Überprüfung erhebt die Bundesnetzagentur Gebühren und Auslagen nur, sofern die Bundesnetzagentur auf Grund von Anhalts punkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der in den Absät zen 1 und 2 genannten Anforderungen begründen.
(5) Erlangt die Bundesnetzagentur Kenntnis über Hinweise oder Informationen, wonach ein Betreiber von Energieanlagen, der eine wichtige Einrichtung nach § 28 Absatz 2 Satz 1 des BSI-Gesetzes ist, die Anforderungen aus Absatz 2 nicht oder nicht richtig umsetzt, so kann sie Maßnahmen nach Absatz 4 durchführen. Die Bun desnetzagentur kann Informationen anfordern, um die Einhaltung der Sicherheitsan forderungen nach Absatz 2 zu überprüfen.
(6) Betreiber von Energieversorgungsnetzen und solche Betreiber von Energie anlagen, die besonders wichtige Einrichtungen nach § 28 Absatz 1 Satz 1 des BSI-Ge setzes oder wichtige Einrichtungen nach § 28 Absatz 2 Satz 1 des BSI-Gesetzes sind, übermitteln an das Bundesamt für Sicherheit in der Informationstechnik über eine vom Bundesamt für Sicherheit in der Informationstechnik im Einvernehmen mit dem Bun desamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Meldemöglichkeit:
1. Unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlan gung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der an gegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüber schreitende Auswirkungen haben könnte;
2. Unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlan gung von einem erheblichen Sicherheitsvorfall, eine Meldung über den Sicher heitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktua lisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, ein schließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls
die Kompromittierungsindikatoren angegeben werden;
3. auf Ersuchen des Bundesamtes für Sicherheit in der Informationstechnik eine Zwi schenmeldung über relevante Statusaktualisierungen;
4. spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Nummer 2 eine Abschlussmeldung, die Folgendes enthält:a ) eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen;
b) Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursa che, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat;
c) Angaben zu den getroffenen und laufenden Abhilfemaßnahmen;
d) Gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheits vorfalls.
§ 2 Absatz 1 Nummer 10, § 32 Absatz 2 bis 5 des BSI-Gesetzes gelten entspre chend.
(7) Das Bundesamt für Sicherheit in der Informationstechnik hat die Meldungen nach Absatz 6 und solche Meldungen über Sicherheitsvorfälle nach § 32 des BSI-Ge setzes, bei welchen das Bundesamt für Sicherheit in der Informationstechnik Kenntnis von einer Relevanz für die Energieversorgungssicherheit und Erfüllung der Ziele nach § 1 erlangt, unverzüglich an die Bundesnetzagentur weiterzuleiten. Die Bundesnetza gentur führt unverzüglich eine Bewertung der Auswirkungen des nach Satz 1 übermit telten Sicherheitsvorfalls auf die Energieversorgungssicherheit durch und übermittelt ihre Ergebnisse an das Bundesamt für Sicherheit in der Informationstechnik. Die Bun desnetzagentur kann von dem betroffenen Unternehmen die Herausgabe der zur Be wertung der Auswirkungen des Sicherheitsvorfalls auf die Energieversorgungssicher heit notwendigen Informationen, einschließlich personenbezogener Daten, verlangen und ist deshalb befugt, zur Bewertung der Auswirkungen des Sicherheitsvorfalls auf die Energieversorgungssicherheit erforderliche personenbezogene Daten zu erheben, zu speichern und zu verwenden. Das betroffene Unternehmen hat der Bundesnetza gentur die zur Bewertung der Auswirkungen des Sicherheitsvorfalls auf die Energiever sorgungssicherheit notwendigen Informationen, einschließlich personenbezogener Da ten, zu übermitteln. Die Bundesnetzagentur kann bei der Durchführung der Bewertung nach Satz 2 die Betreiber von Übertragungs- und Fernleitungsnetzen einbeziehen und ist befugt, ihnen die hierzu erforderlichen personenbezogenen Daten zu übermitteln. Die Betreiber von Übertragungs- und Fernleitungsnetzen sind befugt, die ihnen nach Satz 5 zum dort genannten Zweck übermittelten personenbezogenen Daten zu erhe ben, zu speichern und zu verwenden. Nach Erstellung der Bewertung sind die hierzu verwendeten personenbezogenen Daten von der Bundesnetzagentur und den Betrei bern von Übertragungs- und Fernleitungsnetzen unverzüglich zu löschen. Das Bun desamt für Sicherheit in der Informationstechnik berücksichtigt die Bewertung der Bun desnetzagentur bei der Erfüllung der Aufgaben nach § 40 Absatz 3 Nummer 2 des BSI Gesetzes. Das Bundesamt für Sicherheit in der Informationstechnik und die Bundes netzagentur haben sicherzustellen, dass die unbefugte Offenbarung der ihnen nach Satz 1 zur Kenntnis gelangten Angaben ausgeschlossen wird. Zugang zu den Akten des Bundesamtes für Sicherheit in der Informationstechnik sowie zu den Akten der Bundesnetzagentur in Angelegenheiten nach § 5c Absatz 1 bis Absatz 7 wird nicht gewährt. § 29 des Verwaltungsverfahrensgesetzes bleibt unberührt.
(8) Betreiber von Energieversorgungsnetzen und solche Betreiber von Energie anlagen, die besonders wichtige Einrichtungen nach § 28 Absatz 1 Satz 1 des BSI-Ge setzes oder wichtige Einrichtungen nach § 28 Absatz 2 Satz 1 des BSI-Gesetzes sind, sind verpflichtet, spätestens bis zum 1. April, erstmalig oder erneut, sich beim Bundes amt für Sicherheit in der Informationstechnik zu registrieren. Dabei sind Angaben nach § 33 Absatz 1 Nummer 1 bis 4 des BSI-Gesetzes zu übermitteln. Für Betreiber von Energieversorgungsnetzen und Betreiber von Energieanlagen, die kritische Anlagen nach § 2 Absatz 1 Nummer 21 des BSI-Gesetzes sind, gilt § 33 Absatz 2 des BSI-Ge setzes entsprechend. Das Bundesamt für Sicherheit in der Informationstechnik über mittelt die Registrierungen einschließlich der damit verbundenen Kontaktdaten an die Bundesnetzagentur. Die Registrierungen nach Satz 1 und Satz 3, kann das Bundesamt für Sicherheit in der Informationstechnik auch selbst vornehmen und eine Kontaktstelle benennen, wenn der Betreiber seine Pflicht zur Registrierung nicht erfüllt. Nimmt das Bundesamt für Sicherheit in der Informationstechnik eine solche Registrierung selbst vor, informiert es die Bundesnetzagentur darüber und übermittelt die damit verbunde
nen Kontaktdaten. Die Betreiber haben sicherzustellen, dass sie über die benannte oder durch das Bundesamt für Sicherheit in der Informationstechnik festgelegte Kon taktstelle jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bun desamt für Sicherheit in der Informationstechnik nach § 40 Absatz 3 Nummer 4 Buchstabe a des BSI-Gesetzes erfolgt an diese Kontakt stelle.
(9) Die Bundesnetzagentur legt im Einvernehmen mit dem Bundesamt für Sicher heit in der Informationstechnik durch Allgemeinverfügung im Wege einer Festlegung nach § 29 Absatz 1 in einem Katalog von Sicherheitsanforderungen für das Betreiben von Energieversorgungsnetzen und Energieanlagen fest,
1. welche Komponenten kritische Komponenten nach § 2 Absatz 1 Nummer 22 Buchstabe c Doppelbuchstabe aa des BSI-Gesetzes sind oder
2. welche Funktionen kritisch bestimmte Funktionen nach § 2 Absatz 1 Nummer 22 Buchstabe c Doppelbuchstabe bb des BSI-Gesetzes sind.
Die Betreiber von Energieversorgungsnetzen und Energieanlagen, die kritische Anlagen nach § 2 Absatz 1 Nummer 21 des BSI-Gesetzes sind, haben die Vorgaben des Katalogs spätestens sechs Monate nach dessen Inkrafttreten zu erfüllen, es sei denn, in dem Katalog ist eine davon abweichende Umsetzungsfrist festgelegt worden. Der Katalog wird mit den IT-Sicherheitskatalogen nach Absätzen 1 und 2 verbunden.
(10) Die Bundesnetzagentur erstellt im Benehmen mit dem Bundesamt für Sicher heit in der Informationstechnik bis zum 1. Juni jeden Jahres einen zusammenfassen den Bericht über die im vergangenen Kalenderjahr an sie nach Absatz 6 übermittelten Meldungen über Sicherheitsvorfälle und deren Auswirkungen und legt ihn dem Bun desministerium für Wirtschaft und Klimaschutz vor.“
3. In § 11 werden die Absätze 1a bis 1g aufgehoben.
4. In § 91 Absatz 1 Nummer 4 wird der Angabe „7c“ die Angabe „5c Absatz 4“ vorange stellt.
5. § 95 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) In Nummer 2a wird die Angabe „§ 11 Absatz 1a oder 1b den Katalog von Si cherheitsanforderungen nicht, nicht richtig, nicht vollständig oder nicht recht zeitig einhält“ durch „§ 5c Absatz 1 oder 2 den Sicherheitskatalog nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig einhält“ ersetzt.
bb) In Nummer 2b wird die Angabe „§ 11 Absatz 1 c“ durch die Angabe „§ 5c Absatz 6“ ersetzt.
b) Nach Absatz 2 wird folgender Absatz 2a eingefügt:
„(2a) Die Ordnungswidrigkeit kann in Fällen des Absatzes 1 Nummer 2a und Nummer 2b mit einer Geldbuße bis zu einer Million Euro geahndet werden. Handelt es sich bei dem Betroffenen um eine wichtige Einrichtung nach § 28 Absatz 2 Satz 1 des BSI-Gesetzes kann die Ordnungswidrigkeit mit einer Geldbuße bis zu 7 Millionen Euro oder mit einem Höchstbetrag von mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene angehört geahndet werden. Handelt es sich bei dem Betroffenen um eine besonders wichtige Einrichtung nach § 28 Absatz 1 Satz 1 des BSI-Gesetzes, kann die Ordnungswidrigkeit mit einer Geldbuße bis zu 10 Millionen Euro oder mit einem Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Um satzes des Unternehmens, dem der Betroffene angehört, geahndet werden. Die Höhe des Gesamtumsatzes kann geschätzt werden.“
Artikel 17
Änderung des Messstellenbetriebsgesetzes (FNA 752-10)
In § 24 des Messstellenbetriebsgesetz vom 29. August 2016 (BGBl. I S. 2034), das zuletzt durch Artikel 11 des Gesetzes vom 20. Juli 2022 (BGBl. I S. 1237) geändert worden ist, wird die Angabe „§ 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821)“ durch die Angabe „§ 54 des BSI-Gesetzes in der Fassung der Bekanntmachung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bundesgesetzblatt])“ ersetzt.
Artikel 18
Änderung des Energiesicherungsgesetzes (FNA 754-3)
Das Energiesicherungsgesetz vom 20. Dezember 1974 (BGBl. I S. 3681), das zuletzt durch Artikel 7 des Gesetzes vom 20. Dezember 2022 (BGBl. I S. 2560) geändert worden ist, wird wie folgt geändert:
1. In den §§ 17 Absatz 1, 18 Absatz 2 Satz 1 Nummer 1 und 29 Absatz 1 werden die Wör ter „Kritische Infrastrukturen“ durch die Wörter „kritische Anlagen“ und die Angabe „§ 2 Absatz 10 des BSI-Gesetzes“ durch die Angabe „§ 2 Absatz 1 Nummer 21 des BSI Gesetzes“ ersetzt.
2. § 10 Absatz 1 Satz 3 werden folgende Sätze angefügt:
„Soweit Daten im Sinne des Satzes 3 für Maßnahmen nach § 1 der Gassicherungsver ordnung und für Solidaritätsmaßnahmen nach § 2a von der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen erlangt werden, übermit telt diese die Daten auf deren Ersuchen und soweit dies für die Erfüllung deren Aufga ben erforderlich ist, an die Bundesanstalt für Finanzdienstleistungsaufsicht. Die Ver wendung der Daten durch die Bundesanstalt für Finanzdienstleistungsaufsicht ist nach Maßgabe der allgemeinen datenschutzrechtlichen Vorschriften vorzunehmen und auf das zur Erfüllung der Aufgaben dieser Stelle erforderliche Maß zu beschränken.“Artikel 19
Änderung des Fünften Buches Sozialgesetzbuch (FNA 860-5)
Das Fünfte Buch Sozialgesetzbuch – Gesetzliche Krankenversicherung – (Artikel 1 des Gesetzes vom 20. Dezember 1988, BGBl. I S. 2477, 2482), das zuletzt durch Artikel 1b des Gesetzes vom 20. Dezember 2022 (BGBl. I S. 2793) geändert worden ist, wird wie folgt geändert:
1. In § 75b Absatz 4 wird die Angabe „§ 8a Absatz 1 des BSI-Gesetzes“ durch die Angabe „§ 39 Absatz 1 des BSI-Gesetzes“ ersetzt.
2. § 75c wird wie folgt geändert:
a) In Absatz 2 wird die Angabe „§ 8a Absatz 2 des BSI-Gesetzes“ durch die Angabe „§ 30 Absatz 8 des BSI-Gesetzes“ ersetzt.
b) In Absatz 3 werden die Wörter „Kritische Infrastrukturen“ durch die Wörter „kriti scher Anlagen“ und die Angabe „§ 8a des BSI-Gesetzes“ durch die Angabe „§§ 30 und 39 des BSI-Gesetzes“ ersetzt.
Artikel 20
Änderung der Digitale Gesundheitsanwendungen-Verordnung (FNA 860-5-55)
In der Tabellenzelle in der Spalte Anforderung und der Zeile Nummer 5 der Überschrift „Datensicherheit“, der Unterüberschift „Basisanforderungen, die für alle digitalen Gesund heitsanwendungen gelten“ der Tabelle in Anlage 1 (Fragebogen gemäß § 4 Absatz 6) der Digitale Gesundheitsanwendungen-Verordnung vom 8. April 2020 (BGBl. I S. 768), die zu letzt durch Artikel 3 des Gesetzes vom 20. Dezember 2022 (BGBl. I S. 2793) geändert worden ist, wird die Angabe „§ 8 Absatz 1 Satz 1 des BSI-Gesetzes“ durch die Angabe „§ 44 Absatz 1 Satz 1 des BSI-Gesetzes“ ersetzt.
Artikel 21
Änderung des Sechsten Buches Sozialgesetzbuch (FNA 860-6)
§ 138 Absatz 1 des Sechsten Buches Sozialgesetzbuch – Gesetzliche Rentenversi cherung – in der Fassung der Bekanntmachung vom 19. Februar 2002 (BGBl. I S. 754, 1404, 3384), das zuletzt durch Artikel 6 des Gesetzes vom 27. März 2024 (BGBl. 2024 I Nr. 107) geändert worden ist, wird wie folgt geändert:
1. Satz 2 wird wie folgt geändert:
a) In Nummer 15 wird das Wort „und“ durch ein Komma ersetzt.
b) In Nummer 16 wird der Punkt am Ende durch das Wort „und“ ersetzt. c) Folgende Nummer 17 wird angefügt:„17. Organisation der Sicherheit und Wirtschaftlichkeit der Informationstechnik der Rentenversicherung, insbesondere durch
a) die Festlegung von einheitlichen Grundsätzen für die Informationstechnik und Informationssicherheit der Rentenversicherung,
b) den Betrieb der informationstechnischen Infrastruktur und des Netzwerkes der Rentenversicherung,
c) die Entwicklung der für die Aufgaben und Erbringung der Leistungen der Ren tenversicherung eingesetzten Anwendungen und Dienste sowie
d) die Festlegung und Umsetzung eines Beschaffungskonzepts.“
2. Folgender Satz wird angefügt:
„Satz 2 Nummer 17 gilt im Verhältnis zur Deutschen Rentenversicherung Knappschaft Bahn-See mit der Maßgabe, dass notwendige Abweichungen wegen der dieser über tragenen weiteren gesetzlichen Aufgaben und ihrer spezifischen Leistungen zulässig sind.“
Artikel 22
Änderung der Verordnung zum Barrierefreiheitsstärkungsgesetz (FNA 860-9-4-1)
In § 2 Nummer 3 der Verordnung zum Barrierefreiheitsstärkungsgesetz vom 15. Juni 2022 (BGBl. I S. 928) werden die Wörter „§ 2 Absatz 2 Satz 4 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert worden ist“ durch die Wörter „§ 2 Absatz 1 Nummer 38
des BSI-Gesetzes in der Fassung der Bekanntmachung vom [einfügen: Verkündungsda tum] (BGBl. I S. [einfügen: Seite im Bundesgesetzblatt])“.
Artikel 23
Änderung des Telekommunikationsgesetzes (FNA 900-17)
Das Telekommunikationsgesetz vom 23. Juni 2021 (BGBl. I S. 1858), das zuletzt durch Artikel 5 des Gesetzes vom 14. März 2023 (BGBl. 2023 I Nr. 71) geändert worden ist, wird wie folgt geändert:
1. § 3 wird wie folgt geändert:
a) Nummer 53 wird wie folgt gefasst:
„53. „Sicherheitsvorfall“ ein Ereignis, das die Verfügbarkeit, Integrität oder Ver traulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über informationstechnische Systeme, Komponenten und Pro zesse angeboten werden oder zugänglich sind, beeinträchtigt;“.
b) In Nummer 79 wird der Punkt durch ein Semikolon ersetzt.c) Es wird folgende Nummer 80 eingefügt:
„80. „Netz- und Informationssystem“
a) Ein Telekommunikationsnetz im Sinne von Nummer 65,
b) ein Gerät oder eine Gruppe miteinander verbundener oder zusammen hängender Geräte, die einzeln oder zu mehreren auf der Grundlage ei nes Programms die automatische Verarbeitung digitaler Daten durchfüh ren, oder
c) digitale Daten, die von den in den Buchstaben a und b genannten Ele menten zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen wer den.“
2. § 165 wird wie folgt geändert:
a) Absatz 2 Satz 3 wird gestrichen.
b) In Absatz 2 wird der Satz „Bei diesen Maßnahmen ist der Stand der Technik zu berücksichtigen“ gestrichen und stattdessen folgender Satz angefügt:
„Diese Maßnahmen sollen den Stand der Technik einhalten und unter Berücksich tigung der einschlägigen europäischen und internationalen Normen sowie der Um setzungskosten ein Sicherheitsniveau der Netz- und Informationssysteme gewähr leisten, das dem bestehenden Risiko angemessen ist. Bei der Bewertung, ob Maß nahmen dem bestehenden Risiko angemessen sind, sind das Ausmaß der Risi koexposition und die Größe des Betreibers oder des Anbieters sowie die Eintritts wahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaft lichen und wirtschaftlichen Auswirkungen zu berücksichtigen.“
c) Nach Absatz 2 wird folgender Absatz 2a eingefügt:
„(2a) Maßnahmen nach Absatz 2 von Betreibern öffentlicher Telekommunikati onsnetze und Anbietern öffentlich zugänglicher Telekommunikationsdienste, die besonders wichtige Einrichtungen im Sinne von § 28 Absatz 1 Satz 1 des BSI-Ge setzes oder wichtige Einrichtungen im Sinne von § 28 Absatz 2 Satz 1 des BSI Gesetzes sind, müssen auf einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt die ser Systeme vor Sicherheitsvorfällen zu schützen, und zumindest Folgendes um fassen:
1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssys teme,
2. Bewältigung von Sicherheitsvorfällen,
3. Aufrechterhaltung des Betriebs, wie Backup-Management und Widerherstel lung nach einem Notfall, und Krisenmanagement,
4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Be ziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren An bietern oder Diensteanbietern,
5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen,6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen nach Absatz 2 im Bereich der Sicherheit von Netzen und Diensten,
7. Grundlegende Verfahren und Schulungen im Bereich der Sicherheit von Net zen und Diensten,
8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsse lung
9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuier lichen Authentifizierung, gesicherte Sprach, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.“
d) In Absatz 3 wird die Angabe „§ 2 Absatz 9b des BSI-Gesetzes“ durch die Angabe „§ 2 Absatz 1 Nummer 40 des BSI-Gesetzes“ ersetzt.
e) In Absatz 4 wird Angabe „§ 2 Absatz 13 des BSI-Gesetzes“ durch die Angabe „§ 2 Absatz 1 Nummer 22 des BSI-Gesetzes“ ersetzt.
f) In Absatz 11 wird die Angabe „Artikel 9 der Richtlinie (EU) 2016/1148 des Europä ischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewähr leistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informati onssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1; L33 vom 7.2.2018,
S.5)“ durch die Angabe „Artikel 10 der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein ho hes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verord nung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie) (ABl. L 333 vom 27.12.2022, S. 80)“ ersetzt.
3. § 167 Absatz 1 Nummer 2 wird wie folgt geändert:
a) Die Angabe „§ 2 Absatz 13 Satz 1 Nummer 3 Buchstabe b des BSI-Gesetzes“ wird durch die Angabe „§ 2 Absatz 1 Nummer 22 Buchstabe c Doppelbuchstabe bb des BSI-Gesetzes“ ersetzt.
b) Die Angabe „§ 2 Absatz 13 des BSI-Gesetzes“ wird durch die Angabe „§ 2 Ab satz 1 Nummer 22 des BSI-Gesetzes“ ersetzt.
4. § 168 wird wie folgt geändert:
a) Absätze 1 bis 3 werden wie folgt gefasst:
„(1) Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zu gängliche Telekommunikationsdienste erbringt, übermittelt der Bundesnetzagen tur und dem Bundesamt für Sicherheit in der Informationstechnik:
1. unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniser langung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicher heitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte;2. unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniser langung von einem erheblichen Sicherheitsvorfall, eine Meldung über den Si cherheitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt o der aktualisiert werden und eine erste Bewertung des erheblichen Sicherheits vorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie
gegebenenfalls die Kompromittierungsindikatoren angegeben werden;
3. auf Ersuchen der Bundesnetzagentur oder dem Bundesamt für Sicherheit in der Informationstechnik eine Zwischenmeldung über relevante Statusaktuali sierungen;
4. spätestens einen Monat nach Übermittlung der Meldung des erheblichen Si cherheitsvorfalls gemäß Nummer 2, vorbehaltlich Absatz 2, eine Abschluss meldung, die Folgendes enthält:
a) eine ausführliche Beschreibung des erheblichen Sicherheitsvorfalls, ein schließlich seines Schwergrads und seiner Auswirkungen;
b) Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat;
c) Angaben zu den getroffenen und laufenden Abhilfemaßnahmen;
d) Gegebenenfalls die grenzüberschreitenden Auswirkungen des erhebli chen Sicherheitsvorfalls.
(2) Dauert der erhebliche Sicherheitsvorfall im Zeitpunkt des Absatz 1 Num mer 4 noch an, legt der Betroffene statt einer Abschlussmeldung zu diesem Zeit punkt eine Fortschrittsmeldung und eine Abschlussmeldung innerhalb eines Mo nats nach Abschluss der Bearbeitung des erheblichen Sicherheitsvorfalls vor.
(3) Ein Sicherheitsvorfall gilt als erheblich, wenn
1. er schwerwiegende Betriebsstörungen oder finanzielle Verluste für den betref fenden Betreiber öffentlicher Telekommunikationsnetze oder Anbieter öffent lich zugänglicher Telekommunikationsdienste verursacht hat oder verursa chen kann, oder
2. er andere natürliche oder juristische Personen durch erhebliche materielle o der immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.“
b) Absatz 6 wird die Angabe „§ 8e des BSI-Gesetzes“ durch die Angabe „§ 42 des BSI-Gesetzes“ ersetzt.
5. In § 174 Absatz 3 und 5 werden die Wörter „Bereichen des § 2 Absatz 10 Satz 1 Num mer 1 des BSI-Gesetzes“ durch die Wörter „Sektoren des § 28 Absatz 7 des BSI-Ge setzes“ ersetzt.
6. In § 214 Absatz 3 werden die Wörter „Kritische Infrastrukturen“ durch die Wörter „kriti sche Anlagen“ und die Angabe „§ 2 Absatz 10 des BSI-Gesetzes“ durch die Angabe „§ 2 Absatz 1 Nummer 21“ ersetzt.Artikel 24
Änderung der Krankenhausstrukturfonds-Verordnung (FNA 2126- 9-19)
In § 11 Absatz 1 Nummer 4 Buchstabe a und § 14 Absatz 2 Nummer 8 der Kranken hausstrukturfonds-Verordnung vom 17. Dezember 2015 (BGBl. I S. 2350), die zuletzt durch Artikel 6 des Gesetzes vom 20. Dezember 2022 (BGBl. I S. 2793) geändert worden ist, wird die Angabe „§ 8a des BSI-Gesetzes“ durch die Angabe „§ 39 des BSI-Gesetzes“ ersetzt.
Artikel 25
Änderung der Mess- und Eichverordnung (FNA 7141-8-1)
In § 40 Absatz 4 Nummer 2 der Mess- und Eichverordnung vom 11. Dezember 2014 (BGBl. I S. 2010, 2011), die zuletzt durch Artikel 1 der Verordnung vom 26. Oktober 2021 (BGBl. I S. 4742) geändert worden ist, werden die Wörter „§ 3 Absatz 1 Nummer 5 des BSI Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 3 Absatz 7 des Gesetzes vom 7. August 2013 (BGBl. I S. 3154) geändert worden ist, in der jeweils gelten den Fassung“ durch die Angabe „§ 3 Absatz 1 Satz 2 Nummer 8 des BSI-Gesetzes in der Fassung der Bekanntmachung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bundesgesetzblatt])“ ersetzt.
Artikel 26
Änderung der Außenwirtschaftsverordnung (FNA 7400-4-1)
In § 55a der Außenwirtschaftsverordnung vom 2. August 2013 (BGBl. I S. 2865; 2021 I S. 4304), die zuletzt durch Artikel 10 des Gesetzes vom 19. Dezember 2022 (BGBl. I S. 2632) geändert worden ist, wird wie folgt geändert:
1. In Absatz 1 Nummer 1 werden die Wörter „Kritischen Infrastruktur“ durch die Wörter „kritischen Anlage“ ersetzt.
2. In Absatz 1 Nummer 2 wird die Angabe „§ 2 Absatz 13 des BSI-Gesetzes“ durch die Angabe „§ 2 Absatz 1 Nummer 22 des BSI-Gesetzes“ und die Wörter „Kritischen Infra strukturen“ durch die Wörter „kritischen Anlagen“ ersetzt.
Artikel 27
Änderung des Vertrauensdienstegesetzes (FNA 9020-13)
In § 2 des Vertrauensdienstegesetzes vom 18. Juli 2017 (BGBl. I S. 2745), das durch Artikel 2 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2745) geändert worden ist, wird Ab satz 3 gestrichen.Artikel 28
Evaluierung
Das Bundesministerium des Innern und für Heimat berichtet dem Deutschen Bundes tag unter Einbeziehung von wissenschaftlichem Sachverstand über die Wirksamkeit der in diesem Gesetz nach Artikel 1 enthaltenen Maßnahmen für die Erreichung der mit diesem Gesetz verfolgten Ziele bis zum [einsetzen: Datum des ersten Tages des achtundvierzigs ten auf die Verkündung folgenden Kalendermonats] hinsichtlich Artikel 1 Teil 2 Kapitel 1, Teil 3 Kapitel 3 sowie Teil 5 dieses Gesetzes.
Artikel 29
Inkrafttreten, Außerkrafttreten
(1) Dieses Gesetz tritt vorbehaltlich der Absätze 2 und 3 am 1. Oktober 2024 in Kraft. Gleichzeitig tritt das BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821) außer Kraft.
(2) Artikel 2 tritt an dem Tag in Kraft, an dem die Rechtsverordnung nach § 4 Absatz 4 des Dachgesetzes zur Stärkung der physischen Resilienz von Betreibern kritischer Anlagen (KRITIS-Dachgesetz) in Kraft tritt, aber nicht vor dem Inkrafttretenstermin nach Absatz 1. Das Bundesministerium des Innern und für Heimat gibt den Tag des Inkrafttretens im Bun
desgesetzblatt bekannt.
(3) Artikel 27 tritt am 18. Oktober 2024 in Kraft.
Begründung
A. Allgemeiner Teil
I. Zielsetzung und Notwendigkeit der Regelungen
Die moderne Wirtschaft Deutschlands ist für ihr Funktionieren, die Generierung von Wohl stand und Wachstum und auch für ihre Adaptionsfähigkeit auf geänderte wirtschaftspoliti sche und geopolitische Rahmenbedingungen angewiesen auf funktionierende und resili ente Infrastrukturen, sowohl im physischen als auch im digitalen Bereich. Diese Faktoren
haben in den vergangenen Jahren erheblich an Bedeutung gewonnen. Unternehmen sehen sich nicht nur in ihrem wirtschaftlichen Tun, sondern auch in dessen praktischer Absiche rung vor einer Vielzahl von Herausforderungen. Europaweit und global vernetzte Prozesse führen ebenso wie die zunehmende Digitalisierung aller Lebens- und somit auch Wirt schaftsbereiche zu einer höheren Anfälligkeit durch externe, vielfach nicht steuerbare Fak toren. Informationstechnik in kritischen Anlagen sowie in bestimmten Unternehmen spielt dabei eine zentrale Rolle. Ihre Sicherheit und Resilienz bilden die Grundlage für die Versor gungssicherheit, von der Versorgung mit Strom und Wasser bis hin zu Siedlungsabfällen. Gleiches gilt für das Funktionieren der Marktwirtschaft in Deutschland und dem Binnen markt der Europäischen Union. Die Vernetzung und enge Verzahnung der Wirtschaft inner halb Deutschlands und der Europäischen Union resultieren in Interdependenzen bei der Cybersicherheit. Die vor diesem Hintergrund erforderlichen Cybersicherheitsanforderungen an juristische und natürliche Personen, die wesentliche Dienste erbringen oder Tätigkeiten ausüben, werden mit der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicher heitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtli nie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27. Dezember 2022, S. 80, im Folgenden NIS2-Richtlinie) in der gesamten Europäischen Union weiter angeglichen.
Mit der NIS2-Richtlinie wurden Maßnahmen festgelegt, mit denen in der gesamten Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll, um so das Funktionieren des Binnenmarkts zu verbessern. Zu diesem Zweck wird in der NIS2-Richt linie die Pflicht für alle Mitgliedstaaten festgelegt, nationale Cybersicherheitsstrategien zu verabschieden sowie zuständige nationale Behörden, Behörden für das Cyberkrisenma nagement, zentrale Anlaufstellen für Cybersicherheit (zentrale Anlaufstellen) und Compu ter-Notfallteams (CSIRT) zu benennen oder einzurichten. Ferner werden Pflichten in Bezug auf das Cybersicherheitsrisikomanagement sowie Berichtspflichten für Einrichtungen der in den Anhang I oder II der NIS2-Richtlinie aufgeführten Arten sowie für Einrichtungen, die nach Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft wurden festgelegt. Des Weiteren sieht die NIS2-Richtlinie Vorschriften und Pflichten zum Austausch von Cy bersicherheitsinformationen sowie Aufsichts- und Durchsetzungspflichten für die Mitglied staaten vor.
Die Vorgaben der NIS2-Richtlinie sind gestützt auf Artikel 114 AEUV und dienen der Har monisierung des Binnenmarkts der Europäischen Union. Die Umsetzung der Vorgaben er folgt mithin – neben weiteren im Vorblatt des Gesetzesentwurfs dargestellten Erwägun gen – insbesondere auch um Verzerrungen im Binnenmarkt zu beseitigen und zu vermei den. Denn die Cybersicherheitsanforderungen würden sich sonst von Mitgliedstaat zu Mit gliedstaat erheblich unterscheiden. Solche Unterschiede hinsichtlich Cybersicherheitsan forderungen und Aufsicht würden zusätzliche Kosten bei den Wirtschaftsteilnehmern verur sachen und negative Auswirkungen auf das grenzüberschreitende Angebot von Waren o der Dienstleistungen haben.In Folge des russischen Angriffskriegs auf die Ukraine hat sich nach Einschätzung des Bun desamtes für Sicherheit in der Informationstechnik (BSI) im Bericht zur Lage der IT-Sicher heit in Deutschland 2022 die IT-Sicherheitslage insgesamt zugespitzt. Im Bereich der Wirt schaft zählen hierbei Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder
falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in die sem Zusammenhang auch insbesondere sogenannte Supply-Chain-Angriffe zu den größ ten Bedrohungen. Zusätzlich zu den bereits bekannten Bedrohungen entstanden in Folge des russischen Angriffskriegs auf die Ukraine und der damit einhergehenden „Zeitenwende“ auch neue Bedrohungen oder die Einschätzungen zu bereits bekannten Bedrohungen mussten aufgrund veränderter Rahmenbedingungen geändert werden. Beispiele hierfür be stehen beispielsweise im Bereich Hacktivismus, insbesondere mittels Distributed-Denial of-Service (DDoS)-Angriffen oder auch durch in Deutschland erfolgte Kollateralschäden in Folge von Cyber-Sabotage-Angriffen im Rahmen des Krieges. Zudem haben auch Störun gen und Angriffe im Bereich der Lieferketten sowohl aus den tz 4 Cybercrime als auch im Rahmen des Krieges zuletzt zugenommen. Diese Phänomene treten nicht mehr nur ver einzelt auf, sondern sind insgesamt Teil des unternehmerischen Alltags. Eine Erhöhung der Resilienz der Wirtschaft gegenüber diesen neuen Bedrohungen ist daher eine zentrale Auf gabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, um den Wirtschafts standort Deutschland robust und leistungsfähig zu halten.
Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich die bis herigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausrei chend effektiv erwiesen, um eine flächendeckende wirksame Steigerung des Sicherheits niveaus zu erreichen. Dies haben insbesondere Sachstandserhebungen zum Umsetzungs plan Bund sowie Prüfungen des BRH bestätigt. Vor dem Hintergrund der durch aktuelle
geopolitische Entwicklungen („Zeitenwende“) abermals verschärften Bedrohungslage hat sich das Risiko für staatliche Einrichtungen zudem weiter erhöht, durch Gefährdungen aus dem Cyberraum in ihrer Handlungsfähigkeit eingeschränkt zu werden.
Entsprechend der unionsrechtlichen Vorgaben wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I 2015 S. 1324) und dem Zweiten Gesetz zur Erhöhung der Sicherheit informations technischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS2-Umsetzungs- und Cybersicherheitsstär kungsgesetz für den Bereich kritischer Anlagen und bestimmter Unternehmen erweitert, zusätzlich werden entsprechende Vorgaben für die Bundesverwaltung eingeführt. Aufgrund des großen Umfangs des Vorhabens, wird es mit einer Novellierung des BSI-Gesetzes ver bunden. In diesem Zusammenhang wird auch der Auftrag aus dem Koalitionsvertrag für die 20. Legislaturperiode, Zeile 438, aufgriffen, das IT-Sicherheitsrecht weiterzuentwickeln.
Dieser Entwurf steht im Kontext der gefährdeten rechtzeitigen Erreichung der Ziele der Re solution der Generalversammlung der Vereinten Nationen vom 25. September 2015 „Trans formation unserer Welt: die UN-Agenda 2030 für nachhaltige Entwicklung“. Der Entwurf soll insbesondere zur Erreichung des Nachhaltigkeitsziels 9 der UN-Agenda 2030 beitragen, eine hochwertige, verlässliche und widerstandsfähige Infrastruktur aufzubauen.“
II. Wesentlicher Inhalt des Entwurfs
Die unionsrechtlichen Vorgaben der NIS2-Richtlinie werden im Rahmen einer Novellierung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) sowie einzelner Fachgesetze umgesetzt. Des Weiteren wird das Informationssicherheits management in der Bundesverwaltung gestärkt. Die Neuregelung hinsichtlich der im An wendungsbereich erfassten Unternehmen erfolgt insbesondere zur Stärkung der Resilienz der Wirtschaft, welche vor dem Hintergrund der gesteigerten Cyberbedrohungslage und den Implikationen der „Zeitenwende“ notwendig geworden ist. Im Einzelnen– Einführung der vorgegebenen Einrichtungskategorien besonders wichtige und wichtige Einrichtungen, die eine signifikante Ausweitung des bisher auf Betreiber Kritischer Inf rastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs, vorsieht.
– Weiterführung der Einrichtungskategorie KRITIS als zusätzliche Kategorie für Unter nehmen, die besonders schützenswert sind, mit entsprechenden Anforderungen.
– Der Katalog der Mindestsicherheitsanforderungen des Artikel 21 Absatz 2 NIS2-Richt linie wird in das BSIG übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdifferenziert wird.
– Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informations sicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Ver antwortlichkeiten.
– Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nati onalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhab bares Regelungsregime zu gewährleisten.
– Einführung eines dreistufigen Melderegimes, wodurch der bürokratische Aufwand für die Einrichtungen im Rahmen des Umsetzungsspielraums minimiert und mögliche Sy nergien mit weiteren Meldepflichten – insbesondere zum Störungs-Monitoring des ge planten Dachgesetzes zur Stärkung der physischen Resilienz von Betreibern kritischer Anlagen (KRITIS-Dachgesetz) – gesucht und genutzt werden.
– Ergänzung des Instrumentariums des BSI bei der Aufsicht: Es wird ein der EU-Daten schutz-Grundverordnung nachempfundener Bußgeldrahmen umgesetzt, der einerseits zwischen KRITIS und besonders wichtigen Einrichtungen sowie andererseits wichtigen Einrichtungen unterscheidet.
– Umsetzung einer Ausschlussklausel für Unternehmen, die einen besonderen Bezug zum Sicherheits- und Verteidigungsbereich aufweisen. Für solche Einrichtungen gelten dann die jeweils einschlägigen Vorgaben für den Sicherheits- bzw. Verteidigungsbe reich.
– Etablierung eines CISO Bund als zentralem Koordinator für Maßnahmen zur Informa tionssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Res sorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.
– Weiterentwicklung der BSI-KritisV, sodass eine Erfassung von Einrichtungen unterhalb der Size-Cap-Rule, für die die NIS2-Richtlinie als Sonderfall eine Identifizierung an hand von Kritikalitätskriterien vorsieht, erfolgen kann.
III. Alternativen
Keine.
IV. Gesetzgebungskompetenz
Für die Novellierung des BSI-Gesetzes in Artikel 1, die Änderung des BSIG in Artikel 2, die Änderung des IT-Sicherheitsgesetzes 2.0 in Artikel 7,die Änderung des EnWG in Artikel 16, die Änderung des Energiesicherungsgesetzes in Artikel 18 und die Änderung des Telekom munikationsgesetzes in Artikel 23, die den rein technischen Schutz der Informationstechnik von und für kritische Anlagen und besonders wichtige Einrichtungen und wichtige Einrich tungen betreffen, folgt die Gesetzgebungskompetenz des Bundes aus Artikel 73 Absatz 1 Nummer 7 (Telekommunikation) Grundgesetz (GG) sowie aus Artikel 74 Absatz 1 Num mer 11 GG (Recht der Wirtschaft, einschließlich gefahrenabwehrrechtlicher Annexkompe tenz) in Verbindung mit Artikel 72 Absatz 2 GG.
Eine bundesgesetzliche Regelung dieser Materie ist zur Wahrung der Wirtschaftseinheit im Bundesgebiet im gesamtstaatlichen Interesse erforderlich. Eine Regelung durch den Lan desgesetzgeber würde zu erheblichen Nachteilen für die Gesamtwirtschaft führen, die so wohl im Interesse des Bundes als auch der Länder nicht hingenommen werden können. Insbesondere wäre zu befürchten, dass unterschiedliche landesrechtliche Behandlungen gleicher Lebenssachverhalte, z. B. unterschiedliche Voraussetzungen für die Vergabe von Sicherheitszertifikaten, erhebliche Wettbewerbsverzerrungen und störende Schranken für die länderübergreifende Wirtschaftstätigkeit zur Folge hätten. Internationale Abkommen zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten und zum Austausch über eine zentrale Anlaufstelle gemäß Artikel 8 Absatz 3 der NIS2-Richtlinie erfordern eine bundes gesetzliche Regelung. Die Voraussetzungen des Artikel 72 Absatz 2 GG sind auch im Hin blick auf die neuen Regelungen für die KRITIS-Betreiber erfüllt. Betreiber kritischer Anlagen sowie besonders wichtige Einrichtungen und wichtige Einrichtungen stellen wesentliche Teile der Wirtschaft in Deutschland dar, deren Cybersicherheitsniveau vor dem Hintergrund der gestiegenen Bedrohungslage („Zeitenwende“) es anzuheben gilt. Die Anhebung des Cybersicherheitsniveaus wesentlicher Teile der Wirtschaft in Deutschland in Form einer bundesgesetzlichen Regelung ist auch zur Herstellung zur Wahrung der Wirtschaftseinheit im Bundesgebiet im gesamtstaatlichen Interesse erforderlich. Regionale Unterschiede im Cybersicherheitsniveau der Unternehmen hätten erhebliche Wettbewerbsverzerrungen und störende Schranken für die länderübergreifende Wirtschaftstätigkeit zur Folge.
Für Regelungen in Artikel 1 und 2 zum Schutz der Bundesverwaltung steht dem Bund eine Gesetzgebungskompetenz kraft Natur der Sache zu.
Die Zuständigkeit des Bundes für Regelungen zur bundesweiten Information einschließlich eventueller Empfehlungen und Warnungen von Verbraucherinnen und Verbrauchern auf dem Gebiet der Informationssicherheit folgt mit Blick auf die gesamtstaatliche Verantwor tung der Bundesregierung ebenfalls aus der Natur der Sache (Staatsleitung), denn Fragen zur Sicherheit in der Informationstechnik haben bei stetig zunehmender Digitalisierung und Vernetzung aller Lebensbereiche regelmäßig überregionale Auswirkungen.
Der Bund hat darüber hinaus die ausschließliche Gesetzgebungskompetenz nach Arti kel 73 Absatz 1 Nummer 8 GG für die Rechtsverhältnisse der im Dienst des Bundes und der bundesunmittelbaren Körperschaften des öffentlichen Rechts stehenden Personen.
Die Gesetzgebungskompetenz des Bundes für die Regelungen der Bußgeldvorschriften und Ordnungswidrigkeiten im Artikel 1 folgt aus Artikel 74 Absatz 1 Nummer 1 GG (Straf recht).
Die Gesetzgebungskompetenz des Bundes für die Änderung des Sechsten Buches Sozial gesetzbuch im Artikel 21 ergibt sich aus Artikel 74 Absatz 1 Nummer 12 GG.
Die Gesetzgebungskompetenzen des Bundes für die Folgeänderungen zum BSIG entspre chen denjenigen für Artikel 1.
V. Vereinbarkeit mit dem Recht der Europäischen Union und völkerrechtlichen Verträgen
Der Gesetzentwurf ist mit dem Recht der Europäischen Union vereinbar. Er dient in weiten Teilen der Umsetzung der NIS2-Richtlinie, zur Novellierung des BSI-Gesetzes (Artikel 1) im Einzelnen:– Bei der Beibehaltung der Identifizierung von kritischen Anlagen (ehemals Kritische Inf rastrukturen) und der Regulierung ihrer Betreiber wird eine bestehende Regelung bei behalten, die nicht von der Vorgabe der NIS2-Richtlinie umfasst ist.
– Die von der NIS2-Richtlinie vorgegebenen Einrichtungskategorien wesentliche und wichtige Einrichtungen werden mit den neu eingeführten Einrichtungskategorien der besonders wichtigen und wichtigen Einrichtungen umgesetzt.
– Bei der Regulierung der Einrichtungen der Bundesverwaltung (Teil 2 Kapitel 3) handelt es sich insoweit um Regelungen zur Umsetzung der NIS2-Richtlinie, als eine Einrich tung der Bundesverwaltung Teil der Zentralregierung im Sinne von Artikel 2 Absatz 2 Buchstabe f Ziffer i der NIS2-Richtlinie ist. Unter den Begriff Zentralregierung im Sinne der NIS2-Richtlinie werden in Deutschland für die Zwecke der Umsetzung der NIS2- Richtlinie – in Anlehnung an die deutsche Definition von „zentrale Regierungsbehör den“ in der Richtlinie 2014/24/EU – grundsätzlich die Bundesministerien und das Bun deskanzleramt, jeweils ohne nachgeordneten Bereich, gefasst. Zudem handelt es sich um Regelungen, die für die Einrichtungen der Bundesverwaltung abweichend zu den Regelungen für (besonders) wichtige Einrichtungen getroffen werden, als auch um be stehende Regelungen des BSI-Gesetzes sowie ergänzende nationale Regelungen.
Der Gesetzentwurf ist mit völkerrechtlichen Verträgen, die die Bundesrepublik Deutschland abgeschlossen hat, vereinbar.
VI. Gesetzesfolgen
1. Rechts- und Verwaltungsvereinfachung
Der Gesetzesentwurf trägt zur Rechtsvereinfachung bei, indem er das bestehende BSI Gesetz novelliert. Das BSI-Gesetz wird neu geordnet und gegliedert, wodurch dem Rechts anwender die Arbeit erleichtert wird. Des Weiteren trägt der Gesetzesentwurf zur Verwal tungsvereinfachung bei, indem er die Rechte und Pflichten des Bundesamtes insbesondere
gegenüber anderen Aufsichtsbehörden schärft und somit die Verantwortlichkeiten weiter konkretisiert. Durch ein gemeinsames Meldeportal mit anderen Aufsichtsbehörden sollen Synergien bei den Meldepflichten der erfassten Betreiber und Einrichtungen genutzt und der Bürokratieaufwand minimiert werden. Schließlich wird durch die gesetzliche Veranke
rung bisheriger untergesetzlicher Regelungen des Informationssicherheitsmanagements die IT-Sicherheit der öffentlichen Bundesverwaltung weiter gestärkt werden.
2. Nachhaltigkeitsaspekte
Der Gesetzentwurf steht im Einklang mit dem Leitgedanken der Bundesregierung zur nach haltigen Entwicklung im Sinne der Deutschen Nachhaltigkeitsstrategie, die der Umsetzung der UN-Agenda 2030 für nachhaltige Entwicklung der Vereinten Nationen dient. Indem der Entwurf in weiten Teilen die NIS2-Richtlinie umsetzt, welche die erforderlichen Cybersi cherheitsanforderungen an juristische und natürliche Personen regelt, die wesentliche Dienste oder Tätigkeiten erbringen, leistet er einen Beitrag zur Verwirklichung von Nach haltigkeitsziel 9 „Eine widerstandsfähige Infrastruktur aufbauen, inklusive und nachhaltige Industrialisierung fördern und Innovationen unterstützen“. Dieses Nachhaltigkeitsziel ver langt mit seiner Zielvorgabe 9.1, eine hochwertige, verlässliche, nachhaltige und wider standsfähige Infrastruktur aufzubauen, einschließlich regionaler und grenzüberschreitender Infrastruktur, um die wirtschaftliche Entwicklung und das menschliche Wohlergehen zu un terstützen. Der Entwurf fördert die Erreichung dieser Zielvorgabe, indem er die Sicherheit in der Informationstechnik bei kritischen Anlagen verbessert, die insbesondere der Versor gung der Bevölkerung mit lebens-wichtigem Wasser und Energie dienen.
Im Sinne des systemischen Zusammendenkens der Nachhaltigkeitsziele leistet der Ent wurf gleichzeitig einen Beitrag zur Erreichung von Ziel 16, welches in seiner Zielvorgabe 16.6 verlangt, leistungsfähige, rechenschaftspflichtige und transparente Institutionen auf al len Ebenen aufzubauen. Der Entwurf fördert die Erreichung dieser Zielvorgabe, indem er insbesondere das Informationssicherheitsmanagement in der Bundesverwaltung stärkt und die Bedeutung des Bundesamts für Sicherheit in der Informationstechnik stärkt.
Der Entwurf trägt damit gleichzeitig zur Erreichung weiterer Nachhaltigkeitsziele der UN Agenda 2030 bei, nämlich
Ziel 3: „Ein gesundes Leben für alle Menschen jeden Alters gewährleisten und ihr Wohler gehen fördern“, indem er die Lebensqualität durch die Schaffung eines hohen Niveaus an Cyber-Sicherheit stärkt und die Versorgungssicherheit für die Bürgerinnen und Bürger zu gewährleistet,
Ziel 8: „Dauerhaftes, inklusives und nachhaltiges Wirtschaftswachstum, produktive Vollbe schäftigung und menschenwürdige Arbeit für alle fördern“ und
Ziel 11: „Städte und Siedlungen inklusiv, sicher, widerstandsfähig und nachhaltig gestal ten“.
Damit berücksichtigt der Entwurf die Querverbindungen zwischen den Zielen für nachhal tige Entwicklung und deren integrierenden Charakter, der für die Erfüllung von Ziel und Zweck der UN-Agenda 2030 von ausschlaggebender Bedeutung ist. Der Entwurf folgt den Nachhaltigkeitsprinzipien der DNS „(1.) Nachhaltige Entwicklung als Leitprinzip konsequent in allen Bereichen und bei allen Entscheidungen anwenden“, „(2.) Global Verantwortung wahrnehmen“, „(4.) Nachhaltiges Wirtschaften stärken“, „(5.) Sozialen Zusammenhalt in ei ner offenen Gesellschaft wahren und verbessern“.
3. Haushaltsausgaben ohne Erfüllungsaufwand
a. Gesamtaufstellung
Zusätzliche Haushaltsausgaben ohne Erfüllungsaufwand infolge des Gesetzes sind für Länder und Gemeinden nicht zu erwarten. Die zusätzlichen Haushaltsausgaben ohne Er füllungsaufwand infolge des Gesetzes für den Bund insgesamt ergeben sich wie folgt.
Gesamtaufstellung Vollzugsaufwand:
| Haushaltsausgaben in TEUR | ||||
| Haushaltsjahr | 2025 | 2026 | 2027 | 2028 |
| Summe pro Haushaltsjahr | [259.349] | [346.332] | [357.107] | [372.906] |
| Gesamtsumme im Finanz planzeitraum | [1.335.694] |
Gesamtaufstellung Planstellen und Stellen:
| Planstellen und Stellen | ||||
| Haushaltsjahr | 2025 | 2026 | 2027 | 2028 |
| Höherer Dienst (hD) | [581] | [589] | [676] | [789] |
| Gehobener Dienst (gD) | [932] | [1.206] | [1.284] | [1.348] |
| Mittlerer Dienst (mD) | [82] | [111] | [132] | [149] |
| Gesamtsumme Planstellen und Stellen im mehrjähri gen Finanzplan | [2.286] |
b. Vollzugsaufwand nach Einzelplänen
Der unter A.VI.3.a. genannte Gesamtvollzugsaufwand entfällt wie folgt auf die Einzelpläne als Vollzugsaufwand:
| Vollzugsaufwand | Haushaltsausgaben in TEUR in Summe pro Haus haltsjahr | Gesamtsumme im Finanzplan zeitraum in TEUR | |||
| EPl. / Haushaltsjahr | 2025 | 2026 | 2027 | 2028 | |
| Gesamtdarstellung 04 (Bundeskanzleramt) 06 (Bundesministerium des Innern und für Heimat) 14 (Bundesministerium der Verteidigung) davon einmalige Ausgaben: davon jährliche Ausgaben: | 76.796 18.199 58.597 | 108.322 11.073 97.249 | 129.573 2.511 127.062 | 157.634 5 157.629 | 472.325 31.788 440.537 |
| 04 (Presse- und Informations amt der Bundesregierung) davon einmalige Ausgaben: davon jährliche Ausgaben: | 3.457 […] […] | 3.841 […] […] | 3.841 […] […] | 3.841 […] […] | 14.980 […] […] |
| 09 (Bundesministerium für Wirtschaft und Klimaschutz) davon einmalige Ausgaben: davon jährliche Ausgaben: | 9.835 […] […] | 17.777 […] […] | 18.185 […] […] | 14.937 […] […] | 60.736 […] […] |
| 08 (Bundesministerium der Finanzen) davon einmalige Ausgaben: davon jährliche Ausgaben: | 63.716 25.620 38.096 | 104.085 104.085 | 96.785 96.785 | 87.385 87.385 | 351.971 25.620 326.351 |
| 05 (Auswärtiges Amt) davon einmalige Ausgaben: | 19.527 […] | 28.086 […] | 26.530 […] | 26.530 […] | 100.673 […] |
| Vollzugsaufwand | Haushaltsausgaben in TEUR in Summe pro Haus haltsjahr | Gesamtsumme im Finanzplan zeitraum in TEUR | |||
| EPl. / Haushaltsjahr | 2025 | 2026 | 2027 | 2028 | |
| davon jährliche Ausgaben: | […] | […] | […] | […] | […] |
| 07 (Bundesministerium der Justiz) davon einmalige Ausgaben: davon jährliche Ausgaben: | 2.956 1.785 1.171 | 1.171 1.171 | 1.171 1.171 | 1.171 1.171 | 6.469 1.785 4.684 |
| 11 (Bundesministerium für Arbeit und Soziales) davon einmalige Ausgaben: davon jährliche Ausgaben: | 5.396 […] […] | 5.396 […] […] | 5.396 […] […] | 5.396 […] […] | 21.584 […] […] |
| Sozialversicherungsträger davon einmalige Ausgaben: davon jährliche Ausgaben: | 14.782 […] […] | 14.782 […] […] | 14.782 […] […] | 14.782 […] […] | 59.128 […] […] |
| 10 (Bundesministerium für Ernährung und Landwirt schaft) davon einmalige Ausgaben: davon jährliche Ausgaben: | 1.483 […] […] | 983 […] […] | 983 […] […] | 983 […] […] | 4.432 […] […] |
| 17 (Bundesministerium für Familie, Senioren, Frauen und Jugend) davon einmalige Ausgaben: davon jährliche Ausgaben: | 3.806 […] […] | 3.746 […] […] | 3.746 […] […] | 3.746 […] […] | 15.044 […] […] |
| 15 (Bundesministerium für Gesundheit) davon einmalige Ausgaben: | 13.539 […] | 13.539 […] | 13.539 […] | 13.539 […] | 54.156 […] |
| Vollzugsaufwand | Haushaltsausgaben in TEUR in Summe pro Haus haltsjahr | Gesamtsumme im Finanzplan zeitraum in TEUR | |||
| EPl. / Haushaltsjahr | 2025 | 2026 | 2027 | 2028 | |
| davon jährliche Ausgaben: | […] | […] | […] | […] | […] |
| 12 (Bundesministerium für Di gitales und Verkehr) davon einmalige Ausgaben: davon jährliche Ausgaben: | […] […] […] | […] […] […] | […] […] […] | […] […] […] | […] […] […] |
| 16 (Bundesministerium für Umwelt, Naturschutz, nukle are Sicherheit und Verbrau cherschutz) davon einmalige Ausgaben: davon jährliche Ausgaben: | 11.736 […] […] | 11.021 […] […] | 11.021 […] […] | 11.021 […] […] | 44.798 […] […] |
| 30 (Bundesministerium für Bildung und Forschung) davon einmalige Ausgaben: davon jährliche Ausgaben: | 18.599 […] […] | 15.542 […] […] | 13.662 […] […] | 13.882 […] […] | 61.685 […] […] |
| 23 (Bundesministerium für wirtschaftliche Zusammenar beit und Entwicklung) davon einmalige Ausgaben: davon jährliche Ausgaben: | 2.008 […] […] | 3.709 […] […] | 3.401 […] […] | 3.401 […] […] | 12.519 […] […] |
| 25 (Bundesministerium für Wohnen, Stadtentwicklung und Bauwesen) davon einmalige Ausgaben: davon jährliche Ausgaben: | 301 […] […] | 337 […] […] | 337 […] […] | 337 […] […] | 1.312 […] […] |
| 21 (Bundesbeauftragter für den Datenschutz und die In formationsfreiheit) | 1140 | 1140 | 1140 | 1140 | 4.560 |
| Vollzugsaufwand | Haushaltsausgaben in TEUR in Summe pro Haus haltsjahr | Gesamtsumme im Finanzplan zeitraum in TEUR | |||
| EPl. / Haushaltsjahr | 2025 | 2026 | 2027 | 2028 | |
| davon einmalige Ausgaben: davon jährliche Ausgaben: | […] […] | […] […] | […] […] | […] […] | […] […] |
c. Planstellen und Stellen nach Einzelplänen
Die Planstellen und Stellen in der unter A.VI.3.a. genannten Gesamtaufstellung Planstellen und Stellen entfallen wie folgt auf die Einzelpläne:
| Planstellen und Stellen | |||||
| Einzelplan | Haushaltsjahr | 2025 | 2026 | 2027 | 2028 |
| Gesammelt: 04 (Bundeskanzleramt) 06 (Bundesministerium des Innern und für Heimat) 14 (Bundesministerium der Verteidigung) | 1.028,75 Plan stellen / Stellen | 435,64 | 675,35 | 858,15 | 1028,75 |
| hD | 173,22 | 283,5 | 369,5 | 453,5 | |
| gD | 234,5 | 340,25 | 416,25 | 486,25 | |
| mD | 30,92 | 58,6 | 79,4 | 64 | |
| 04 (Presse- und Informations amt der Bundesregierung) | 9 Planstellen / Stellen | 9 | 9 | 9 | 9 |
| hD | 2 | 2 | 2 | 2 | |
| gD | 6 | 6 | 6 | 6 | |
| mD | 1 | 1 | 1 | 1 | |
| 09 (Bundesministerium für Wirtschaft und Klimaschutz) | 105,7 Planstellen / Stellen | 69,6 | 97,2 | 98,7 | 91,9 |
| hD | 16 | 25,5 | 25,5 | 24,525 | |
| gD | 45,1 | 61,1 | 62,6 | 56,8 | |
| mD | 8,5 | 10,625 | 10,5 | 10,5 | |
| 08 (Bundesministerium der Finanzen) | 344 Planstellen / Stellen | 341 | 344 | 344 | 344 |
| hD | 44 | 45 | 45 | 45 |
| Planstellen und Stellen | |||||
| Einzelplan | Haushaltsjahr | 2025 | 2026 | 2027 | 2028 |
| gD | 295 | 297 | 297 | 297 | |
| mD | 2 | 2 | 2 | 2 | |
| 05 (Auswärtiges Amt) | 148 Planstellen / Stellen | 148 | 148 | 148 | 148 |
| hD | 37 | 37 | 37 | 37 | |
| gD | 106 | 106 | 106 | 106 | |
| mD | 5 | 5 | 5 | 5 | |
| 07 (Bundesministerium der Justiz) | 33 Planstellen / Stellen | 33 | 33 | 33 | 33 |
| hD | 8 | 8 | 8 | 8 | |
| gD | 20 | 20 | 20 | 20 | |
| mD | 5 | 5 | 5 | 5 | |
| 11 (Bundesministerium für Arbeit und Soziales) | 31 Planstellen / Stellen | 31 | 31 | 31 | 31 |
| hD | 6 | 6 | 6 | 6 | |
| gD | 25 | 25 | 25 | 25 | |
| mD | 0 | 0 | 0 | 0 | |
| Sozialversicherungsträger | 34,35 Planstellen | 34,35 | 34,35 | 34,35 | 34,35 |
| hD | 14,5 | 14,5 | 14,5 | 14,5 | |
| gD | 19,85 | 19,85 | 19,85 | 19,85 | |
| mD | 0 | 0 | 0 | 0 | |
| 10 (Bundesministerium für Ernährung und Landwirt schaft) | 6 Planstellen / Stellen | 6 | 6 | 6 | 6 |
| hD | 1 | 1 | 1 | 1 | |
| gD | 5 | 5 | 5 | 5 | |
| mD | 0 | 0 | 0 | 0 | |
| 17 (Bundesministerium für Familie, Senioren, Frauen und Jugend) | 25,45 Planstellen / Stellen | 25,45 | 25,45 | 25,45 | 25,45 |
| Planstellen und Stellen | |||||
| Einzelplan | Haushaltsjahr | 2025 | 2026 | 2027 | 2028 |
| hD | 8,7 | 8,7 | 8,7 | 8,7 | |
| gD | 15,5 | 15,5 | 15,5 | 15,5 | |
| mD | 1,25 | 1,25 | 1,25 | 1,25 | |
| 15 (Bundesministerium für Gesundheit) | 46 Planstellen / Stellen | 46 | 46 | 46 | 46 |
| hD | 18 | 18 | 18 | 18 | |
| gD | 22 | 22 | 22 | 22 | |
| mD | 6 | 6 | 6 | 6 | |
| 12 (Bundesministerium für Di gitales und Verkehr) | […] Planstellen / Stellen | […] | […] | […] | […] |
| hD | […] | […] | […] | […] | |
| gD | […] | […] | […] | […] | |
| mD | […] | […] | […] | […] | |
| 16 (Bundesministerium für Umwelt, Naturschutz, nukle are Sicherheit und Verbrau cherschutz) | 53 Planstellen / Stellen | 53 | 53 | 53 | 53 |
| hD | 18 | 18 | 18 | 18 | |
| gD | 32 | 32 | 32 | 32 | |
| mD | 3 | 3 | 3 | 3 | |
| 30 (Bundesministerium für Bildung und Forschung) | 36,26 Planstellen / Stellen | 36,26 | 36,26 | 36,26 | 36,26 |
| hD | 3,00 | 3,00 | 3,00 | 3,00 | |
| gD | 19,69 | 19,69 | 19,69 | 19,69 | |
| mD | 13,57 | 13,570 | 13,57 | 13,57 | |
| 23 (Bundesministerium für wirtschaftliche Zusammenar beit und Entwicklung) | 12 Planstellen / Stellen | 12 | 12 | 12 | 12 |
| hD | 2 | 2 | 3 | 3 | |
| gD | 3 | 4 | 5 | 5 | |
| mD | 4 | 4 | 4 | 4 |
| Planstellen und Stellen | |||||
| Einzelplan | Haushaltsjahr | 2025 | 2026 | 2027 | 2028 |
| 25 (Bundesministerium für Wohnen, Stadtentwicklung und Bauwesen) | 343 Planstellen / Stellen | 307 | 343 | 343 | 343 |
| hD | 226 | 113 | 113 | 113 | |
| gD | 80 | 229 | 229 | 229 | |
| mD | 1 | 1 | 1 | 1 | |
| 21 (Bundesbeauftragter für den Datenschutz und die In formationsfreiheit) | 6 Planstellen / Stellen | 6 | 6 | 6 | 6 |
| hD | 3 | 3 | 3 | 3 | |
| gD | 3 | 3 | 3 | 3 | |
| mD | 0 | 0 | 0 | 0 |
[Die Gegenfinanzierung der aus diesem Vorhaben resultierenden Mehrbedarfe ist Ge gegstand der weiteren Verhandlungen. Über jeweils ressortspezifische Einzelheiten ist im Rahmen künftiger Haushaltsaufstellungsverfahren zu entscheiden.]
4. Erfüllungsaufwand
a. Erfüllungsaufwand für die Bürgerinnen und Bürger
Für die Bürgerinnen und Bürger entsteht kein Erfüllungsaufwand.
b. Erfüllungsaufwand für die Wirtschaft
Für die Wirtschaft erhöht sich der jährliche Erfüllungsaufwand um rund 2,2 Milliarden Euro. Insgesamt entsteht einmaliger Aufwand von rund 2,1 Milliarden Euro. Dieser ist fast aus schließlich der Kategorie Einführung oder Anpassung digitaler Prozessabläufe zuzuordnen.
Davon entfallen rund 1,9 Millionen Euro auf Bürokratiekosten aus Informationspflichten.
Die Belastungen sind nicht im Rahmen der One in, one out-Regel der Bundesregierung zu kompensieren, da diese Änderungen aus einer 1:1-Umsetzung der verbindlichen Mindest vorgaben der Richtlinie (EU) 2022/2555 resultieren.
a. Wesentliche Rechtsänderungen
Vorgabe 4.2.1 (Weitere Vorgabe): Einhaltung eines Mindestniveaus an IT-Sicherheit (Besonders wichtige und wichtige Einrichtungen); §§ 30, 31 und 38 Absatz 1 in Ver bindung mit § 28 BSIG-E, § 5c Absätze 1 und 2 EnWG-E , § 165 Absätze 2 und 2a TKG
Veränderung des jährlichen Erfüllungsaufwands:
| Fallzahl | Zeitaufwand pro Fall (in Stunden) | Lohnsatz pro Stunde (in Euro) | Sachkosten pro Fall (in Euro) | Personalkosten (in Tsd. Euro) | Sachkosten (in Tsd. Euro) |
| 2 950 | 2 752 | 52,30 | 60 000 | 424 592 | 177 000 |
| 17 900 | 1 100 | 52,30 | 24 000 | 1 029 787 | 429 600 |
| Änderung des Erfüllungsaufwands (in Tsd. Euro) | 2 060 979 |
Einmaliger Erfüllungsaufwand: 2,1 Milliarden Euro
Bereits heute sind Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste ver pflichtet, ein Mindestniveau an IT-Sicherheit zu gewährleisten (vgl. §§ 8a und 8c BSIG, § 11 Absätze 1a ff. EnWG und § 165 TKG). Der Regelungsentwurf führt mit §§ 30, 31 und 38 Absatz 1 in Verbindung mit § 28 BSIG-E sowie mit § 5c Absätze 1 und 2 EnWG und mit § 165 Absätze 2 und 2a TKG vergleichbare Normen fort, in deren Anwendungsbereich deutlich mehr Unternehmen fallen werden. Demnach sollen künftig alle besonders wichti gen und wichtigen Einrichtungen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um für ihre Diensteerbringung relevante IT bezogene Störungen zu vermeiden (§ 30 Absatz 1 BSIG-E). Hinsichtlich der Verhältnismä ßigkeit wird in der Gesetzesbegründung zum § 30 BSIG-E, in § 5c Absatz 3 EnWG-E oder in § 165 Absatz 2 TKG-E auf die Bewertungskriterien etablierte IT-Standards, Umsetzungs kosten und bestehende Risiken verwiesen. Letztere werden bestimmt durch die Risikoex position, die Größe der Einrichtung bzw. des Betreibers sowie der Eintrittswahrscheinlich keit und die Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaft lichen Auswirkungen. Folglich werden erforderliche Maßnahmen zum Risikomanagement, die besonders wichtige Einrichtungen ergreifen müssen, umfangreicher sein als Maßnah men, die wesentliche Einrichtungen ergreifen müssen. Geschäftsleiter sind verpflichtet die Risikomaßnahmen zu billigen und zu überwachen (vgl. § 38 Absatz 1 BSIG-E).
Auf Basis von Angaben des BMWK und Daten des Unternehmensregisters des StBA kann angenommen werden, dass in Deutschland künftig rund 8 250 Unternehmen als besonders wichtige und rund 21 600 Unternehmen als wichtige Einrichtungen zu klassifizieren sind, die dem Normadressat der Wirtschaft zuzurechnen sind – darunter auch kommunale Ei
genbetriebe oder Landesbetriebe sowie juristische Personen des öffentlichen Rechts, die nicht in dem Sektor „öffentliche Verwaltung“ tätig sind (vgl. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates, Anhang 1). Unter den besonders wichtigen Ein richtungen sind 4 693 Anbieter digitaler Dienste und Betreiber kritischer Anlagen, die bereits heute nach geltender Rechtslage entsprechende Maßnahmen implementieren müssen (vgl. Online-Datenbank des Erfüllungsaufwands des StBA (OnDEA), ID 2015030909595401, 2017052913283301, 2020093009264301 und 2020093009264401). Folglich konstituiert die Rechtsänderung nur für die übrigen rund 3 550 besonders wichti gen Einrichtungen – und für die wichtigen Einrichtungen – vollständig neue rechtliche Ver pflichtungen. Zu beachten ist, dass auch von diesen potenziell betroffenen Unternehmen bereits heute ein Teil die geforderten Sicherheitsmaßnahmen ergreift. Laut einer Studie sahen sich im Jahr 2023 17 Prozent der befragten Unternehmen als sehr gut gegen Cy berangriffe aufgestellt (vgl. eco – Verband der Internetwirtschaft e. V. (2023):
https://www.eco.de/presse/eco-it-sicherheitsumfrage-2023-viele-unternehmen-unter schaetzen-noch-immer-bedrohungslage/). Mangels anderer Daten wird auf Basis dieser Studie angenommen, dass rund 17 Prozent der betroffenen Unternehmen bereits heute ausreichende Maßnahmen im Sinne des Umsetzungsgesetzes treffen. Folglich geht die nachfolgende Kalkulation davon aus, dass rund 2 950 (= 0,83 * 3 550) besonders wichtigen Einrichtungen und rund 17 900 (= 0,83 * 21 600) wichtigen Einrichtungen Erfüllungsauf wand entsteht.
Für die unternehmensbezogenen Personal- und Sachkosten werden Daten des StBA her angezogen, die im Rahmen der Nachmessung des Erfüllungsaufwands des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme und des Gesetzes zur Umset zung der Richtlinie (EU) 2016/1148 mittels einer Befragung von Betreibern kritischer Infra strukturen Ende des Jahres 2020 ermittelt wurden. Demnach beträgt der auf diese Gesetze zurückzuführende zusätzliche Personalaufwand der Betreiber kritischer Infrastrukturen für die Einhaltung eines Mindestniveaus an IT-Sicherheit durchschnittlich 2 752 Stunden und 60 000 Euro Sachkosten (vgl. OnDEA, ID 2015030909595401 und 2017052913283301). Mit Blick auf die Implementierung verhältnismäßiger Maßnahmen wird dieser Aufwand auch für die betroffenen besonders wichtigen Einrichtungen angenommen. Für wichtige Einrich tungen fällt entsprechend den Bewertungskriterien der Verhältnismäßigkeit ein geringerer Aufwand an. Mangels verfügbarer Daten wird angenommen, dass dieser Aufwand im Durchschnitt 60 Prozent geringer ist, also einem Personaleinsatz von rund 1 100 Stunden und Sachkosten in Höhe von 24 000 Euro entspricht. Da anhand der Daten des BMWK und des StBA abgeschätzt werden kann, dass 13 Prozent der wichtigen Einrichtungen auf große und 87 Prozent auf mittlere Unternehmen entfallen, entspricht der gemittelte Aufwand in Höhe von 1 100 Stunden und 24 000 Euro einer Konstellation, in der der Aufwand großer wichtiger Einrichtungen 70 Prozent der Aufwände der besonders wichtigen Einrichtungen und der Aufwand mittlerer wichtiger Einrichtungen 35 Prozent der Aufwände der besonders wichtigen Einrichtungen entspricht.
Werden die oben dargestellten Parameter angewendet, lässt sich bei einem mittleren Lohn satz von 52,30 pro Stunde (vgl. Leitfaden zur Ermittlung und Darstellung des Erfüllungsauf wands (nachfolgend: Leitfaden), Abschnitt 7, Gesamtwirtschaft A-S ohne O; mittleres Qua lifikationsniveau mit 25 Prozent, hohes Qualifikationsniveau mit 75 Prozent; sowie OnDEA
ID 2015030909595401 und 2017052913283301) schätzen, dass den besonders wichtigen Einrichtungen bzw. den wichtigen Einrichtungen ein jährlicher Erfüllungsaufwand von rund 600 Millionen Euro bzw. 1,5 Milliarden Euro entsteht.
Hinsichtlich des einmaligen Aufwands liegen keine Anhaltspunkte für eine Schätzung vor. Es wird vereinfachend angenommen, dass für die Implementierung neuer bzw. für die An passung der bestehenden IT-Infrastruktur zur Einhaltung des geforderten Mindestniveaus an IT-Sicherheit zusätzlich einmaliger Aufwand anfällt, welcher der Höhe des jährlichen Aufwands eines Jahres entspricht. Die umfassende Befragung der Bundesverwaltung ergab in etwa ein ähnliches Größenverhältnis zwischen dem jährlichen und dem einmaligen Aufwand (vgl. Vorgabe 4.3.1). Insofern ist von einem einmaligen Erfüllungsaufwand der Kostenkategorie „Einführung und Anpassung digitaler Prozessabläufe“ von knapp 2,1 Milli arden Euro auszugehen.
Da der Regelungsentwurf der Umsetzung der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und Rates dient, ist der nationalen Ausgestaltung zur Erhöhung der Sicherheit informationstechnischer Systeme enge Grenzen gesetzt. Der Zielsetzung des „Konzepts zur Erhöhung der Transparenz über den Umstellungsaufwand für die Wirtschaft und zu dessen wirksamer und verhältnismäßiger Begrenzung“ ist insofern Rechnung getragen, als dass das Umsetzungsgesetz nicht über den Regelungsgehalt der Richtlinie hinausgeht. Aber bereits bei der Ausarbeitung der EU-Richtlinie hat sich auch die Bundesregierung im Sinne des Konzepts erfolgreich im Rahmen der Trilogverhandlungen für aufwandsärmere Lösungen eingesetzt. So sah der Richtlinienvorschlag der Europäischen Kommission (EU
KOM) – anders als die nun geltende Richtlinie – keine differenzierten Regelungen für be sonders wichtigen und wichtigen Einrichtungen vor. Im Sinne des Artikels 21 und des Er wägungsgrunds 15 wird mit Blick auf die zu ergreifenden Maßnahmen nun im Umsetzungs gesetz der Ansatz der Verhältnismäßigkeit normiert, wodurch wichtige Einrichtungen mo netär weniger stark belastet werden wie die besonders wichtigen Einrichtungen. Der Vor schlag der EU-KOM sah zudem vor, dass bei einer hinreichenden öffentlichen Beteiligung
an einer Einrichtung, selbige auch dann in den Anwendungsbereich fällt, wenn es sich um ein kleines oder Kleinstunternehmen handelt. Da das Kriterium der öffentlichen Beteiligung keine Relevanz mehr hat, fallen diese (mit wenigen Ausnahmen durch die Konkretisierun gen in Artikel 2) nun nicht mehr in den Anwendungsbereich. Schließlich wurde im Vergleich zu dem Richtlinienvorschlag in der geltenden EU-Richtlinie der Anwendungsbereich in ei nige Sektoren enger gefasst – insbesondere für Lebensmittelunternehmen.
Vorgabe 4.2.2 (Informationspflicht): Sicherheitsvorfälle (Meldung-, Unterrichtungs und Auskunftspflichten); §§ 32, 35 und 40 Absatz 5 in Verbindung mit § 28 BSIG-E, § 5c Absätze 6 und 7 EnWG-E, § 168 Absätze 1 bis 3 TKG-EVeränderung des jährlichen Erfüllungsaufwands:
| Fallzahl | Zeitaufwand pro Fall (in Stunden) | Lohnsatz pro Stunde (in Euro) | Sachkosten pro Fall (in Euro) | Personalkosten (in Tsd. Euro) | Sachkosten (in Tsd. Euro) |
| 2 400 | 6,75 | 58,40 | 0 | 946 | 0 |
| 450 | 2,25 | 58,40 | 0 | 59 | 0 |
| 2 85 | 1,00 | 58,40 | 0 | 17 | 0 |
| Änderung des Erfüllungsaufwands (in Tsd. Euro) | 1 022 |
Der Regelungsentwurf sieht im Zusammenhang mit Sicherheitsvorfällen Meldepflichten be sonders wichtiger und wichtiger Einrichtungen gegenüber einer Meldestelle, in bestimmten Fällen eine Unterrichtungspflicht und auf Verlangen eine Auskunftspflicht vor (vgl. §§ 32, 35 und 40 Absatz 5 BSIG-E, § 5c Absätze 6 und 7 EnWG-E, § 168 Absätze 1 bis 3 TKG E). Bereits heute existiert für Betreiber kritischer Infrastrukturen (vgl. § 8b Absatz 4 BSIG, § 44b AtG), Unternehmen im besonderen öffentlichen Interesse (vgl. § 8f Absatz 7 und 8 BSIG), Anbieter digitaler Dienste (vgl. § 8c Absatz 3 BSIG) und für Unternehmen der Sek toren Telekommunikation und Energie (vgl. § 11 Absatz 1c EnWG, § 168 TKG) eine Mel depflicht von Sicherheitsvorfällen. Erfüllungsaufwand entsteht, da (a) mehr Unternehmen melde- und auskunftspflichtig werden, (b) die Meldepflicht an sich aufgrund des künftig mehrstufigen Verfahrens auch für bereits meldepflichtige Unternehmen aufwendiger wird und (c) die Unterrichtungspflicht neu eingeführt werden.
Die Anzahl der gemeldeten Sicherheitsvorfälle betrug im Berichtsjahr 2021/2022 rund 450 (vgl. BSI, Die Lage der IT-Sicherheit in Deutschland 2022, S. 68, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/La gebericht2022.pdf?__blob=publicationFile&v=8). Geht man von einem ähnlichen Meldeauf kommen der neu hinzukommenden 25 157 (= 29 850 - 4 693) meldepflichtigen Unterneh men pro Jahr aus, ist mit zusätzlichen 2 400 gemeldeten Sicherheitsvorfälle zu rechnen.
Der fallbezogene Zeitaufwand beträgt rund 4,5 Stunden für Meldungen nach geltender Rechtslage (vgl. OnDEA, ID 2017052913283701 und 2015030909595201). Aufgrund des mehrstufiges Meldeverfahren wird vereinfacht ein Aufschlag von 50 Prozent angesetzt, so dass von einer Gesamtdauer von 6,75 Stunden je Sicherheitsvorfall bzw. 16 200 Stunden (=6,75*2 400) für die neuen meldepflichtigen Unternehmen insgesamt ausgegangen wird. Für die bisher meldepflichtigen Unternehmen erhöht sich der Zeitaufwand um 2,25 Stunden pro Meldung bzw. zusammen rund 1 000 zusätzliche Stunden. Für die Unterrichtungs- und Auskunftspflicht wird vereinfacht angenommen, dass in nicht mehr als 10 Prozent aller rund 2 850 gemeldeten Sicherheitsvorfälle ein zusätzlicher Zeitaufwand von rund einer Stunde anfällt, also zusammen maximal 285 Stunden.
Bei einem gesamten zeitlichen Aufwand von rund 17 500 Stunden und einem Lohnsatz von 58,40 Euro je Stunde (vgl. Leitfaden, Anhang 7, Gesamtwirtschaft (A-S ohne O), hohes Qualifikationsniveau) beträgt der jährliche Erfüllungsaufwand insgesamt rund einer Million Euro.
Vorgabe 4.2.3 (Informationspflicht): Registrierungspflichten für besonders wichtige und wichtige Einrichtungen sowie bestimmte Einrichtungsarten; §§ 33 und 34 in Ver bindung mit § 28 BSIG-E, § 5c Absatz 8 EnWG-E
Veränderung des jährlichen Erfüllungsaufwands: 48 000 Euro
Einmaliger Erfüllungsaufwand: 361 000 Euro
Durch den Regelungsentwurf wird die bestehende Registrierungspflicht (vgl. §§ 8b und 8f BSIG) auf alle besonders wichtigen und wichtigen Einrichtungen sowie für bestimmte Einrichtungsarten ausgeweitet. Durch die erstmalige Übermittlung der Informationen ent steht einmaliger Erfüllungsaufwand. Jährlicher Erfüllungsaufwand entsteht aus der Pflicht, Änderungen der registerpflichtigen Angaben melden zu müssen (vgl. §§ 33 und 34 in Ver bindung mit § 28 BSIG-E sowie § 5c Absatz 8 EnWG).
Unter der Annahme, dass heute bereits insgesamt rund 6 000 Betreiber kritischer Infra strukturen und Unternehmen im besonderen öffentlichen Interesse registriert sind, werden in Deutschland künftig zusätzlich rund 23 850 besonders wichtige und wichtige Einrichtun gen in den Anwendungsbereich der Rechtsänderungen fallen. Für das erstmalige Zusam menstellen sowie die Übermittlung der Informationen wird gemäß Anhang 5 des Leitfadens ein Zeitaufwand von einmalig 25 Minuten angenommen (Standardaktivitäten 1, 2 und 3 in mittlerer Komplexität sowie 5, 7 und 8 in einfacher Komplexität). Bei einem Lohnsatz von 36,30 Euro pro Stunde (vgl. Leitfaden, Anhang 7, Gesamtwirtschaft A-S ohne O; mittleres Qualifikationsniveau) entsteht einmaliger Erfüllungsaufwand der Kategorie einmalige Infor mationspflicht in Höhe von rund 361 000 Euro. Unter der Annahme, dass das BSI eine elektronisches Registrierungsverfahren implementiert, entstehen keine weiteren Sachkos ten aus der Datenübermittlung.
Die (besonders) wichtigen Einrichtungen haben die zuständige Behörde über etwaige Än derungen zu informieren (vgl. §§ 33 Absatz 5, 34 Absatz 2 BSIG-E). Es wird davon ausge gangen, dass sich pro Jahr in einem Drittel der Einrichtungen mindestens eine Angabe ändert (= rund 7 950 Fälle). Bei einem fallbezogenen Zeitaufwand von 10 Minuten (vgl. Leitfaden, Anhang 5, Standardaktivitäten 2, 3, 5, 7 und 8 in einfacher Komplexität) und einem Lohnsatz von 36,30 Euro je Stunde entsteht jährlicher Erfüllungsaufwand von rund 48 000 Euro.
Vorgabe 4.2.4 (Weitere Vorgabe): Regelmäßige Schulungen (Besonders wichtige und wichtige Einrichtungen); § 38 Absatz 3 in Verbindung mit § 28 BSIG-E
Veränderung des jährlichen Erfüllungsaufwands:
| Fallzahl | Zeitaufwand pro Fall (in Stunden) | Lohnsatz pro Stunde (in Euro) | Sachkosten pro Fall (in Euro) | Personalkosten (in Tsd. Euro) | Sachkosten (in Tsd. Euro) |
| 150 000 | 4 | 58,40 | 100 | 35 040 | 15 000 |
| 3 000 000 | 1 | 36,30 | 0 | 108 900 | |
| Änderung des Erfüllungsaufwands (in Tsd. Euro) | 158 940 |
Die Regelungsentwurf sieht vor, dass Geschäftsleiter aller adressierten Einrichtungen re gelmäßig Cybersicherheitsschulungen absolvieren müssen; die übrigen Mitarbeitenden sol len regelmäßig an solchen Schulungen teilnehmen (vgl. § 38 Absatz 3 BISG-E).
Das Umsetzungsgesetz (vgl. Gesetzesbegründung) und die NIS2-Richtlinie (vgl. Artikel 20 Absatz 2) machen hier nur allgemeine Forderungen von Schulungen zum Erwerb allgemei ner Kenntnisse und Fähigkeiten, um unter anderem Risiken im Bereich der Cybersicherheit zu erkennen und zu bewerten. So sollen die Schulungen zwar regelmäßig absolviert wer den, eine konkrete Periodizität wird allerdings nicht vorgegeben. Zusätzlich ist unklar, wer im Unternehmen konkret zu den Geschäftsleitern zählt. Schließlich ist nicht zu erkennen, wie umfangreich die speziellen Cybersicherheitsschulungen sein müssen. Theoretisch kön nen das Kurzschulungen von wenigen Stunden sein, oder aufgrund der komplexen Thema tik mehrtägige Seminare.
Es wird geschätzt, dass jährlich rund 298 500 Geschäftsleiter Schulungen absolvieren. Dies liegt der freien Annahme zu Grunde, dass einmal im Jahr zehn leitende Beschäftigte je Unternehmen an einer solchen Schulung teilnehmen (29 850 Unternehmen * 10). Es ist jedoch davon auszugehen, dass Unternehmen aus eigenem Interesse zum Teil bereits heute ihren führenden Mitarbeitenden Cybersicherheitsschulungen anbieten. Es wird daher angenommen, dass dies für 50 Prozent der Unternehmen zutrifft, sodass davon auszuge hen ist, dass sich für rund 150 000 leitende Beschäftigte eine Veränderung des Status Quos ergibt.
Des Weiteren wird frei angenommen, dass es sich im Durchschnitt um eine halbtägige Schulung handelt (4 Stunden). Bei einem Lohnsatz von 58,40 Euro je Stunde (vgl. Leitfa den, Anhang 7, Gesamtwirtschaft (A-S ohne O), hohes Qualifikationsniveau) betragen die jährlichen Personalkosten knapp 35 Millionen Euro. Werden je teilnehmender Person zu sätzliche Schulungskosten für von externen Dozenten durchgeführte Schulungen in Höhe von 100 Euro angenommen, fallen zusätzlich jährliche Sachkosten in Höhe von 15 Millionen Euro an. Es sei darauf hingewiesen, dass es bereits kostenlose Online-Schulungen zum Thema IT-Sicherheit gibt. Sollten diese für die gesetzlichen Anforderungen an Geschäfts leiter hinreichend sein, würden die Sachkosten entsprechend bedeutend geringer ausfallen.
Hinsichtlich der Schulung der Mitarbeitenden wird angenommen, dass Schulungen für alle bzw. einen Großteil der in den als besonders wichtig und wichtig klassifizierten Einrichtun gen angestellten Personen angeboten werden sollen. Anhand von Daten des StBA wurde errechnet, dass die durchschnittliche Zahl der Beschäftigten in großen und mittleren Unter nehmen bei über 200 liegt. Es wird vereinfacht davon ausgegangen, dass in jedem der rund 29 850 Einrichtungen im Mittel 200 Beschäftigte eine Cybersicherheitsschulung absolvie ren. Wie bei den Geschäftsleitern wird davon ausgegangen, dass rund 50 Prozent der Un ternehmen ihren Mitarbeitenden bereits heute die Teilnahme an entsprechenden Cybersi cherheitsschulungen ermöglichen, so dass schließlich von rund drei Millionen zu schulen den Personen auszugehen ist. Zudem wird angenommen, dass die Schulungen weniger zeitaufwändig sind als die, welche durch die Mitglieder der Leitungsorgane absolviert wer den. In diesem Szenario wird davon ausgegangen, dass pro Jahr im Durchschnitt eine ein stündige Schulung oder Selbstlerneinheit absolviert wird und dass überwiegend auf kos tenfreie Angebote, die es bereits heute gibt, zurückgegriffen wird (vgl. BSI, IT-Grundschutz Schulungen, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisatio
nen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/IT Grundschutzschulung/it-grundschutzschulung_node.html). Unter den dargestellten Annah men entsteht bei einem Lohnsatz von 36,30 Euro je Stunde (Lohnkosten der Gesamtwirt schaft A-S ohne O; durchschnittliches Qualifikationsniveau) zusätzlicher jährlicher Erfül lungsaufwand in der Höhe von rund 109 Millionen Euro.
Insgesamt summiert sich der jährliche Erfüllungsaufwand für Schulungen von Geschäfts leitern und Mitarbeitenden auf rund 159 Millionen Euro.
Vorgabe 4.2.5 (Informationspflicht): Nachweis über Erfüllung von Anforderungen zur IT-Sicherheit (Besonders wichtige und wichtige Einrichtungen); § 64 Absätze 3 und 4 sowie § 65 in Verbindung mit § 28 BSIG-E
Veränderung des jährlichen Erfüllungsaufwands:
| Fallzahl | Zeitaufwand pro Fall (in Stunden) | Lohnsatz pro Stunde (in Euro) | Sachkosten pro Fall (in Euro) | Personalkosten (in Tsd. Euro) | Sachkosten (in Tsd. Euro) |
| 24 | 282 | 56,94 | 19 300 | 385 | 463 |
| Änderung des Erfüllungsaufwands (in Tsd. Euro) | 849 |
Das BSI kann von einer Auswahl besonders wichtiger Einrichtungen Nachweise zur Einhal tung von Anforderungen zur IT-Sicherheit anfordern. Zur Bestimmung nachweispflichtiger Einrichtungen soll es bestimmte Kriterien wie das Ausmaß der Risikoexposition heranzie hen (vgl. § 64 Absätze 3 und 4 BSIG-E). Von wichtigen Einrichtungen kann das BSI eben falls Nachweise verlangen, sofern Annahmen die Tatsache rechtfertigen, dass diese die gesetzlichen Anforderungen zur IT-Sicherheit nicht oder nicht richtig umsetzen. Für Betreiber kritischer Anlagen wird eine bereits bestehende obligatorische Nachweispflicht in den § 39 BSIG-E überführt.
Auf Basis der bisherigen Vollzugspraxis schätzt das Bundesministerium des Innern und für Heimat (BMI), dass das BSI pro Jahr von rund 24 (besonders) wichtigen Einrichtungen Nachweise verlangen wird. Die bestehende Nachweispflicht für Betreiber kritischer Anlagen verursacht laut OnDEA (ID 2015030909595501 und 2020093009264402) einen durch
schnittlichen Zeitaufwand von im Mittel 282 Stunden und Sachkosten von 19 300 Euro. Bei einem mittleren Lohnsatz von 56,94 Euro je Stunde (vgl. Leitfaden, Abschnitt 7, Gesamt wirtschaft A-S ohne O; mittleres Qualifikationsniveau mit 6 Prozent, hohes Qualifikationsni veau mit 94 Prozent; sowie OnDEA ID 2015030909595501 und 2020093009264402) ergibt sich für die geschätzt 24 nachweispflichtigen Einrichtungen ein jährlicher Erfüllungsauf wand von rund 849 000 Euro.
b. Weitere Rechtsänderungen
Der Regelungsentwurf umfasst zahlreiche Rechtsänderungen ohne bzw. ohne wesentliche Auswirkungen auf den Erfüllungsaufwand (vgl. Tabelle, „formelle Änderung“ bzw. „gering fügig“). Zum einen werden bestehende Vorgaben in den künftigen Fassungen des BSIG, des EnWG und des TKG fortgesetzt, so dass keine Entlastungen aufgrund wegfallender Vorgaben zu verzeichnen sind. Zum anderen kann es bei diesen Vorgaben nach der künf tigen Rechtslage zu geringfügigen Erhöhungen der Aufwände kommen, da der Geltungs bereich des BSIG ausgeweitet wird. Solche geringfügigen Erhöhungen resultieren zum Bei spiel aus den §§ 7, 12, 17 und 41 BSIG-E (Begründung zur Geringfügigkeit siehe BR-Drs. 16/21, S. 34), § 64 Absatz 5 BSIG-E (bei der Nachmessung des Erfüllungsaufwands des IT-Sicherheitsgesetzes und des Gesetzes zur Umsetzung der NIS-Richtlinie gab das BSI an, nur wenige Prüfungen durchgeführt zu haben) oder § 33 Absatz 3 BSIG-E (laut BSI ist die Angabe einer Funktionspostfachs ausreichend, vgl. https://www.bsi.bund.de/DE/The
men/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Allgemeine-Infos-zu KRITIS/Kontaktstelle-benennen/kontaktstelle-benennen_node.html). Rechtsänderungen mit Erfüllungsaufwänden sind im vorherigen Abschnitt erörtert (vgl. Tabelle, Vorgabe 4.2.X).
Paragraf
Bezeichnung der Vorgabe BSIG (Artikel 1)
ID des StBA Erfüllungsauf bisher künftig wand
Bereitstellung von Unterlagen und Datenträgern § 4a § 7 Absatz 1 2021012507333201 geringfügig Bestandsdatenauskunft § 5c § 12 2021012507393701 geringfügig
Auskunftspflicht (Hersteller von informationstech nischen Produkten und Systemen) gegenüber dem Bundesamt
§ 7a Ab satz 2
§ 14 Absatz 2 2021011810433601 formelle Ände rung
Maßnahmen (Anbieter von Telekommunikations diensten) im Zusammenhang mit den Anordnun gen des Bundesamtes zur Abwehr konkreter er heblicher Gefahren
Aufwand im Zusammenhang mit Anordnungen des Bundesamtes (BSI) gegenüber Anbietern von Telemediendiensten
§ 7c § 16 2021011810483101 formelle Ände rung
§ 7d § 17 2021012507494901 geringfügig
Einhaltung eines Mindestniveaus an IT-Sicherheit (Kritische Infrastrukturen)
Einhaltung eines Mindestniveaus an IT-Sicherheit (Anbieter digitaler Dienste)
Verpflichtender Einsatz von Systemen zur An griffserkennung bei Betreibern kritischer Infra strukturen
Meldung erheblicher IT-Sicherheitsvorfälle an das BSI (Kritische Infrastrukturen)
Meldung erheblicher IT-Sicherheitsvorfälle an das BSI (Anbieter digitaler Dienste)
Pflicht von Unternehmen im besonderen öffentli chen Interesse bestimmte Störungen ihrer infor mationstechnischen Systeme, Komponenten und Prozesse unverzüglich dem BSI zu melden
§ 8a i. V. m. § 8c § 8c Ab satz 1
§ 8a Ab satz 1a
§ 8b Ab satz 4
§ 8c Ab satz 3
§ 8f Ab sätze 7 und 8
§ 31 Absatz 1 2015030909595401 s. Vorgabe 4.2.1 § 31 Absatz 1 2017052913283301 s. Vorgabe 4.2.1 § 31 Absatz 2 2021011810531701 s. Vorgabe 4.2.1
§ 32 2015030909595201 s. Vorgabe 4.2.2 § 32 2017052913283701 s. Vorgabe 4.2.2 § 32 2021012507215301 s. Vorgabe 4.2.2
Registrierung der Kritischen Infrastruktur und Be nennung einer Kontaktstelle
§ 8b Ab satz 3
§ 33 Absatz 1 2015030909595901 s. Vorgabe 4.2.3
Betreiben einer Kontaktstelle § 8b Ab satz 3
§ 33 Absatz 3 2015030909595701 geringfügig
Nachweis der Erfüllung der Mindestanforderun gen durch Sicherheitsaudits (Kritische Infrastruk turen)
Nachweis über Maßnahmen zur Wahrung der Si cherheit von Netz- und Informationssystemen (Anbieter digitaler Dienste)
Pflicht von Unternehmen im besonderen öffentli chen Interesse zur Vorlage einer Selbsterklärung zur IT-Sicherheit gegenüber dem BSI
§ 8a Ab satz 3
§ 8c Ab satz 4
§ 8f Ab satz 1
§ 39 Absatz 1 2015030909595501 formelle Ände rung
§ 39 Absatz 1 2020093009355901 formelle Ände rung
§ 39 Absatz 1 2021012506571401 formelle Ände rung
Bereitstellung von Information im Rahmen der amtlichen Prüfung
§ 8f Ab satz 9
§ 39 Absatz 1 und § 64 Ab satz 5
2021012507544601 formelle Ände rung
Übermittlungspflicht an BSI von KRITIS und UBI zur Bewältigung von erheblichen IT-Störungen
Anzeige des Einsatzes kritischer Komponenten für die eine gesetzliche Zertifizierungspflicht be steht gegenüber dem BMI
Garantieerklärung des Herstellers gegenüber dem Betreiber der Kritischen Infrastruktur Informationen zu Sicherheitslücken, Schadpro grammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweisen
§ 8b Ab satz 4a
§ 9b Ab satz 1
§ 9b Ab satz 3
§ 4b Ab satz 2
§ 40 Absatz 5 2021012506532301 s. Vorgabe 4.2.2 § 41 Absatz 1 2021012507595001 geringfügig
§ 41 Absatz 2 2021012508035801 geringfügig
§ 5 Absatz 4 2021012507365101 formelle Ände rung
Antrag auf Erteilung eines Sicherheitszertifikats § 9 Absatz 2
§ 54 Absatz 2 200609271412501x formelle Ände rung
Antrag der Konformitätsbewertungsstellen auf Er teilung einer Befugnis, als solche tätig zu werden
§ 9a Ab satz 2
§ 55 Absatz 2 2021012507302801 formelle Ände rung
Vor-Ort-Begleitung bei Prüfungen des BSI § 8a Ab satz 4
EnWG (Artikel 16)
§§ 64 und 65 2017052913282901 geringfügig
Einhaltung eines Mindestniveaus an IT-Sicherheit (Energie)
Dokumentation der Einhaltung der Sicherheitsan forderungen an die IT-Sicherheit (Energie) Meldung erheblicher IT-Sicherheitsvorfälle an das BSI (Energie)
TKG (Artikel 23)
Einhaltung eines Mindestniveaus an IT-Sicherheit (Telekommunikation)
Meldung erheblicher IT-Sicherheitsvorfälle an das BSI (Telekommunikation)
KMU-Test
§ 11 Ab sätze 1a und b
§ 11 Ab satz 1b
§ 11 Ab satz 1c
§ 165 Ab satz 2
§ 168 Ab sätze 1 - 3
§ 5c Absätze 1 und 2
§ 5c Absätze 1 und 2
§ 5c Absätze 6 und 7
§ 165 Absätze 2 und 2a
§ 168 Absätze 1 bis 3
2020093009264301 s. Vorgabe 4.2.1
2020093009264402 formelle Ände rung
2020093009264501 s. Vorgabe 4.2.2
2020093009264401 s. Vorgabe 4.2.1 2011101812110109 s. Vorgabe 4.2.2
Ein KMU-Test ist für den Gesetzentwurf durchgeführt worden. Das Regelungsvorhaben be trifft kleine und mittlere Unternehmen, da diese unter § 28 Abs. 2 BSIG E fallen können. Es ist damit zu rechnen, dass voraussichtlich rund 20 900 Unternehmen als wichtige Einrich tungen erfasst werden. Belastungen für mittlere Unternehmen könnten sich aus einer an fänglich fehlenden Routine bei der Umsetzung obengenannter Vorschriften ergeben. Wei terhin ist damit zu rechnen, dass unter Umständen fachspezifische Expertise bei kleineren Unternehmen noch im Aufbau sein wird.
Der Regelungsentwurf dient der Umsetzung der Richtlinie (EU) 2022/2555 des Europäi schen Parlaments und Rates, weshalb Abweichungen bei der nationalen Ausgestaltung lediglich eng begrenzt möglich sind. Jedoch ist zu bedenken, dass Differenzierungen im Rahmen der Angemessenheit der Maßnahmen gesetzlich Niederschlag gefunden haben (s. vorgenannte Ausführungen). Das Regelungsvorhaben gleicht auferlegte Belastungen durch die Häufigkeit, der einer Pflicht nachgekommen werden muss, variierend nach der Einrichtungsart aus.
c. Erfüllungsaufwand für die Verwaltung
Der Bundesverwaltung entsteht Erfüllungsaufwand als Adressat von Vorgaben des Rege lungsentwurfs zur Wahrung der Sicherheit in der Informationstechnik (vgl. Vorgaben 4.3.1 bis 4.3.5). Zudem entsteht einigen Behörden weiterer Erfüllungsaufwand, da ihnen durch mehrere Vorgaben neue Aufgaben im Verwaltungsvollzug zugewiesen werden (vgl. Vorga ben 4.3.6 bis 4.3.12).
Um den Erfüllungsaufwand des Bundes abschätzen zu können, hat das BMI zusammen mit dem StBA eine schriftliche Befragung der Bundesverwaltung durchgeführt. Teilweise erhielt das StBA aggregierte Schätzungen von Ressorts zum gesamten Geschäftsbereich, teilweise erhielt es Einzelschätzungen zu einzelnen Behörden.
Wenige oberste Bundesbehörden (i.e. BBk, BPrA, BRH, Verwaltung des BT und BKM) und die Bundesgerichten werden erst bei der weiteren Abstimmung noch bis zur Kabinettsbe fassung zum Erfüllungsaufwand befragt – für diese Einrichtungen wurde der Aufwand auf Basis vorliegender Informationen anderer Stellen geschätzt.
Die nachfolgende Schätzung des Erfüllungsaufwands der Bundesverwaltung ist nahezu vollständig. Es kann davon ausgegangen werden, dass die vereinzelt fehlenden Rückmel dung die Höhe des bezifferten Erfüllungsaufwands nicht spürbar beeinflussen.
Aufgrund des prognostischen Charakters betonen viele beteiligte Stellen, dass die Angaben mit zum Teil großen Unsicherheiten behaftet sind.
Im Folgenden wird die Schätzung des Erfüllungsaufwands (des großen Teils) der Bundes verwaltung für die einzelnen Vorgaben dargestellt. Die Darstellung ist stark aggregiert, da Einzeldaten zur notwendigen Aufrüstung der IT-Sicherheit von Einrichtungen der Bundes verwaltung als sensibel einzustufen sind. Die qualitative Beschreibung ist eine stark ver kürzte aber sinngemäße Synthese der entsprechenden Erläuterungen der beteiligten Stel len.
a. Wesentliche Rechtsänderungen
aa. Vorgaben für Einrichtungen der Bundesverwaltung zur Wahrung der IT-Sicherheit
Mit Abstand am aufwendigsten schätzen die Einrichtungen der Bundesverwaltung den Auf wand für Maßnahmen zur Gewährleistung der Informationssicherheit (Vorgabe 4.3.1). Deutlich geringer – aber immer noch bedeutend hoch – schätzen sie den Aufwand aus der Vorgabe zum Umgang mit erheblichen Sicherheitsvorfällen (Vorgabe 4.3.2) und aus der Vorgabe zur Gewährleistung der Informationssicherheit wesentlicher Digitalisierungsvorha ben und Kommunikationsinfrastrukturen (Vorgabe 4.3.5).
Die Behörden schätzen ihren dauerhaften Personalbedarf aus den Vorgaben (4.3.1 bis 4.3.5) zur Wahrung der IT-Sicherheit auf zusammen rund 1 396 Stellen, wodurch Personal kosten in Höhe von rund 116 Millionen Euro entstehen werden. Die jährlichen Sachkosten schätzen sie auf zusammen rund 93 Millionen Euro. Den einmaligen Erfüllungsaufwand beziffern sie auf insgesamt 286 Millionen Euro.
Vorgabe 4.3.1: Maßnahmen zur Gewährleistung der Informationssicherheit; § 43 Ab sätze 1, 3 und 4 Satz 2, §§ 44 bis 46 und 50 in Verbindung mit §§ 29 und 37 Absatz 1 sowie § 46 Absatz 4 BSIG-E
Veränderung des jährlichen Erfüllungsaufwands des Bundes:
| Fallzahl* | Zeitaufwand pro Fall (in Stunden) | Lohnsatz pro Stunde (in Euro) | Sachkosten pro Fall (in Euro) | Personalkosten (in Tsd. Euro) | Sachkosten (in Tsd. Euro) |
| 98,6 (mD) | 1 600 | 33,80 | 0 | 5 332 | 0 |
| 694,9 (gD) | 1 600 | 46,50 | 0 | 51 701 | 0 |
| 309,5 (hD) | 1 600 | 70,50 | 0 | 34 912 | 0 |
| 1 | 0 | 0 | 76 166 983 | 0 | 76 167 |
| Änderung des Erfüllungsaufwands (in Tsd. Euro) | 168 111 |
* mD ~ mittlerer Dienst, gD ~ gehobener Dienst, hD ~ höherer Dienst
Einmaliger Erfüllungsaufwand des Bundes:
| Fallzahl | Zeitaufwand pro Fall (in Stunden) | Lohnsatz pro Stunde (in Euro) | Sachkosten pro Fall (in Euro) | Personalkosten (in Tsd. Euro) | Sachkosten (in Tsd. Euro) |
| 46,8 (mD) | 1 600 | 33,80 | 0 | 2 531 | 0 |
| 446,4 (gD) | 1 600 | 46,50 | 0 | 33 212 | 0 |
| 216,4 (hD) | 1 600 | 70,50 | 0 | 24 410 | 0 |
| 1 | 0 | 0 | 225 017 314 | 0 | 225 017 |
| Erfüllungsaufwand (in Tsd. Euro) | 285 170 |
Einrichtungen der Bundesverwaltung im Sinne des § 29 BSIG-E müssen hinsichtlich des IT-Betriebs künftig gemäß § 43 Absatz 1 BSIG-E die Voraussetzungen zur Gewährleistung der Informationssicherheit schaffen. Hierzu soll das BSI durch den IT-Grundschutz und durch Mindeststandards für die Sicherheit in der Informationstechnik des Bundes die zu erfüllenden Anforderungen festlegen (vgl. § 44 BSIG-E). Eine grundsätzliche Pflicht zur Umsetzung von Mindeststandards für die Sicherheit der Informationstechnik existiert bereits nach geltendem Recht (vgl. § 8 BSIG) und wurde zuletzt auf IT-Dienstleister, soweit sie IT Dienstleistungen für die Kommunikationstechnik des Bundes erbringen, ausgeweitet (vgl. BT-Drs. 19/26106, S. 78 und OnDEA unter anderem ID 2021012607002101).
Die Einrichtungen der Bundesverwaltungen schätzen den gesamten Personalbedarf dau erhaft auf zusammen 1103 Stellen und einmalig auf 710 Stellen, wodurch jährliche Perso nalkosten von rund 92 Millionen Euro und einmalig von 60 Millionen Euro entstehen.
Der Personalaufwand entsteht unter anderem aus folgenden Tätigkeiten: Etablierung und Durchführung eines Risikomanagements in der Informationssicherheit, Erstellung und stän dige Aktualisierung von Sicherheitskonzepten, Sicherheitsvorfallmanagement, Sicherstel lung der Einhaltung der Vorgaben der Informationssicherheit bei Dienstleistern sowie bei der Beschaffung, Entwicklung und Wartung von IT-Systemen, erweitertes Reporting, Aus bau und Wahrnehmung der Fachaufsicht.
Jährliche und einmalige Sachkosten werden von den Einrichtungen der Bundesverwaltung auf rund 76 Millionen Euro und 225 Millionen Euro geschätzt. Neben einzelnen Positionen wie dem Aufwand zum Erwerb und dem Aufrechterhalten der Fachkunde des Informations sicherheitsbeauftragten und dessen Vertretung entstehen Sachkosten vor allem für den Ausbau und den Betrieb der zusätzlich notwendigen IT-Infrastruktur sowie die Beanspru chung von Dienstleitungen Dritter.
Bedeutsame Positionen der Infrastrukturkosten umfassen: Zusätzliche Hardware, Support und Wartung von Hardware sowie Software und Lizenzen, Ertüchtigung und Dauerbetrieb paralleler Infrastrukturen und redundanter Betriebsumgebungen sowie Kommunikations strukturen.
Teilweise signifikanten Aufwand für Beratungsleistungen schätzen Behörden mit dem Ver weis auf den allgemeinen Fachkräftemangel und den vergleichsweisen attraktiven Gehältern der Privatwirtschaft. Allgemein sollen entsprechend der Anforderungen des Um setzungsgesetzes Aufträge und Dienstleistungen in verschiedenen Bereichen der Informa tionstechnik erbracht werden. Im Einzelnen sollen zum Beispiel BSI zertifizierte externe Be raterinnen und Berater beauftragt werden, die unter anderem für IS-Penetrationstets (und
Bewertung der Mängel) und für die besondere Expertise bei der Sicherheitsberatung zu kritischen Geschäftsprozessen sowie IT-Verfahren zum Einsatz kommen. Ebenso sollen Coachings, Unterstützungsleistungen unter anderem für die Erstellung des Sicherheitskon zeptes und für die Überprüfung von IT-Dienstleistern und Unterstützungsleistung von Drit ten für das Notfallmanagement eingekauft werden.
Der Erfüllungsaufwand beträgt jährlich 170 Millionen Euro und einmalig 286 Millionen Euro.
Vorgabe 4.3.2: Sicherheitsvorfälle (Meldung; Gegenmaßnahmen; Unterrichtungs pflichten); §§ 10, 32, 35 und 36 in Verbindung mit §§ 29, 37, 43 Absätze 5 und 6 sowie § 46 Absatz 4 BSIG-E
Veränderung des jährlichen Erfüllungsaufwands des Bundes:
| Fallzahl | Zeitaufwand pro Fall (in Stunden) | Lohnsatz pro Stunde (in Euro) | Sachkosten pro Fall (in Euro) | Personalkosten (in Tsd. Euro) | Sachkosten (in Tsd. Euro) |
| 10,8 (mD) | 1 600 | 33,80 | 0 | 584 | 0 |
| 100,7 (gD) | 1 600 | 46,50 | 0 | 7 492 | 0 |
| 21,9 (hD) | 1 600 | 70,50 | 0 | 2 470 | 0 |
| 1 | 0 | 0 | 9 200 220 | 0 | 9 200 |
| Änderung des Erfüllungsaufwands (in Tsd. Euro) | 19 747 |
Einmaliger Erfüllungsaufwand des Bundes:
| Fallzahl | Zeitaufwand pro Fall (in Stunden) | Lohnsatz pro Stunde (in Euro) | Sachkosten pro Fall (in Euro) | Personalkosten (in Tsd. Euro) | Sachkosten (in Tsd. Euro) |
| 0,2 (mD) | 1 600 | 33,80 | 0 | 11 | 0 |
| 2,2 (gD) | 1 600 | 46,50 | 0 | 164 | 0 |
| 8,3 (hD) | 1 600 | 70,50 | 0 | 936 | 0 |
| 1 | 0 | 0 | 4 033 303 | 0 | 4 033 |
| Erfüllungsaufwand (in Tsd. Euro) | 5 144 |
Einrichtungen der Bundesverwaltung müssen erhebliche Sicherheitsvorfälle an das BSI melden (vgl. § 32 in Verbindung mit § 29 Absatz 2 BSIG-E). Mit Ausnahmen des Geschäfts bereichs des Bundesressort Verteidigung müssen sie im Falle einer Anordnung des BSI Maßnahmen zur Abwendung oder Behebung von Sicherheitsvorfällen ergreifen (vgl. § 10 in Verbindung mit § 29 Absätze 2 und 3 BSIG-E) und bei einer Anweisung des BSI Emp fängerinnen und Empfängern ihrer Dienste über erhebliche Sicherheitsvorfälle unterrichten (vgl. § 35 in Verbindung mit § 29 Absätze 2 und 3 BSIG-E).
Insgesamt werden vermutlich einmalig elf Stellen und dauerhaft 133 Stellen für die Erfüllung der Vorgaben zu Sicherheitsvorfällen eingesetzt, wodurch Personalkosten von einmalig 1,1 Millionen Euro und jährlich 10,5 Millionen Euro entstehen werden. Bearbeitungsaufwand entsteht voraussichtlich insbesondere für die Umsetzung der Anordnungen von Maßnah
men zur Abwendung und Behebung von Sicherheitsvorfällen. Zeitaufwand bedeuten ebenfalls die Meldungen selbst wie auch das Berichtswesen über die Umsetzung der An ordnungen an das BSI.
Sachkosten werden einmalig auf rund vier Millionen Euro und jährlich auf rund 9 Millionen Euro geschätzt. Diese fallen an für das Incident und IT-Sicherheitsvorfall Management, Not fallmanagement und die materialbezogene Umsetzung von Sicherheitsmaßnahmen zur Ab wendung und Behebung von Sicherheitsvorfällen. Zum Teil rechnen Behörden auch mit dem Einsatz externer Expertenteams.
Der Erfüllungsaufwand beträgt einmalig 5,1 Millionen Euro und jährlich 19,7 Millionen Euro.
Vorgabe 4.3.3: Registrierungspflichten für Einrichtungen der Bundesverwaltung; § 33 in Verbindung mit §§ 29, 37, 43 Absatz 4 Satz 1 und 46 Absatz 4 BSIG-E
Veränderung des jährlichen Erfüllungsaufwands des Bundes: 2,4 Millionen Euro Einmaliger Erfüllungsaufwand des Bundes: 1,5 Millionen Euro
Mit wenigen Ausnahmen unterliegen die Einrichtungen der Bundesverwaltung der Regist rierungspflicht gemäß § 33 BSIG-E. Erfüllungsaufwand entsteht insbesondere durch die erstmalige Registrierung; aber auch dauerhaft rechnen die Behörden mit spürbarem Auf wand, da sie eine jederzeit erreichbare Kontaktstelle vorhalten müssen (vgl. § 33 Absatz 2 Satz 2 BSIG-E).
Insgesamt schätzen die betroffenen Einrichtungen der Bundesverwaltung dauerhaft 30,7 Stellen (0,6 Stellen im mittlerem, 28,2 Stellen im gehobenen und 1,9 Stellen im höheren Dienst) und einmalig 10 Stellen (8,4 Stellen im gehobenen und 1,6 Stellen im höheren Dienst) einzusetzen, wodurch Personalkosten von jährlich 2,3 Millionen Euro und einmalig von 805 000 Euro entstehen werden. Einmalige bzw. jährliche Sachkosten für Anschaffung und Betrieb von Komponenten der IT-Infrastruktur schätzen sie auf 688 000 Euro bzw. 83 000 Euro.
Vorgabe 4.3.4: Regelmäßige Schulungen; § 43 Absatz 2 und § 44 Absatz 1 in Verbin dung mit §§ 29, 37 und 46 Absatz 4 BSIG-E
Veränderung des jährlichen Erfüllungsaufwands des Bundes:
| Fallzahl | Zeitaufwand pro Fall (in Stunden) | Lohnsatz pro Stunde (in Euro) | Sachkosten pro Fall (in Euro) | Personalkosten (in Tsd. Euro) | Sachkosten (in Tsd. Euro) |
| 4,6 (mD) | 1 600 | 33,80 | 0 | 249 | 0 |
| 19,2 (gD) | 1 600 | 46,50 | 0 | 1 428 | 0 |
| 9,7 (hD) | 1 600 | 70,50 | 0 | 1 094 | 0 |
| 1 | 0 | 0 | 3 623 715 | 0 | 3 623 |
| Änderung des Erfüllungsaufwands (in Tsd. Euro) | 6 395 |
Einmaliger Erfüllungsaufwand des Bundes:
| Fallzahl | Zeitaufwand pro Fall (in Stunden) | Lohnsatz pro Stunde (in Euro) | Sachkosten pro Fall (in Euro) | Personalkosten (in Tsd. Euro) | Sachkosten (in Tsd. Euro) |
| 0,0 (mD) | 1 600 | 33,80 | 0 | 0 | 0 |
| 2,9 (gD) | 1 600 | 46,50 | 0 | 215 760 | 0 |
| 0,7 (hD) | 1 600 | 70,50 | 0 | 79 | 0 |
| 1 | 0 | 0 | 782 087 | 0 | 782 |
| Erfüllungsaufwand (in Tsd. Euro) | 1 077 |
Einrichtungsleitungen der Bundesbehörden sollen regelmäßig Cybersicherheitsschulungen absolvieren (vgl. § 43 Absatz 2 BISG-E). Gemäß Artikel 20 Absatz 2 der NIS2-Richtlinie erstreckt sich die Schulungspflicht auch auf alle Mitarbeitende – dies wird im nationalen Recht durch § 44 Absatz 1 BSIG-E sichergestellt (vgl. Gesetzesbegründung).
Für den Besuch von Fortbildung sowie die teilweise Erarbeitung von Lehrmaterial schätzen die Bundesbehörden den Personalaufwand initial auf insgesamt rund 3,6 Stelle und dauer haft auf rund 33,5 Stellen. Sachkosten für Lehrmaterial, Schulungen und die teilweise ge plante Einbindung von externen Lehrkräften sowie Expertinnen und Experten schätzen sie einmalig auf 782 000 Euro und laufend auf 3,6 Millionen Euro. Der Erfüllungsaufwand be trägt demnach einmalig 1,1 Millionen Euro und jährlich 6,4 Millionen Euro.
Vorgabe 4.3.5: Wesentliche Digitalisierungsvorhaben und Kommunikationsinfra strukturen; § 47 BSIG-E in Verbindung mit §§ 29, 37 und 46 Absatz 4 BSIG-E
Veränderung des jährlichen Erfüllungsaufwands des Bundes:
| Fallzahl | Zeitaufwand pro Fall (in Stunden) | Lohnsatz pro Stunde (in Euro) | Sachkosten pro Fall (in Euro) | Personalkosten (in Tsd. Euro) | Sachkosten (in Tsd. Euro) |
| 4,3 (mD) | 1 600 | 33,80 | 0 | 233 | 0 |
| 51,2 (gD) | 1 600 | 46,50 | 0 | 3 809 | 0 |
| 39,9 (hD) | 1 600 | 70,50 | 0 | 4 501 | 0 |
| 1 | 0 | 0 | 4 766 734 | 0 | 4 767 |
| Änderung des Erfüllungsaufwands (in Tsd. Euro) | 13 370 |
Einmaliger Erfüllungsaufwand des Bundes: 5,5 Millionen Euro.
Für die Planung und Umsetzung von wesentlichen Digitalisierungsvorhaben und Kommu nikationsinfrastrukturen des Bundes sind eigene Informationssicherheitsbeauftragte zu be stellen. Zur Gewährleistung der Informationssicherheit bei solchen Vorhaben sind ange messene Mittel für die Informationssicherheit einzusetzen (vgl. § 47 BSIG-E).
Die Anzahl wesentlicher Digitalisierungsvorhaben und Kommunikationsinfrastrukturen vari iert zwischen den Behörden stark. Eine Vielzahl an Behörden sieht hier aufgrund fehlender Vorhaben keinen Aufwand. Einige Behörden wie das Umweltbundesamt, die Generalzoll direktion, das Auswärtige Amt oder das Statistische Bundesamt rechnen dauerhaft mit meh reren Vorhaben. Zur Sicherstellung der Informationssicherheit der Projekte rechnen solche Behörden nicht selten mit – auch laufbahnübergreifend – einer Stelle je Vorhaben.
In der Summe schätzen die Bundesbehörden den Stellenbedarf dauerhaft auf 95 Stellen, wodurch jährliche Personalkosten von 8,5 Millionen Euro entstehen. Die Sachkosten schät zen sie jährlich auf 4,8 Millionen Euro und einmalig auf rund 5,5 Millionen Euro. Diese ent stehen hauptsächlich durch die Inanspruchnahme der Dienstleistungen Dritter (z. B. für die Erstellung und Initialisierung der Sicherheitsleitlinien zu wesentlichen Digitalisierungsvor haben sowie für externe Betriebsunterstützung in Ermangelung von verfügbaren qualifizier tem Personal) und den Ausbau und Betrieb zusätzlicher IT-Infrastruktur.Der Erfüllungsaufwand beträgt einmalig 5,5 Millionen Euro und jährlich 13,4 Millionen Euro. ab. Vorgaben zum Vollzug
Durch das Umsetzungsgesetz wird im BSIG der Aufgabenbereich der betroffenen Vollzugs behörden neu strukturiert. Wesentlicher neuer Aufwand entstehen BSI, BBK, BNetzA, BfDI und BMI. Dieser entsteht vor allem durch die stark zunehmende Anzahl der zu beaufsichti gen Einrichtungen. Derzeit kann nur schwer abgeschätzt werden, wie hoch der zusätzliche Personalbedarf der betroffenen Vollzugbehörden tatsächlich sein wird. Die Behörden schät zen ihren dauerhaften Personalbedarf auf zusammen rund 931 Stellen, wodurch jährliche Personalkosten in Höhe von rund 81 Millionen Euro entstehen werden. Die jährlichen bzw. einmaligen Sachkosten schätzen sie auf zusammen rund 73 Millionen Euro bzw. 36 Millio nen Euro.
Allein auf das BSI entfallen rund 549 Stellen (neben 40 weiteren Stellen die bei den Vorga ben 4.3.1 bis 4.3.5 berücksichtigt sind) und auf den ITZBund 318 Stellen. Im Vergleich dazu werden derzeit allein im BSI aufgrund der vorangegangenen Regelungsvorhaben IT-Si cherheitsgesetz, Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 und zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme rund 645 Stellen für die Wahrnehmung bestehender Aufgabe der Sicherheit in der Informationstechnik gemäß §§ 3 ff. BSIG eingesetzt.
Viele der Behörden, die bereits heute in relativ geringem Umfang am Vollzug das BSIG mitwirken, haben auf keine wesentlichen Veränderungen ihres Vollzugsaufwands hinge wiesen. Diese Rechtsänderungen können im Sinne des Erfüllungsaufwands als formelle Rechtsänderungen gesehen werden (vgl. Unterabschnitt b).
Vorgabe 4.3.6: Grundsatzaufgaben und Befugnisse (BSI, BfDI, ITZBund); §§ 3 bis 19 in Verbindung mit §§ 20 bis 27 BSIG-E
Veränderung des jährlichen Erfüllungsaufwands des Bundes:
| Fallzahl | Zeitaufwand pro Fall (in Stunden) | Lohnsatz pro Stunde (in Euro) | Sachkosten pro Fall (in Euro) | Personalkosten (in Tsd. Euro) | Sachkosten (in Tsd. Euro) |
| 26,0 (mD) | 1 600 | 33,80 | 0 | 1 406 | 0 |
| 373,0 (gD) | 1 600 | 46,50 | 0 | 27 751 | 0 |
| 230,5 (hD) | 1 600 | 70,50 | 0 | 26 000 | 0 |
| 1 | 0 | 67 643 000 | 0 | 67 643 | |
| Änderung des Erfüllungsaufwands (in Tsd. Euro) | 122 801 |
Einmaliger Erfüllungsaufwand des Bundes: 27,9 Millionen Euro
Die „Grundsatzaufgaben“ und Befugnisse im Bereich der bundesrechtlich geregelten Si cherheit in der Informationstechnik ergeben sich künftig aus den §§ 3 bis 19 in Verbindung mit §§ 20 bis 27 BSIG-E. Bereits heute nimmt das BSI umfassende Aufgaben in diesem Bereich wahr (vgl. §§ 3 BISG; OnDEA, u. a. ID 2015030910484001, 2021012608550401). Mit der Umsetzung der NIS2-Richtlinie werden diese Aufgaben des BSI ausgeweitet. So fallen zum Beispiel künftig alle Einrichtungen der Bundesverwaltung in den Anwendungs bereich des BSIG, wodurch insbesondere der Aufwand aus Tätigkeiten zur Wahrung des Schutzes der gesamten Kommunikationstechnik des Bundes zunimmt (vgl. §§ 8 und 9 BSIG-E). Mit Blick auf datenschutzrechtliche Belange wird das BSI bei der Wahrnehmung seiner Aufgaben nach dem BSIG durch den BfDI unterstützt. Der BfDI sieht durch die er hebliche Erweiterung des Wirkungskreises des BSI und die Erweiterung seiner Aufgaben auf weitaus mehr Behörden höheren Beratungs- und Kontrollaufwand des BfDI gegenüber dem BSI. Das ITZBund betreut zurzeit weit über 1 000 Verfahren. Als zentraler IT-Dienstleister des Bundes entsteht ihm signifikanter Mehraufwand, da er zum Beispiel im Rahmen von kundenbezogenen Prüfungen nach § 7 BSIG-E dem BSI zuarbeitet.
Insgesamt beziffert der BfDI seinen dauerhaften Mehraufwand mit vier Stellen (je zwei Stel len im gehobenen und höheren Dienst), das BSI mit 308 Stellen (rund 26, 96 bzw. 186 Stellen im mittleren, gehobenen bzw. höheren Dienst) und der ITZBund mit 318 Stellen (275 bzw. 43 Stellen im gehobenen bzw. höheren Dienst). Behördenübergreifend entstehen dadurch jährliche Personalkosten von rund 55 Millionen Euro. Im Einzelnen ergibt sich der Bedarf aus Tätigkeiten wie: Beratung und Kontrolle zur Sicherung der datenschutzkonfor men Umsetzung des NIS2UmsuCG, sicherzustellen Vorgaben zur Definition erheblicher Sicherheitsvorfälle müssen erstellt und abgestimmt sowie auf Grund der Dynamik der Ent wicklung bei Cyber-Angriffen regelmäßig angepasst werden. Für Einsätze von BSI Compu ternotfallteams zur Unterstützung anderer Teams im Unionsgebiet müssen entsprechend einsatzfähige Teams vorgesehen und vorgehalten werden; dadurch können die im Gesetz vorgesehenen Leistungen zur gegenseitigen Unterstützung innerhalb der Union zusätzlich zu den bestehenden Einsätzen im nationalen Rahmen erbracht werden. Zudem fällt auf Aufwand an für Peer Reviews, die operative Koordination, zentrale Anlaufstelle CSIRT, Un terrichtung von Einrichtungen umfangreiche Vorfallsunterstützung, MIRT-Beratung Warn anlässe, Dauerdienste, Unterrichtung durch LZ/WG, Onlineportal mit WG23, Scans nach Schwachstellen).
Für die Implementierung und den Betrieb der mit den zusätzlichen Aufgaben verbundenen neuen Verfahrensabläufe und zusätzlicher IT-Ausstattung (z. B. Ausbau der Detektionsinf rastruktur, Fortschreibung bzw. Erweiterung des Schulungskonzepts für KRITIS-Prüfer, Prüfungen, Öffentlichkeitsarbeit) veranschlagen die Behörden zusammen jährliche bzw. einmalige Sachkosten von rund 68 Millionen bzw. 28 Millionen Euro.
Der Erfüllungsaufwand beträgt einmalig 28 Millionen Euro und jährlich 123 Millionen Euro.
Vorgabe 4.3.7: Bearbeitung von Meldungen erheblicher Sicherheitsvorfälle (BSI und BBK); §§ 32, 35, 36 sowie 40 Absätze 4 und 5 BSIG-E
Veränderung des jährlichen Erfüllungsaufwands des Bundes:
| Fallzahl | Zeitaufwand pro Fall (in Stunden) | Lohnsatz pro Stunde (in Euro) | Sachkosten pro Fall (in Euro) | Personalkosten (in Tsd. Euro) | Sachkosten (in Tsd. Euro) |
| 14,0 (mD) | 1 600 | 33,80 | 0 | 757 | 0 |
| 60,0 (gD) | 1 600 | 46,50 | 0 | 4 464 | 0 |
| 76,0 (hD) | 1 600 | 70,50 | 0 | 8 573 | 0 |
| 1 | 0 | 0 | 1 119 450 | 0 | 1 119 |
| Änderung des Erfüllungsaufwands (in Tsd. Euro) | 14 913 |
Einmaliger Erfüllungsaufwand des Bundes: 508 000 Euro
Bereits heute ist das BSI zentrale Anlaufstelle für Meldungen von Betreibern Kritischer Inf rastrukturen zu erheblichen Sicherheitsvorfällen (vgl. § 8b Absatz 3 BSIG). Künftig werden in den §§ 32, 35, 36 sowie 40 Absätze 4 und 5 BSIG-E diesbezügliche Vollzugsaufgaben des BSI und des BBK geregelt. Seitens der Behörden ist allein aufgrund der deutlichen Ausweitung der meldepflichtigen Einrichtungen mit erheblichem Mehraufwand zu rechnen. Zusätzlich wird der Aufwand pro Meldung im Mittel aufwendiger, da nun ein mehrstufiges Meldeverfahren eingeführt wird (vgl. § 32 BSIG-E, Vorgab 4.2.2). Das BSI kann in bestimm ten Fällen Anweisungen zur Unterrichtung von Diensteempfängern erteilen (vgl. § 35 BSIG E) und es bietet in strafrechtsrelevanten Fällen Orientierungshilfen für die Meldung an Straf vollzugsbehörden (vgl. § 36 BSIG-E). Zudem kann das BSI bestimmte Informationen von Betreibern verlangen und in bestimmten Fällen unterliegt es selbst einer Unterrichtungspflicht gegenüber Mitgliedsstaaten der Europäischen Union (vgl. § 40 Ab sätze 4 und 5 BSIG-E). Das BBK sieht einen Mehraufwand aufgrund der Einrichtung und des Betriebs des Meldeverfahrens. Zudem entsteht ein Mehraufwand, da Prüfungen be züglich des IT-SiG 2.0 auf etwaige Konflikte mit § 12 Absatz 1 KRITIS-DachG-E Meldewe sen durchgeführt werden müssen.
Insgesamt beziffert das BBK seinen dauerhaften Mehraufwand auf sechs Stellen (je zwei Stellen im mittleren, gehobenen und höheren Dienst); das BSI erwartet, dass laufbahnüber greifend zusätzliche 144 Stellen erforderlich sein werden (12, 58 bzw. 74 Stellen im mittle ren, gehobenen bzw. höheren Dienst). Behördenübergreifend entstehen dadurch jährliche Personalkosten von rund 13,8 Millionen Euro. Zusätzlich entstehen laut BBK und BSI für die Einrichtung und den Betrieb des Benachrichtigungstools, Ausbau des Meldewesens, neue Notebooks und den Skalierenden Betrieb der Kommunikations- und Unterstützungs maßnahmen einmalige bzw. jährliche Sachkosten von 508 000 Euro bzw. 1,1 Millionen Euro.
Vorgabe 4.3.8: Einrichtung und Betrieb eines Registers für (besonders) wichtige Ein richtungen, bestimmte Einrichtungsarten sowie für Einrichtungen der Bundesver waltung (BSI und BBK); §§ 33, 34 und 43 Absatz 4 BSIG-E
Veränderung des jährlichen Erfüllungsaufwands des Bundes:
| Fallzahl | Zeitaufwand pro Fall (in Stunden) | Lohnsatz pro Stunde (in Euro) | Sachkosten pro Fall (in Euro) | Personalkosten (in Tsd. Euro) | Sachkosten (in Tsd. Euro) |
| 24,0 (mD) | 1 600 | 33,80 | 0 | 1 298 | 0 |
| 23,0 (gD) | 1 600 | 46,50 | 0 | 1 711 | 0 |
| 10,0 (hD) | 1 600 | 70,50 | 0 | 1 128 | 0 |
| 1 | 0 | 0 | 1 950 | 0 | 2 |
| Änderung des Erfüllungsaufwands (in Tsd. Euro) | 4 139 |
Einmaliger Erfüllungsaufwand des Bundes: 8 000 Euro
Dem BSI und BBK entstehen Erfüllungsaufwand aus der Registrierungspflicht für (beson ders) wichtige Einrichtungen, bestimmte Einrichtungsarten und Einrichtungen der Bundes verwaltung (vgl. §§ 33, 34 und 43 Absatz 4 in BSIG-E). Bereits heute verarbeitet und pflegt das BSI entsprechende Angaben von Betreibern kritischer Infrastrukturen und von Unter nehmen im besonderen öffentlichen Interesse (vgl. § 8b Absatz 3 und 8f Absatz 5 BSIG).
Durch die neuen Regelungen bedarf es laut BBK der Etablierung und dauerhaften Durch führung eines angepassten Registrierungsverfahrens. Zudem entsteht Mehraufwand, da Prüfungen bezüglich des IT-SiG 2.0 auf etwaige Konflikte mit § 6 Abs. 1 KRITIS-DachG-E Registrierung durchgeführt werden müssen. Aufgrund der Ausweitung des Normadressa tenkreises erwarten das BSI Mehraufwand insbesondere durch die Verarbeitung eingehen der Registrierungen, Anfragenbearbeitung und Stammdatenpflege von besonders wichti gen und wichtigen Einrichtungen. Zudem obliegt ihm die Fachadministration der IT-Sys teme. BSI und BBK schätzen den zusätzlichen Personalbedarf auf insgesamt 57 Stellen (sechs im BBK und 51 im BSI), wodurch dauerhafte Personalkosten von rund 4,1 Millionen Euro entstehen. Zudem entstehen für die erstmalige Anschaffung und den dauerhaften Er satz von Notebooks geringe Sachkosten.
Vorgabe 4.3.9: Zentrale Melde- und Anlaufstelle (BSI, BBK, BNetzA); § 40 BSIG-E Veränderung des jährlichen Erfüllungsaufwands des Bundes:
| Fallzahl | Zeitaufwand pro Fall (in Stunden) | Lohnsatz pro Stunde (in Euro) | Sachkosten pro Fall (in Euro) | Personalkosten (in Tsd. Euro) | Sachkosten (in Tsd. Euro) |
| 3,0 (mD) | 1 600 | 33,80 | 0 | 162 | 0 |
| 14,0 (gD) | 1 600 | 46,50 | 0 | 1 042 | 0 |
| 26,5 (hD) | 1 600 | 70,50 | 0 | 2 989 | 0 |
| 1 | 0 | 0 | 2 925 | 0 | 3 |
| Änderung des Erfüllungsaufwands (in Tsd. Euro) | 4 196 |
Einmaliger Erfüllungsaufwand des Bundes: 11 700 Euro
In § 40 BSIG-E wird die bisher in § 8b BSIG normierte Aufgabe des BSI als zentrale Melde und Anlaufstelle mit Unterstützung des BBK fortgeführt. Aufgrund der deutlichen Auswei tung des Anwendungsbereichs des BSIG entsteht den Behörden zusätzlicher Aufwand: Insbesondere für die Sammlung von Informationen zur IT-bezogenen Gefahrenabwehr so wie deren fachlichen Auswertung mit Blick auf die Auswirkungen auf kritische Dienstleis tungen, Prüfungen bezüglich des IT-SiG 2.0 auf etwaige Konflikte zu Vorfallsmeldungen und Bearbeitungen nach § 12 Absätze 5 bis 8 KRITIS-DachG-E, Anpassung der Pro zessabläufe der Meldestelle auch unter Berücksichtigung von KRITS-DachG-E. Im Tele kommunikationssektor zählt auch die Bundesnetzagentur als Melde- und Anlaufstelle. Diese muss zur Zusammenarbeit eine Stelle einrichten, welche als Ansprechpartnerin dem BSI zur Verfügung steht und bei Bedarf die notwendigen Informationen auswertet und un verzüglich zur Verfügung stellt.
BSI, BBK und BNetzA schätzen den zusätzlichen Personalbedarf auf insgesamt 44 Stellen (sieben im BBK, rund 33 im BSI und vier in der BNetzA), wodurch dauerhafte Personalkos ten von rund 4,2 Millionen Euro entstehen. Zudem entstehen für die erstmalige Anschaffung und den dauerhaften Ersatz von Notebooks geringe Sachkosten.
Vorgabe 4.3.10: Verschiedene Vollzugsaufgaben im Bereich der IT-Sicherheit (BMI, BSI und BBK); § 30 Absatz 9, §§ 39, 48 bis 50, 60, 64 und 65 BSIG-E
Veränderung des jährlichen Erfüllungsaufwands des Bundes:
| Fallzahl | Zeitaufwand pro Fall (in Stunden) | Lohnsatz pro Stunde (in Euro) | Sachkosten pro Fall (in Euro) | Personalkosten (in Tsd. Euro) | Sachkosten (in Tsd. Euro) |
| 4,0 (mD) | 1 600 | 33,80 | 0 | 216 | 0 |
| 10,8 (gD) | 1 600 | 46,50 | 0 | 804 | 0 |
| 13,0 (hD) | 1 600 | 70,50 | 0 | 1 466 | 0 |
| 1 | 0 | 0 | 2 535 425 | 0 | 2 535 |
| Änderung des Erfüllungsaufwands (in Tsd. Euro) | 5 022 |
Einmaliger Erfüllungsaufwand des Bundes: 11 700 Euro
Neben den bisher genannten Aufgabenbereichen werden dem BMI, BSI und dem BBK durch den Regelungsentwurf weitere Aufgabe übertrageben. Hierzu zählen die Schaffung der Funktion einer Koordinatorin bzw. eines Koordinators der Bundesregierung für Informa tionssicherheit (vgl. §§ 48 bis 50 BSIG-E), dessen konkrete organisatorische Anbindung dem umsetzenden Kabinettbeschlusses vorbehalten bleibt, die Bearbeitung von Anträgen zur Eignungsfeststellung branchenspezifischer Standards (vgl. § 30 Absatz 9 BSIG-E), die Bearbeitung und Prüfung von Nachweisen über die Erfüllung der gesetzlichen Anforderun gen zur IT-Sicherheit (vgl. § 39 BSIG-E), die Durchführung von Ordnungswidrigkeitenverfahren (vgl. § 60 BSIG-E) und das Ergreifen von Aufsichts- und Durchsetzungsmaßnahmen (vgl. §§ 64 und 65 BSIG-E).
Behördenübergreifend schätzen die betroffenen Behörden für die verschiedenen Aufgaben den Personalbedarf auf rund 28 Stellen (rund acht, sechs bzw. 14 Stellen beim BMI, BBK bzw. beim BSI), wodurch dauerhaft Personalkosten in Höhe von 2,5 Millionen Euro entste hen. Zusätzlich fallen jährliche Sachkosten von 2,5 Millionen Euro an – laut BSI vor allem für Studien –, und geringe einmalige Sachkosten.
Vorgabe 4.3.11: Grundsatzaufgaben zur IT-Sicherheit im Energiesektor (BNetzA); §§ 5c und 95 EnWG-E
Veränderung des jährlichen Erfüllungsaufwands des Bundes:
| Fallzahl* | Zeitaufwand pro Fall (in Stunden) | Lohnsatz pro Stunde (in Euro) | Sachkosten pro Fall (in Euro) | Personalkosten (in Tsd. Euro) | Sachkosten (in Tsd. Euro) |
| 0,8 (mD) | 1 600 | 33,80 | 0 | 43 | 0 |
| 4,8 (gD) | 1 600 | 46,50 | 0 | 357 | 0 |
| 5,2 (hD) | 1 600 | 70,50 | 0 | 587 | 0 |
| Änderung des Erfüllungsaufwands (in Tsd. Euro) | 987 |
Im Energiesektor werden die Vorschriften zur IT-Sicherheit für Betreiber von Energiever sorgungsnetzen und Energieanlagen aus § 11 Absätze 1a bis 1g EnWG in dem § 5c EnWG E neu gefasst. Der BNetzA entsteht insofern neuer Aufwand, da die bestehenden IT-Si cherheitskataloge und Vorgaben zu Risikobehandlungsplänen und zur Beseitigung von Si cherheitsmängeln ausgeweitet werden. Sie muss neue Schulungskonzepte entwickeln und
pflegen, energiesystemische Bewertungen von BSI-Meldung vornehmen und diese Ergeb nisse an das BSI übermitteln, Jahresberichte über Sicherheitsvorfälle erstellen und zusätz liche Ordnungswidrigkeitenverfahren durchführen. Insgesamt rechnet die BNetzA laufbahn übergreifen mit einem zusätzlichen Personalbedarf von 10,8 Stellen, wodurch ein jährlicher Erfüllungsaufwand von knapp einer Million Euro entsteht.
Vorgabe 4.3.12: Grundsatzaufgaben zur IT-Sicherheit im Telekommunikationssektor (BNetzA); §§ 165 und 168 TKG-E
Veränderung des jährlichen Erfüllungsaufwands des Bundes:
| Fallzahl* | Zeitaufwand pro Fall (in Stunden) | Lohnsatz pro Stunde (in Euro) | Sachkosten pro Fall (in Euro) | Personalkosten (in Tsd. Euro) | Sachkosten (in Tsd. Euro) |
| 1,0 (mD) | 1 600 | 33,80 | 0 | 54 | 0 |
| 10,0 (gD) | 1 600 | 46,50 | 0 | 744 | 0 |
| 1,0 (hD) | 1 600 | 70,50 | 0 | 113 | 0 |
| 1 | 0 | 0 | 2 000 000 | 0 | 2 000 |
| Änderung des Erfüllungsaufwands (in Tsd. Euro) | 2 911 |
Einmaliger Erfüllungsaufwand des Bundes: 8 Millionen Euro
Im Telekommunikationssektor werden für Betreiber öffentlicher Telekommunikationsnetze und Anbieter öffentlich zugänglicher Telekommunikationsdienste gemäß § 165 TKG-E Maßnahmen in Form von Konzepten, Lieferkettenangaben, Verschlüsselungsverfahren und Bewertungen von Maßnahmen, welche von besonders wichtigen und wichtigen Ein
richtungen zu erfüllen sind, erweitert. Diese werden turnusmäßig alle zwei Jahre von der BNetzA überprüft. Zusätzlich müssen regelmäßig Fortbildungen und Ausbildungen durchgeführt werden, um sich in dem Bereich auf den neusten Stand zu bringen. Der § 168 TKG-E wird erweitert, da nun eine Erstmeldung und ein abschließender Bericht vorgesehen wird. Die Berichte müssen ausgewertet und bewertet werden, kommen die Verpflichteten ihren Aufgaben in der Zeit nicht nach, muss ein Ordnungswidrigkeitenverfahren durchge
führt werden. Die BNetzA schätzt den zusätzlichen Personalaufwand dauerhaft auf 12 Stel len, wodurch jährliche Kosten von 911 000 Euro entstehen.
Zusätzlich fallen laut BNetzA Sachkosten in Umfang von acht Millionen Euro einmalig und zwei Millionen Euro jährlich an, da aufgrund der zum Teil hoch sensiblen Daten, die von den Erbringern von Telekommunikationsdiensten gemeldet werden, eine noch nicht vor handene VS-Registratur eingerichtet und betrieben werden muss.
b. Weitere Rechtsänderungen
Zahlreiche Vorgabe werden von der aktuell geltenden Fassung in die künftige Fassung des BSIG bzw. EnWG überführt, ohne dass die betroffenen Behörden Veränderungen beim Er füllungsaufwand sehen (vgl. Tabelle, „formelle Änderung“). Rechtsänderungen mit Erfül lungsaufwänden sind im vorherigen Abschnitt erörtert (vgl. Tabelle, Vorgabe 4.3.X). Zu we nigen Vorgaben liegen aufgrund fehlender Meldungen von Behörden keine Erkenntnisse zu den Auswirkungen auf den Erfüllungsaufwand vor (vgl. Tabelle, „unklar“).
Paragraf
Bezeichnung der Vorgabe BSIG (Artikel 1)
ID des StBA Erfüllungsaufwand bisher künftig
Fachaufsicht über das BSI § 1 § 1 2017052913284101 formelle Änderung
Unterrichtung des Innenausschusses über die Anwendung des BSIG (BMI)
§ 13 Absatz 3 § 59 Absatz 3 2023121812242201 formelle Änderung
Ordnungswidrigkeitsverfahren (BSI) § 14 § 60 2021012613125701 Vorgabe 4.3.10
Mitwirken bei Ordnungswidrigkeitsverfahren des BSI (BMG)
Einvernehmensverfahren der für die Institutionen der sozialen Sicherung zuständigen Aufsichtsbe hörden (BMAS und BAS) mit BSI über zu ergrei fende Maßnahmen
§ 14 § 60 2021012707301701 formelle Änderung § 14a § 61 2021102813021101 formelle Änderung
Bestimmung von KRITIS-Betreibern § 2 Absatz 10 i. V. m. § 10
Absatz 1
§ 28 Absätze 5 und 6
2023121812504101 formelle Änderung
Gewährleistung der IT-Sicherheit bei der Kommu nikation zwischen Behörden und öffentlichen Net zen (ITZBund)
§ 2 Absatz 3 § 7 i.V.m. § 2 Absatz 1
Nummer 18
2021110314194701 Vorgabe 4.3.6
Mitwirken bei der Förderung der Sicherheit in der Informationstechnik durch BSI (BMFSFJ)
Mitwirken bei der Förderung der Sicherheit in der Informationstechnik durch BSI (BzKJ)
Mitwirken bei der Förderung der Sicherheit in der Informationstechnik durch BSI (BAFzA)
§ 3 Absatz 1 § 3 Absatz 1 2021012707534101 formelle Änderung § 3 Absatz 1 § 3 Absatz 1 2021012708221801 formelle Änderung § 3 Absatz 1 § 3 Absatz 1 2021012709053401 formelle Änderung
Beratung, Information, Empfehlung und Warnung in Fragen der Sicherheit in der Informationstech nik (BSI)
Beratung, Kontrolle und Prüfung datenschutz rechtlicher Vorgaben bei der Umsetzung der Prüf- , Abfrage- und Kontrollbefugnisse des BSI (BfDI)
§ 3 Absatz 1 Nr. 14, 14a und 19
§ 3 Absatz 1 Satz 2 Nr. 12
§ 3 Absatz 1 2015030910484001 Vorgabe 4.3.6 § 3 Absatz 1 2021012706485901 Vorgabe 4.3.6
Kontrolle der Kommunikationstechnik des Bundes durch das Bundesamt (BSI)
Mitwirken bei Kontrolle der Kommunikationstech nik des Bundes durch das BSI (Bundesbehörden)
Allgemeine Meldestelle für die Sicherheit in der Informationstechnik (BSI)
Mitwirken bei der Allgemeinen Meldestelle für die Sicherheit in der Informationstechnik beim BSI (Bundesbehörden)
Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes (BSI)
§ 4a § 7 2021012608550401 Vorgabe 4.3.6 § 4a § 7 2021012707130301 Vorgabe 4.3.6 § 4b § 5 Absatz 1 2021012609014501 Vorgabe 4.3.6 § 4b § 5 Absatz 1 2021012707162401 formelle Änderung
§ 5 § 9 2021012609055001 Vorgabe 4.3.6
Mitwirken bei der Verarbeitung eigener behörden interner Protokollierungsdaten durch das BSI (Bundesbehörden)
Verarbeitung behördeninterner Protokollierungs daten (BSI)
Wiederherstellung der Sicherheit oder Funktions fähigkeit informationstechnischer Systeme in her ausgehobenen Fällen (BSI) § 5a § 9 2021012606533701 formelle Änderung
§ 5a § 9 2021012609332401 Vorgabe 4.3.6 § 5b § 11 2021012609372701 Vorgabe 4.3.6
Bestandsdatenabfrage (BSI) § 5c § 12 2021012609432501 Vorgabe 4.3.6
Aufgaben im Rahmen der Einschränkung von In formationspflichten (BSI)
Technische Untersuchungen durch das Bundes amt (BSI)
Umsetzung von Maßnahmen zur Sicherheit der Informationstechnik (BMAS)
Mitwirken bei der Untersuchung der Sicherheit in der Informationstechnik durch BSI (BfDI)
Mitwirken bei der Untersuchung der Sicherheit in der Informationstechnik durch BSI (BMG)
Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden (BSI)
Einvernehmen mit dem BfDI vor einer Anordnung durch das Bundesamt (BSI)
Festlegung von Mindeststandards für die Sicher heit der Informationstechnik des Bundes BSI
§ 6a § 22 2019011110030201 Vorgabe 4.3.6 § 7a § 14 Absatz 1 2021012610373001 Vorgabe 4.3.6 § 7a § 14 2021102713464901 formelle Änderung § 7a Absatz 3 § 14 Absatz 3 2021012706565501 Vorgabe 4.3.6 § 7a Absatz 3 § 14 Absatz 3 2021012707245801 formelle Änderung § 7b § 15 2021012610415601 Vorgabe 4.3.6 § 7c Absatz 1 § 16 Absatz 1 2021012707021901 Vorgabe 4.3.6 § 8 § 44 2021012611515101 Vorgabe 4.3.6
Festlegung und Einhaltung einvernehmlicher IT Mindeststandards und Beteiligung des BSI bei wesentlichen Digitalisierungsvorhaben (Bundes behörden)
§ 8 Absatz 1, 1a und 4
§§ 44 i.V.m. § 47
2021012607002101 formelle Änderung
Prüfung branchenspezifischer Sicherheitsstan dards (BSI)
§ 8a § 30 Absatz 9 2023121812331001 Vorgabe 4.3.6
Umsetzung von organisatorischen und techni schen Vorkehrungen (AA)
§ 8a Absatz 1a
§ 31 Absatz 2 2021102814224601 formelle Änderung
Mitwirken bei der Prüfung branchenspezifischer Sicherheitsstandards (BBK)
§ 8a Absatz 2 § 30 Absatz 9 2015030910484201 formelle Änderung
Mitwirken bei der Aufgabenerfüllung der Melde stelle (BfV)
Mitwirken bei der Aufgabenerfüllung der Melde stelle (BND)
§ 8b Absatz 2 Nr. 4 b
§ 8b Absatz 2 Nr. 4 b
§ 40 Absatz 3 Nr. 5
§ 40 Absatz 3 Nr. 5
2015030910484401 formelle Änderung 2015030910484501 formelle Änderung
Bewertung und Bewältigung erheblichen Sicher heitsvorfälle (BSI)
§ 8b Absatz 4a
§ 40 Absatz 5 2021012611561201 Vorgabe 4.3.7
Mitwirken bei der Bewältigung erheblichen Si cherheitsvorfälle (Bundesbehörden)
Mitwirken bei der Bewältigung erheblichen Si cherheitsvorfälle (ITZBund)
§ 8b Absatz 4a
§ 8b Absatz 4a
§§ 36 und 40 Absatz 5
§§ 36 und 40 Absatz 5
2021012710391601 Vorgabe 4.3.7 2021110314022901 Vorgabe 4.3.7
Bearbeitungen von Selbsterklärungen (BSI) § 8f §§ 33 und 34 2021012611593401 Vorgabe 4.3.3
Nationale Behörde für die Cybersicherheitszertifi zierung (BSI)
Mitwirken bei der Prüfung zur Untersagung des Einsatzes kritischer Komponenten (BMI)
§ 9a § 55 2021012612594401 formelle Änderung § 9b § 41 Absatz 3 2021012613034601 formelle Änderung
Mitwirken bei der Prüfung der Garantieerklärung und Untersagung kritischer Komponenten (BND)
§ 9b Absätze 3 & 4
§ 41 Absätze 3 & 4
2021110409335901 formelle Änderung
Untersagung des Einsatzes kritischer Komponen ten oder Erlass sonstiger Anordnungen (BMI)
Mitwirken bei der Untersagung kritischer Kompo nenten (BMG)
Mitwirken bei der Untersagung kritischer Kompo nenten (BMAS)
Mitwirken bei der Untersagung kritischer Kompo nenten (AA)
Vergabe des IT-Sicherheitskennzeichens durch das Bundesamt (BSI)
§ 9b Absatz 4 § 41 Absatz 4 2021012508360401 formelle Änderung § 9b Absatz 4 § 41 Absatz 4 2021012707270601 formelle Änderung § 9b Absatz 4 § 41 Absatz 4 2021102714324301 formelle Änderung § 9b Absatz 4 § 41 Absatz 4 2021110111334101 formelle Änderung § 9c § 56 2021012613071901 formelle Änderung
Anpassungen der IT-Sicherheit (GDZ) §§ 4a, 4b, 8, 8b Absatz 4a
§ 5 Absatz 3 2021110111534201 Vorgabe 4.3.1
Aufgaben im Rahmen der Einschränkung von Be troffenenrechten (BSI)
EnWG (Artikel 16)
§§ 6b bis 6f §§ 23 bis 27 2019011110030202 Vorgabe 4.3.6
Bearbeitung der Nachweise von kritischen Unter nehmen über die Erfüllung der von BSI festgeleg ten Anforderungen (BNetzA)
Festlegung von Sicherheitsanforderungen (BNetzA)
5. Weitere Kosten
Keine.
6. Weitere Gesetzesfolgen § 11 Abs. 1e § 5c Absatz 4 2021110811522901 formelle Änderung
§ 11 Abs. 1g § 5c 2022063010393601 formelle Änderung
Durch den Gesetzesentwurf wird die Versorgungssicherheit für Verbraucherinnen und Ver braucher erhöht. Die bestehenden Regelungen des BSI-Gesetzes zum Verbraucherschutz werden nicht berührt.
Die Regelungen des Gesetzentwurfs sind inhaltlich geschlechtsneutral aufgrund der vor rangig gegebenen unmittelbaren Betroffenheit der Zielgruppe des Regelungsvorhabens und damit ohne Gleichstellungsrelevanz. Die weitere Stärkung und Förderung der Cyber und Informationssicherheit betrifft jedoch sowohl mittel- als auch unmittelbar Frauen und Männer. § 1 Absatz 2 des Bundesgleichstellungsgesetzes bestimmt, dass Rechts- und Ver waltungsvorschriften des Bundes die Gleichstellung von Frauen und Männern auch sprach lich zum Ausdruck bringen sollen. Dies wurde in der Entwicklung der Gesetzesformulierung unter Einbeziehung bereits gegebener Diktion berücksichtigt.
Die Regelungen entsprechen zudem den Anforderungen des „Gleichwertigkeits-Checks“. Der Gesetzentwurf dient der Förderung der Versorgung in den digitalen Infrastrukturen und der Erreichbarkeit von Dienstleistungen und Verwaltungsleistungen. Auch wird dem Schutz einer Daseinsvorsorge mit ihren unterschiedlichen Bereichen, die eine wesentliche Voraus
setzung für gleichwertige Lebensverhältnisse der Menschen und den gesellschaftlichen Zu sammenhalt Rechnung getragen. Auswirkungen auf die vorhandene Siedlungs- und Raum struktur oder demographische Belange sind nicht zu erwarten.
VII. Befristung; Evaluierung
Art. 28 sieht eine Evaluierungsklausel vor. Da der Gesetzentwurf in weiten Teilen der Um setzung der NIS2-Richtlinie dient und gemäß Artikel 40 der NIS2-Richtlinie bereits Ge genstand einer Evaluierung durch die Europäische Kommission ist, wird vorliegend eine beschränkte Evaluierung vorgesehen.
B. Besonderer Teil
Zu Artikel 1 (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen)
Die Änderung der Gesetzesüberschrift durch die Ergänzung „und über die Sicherheit in der Informationstechnik von Einrichtungen“ soll dem Umstand Rechnung tragen, dass es sich nicht um ein reines Errichtungsgesetz einer Bundesbehörde handelt.
Die Schaffung einer (amtlichen) Inhaltsübersicht erfolgt aufgrund des gestiegenen Umfangs des Gesetzes sowie Strukturierung des Gesetzes in Teile und Kapitel zur besseren Über sicht für den Rechtsanwender.Zu Teil 1 (Allgemeine Vorschriften)
Zu § 1 (Bundesamt für Sicherheit in der Informationstechnik)
§ 1 führt den bisherigen § 1 fort.
Zu § 2 (Begriffsbestimmungen)
Die Begriffsbestimmungen werden zur Steigerung der Übersichtlichkeit in Nummern anstatt von einzelnen Absätzen gestaltet, welche alphabetisch sortiert werden. Dies war infolge der Einführung zahlreicher neuer Begriffsbestimmungen, bedingt durch die Vorgaben der NIS 2-Richlinie, erforderlich geworden. Eine thematische Sortierung scheidet aufgrund der gro ßen Anzahl der Begriffe aus, eine Übersichtlichkeit für den Rechtsanwender könnte dann nicht mehr gewährleistet werden.
Zu Absatz 1
Zu Nummer 1
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 5 der NIS2-Richtlinie. Die Legaldefinition eines Beinahevorfalls ist hier bewusst weit gefasst, da grundsätzlich vielfältige Vorfälle im Kontext der Cybersicherheit als Beinahevorfall gewertet werden kön nen. Demnach kann beispielsweise eine professionell gestaltete Phishingmail, die nur auf grund entsprechender besonders intensiver Sensibilisierung der Mitarbeiter oder aufgrund einer erhöhten Aufmerksamkeit der Belegschaft als solche erkannt wurde, durchaus als Beinahevorfall gewertet werden, wenn diese unter sonst üblichen Bedingungen nicht er kannt worden wäre. Nicht als Beinahevorfall anzusehen sind jedoch regelmäßige und all tägliche Störungen und Belästigungen wie Spam E-Mails oder offenkundig auch für unge schultes Personal als Phishingmail erkennbare E-Mails.
Zu Nummer 2
Der Sektor Weltraum umfasst insbesondere Einrichtungen, deren Funktionsfähigkeit für die Erbringung verschiedener kritischen Dienstleistung (Transport und Verkehr, Finanz- und Versicherungswesen) zwingend erforderlich sind. Dazu werden die Begriffe „Bodeninfra struktur“ und „weltraumgestützte Dienste“ (Nummer 44) definiert. Bodeninfrastruktur um fasst dabei Einrichtungen wie etwa Satellitenkontrollzentren und Bodenstationen während weltraumgestützte Dienste zum Beispiel Globale Navigationssatellitensysteme (GNSS) o der hochgenaue Zeitservices umfassen.
Zu Nummer 3
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 30 der NIS2-Richtli nie.
Zu Nummer 4
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 32 der NIS2-Richtli nie.
Zu Nummer 5
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 10 der NIS2-Richtli nie.
Zu Nummer 6
Die Begriffsbestimmung führt den bisherigen § 2 Absatz 9 fort.Zu Nummer 7
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 20 der NIS2-Richtli nie.
Zu Nummer 8
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 22 der NIS2-Richtli nie.
Zu Nummer 9
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 11 der NIS2-Richtli nie.
Zu Nummer 10
Die Begriffsbestimmung dient der Umsetzung von Artikel 23 Absatz 3 und Absatz 11 Un terabsatz 2 der NIS2-Richtlinie. Bei den hier genannten finanziellen Verlusten sind Baga tellschäden regelmäßig ausgeschlossen.
Zu Nummer 11
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 41 der NIS2-Richtli nie. Ein primäres Ziel im Sinne der Vorschrift dürfte ab einem Überschreiten von 50 % der Gesamttätigkeit gegeben sein.
Zu Nummer 12
Die Begriffsbestimmung dient der Umsetzung von Artikel 20 der NIS2-Richtlinie. Da die Pflichten und Befugnisse der Leitungen von Einrichtungen des Bundes nach § 29 abwei chend in § 43 geregelt sind, werden diese hier explizit von der Definition ausgenommen.
Zu Nummer 13
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 13 der NIS2-Richtli nie. Mit „IKT-Dienst“ ist in der Verordnung (EU) 2019/881 ein Dienst gemeint, der vollständig oder überwiegend aus der Übertragung, Speicherung, Abfrage oder Verarbeitung von In formationen mittels informationstechnischer Systeme, Komponenten und Prozessen be steht.
Zu Nummer 14
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 12 der NIS2-Richtli nie. Mit „IKT-Produkt“ ist in der Verordnung (EU) 2019/881 ein Element oder eine Gruppe von Elementen eines Netz- oder Informationssystems gemeint. Der Begriff wird zur euro paweiten Vereinheitlichung der Terminologie im Rahmen der Umsetzung der NIS2-Richt linie eingeführt und ersetzt den alten Begriff des IT-Produkts in § 2 Absatz 9a BSI-Gesetz a.F. Inhaltlich ergeben sich zwischen beiden Begriffen keine Unterschiede. Die hier refe renzierte Definition beinhaltet sowohl Hardwareprodukte als auch Softwareprodukte.
Zu Nummer 15
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 14 der NIS2-Richtli nie. Mit dem Begriff „IKT-Prozess“ meint die Verordnung (EU) 2019/881 jegliche Tätigkei ten, mit denen ein ITK-Produkt oder -Dienst konzipiert, entwickelt, bereitgestellt oder ge pflegt werden soll.Zu Nummer 16
Der Begriff Informationssicherheit wurde auch bisher bereits im BSI-Gesetz verwendet, je doch nicht gesetzlich definiert. Aus Klarstellungsgründen erfolgt daher nunmehr eine ent sprechende Legaldefinition, die sich an den bereits etablierten Definitionen des BSI IT Grundschutzes orientiert.
Zu Nummer 17
Die Begriffsbestimmung führt den bisherigen § 2 Absatz 1 fort.
Zu Nummer 18
Die Begriffsbestimmung führt die Legaldefinition im bisherigen § 14a Satz 1 fort, der Begriff wird nunmehr in §§ 29 und 62 verwendet. Zur Vervollständigung der bisherigen Legaldefi nition wurde die Versorgungsanstalt der deutschen Bühnen, die Versorgungsanstalt der deutschen Kulturorchester und die Versorgungsanstalt der bevollmächtigten Bezirks schornsteinfeger ergänzt.
Zu Nummer 19
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 18 der NIS2-Richtli nie.
Zu Nummer 20
Die Begriffsbestimmung führt den bisherigen § 2 Absatz 3 fort. Es wurde eine Begriffskon solidierung vorgenommen – statt „Bundesbehörden“ nun „Einrichtungen der Bundesverwal tung“. Der Begriff wird über den Anwendungsbereich von § 29 definiert. Die Erweiterung der Definition ist vor dem Hintergrund der Zeitenwende geboten und ist mit Rücksicht darauf erforderlich, dass angesichts der komplexen digitalen Infrastruktur auch Informationstech nik schutzbedürftig sein kann, die nicht unmittelbar von Bundesbehörden betrieben oder verwendet wird. Eine Kompromittierung der Systeme einer Einrichtung der Bundesverwal tung ist geeignet, ein Risiko für alle damit vernetzten Einrichtungen darzustellen, auch wenn die konkret betroffene IT nur mittelbar z.B. durch Handeln Einzelner gefährdet ist.
Zu Nummer 21
Die Begriffsbestimmung führt den bisherigen § 2 Absatz 10 BSI-Gesetz mit Änderungen aufgrund der neuen Regelungssystematik fort. Die Ergebnisse der Evaluierung dieser Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme wurden berücksichtigt. Die Vorschrift wird in absehbarer Zeit geändert, vgl. Artikel 2.
Zu Nummer 22
Die Begriffsbestimmung führt den bisherigen § 2 Absatz 13 fort.
Zu Nummer 23
Die Begriffsbestimmung wurde aus § 1 Absatz 1 Nummer 3 BSI-KritisV übernommen. Zu Nummer 24
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 40 der NIS2-Richtli nie.Zu Nummer 25
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 39 der NIS2-Richtli nie.
Zu Nummer 26
Die Begriffsbestimmung dient der Vereinfachung der zahlreichen Zitate der NIS2-Richtlinie im BSI-Gesetz.
Zu Nummer 27
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 28 der NIS2-Richtli nie.
Zu Nummer 28
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 29 der NIS2-Richtli nie.
Zu Nummer 29
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 33 der NIS2-Richtli nie.
Zu Nummer 30
Die Begriffsbestimmung führt den bisherigen § 2 Absatz 8 fort.
Zu Nummer 31
Die Begriffsbestimmung führt den bisherigen § 2 Absatz 8a fort.
Zu Nummer 32
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 26 der NIS2-Richtli nie.
Zu Nummer 33
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 27 der NIS2-Richtli nie.
Zu Nummer 34
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 31 der NIS2-Richtli nie.
Zu Nummer 35
Die Begriffsbestimmung führt den bisherigen § 2 Absatz 5 fort.
Zu Nummer 36
Die Begriffsbestimmung führt den bisherigen § 2 Absatz 4 fort. Es wird eine Begriffskonso lidierung/Folgeänderung vorgenommen – statt Bundesbehörden nun Einrichtungen der Bundesverwaltung. Durch die Anpassung erweitert sich die Reichweite des Begriffs – mit Blick auf den Schutzzweck der Informationssicherheit der Netze des Bundes bzw. möglicher weiterer Regierungsnetze bedeutet die Erweiterung die Klarstellung, dass nicht allein Bundesbehörden an diese Netze angeschlossen sein können.
Zu Nummer 37
Die Begriffsbestimmung führt den bisherigen § 2 Absatz 6 fort und dient gleichzeitig der Umsetzung von Artikel 6 Nummer 15 der NIS2-Richtlinie.
Zu Nummer 38
Die Begriffsbestimmung führt den bisherigen § 2 Absatz 2 Satz 2 fort. Zu Nummer 39
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 6 der NIS2-Richtlinie. Zu Nummer 40
Die Begriffsbestimmung führt den bisherigen § 2 Absatz 9b fort.
Zu Nummer 41
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 21 der NIS2-Richtli nie.
Zu Nummer 42
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 24 der NIS2-Richtli nie.
Zu Nummer 43
Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 25 der NIS2-Richtli nie.
Zu Nummer 44
Auf die Begründung zu Nummer 2 wird verwiesen.
Zu Nummer 45
Die Begriffsbestimmung führt den bisherigen § 2 Absatz 7 fort.
Zu Absatz 2
Absatz 2 dient der Umsetzung von Artikel 23 Absatz 11 Unterabsatz 2 der NIS2-Richtlinie. Das Bundesamt kann Vorgaben dazu machen, wann Sicherheitsvorfälle als erheblich gel ten. Soweit die Europäische Kommission dahingehende Durchführungsrechtsakte erlässt, genießen diese Vorrang. Die Vorgaben des Bundesamtes haben dann nur noch konkreti sierende Wirkung, soweit die Durchführungsrechtsakte Auslegungsspielräume lassen. Auch Rückmeldungen der Wirtschaft im Zuge der Erarbeitung des Referentenentwurfs las sen den Schluss zu, dass eine weitere Konkretisierung des Erheblichkeitskriteriums im Rahmen einer Rechtsverordnung sinnvoll ist. Da hierzu bis Oktober 2024 auch ein Durch führungsrechtsakt der Europäischen Kommission geplant ist, sollte jedoch von weiterge henden Konkretisierungen auf Gesetzesebene Abstand genommen werden. Dies würde sonst zu Unklarheiten bzw. Missverständnissen für die Rechtsanwender führen, wenn die Bestimmungen im BSI-Gesetz stünden, aber ggf. aufgrund anderweitiger Festlegungen im Durchführungsrechtsakt ungültig wären. Durch die Möglichkeit, mit einer nachgelagerten Rechtsverordnung hier auch ergänzend zum Durchführungsrechtsakt weitergehende Klar stellungen zu geben, ergibt sich dieses Problem nicht.
Zu Teil 2 (Das Bundesamt)
Zu Kapitel 1 (Aufgaben und Befugnisse)
Zu § 3 (Aufgaben des Bundesamtes)
Mit der Umsetzung der NIS2-Richtlinie wird der Katalog der Aufgaben des Bundesamtes erweitert. Wie es die Erfüllung der Aufgaben priorisiert, hat das Bundesamt im Hinblick auf Artikel 31 Absatz 2 Satz 1 der NIS2-Richtlinie nachpflichtgemäßem Ermessen zu entschei den.
Zu Absatz 1
Absatz 1 führt den bisherigen § 3 Absatz 1 fort und wurde durch eine Streichung in Satz 1 bereinigt. Da es sich bei „Sicherheit in der Informationstechnik“ um einen in § 2 Absatz 1 Nummer 38 definierten Begriff handelt, welche die bereinigten Worte bereits beinhaltet, handelte es sich hier um einen Zirkelschluss.
Zu Nummer 1
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 1 fort. Zu Nummer 2
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 2 fort. Zu Nummer 3
Die Aufgabe dient der Umsetzung von Artikel 14 und 15 der NIS2-Richtlinie in Form einer Aufgabe des Bundesamtes.
Zu Nummer 4
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 3 fort. Zu Nummer 5
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 4 fort. Zu Nummer 6
Die Aufgabe dient der Umsetzung von Artikel 19 der NIS2-Richtlinie in Form einer Aufgabe des Bundesamtes.
Zu Nummer 7
Hier erfolgt eine gesetzliche Verankerung von Aufgaben, die nach dem Umsetzungsplan Bund und der Netzstrategie 2030 bereits dem Bundesamt zugewiesen sind. Die Begrifflich keit knüpft an § 2 Absatz 3 BDBOSG an und präzisiert die Rolle des Bundesamtes bei der dort geregelten Aufgabe der Bundesanstalt für den Digitalfunk der Behörden und Organi sationen mit Sicherheitsaufgaben (BDBOS): Das Bundesamt ist federführend bei der Ge staltung der Informationssicherheit in den ressortübergreifenden Kommunikationsinfra strukturen. Im Benehmen mit den jeweiligen Betreibern legt es hierzu Informationssicher heitsanforderungen fest, prüft Planungen und Implementierungen aus sicherheitstechni scher Sicht, auch bei Dienstleistern und angeschlossenen Organisationen, berät zu Lösungsalternativen und Realisierungsmaßnahmen, begleitet Abnahmen sicherheitstech nisch und steuert das Sicherheitsmanagement insbesondere der Betriebsphase. Festge stellte Mängel, Risiken oder Sicherheitsvorfälle werden an die zuständigen Stellen berich tet.
Zu Nummer 8
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 5 fort. Zu Nummer 9
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 5a fort. Zu Nummer 10
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 6 fort. Zu Nummer 11
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 7 fort. Zu Nummer 12
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 8 fort. Zu Nummer 13
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 9 fort. Zu Nummer 14
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 10 fort. Zu Nummer 15
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 11 fort. Es erfolgt eine Be griffskonsolidierung/Erweiterung des Anwendungsbereichs auf Einrichtungen der Bundes verwaltung. Die Erweiterung erfolgt zum Zwecke eines einheitlich hohen Sicherheitsni veaus für alle Einrichtungen, die Informationstechnik des Bundes betreiben. Zudem wird
die Bereitstellung von IT-Sicherheitsprodukten durch die Bereitstellung von IT-Sicherheits dienstleistungen ergänzt. Der Bedarf an IT-Sicherheitsprodukten und -dienstleistungen, einschließlich der Notwendigkeit einer VS-Zulassung, wird durch das Bundesamt ermittelt.
Zu Nummer 16
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 12 fort. Hier wird „Stellen des Bundes“ beibehalten, da eine Erweiterung auf alle Einrichtungen der Bundesverwaltung zu erheblich größerem Erfüllungsaufwand führen würde, der nicht im Verhältnis zum Nutzen stünde.
Zu Nummer 17
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 12a fort. Hier erfolgt eine Begriffskonsolidierung zu „Einrichtungen der Bundesverwaltung“. Komplementär zur Ver pflichtung weiterer Einrichtungen auf Vorgaben des Bundesamtes ist auch die Beratungs und Unterstützungsaufgabe des Bundesamtes auf diese Einrichtungen zu erweitern. Er gänzt wird diese Aufgabe durch die Bereitstellung von praxisnahen Hilfsmitteln, um deutlich zu machen, dass eine Unterstützung des Bundesamtes sich nicht nur auf die Betreuung einzelner Einrichtungen beschränkt, sondern auch die Bereitstellung einrichtungsübergrei fender Hilfsmittel umfasst, die der Unterstützung aller oder mehrerer Einrichtungen dienen. Bei der (Fort-)entwicklung dieser Hilfsmittel berücksichtigt das Bundesamt die Erfahrungen aus der Praxis.
Zu Nummer 18
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 13 fort. Die Möglichkeit der Leistung von Amtshilfe des Bundesamtes gegenüber den Ländern ist von der Änderung des bisherigen § 3 Absatz 1 Satz 2 Nummer 13 unberührt.
Zu Nummer 19
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 13a fort. Zu Nummer 20
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 14 fort. Es erfolgt eine Be griffskonsolidierung zu Einrichtungen der Bundesverwaltung, damit Umkehrschluss vermie den wird, dass die über Stellen des Bundes hinausgehenden Einrichtungen nicht erfasst seien. Die Möglichkeit der Leistung von Amtshilfe des Bundesamtes gegenüber den Län dern ist von der Änderung des bisherigen § 3 Absatz 1 Satz 2 Nummer 14 unberührt.
Zu Nummer 21
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 14a fort. Zu Nummer 22
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 15 fort. Zu Nummer 23
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 16 fort. Zu Nummer 24
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 17 fort. Es wird eine Folge änderung aufgrund Anpassung der Systematik vorgenommen: „Betreiber Kritischer Infra strukturen“ nunmehr einheitlich „Betreiber kritischer Anlagen“, ferner gehen „Anbieter digi taler Dienste“ und „Unternehmen im besonderen öffentlichen Interesse“ in „besonders wich tige Einrichtungen“ und „wichtige Einrichtungen“ auf.
Zu Nummer 25
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 18 fort. Im Übrigen erfolgt eine Anpassung des fehlerhaften Verweises auf den bisherigen § 5a anstatt den bisherigen § 5b , letzterer wird durch § 11 fortgeführt.
Zu Nummer 26
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 19 fort. Zu Nummer 27
Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 20 fort.Zu Nummer 28
Diese neue Aufgabe des Bundesamtes dient der Umsetzung von Artikel 10 Absatz 8 der NIS2-Richtlinie. Bei dieser Aufgabe handelt es sich um eine konkrete gesetzliche Ausge staltung zwischeneuropäischer Amtshilfe, die das Bundesamt im Rahmen seiner bestehen den Befugnisse ausüben kann.
Zu Absatz 2
Absatz 2 führt den bisherigen § 3 Absatz 2 fort.
Zu Absatz 3
Absatz 3 führt den bisherigen § 3 Absatz 3 fort. Er enthält eine Folgeänderung aufgrund der neuen Bezeichnung „kritische Anlagen“.
Zu § 4 (Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes)
Zu Absatz 1
Absatz 1 führt den bisherigen § 4 Absatz 1 fort. Er enthält eine Begriffskonsolidierung zu „Einrichtungen der Bundesverwaltung“.
Zu Absatz 2
Absatz 2 führt den bisherigen § 4 Absatz 2 fort. In Nummer 1 wird der neue Begriff der „Schwachstelle“ verwendet. Ferner erfolgt eine Begriffskonsolidierung zu „Einrichtungen der Bundesverwaltung“ in Nummer 2. Zudem wird in Nummer 3 ergänzt, dass das Bundes amt den Einrichtungen der Bundesverwaltung zusätzlich Empfehlungen bereitstellen muss, welche sich konkret auf den Umgang mit den vom Bundesamt identifizierten Gefahren be ziehen.
Zu Absatz 3
Absatz 3 führt den bisherigen § 4 Absatz 4 fort.
Zu § 5 (Allgemeine Meldestelle für die Sicherheit in der Informationstechnik) Zu Absatz 1
§ 5 Absatz 1 führt den bisherigen § 4b Absatz 1 fort. Anpassungen erfolgen zur Umsetzung von Artikel 12 Absatz 1 Satz 1 der NIS2-Richtlinie (entsprechend zu § 9a BSI-Gesetz aF.).
Zu Absatz 2
§ 5 Absatz 2 führt den bisherigen § 4b Absatz 2 fort. Ergänzung in Satz 1 erfolgt zur Um setzung Artikel 30 Absatz 1 der NIS2-Richtlinie.
Zu Absatz 3
§ 5 Absatz 3 führt den bisherigen § 4b Absatz 3 fort. Die neue Nummer 5 dient der Umset zung von Artikel 30 Absatz 2 der NIS2-Richtlinie.
Zu Absatz 4
§ 5 Absatz 4 führt den bisherigen § 4b Absatz 4 fort.Zu Absatz 5
§ 5 Absatz 5 führt den bisherigen § 4b Absatz 5 fort.
Zu § 6 (Informationsaustausch)
Die neue Vorschrift dient der Umsetzung von Artikel 29 der NIS2-Richtlinie. Das Bundes amt ermöglicht den Informationsaustausch zu Cyberbedrohungen (§ 2 Absatz 1 Num mer 5), Beinahevorfällen (§ 2 Absatz 1 Nummer 1), Schwachstellen (§ 2 Absatz 1 Num mer 37), Techniken und Verfahren (techniques and procedures), Kompromittierungsindika toren (indicators of compromise), gegnerische Taktiken (adversarial tactics), bedrohungs spezifische Informationen (threat-actor-specific information), Cybersicherheitswarnungen
und Empfehlungen für die Konfiguration von Cybersicherheitsinstrumenten sowie zur Auf deckung von Cyberangriffen. Dieser Informationsaustausch ermöglicht den teilnehmenden Einrichtungen einen verbesserten Zugang zu Lageinformationen sowie den bidirektionalen Austausch von Informationen und ermöglicht den Teilnehmern auch untereinander frühzei tig zu beobachteten Bedrohungen in Austausch zu treten und fördert damit die Cybersicher heit und Resilienz der Einrichtungen.
Durch die Erstellung von Teilnahmebedingungen kann das Bundesamt die organisatori schen Rahmenbedingungen des Informationsaustausches regeln um den geordneten und sicheren Betrieb des Informationsaustauschs bzw. des dafür vorgesehenen Online-Portals sicherzustellen.
In diesem Zusammenhang kann etwa der Umgang mit vertraulichen Informationen (z.B. durch Einhaltung des sog. „Traffic Light Protocols“ oder den Einsatz verschlüsselter E-Mail Kommunikation) geregelt werden.
Zu § 7 (Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte) Zu Absatz 1 bis Absatz 6
Die Vorschrift führt den bisherigen § 4a fort. In Absatz 4 erfolgt eine Anpassung im Rahmen der mit diesem Gesetz vorgesehenen Begriffskonsolidierung zu „Einrichtungen der Bun desverwaltung“ sowie die mit diesem Gesetz geschaffenen verantwortlichen Stellen für das Informationssicherheitsmanagements des Bundes, für deren effektive Aufgabenerfüllung auch eine entsprechende Ausweitung der Mitteilungspflichten des Bundesamtes erforder lich ist. Mit dem Betreiber ist die betroffene Einrichtung gemeint, welche die überprüfte Kom munikationstechnik des Bundes betreibt. Die Ergebnisse der Kontrollen werden der jewei ligen Einrichtungsleitung übermittelt. Zudem wird eine Sachverhaltsklärung ergänzt, um Missverständnissen und Fehlern vorzubeugen. Darüber hinaus steht es jeder geprüften Einrichtung frei, zum Prüfbericht des Bundesamtes eine eigene Stellungnahme gegenüber denjenigen Stellen abzugeben, die den Prüfbericht des Bundesamtes erhalten haben, also insbesondere gegenüber dem eigenen Informationssicherheitsbeauftragten des Ressorts und der eigenen Fach- und Rechtsaufsicht. Zur Beseitigung der identifizierten Mängel stellt das Bundesamt Beratungs- und Unterstützungsleistungen des Bundesamtes gemäß § 3 Absatz 1 Nummer 17 bereit. Im Übrigen erfolgen redaktionelle Änderungen.
Zu Absatz 7
Absatz 7 dient der Umsetzung von Artikel 35 der NIS2-Richtlinie. Auf die Begründung zu § 65 Absatz 11 wird verwiesen.
Zu Absatz 8
Die neue Vorschrift dient dem Ziel, mehr Umsetzungsverantwortung zu schaffen. Bislang sind die Prüfungen nach dem bisherigen § 4a BSI-Gesetz ohne greifbare Konsequenz für die überprüften Stellen. Der Bericht erfolgt an den Haushaltsauschuss des Deutschen Bundestages, weil dadurch an diejenige Stelle berichtet wird, die über Mittel verfügt, eine Beseitigung von Missständen zu ermöglichen. Sie soll die Berichtspflicht des Bundesminis terium des Innern und für Heimat an den Haushaltsausschuss des Deutschen Bundestages über die Ergebnisse der Analyse der IT-Sicherheit der Rechenzentren der Bundesverwal tung mittels Hochverfügbarkeits-Benchmark ersetzen (Beschluss des Haushaltsausschus ses des Deutschen Bundestages vom 17. Juni 2015, Ausschussdrucksache 18(8)2134). Eine allgemeine Berichtspflicht gegenüber dem Ausschuss für Inneres und Heimat des Deutschen Bundestages besteht gemäß § 60 Absatz 3 ohnehin, sie schließt Berichterstat tung über die Anwendung dieser Vorschrift ein.
Zu § 8 (Abwehr von Schadprogrammen und Gefahren für die
Kommunikationstechnik des Bundes)
§ 8 führt den bisherigen § 5 fort.
Zu Absatz 1
Absatz 1 führt den bisherigen § 5 Absatz 1 fort. In Satz 3 erfolgt eine Begriffskonsolidierung zu „Einrichtungen der Bundesverwaltung“, diese Erweiterung des Anwendungsbereichs er folgt zum Zweck des Schutzes der gesamten Kommunikationstechnik des Bundes.
Zu Absatz 2
Absatz 2 führt den bisherigen § 5 Absatz 2 fort.
Zu Absatz 3
Absatz 3 führt den bisherigen § 5 Absatz 2a fort.
Zu Absatz 4
Absatz 4 führt den bisherigen § 5 Absatz 3 fort.
Zu Absatz 5
Absatz 5 führt den bisherigen § 5 Absatz 4 fort.
Zu Absatz 6
Absatz 6 führt den bisherigen § 5 Absatz 5 fort. Sowohl Absatz 6 als auch Absatz 7 bezie hen sich auf Daten im Sinne des Absatz 1, die dem Schutz des Fernmeldegeheimnisses und dem Schutz personenbezogener Daten unterfallen und bei denen eine Weiterverwen dung nach Absatz 4 erforderlich ist.
Zu Absatz 7
Absatz 7 führt den bisherigen § 5 Absatz 6 fort. Ergänzt wird die Möglichkeit, dass Bundes amt die nach Absatz 4 verwendeten personenbezogenen Daten an die Einrichtungen der Bundesverwaltung, für deren Schutz die Daten technisch erhoben wurden, übermitteln kann, soweit dies für die Verwendung nach Absatz 4 oder die Abwehr von sonstigen erheb lichen Gefahren für die Informationssicherheit erforderlich ist. So wird gewährleistet, dass die Einrichtungen des Bundes alle relevanten Informationen zur Gewährleistung des Schut zes der Kommunikationstechnik des Bundes erhalten.
Zu Absatz 8
Absatz 8 führt den bisherigen § 5 Absatz 7 fort.Zu Absatz 9
Absatz 9 führt den bisherigen § 5 Absatz 8 fort. Die Nennung des „Rat der IT-Beauftragten der Bundesregierung“ wird durch „Ressorts“ ersetzt, um die Gremienstruktur untergesetz lich regeln zu können.
Zu Absatz 10
Absatz 10 führt den bisherigen § 5 Absatz 9 fort.
Zu Absatz 11
Absatz 11 führt den bisherigen § 5 Absatz 10 fort.
Zu § 9 (Verarbeitung von Protokollierungsdaten der Kommunikationstechnik des Bundes)
§ 9 führt den bisherigen § 5a fort. Die geänderte Überschrift spiegelt die Begriffskonsolidie rung und den inhaltlichen Bezug zu § 8 wider. Es wird eine Begriffskonsolidierung vorge nommen zu „Einrichtungen der Bundesverwaltung“. Die Erweiterung des Anwendungsbe reichs erfolgt zum Zweck des Schutzes der gesamten Kommunikationstechnik des Bundes.
Zu § 10 (Anordnungen von Maßnahmen zur Abwendung oder Behebung von Sicherheitsvorfällen)
Die neue Vorschrift dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe b sowie Absatz 5 der NIS2-Richtlinie gegenüber Einrichtungen der Zentralregierung bei der Reaktion auf akute Sicherheitsvorfälle; im Interesse eines kohärenten Regelungsregimes und effektiven operativen Vorfallsmanagements werden die Befugnisse wie in § 29 angelegt auch auf die übrigen Einrichtungen der Bundesverwaltung erstreckt. Wenn das Bundesamt die Gefahr oder das Vorliegen eines Sicherheitsvorfalles feststellt, weist es die Einrichtungen der Bun
desverwaltung auf die aus seiner Sicht notwendigen Maßnahmen zur Abwendung oder Be hebung hin. Wenn die Einrichtungen diese Maßnahmen nicht innerhalb eines angemesse nen Zeitraums umsetzen, obwohl diese nach Ansicht des Bundesamtes erforderlich sind, kann es die Einrichtungen zur Umsetzung anweisen. Dabei wird es die Einrichtungen in der Regel vorher anhören. Bei Gefahr im Verzug kann es die Anordnung auch erlassen, ohne den Einrichtungen zuvor Gelegenheit zur Stellungnahme zu geben. Bei der Erteilung von Anweisungen berücksichtigt das Bundesamt potentielle Auswirkungen auf Dritte, wie Kun den oder Dienstleister. Die Anweisung des Bundesamtes gegenüber Einrichtungen der Bundesverwaltung werden an die jeweilige Einrichtungsleitung adressiert. Mögliche Bei spiele für Anweisungen des Bundesamtes können lageabhängig nach sachlicher und recht licher Einzelfallprüfung sein: Übergabe von Systemen oder Daten zur Analyse an das Bun desamt; erhöhte Protokollierung zur Anomaliedetektion; Verlängerung von Speicherfristen; Verhindern von Datenlöschung; Installation eines Netzwerksensors des Bundesamtes zur Detektion; Verpflichtung, Mitarbeiter, Dienstleister, Kunden und Partner über bestimmte Tatsachen zu informieren oder nicht zu informieren; Nichtnetztrennung zur Sicherstellung der Analyse von Angreiferverhalten; im Extremfall Netztrennung Die Durchsetzung allge meiner präventiver Maßnahmen bleibt dagegen Aufgabe der Informationssicherheitsbeauf tragten der Ressorts und des Koordinators oder der Koordinatorin für Informationssicherheit (vgl. §§ 46, 49 und 50 Absatz 3). Entsprechend der unterschiedlichen Rollen im Aufsichts gefüge ist eine Berichterstattung gleichermaßen vorgesehen an Bundesamt als operativer Aufsichtsbehörde sowie des Informationssicherheitsbeauftragten des Ressorts als zustän diger Fachaufsicht.
Zu § 11 (Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen)
§ 11 führt den bisherigen § 5b fort.Zu Absatz 1
Absatz 1 führt den bisherigen § 5b Absatz 1 fort. Es erfolgt eine Folgeänderungen aufgrund neuer Einrichtungskategorien sowie einer Anpassung in Umsetzung von Artikel 11 Absatz 1 Buchstabe d der NIS2-Richtlinie. Ferner wird eine Begriffskonsolidierung vorgenommen zu „Einrichtungen der Bundesverwaltung“.
Zu Absatz 2
Absatz 2 führt den bisherigen § 5b Absatz 2 fort.
Zu Absatz 3
Absatz 3 führt den bisherigen § 5b Absatz 3 fort. Es erfolgte eine redaktionelle Änderung, da nach Artikel 4 Nummer 2 Datenschutz-Grundverordnung der Verarbeitungsbegriff das Erheben bereits miteinschließt.
Zu Absatz 4
Absatz 4 führt den bisherigen § 5b Absatz 4 fort. Der Begriff „Informationen“ umfasst jegli ches auf die betroffene Einrichtung bezogenes Wissen, von dem das Bundesamt im Rah men seiner Leistungen nach § 11 Kenntnis erlangt.
Zu Absatz 5
Absatz 5 führt den bisherigen § 5b Absatz 5 fort.
Zu Absatz 6
Absatz 6 führt den bisherigen § 5b Absatz 6 fort.
Zu Absatz 7
Absatz 7 führt den bisherigen § 5b Absatz 7 fort.
Zu Absatz 8
Absatz 8 führt den bisherigen § 5b Absatz 8 fort.
Zu § 12 (Bestandsdatenauskunft)
§ 12 führt den bisherigen § 5c fort. Die Begriffe werden an die neuen Kategoriebezeichnun gen angepasst.
Zu § 13 (Warnungen)
§ 13 führt den bisherigen § 7 fort.
Zu Absatz 1
Absatz 1 führt den bisherigen § 7 Absatz 1 fort. Der neue Nummer 1 Buchstabe e dient der Umsetzung Artikel 32 Absatz 4 Buchstabe a und Artikel 33 Absatz 4 NIS2-Richtlinie.
Zu Absatz 2
Absatz 2 führt den bisherigen § 7 Absatz 1a fort. Zu Absatz 3
Absatz 3 führt den bisherigen § 7 Absatz 2 fort. Die Vorschrift wird um eine Regelung zur Archivierung von Warnungen ergänzt. Hintergrund ist der Beschluss des BVerfG vom 21. März 2018 (– 1 BvF 1/13 –) zu § 40 LFGB. Eine gesetzliche Regelung zur zeitlichen Be grenzung der Informationsverbreitung fehlte im LFGB. Dies ist mit dem Grundsatz der Ver hältnismäßigkeit nicht vereinbar, da mit Zeitablauf nach der Veröffentlichung der Grund rechtseingriff zulasten des Herstellers einerseits und der mit Warnung verfolgte Zweck an dererseits außer Verhältnis geraten.
Art und Umfang etwaiger Ersatzansprüche richten sich nach den allgemeinen staatshaf tungsrechtlichen Gründsätzen.
Zu § 14 (Untersuchung der Sicherheit in der Informationstechnik, Auskunftsverlangen)
§ 14 führt den bisherigen § 7a fort.
Zu Absatz 1
Absatz 1 führt den bisherigen § 7a Absatz 1 fort.
Zu Absatz 2
Absatz 2 führt den bisherigen § 7a Absatz 2 fort.
Zu Absatz 3
Absatz 3 führt den bisherigen § 7a Absatz 3 fort.
Zu Absatz 4
Absatz 4 führt den bisherigen § 7a Absatz 4 fort. Die vorgenommene Ergänzung ist erfor derlich, um einen Austausch zu Dritten (wie z.B. auch zu anderen Aufsichtsbehörden) zu ermöglichen und zu vereinfachen, wenn es z.B. nur um Kategorien von Produkttypen und gefundenen Schwachstellen geht, die auch ohne konkreten Hersteller-/Produktbezug wei tergegeben werden sollen. Da in diesem Fall die Eingriffsintensität gegenüber den Herstel lern der untersuchten Produkte und Systeme mangels Bezugnahme als sehr gering anzu sehen ist, würde eine vorab einzuholende Stellungnahme die Weitergabe kritischer Schwachstellen an Dritte (wie z.B. andere Aufsichtsbehörden) unnötig erschweren.
Zu Absatz 5
Absatz 5 führt den bisherigen § 7a Absatz 5 fort.
Zu § 15 (Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden)
§ 15 führt den bisherigen § 7b fort. Mit der Abfragebefugnis nach Absatz 1 korrespondiert deswegen als einziger Zweck der Datenverarbeitung eine Informationspflicht nach Ab satz 2. § 15 ermächtigt indes nicht zur Entdeckung von besonders sensiblen, unbekannten Schwachstellen (auch: Zero-Day-Schwachstellen).
Zu Absatz 1
Absatz 1 führt den bisherigen § 7b Absatz 1 fort. Die Änderungen dienen der Umsetzung von Artikel 11 Absatz 3 Buchstabe e, Artikel 32 Absatz 2 Buchstabe d und Artikel 33 Ab satz 2 Buchstabe c der NIS2-Richtlinie, die die Durchführung von Schwachstellenscans bei wichtigen und wesentlichen Einrichtungen als zwingende Aufgabe der CSIRTs und Auf sichtsmaßnahme ansehen. Als andere bereits bekannte Sicherheitsrisiken im Sinne des Satz 1 kommen beispielsweise fehlerhafte Konfigurationen in Betracht. Einschränkungen auf bestimmte Arten von Scans oder einen Anlass als Voraussetzungen für diese Schwach stellenscans sehen die Regelungen der NIS2-Richtlinie nicht vor, so dass der bisher in § 7b Absatz 1 enthaltene Verweis auf bloße Portscans ebenso wie die Annahme eines un geschützten Systems als Voraussetzung nicht mehr der Richtlinie entsprechen. Die Erwäh nung ausschließlich von Portscans ist nicht zutreffend, da die Detektion von Sicherheitslü cken ist nicht nur über Portscans, sondern auch über weitere webseiten-/ domainbasierte Methoden möglich ist. Da sich die Art von Sicherheitsscans durch den technischen Fort schritt verändern kann, war eine ebenso entwicklungsoffene Formulierung zu wählen, wie sie die NIS2-Richtlinie enthält. Die Regelung ermöglicht richtliniengemäß auch Scans z.B. bei den von den IT-Dienstleistern für die Einrichtung betriebenen Systemen. Der gewählte Begriff der Abfrage bezeichnet eine entwicklungsoffene Art einer informationstechnischen Abfrage an die öffentlich erreichbaren Schnittstellen, die im Rahmen der technischen Spe zifikation der Schnittstelle grundsätzlich vorgesehen ist. Sie dient ausschließlich der Detek tion von Systemeigenschaften und schließt eine Einflussnahme auf das System aus. Wenn Schwachstellen in der Spezifikation oder der Implementation einer Schnittstelle bekannt werden, dürfen die Abfragen an die öffentlich erreichbaren Schnittstellen in einer Weise erfolgen, mit der überprüft werden kann, ob die abgefragten Systeme diese Art von Schwachstellen aufweisen. Zudem war die Regelung an die neuen Einrichtungskategorien aus der NIS2-Richtlinie anzupassen. Statt des Begriffs der Sicherheitslücke wird zur euro paweiten Vereinheitlichung der Terminologie der der Schwachstelle im Sinne von Artikel 6 Nummer 15 der NIS2-Richtlinie verwendet, ohne dass damit eine inhaltliche Änderung ver bunden ist. Die Streichung von § 7b Absatz 2 ist eine Folgeänderung zur Anpassung der Tatbestandsvoraussetzungen nach Absatz 1, da eine entsprechende einschränkende De finition von der NIS2-Richtlinie nicht vorgesehen ist, die im Gegenzug für die notwendige Absenkung der Eingriffsschwelle eine Begrenzung der Verwendungsmöglichkeiten detek tierter, bekannter Schwachstellen vorsieht. Das Bundesamt kann so die informationstech nischen Systeme der genannten Einrichtungen auf das Vorhandensein solcher Schwach stellen untersuchen, die bisher nicht notwendig öffentlich, aber jedenfalls informierten Fach kreisen bekannt sind. Es darf damit einerseits die Norm nicht zur Ausforschung und Nut zung unbekannter neuer Schwachstellen (Zero-Day-Exploits) nutzen, andererseits darf es zur Information der Betroffenen mit dem Abgleich und der Untersuchung bekannter Schwachstellen bereits beginnen, ohne dass die Schwachstellen zuvor einer breiten Öf fentlichkeit bekannt gemacht worden sein müssen.
Zu Absatz 2
Absatz 2 führt den bisherigen § 7b Absatz 3 fort. Eine Weitergabe der konkreten Informati onen über die nach Absatz 1 detektierten Schwachstellen ist weder über § 8 Absatz 7 noch nach § 3 Absatz 1 Nummer 2 erlaubt. Absatz 2 gilt diesbezüglich als abschließende Rege lung. Damit detektierte Schwachstellen schnellstmöglich geschlossen werden, ist die Infor mationspflicht des Bundesamtes bei betroffenen Einrichtungen der Bundesverwaltung auf die Informationssicherheitsbeauftragten der Einrichtung und des Ressorts zu erstrecken (Fachaufsicht).
Für das Lagebild darf das Bundesamt abstrahierte Informationen aus den Schwachstellen scans aufbereiten, in dieser Form weitergeben und veröffentlichen (z.B. zur Zahl und Art der betroffenen Einrichtungen oder der Art der Schwachstellen).
Zu Absatz 3
Absatz 3 führt den bisherigen § 7b Absatz 4 fort.Zu § 16 (Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Telekommunikationsdiensten)
§ 16 führt den bisherigen § 7c fort.
Zu Absatz 1
Absatz 1 führt den bisherigen § 7c Absatz 1 fort. Da der Begriff „Diensteanbieter“ aufgrund der Umsetzung der NIS2-Richtlinie nun im Gesetz auch mit anderer Bedeutung genutzt wird, war eine Anpassung der Legaldefinition erforderlich, die nur für die Zwecke dieser Vorschrift erfolgte.
Zu Absatz 2
Absatz 2 führt den bisherigen § 7c Absatz 2 fort. In Nummer 1 erfolgt eine Folgeänderung aufgrund der neuen Kategoriebezeichnungen.
Zu Absatz 3
Absatz 3 führt den bisherigen § 7c Absatz 3 fort.
Zu Absatz 4
Absatz 4 führt den bisherigen § 7c Absatz 4 fort.
Zu § 17 (Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Telemediendiensten)
§ 17 führt den bisherigen § 7d fort. Das in der bisherigen Vorschrift in Satz 1 enthaltene Wort „begründeten“ ist im Wege einer redaktionellen Klarstellung entfallen.
Zu § 18 (Anordnungen von Maßnahmen des Bundesamtes gegenüber Herstellern von IKT-Produkten)
§ 18 führt den bisherigen § 8b Absatz 6 fort.
Zu § 19 (Bereitstellung von IT-Sicherheitsprodukten)
§ 19 führt den § 8 Absatz 3 Satz 1-3 fort. Es erfolgt eine Begriffskonsolidierung zu „Einrich tungen der Bundesverwaltung“, um den Anwendungsbereich zum Schutz der gesamten Kommunikationstechnik des Bundes zu erweitern. Zudem wird auf die Einhaltung der Bun deshaushaltsordnung hingewiesen.
Zu Kapitel 2 (Datenverarbeitung)
Zu § 20 (Verarbeitung personenbezogener Daten)
§ 20 führt den bisherigen § 3a fort.
Zu § 21 (Beschränkungen der Rechte der betroffenen Person)
§ 21 führt den bisherigen § 6 fort.
Zu § 22 (Informationspflicht bei Erhebung von personenbezogenen Daten) § 22 führt den bisherigen § 6a fort.Zu § 23 (Auskunftsrecht der betroffenen Person)
§ 23 führt den bisherigen § 6b fort.
Zu § 24 (Recht auf Berichtigung)
§ 24 führt den bisherigen § 6c fort.
Zu § 25 (Recht auf Löschung)
§ 25 führt den bisherigen § 6d fort.
Zu § 26 (Recht auf Einschränkung der Verarbeitung)
§ 26 führt den bisherigen § 6e fort.
Zu § 27 (Widerspruchsrecht)
§ 27 führt den bisherigen § 6f fort.
Zu Teil 3 (Sicherheit in der Informationstechnik
von Einrichtungen)
Zu Kapitel 1 (Anwendungsbereich)
Zu § 28 (Besonders wichtige Einrichtungen und wichtige Einrichtungen) Der § 28 dient der Umsetzung von Artikel 3 NIS2-Richtlinie.
Zu Absatz 1
Absatz 1 dient der Definition besonders wichtiger Einrichtungen. Durch die Einbeziehung von rechtlich unselbstständigen Organisationseinheiten einer Gebietskörperschaft wird si chergestellt, dass Eigenbetriebe und Landesbetriebe, die entsprechende Dienste gemäß der Einrichtungsdefinitionen erbringen, adäquat adressiert werden können, auch wenn diese keine juristische oder natürliche Person sind. Die in der Kommissionsempfehlung 2003/361 EG genannten Größenschwellen für Mitarbeiteranzahl und Jahresumsatz werden zur Verbesserung der Lesbarkeit in diesem Gesetz grundsätzlich ausdefiniert.
Soweit in diesem Absatz Einrichtungskategorien ohne eine explizite Angabe der Mitarbei teranzahl, des Jahresumsatzes oder der Jahresbilanzsumme angegeben sind, gelten diese Definitionen jeweils unabhängig von der Unternehmensgröße.
Zu Nummer 1
Nummer 1 dient der Umsetzung von Artikel 3 Absatz 1 Buchstabe f der NIS2-Richtlinie, wonach gemäß der CER-Richtlinie als kritische Einrichtung bzw. Betreiber kritischer Anla gen auch als besonderes wichtige Einrichtung im Sinne dieses Gesetzes gelten.
Zu Nummer 2
Nummer 2 dient der Umsetzung von Artikel 3 Absatz 1 Buchstabe b der NIS2-Richtlinie. Zu Nummer 3
Nummer 3 dient der Umsetzung von Artikel 3 Absatz 1 Buchstabe c der NIS2-Richtlinie.Zu Nummer 4
Nummer 4 dient der Umsetzung von Artikel 3 Absatz 1 Buchstabe a der NIS2-Richtlinie. Zu Absatz 2
Absatz 2 dient der Definition wichtiger Einrichtungen und der Umsetzung Artikel 3 Absatz 2 der NIS2-Richtlinie. Die obenstehenden Hinweise in der Begründung zu Absatz 1 gelten entsprechend.
Zu Absatz 3
Bei der Bestimmung der maßgeblichen Mitarbeiterzahlen und des Umsatzes sind nur die jenigen Teile der Einrichtung einzubeziehen, die tatsächlich im Bereich der in den Anlagen 1 und 2 genannten Definitionen der Einrichtungskategorien tätig sind, Querschnittsaufga ben wie beispielsweise Personal, Buchhaltung etc. sind hierbei anteilig zu berücksichtigen. Hierdurch wird sichergestellt, dass Einrichtungen, die insgesamt die Größenschwelle für Mitarbeiteranzahl, Jahresumsatz oder Jahresbilanzsumme überschreiten, deren haupt sächliche Geschäftstätigkeit jedoch nicht einer Einrichtungskategorie gemäß Anlage 1 oder 2 dieses Gesetzes zuzuordnen ist, nicht in unverhältnismäßiger Weise erfasst werden.
Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme ist im Übrigen für Einrichtungen, die keine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft sind, die Kommissionsempfehlung 2003/361/EG mit Ausnahme von Artikel 3 Absatz 4 der Empfehlung anzuwenden. Die Daten von Partner- oder verbundenen Unternehmen im Sinne der Empfehlung 2003/361/EG sind nicht hinzuzurechnen, wenn das betreffende Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tat
sächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse ausübt, die das Unterneh men für die Erbringung seiner Dienste nutzt. Ein bestimmender Einfluss auf die Beschaf fenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse liegt insbesondere vor, wenn grundsätzliche Entscheidungen zur Beschaffung, zum Betrieb und zur Konfiguration der informationstechnischen Systeme, Komponenten und Prozesse durch die Einrichtung eigenverantwortlich getroffen werden können. Dies ist beispielsweise regelmäßig zu verneinen, wenn die informationstechnischen Systeme, Komponenten und Prozesse vollständig durch eine Konzernmutter betrieben werden, und die Einrichtung selbst demnach tatsächlich keinerlei Einfluss auf die vorgenannten Eigenschaften nehmen kann. Ein bestimmender Einfluss liegt jedoch regelmäßig vor, wenn die informationstechni schen Systeme, Komponenten und Prozesse im Auftrag durch einen Dienstleister betrieben werden, da hier durch vertragliche Regelungen bestimmender Einfluss auf die vorgenann ten Eigenschaften ausgeübt werden kann. Hierdurch wird sichergestellt, dass Partnerun ternehmen oder Tochterunternehmen, die für sich alleine gesehen die vorgesehenen Schwellen für Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme nicht erreichen o der überschreiten, nur in denjenigen Fällen als besonders wichtige Einrichtung gelten kön nen, wenn sie keinen bestimmenden Einfluss auf ihre eigenen informationstechnischen Systeme, Komponenten und Prozesse ausüben, weil diese beispielsweise von einem Part nerunternehmen betrieben werden.
Zu Absatz 4
Absatz 4 regelt Ausnahmen für bestimmte Einrichtungskategorien, die spezialgesetzlich re guliert werden. Absatz 4 führt den bisherigen § 8d Absatz 2 fort. Die Ergebnisse der Evalu ierung dieser Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhö hung der Sicherheit informationstechnischer Systeme wurden berücksichtigt. Für Betreiber
von öffentlichen Telekommunikationsnetzen, Energieversorgungsnetzen und Energieanla gen werden die derzeit bestehenden spezialgesetzlichen Regelungen mit einer entspre chenden Zuständigkeit der Bundesnetzagentur und hierfür durch die Bundesnetzagentur erstellter IT-Sicherheitskataloge fortgeführt. Allerdings beziehen sich die diesbezüglichen spezialgesetzlichen Regelungen im TKG und im EnWG jeweils aufgrund der entsprechen den Zuständigkeit der Bundesnetzagentur jeweils nur auf die Erbringung der kritischen Ver sorgungsdienstleistung maßgeblichen IT-Systeme. Dies sind im Energiesektor die IT-Sys teme, die für einen sicheren Netz- bzw. Anlagenbetrieb maßgeblich sind und im TK-Sektor
die Datenverarbeitungssysteme für das Betreiben von Telekommunikations- und Datenver arbeitungssystemen sowie für die Verarbeitung personenbezogener Daten.
Für alle anderen informationstechnischen Systeme Komponenten und Prozesse, die diese Betreiber für die Erbringung ihrer Dienste nutzen, die jedoch nicht von den vorgenannten IT-Sicherheitskatalogen der Bundesnetzagentur erfasst sind, gelten somit nach wie vor die allgemeinen Anforderungen für wichtige und besonders wichtige Einrichtungen mit einer entsprechenden allgemeinen Zuständigkeit des Bundesamts.
Hierbei ist zu beachten, dass gemäß Absatz 4 die Anwendung der § 31, 32, 35 und 39 nur jeweils ausgeschlossen ist, soweit die Unternehmen den Regelungen des TKG bzw. des EnWG unterliegen. Für Querverbundsunternehmen, die in unterschiedlichen Sektoren gleichzeitig tätig sind, ergeben sich daher mitunter mehrere gesetzliche Vorschriften, die parallel für den jeweiligen Tätigkeitsbereich gelten. Somit gelten beispielsweise für ein Stadtwerk, dass im TK-Bereich, im Energiesektor und im Wasser-/Abwasserbereich tätig ist, jeweils für den TK-Bereich die Anforderungen des TKG, für den Energiesektor die An
forderungen des EnWG und für den Wasser/Abwasserbereich sowie für die sonstige IT, welche für die Erbringung der Dienste genutzt wird, die Vorgaben des BSIG.
Zu Nummer 1
Nummer 1 führt den bisherigen § 8d Absatz 2 Nummer 1 fort. Die Vorschrift dient der Um setzung von Erwägungsgrund 92 und 95 der NIS2-Richtlinie.
Zu Nummer 2
Nummer 2 führt den bisherigen § 8d Absatz 2 Nummer 2 fort.
Zu Absatz 5
Zu Nummer 1
In Umsetzung von Erwägungsgrund 28 der NIS2-Richtlinie gilt die Verordnung (EU) 2022/2554 (DORA-VO) für Finanzunternehmen als lex specialis. Somit sind diese Unter nehmen von den hier genannten Verpflichtungen ausgenommen.
Zu Nummer 2
Nummer 2 führt den bisherigen § 8d Absatz 2 Nummer 3 sowie Absatz 3 Nummer 3 fort. Zu Absatz 6
Absatz 6 dient der Definition von Betreibern kritischer Anlagen.
Zu Absatz 7
Absatz 7 dient der Definition kritischer Anlagen und regelt den Stichtag, ab dem eine Anlage als kritische Anlage gilt.
Zu Absatz 8
Absatz 8 regelt den Stichtag, ab dem eine Anlage nicht mehr als kritische Anlage gilt.Zu Absatz 9
Mit dieser Öffnungsklausel können durch die Länder in eigener Verantwortung solche Ein richtungen aus dem Anwendungsbereich der Umsetzung der NIS2-Richtline auf Bundes ebene ausgenommen werden, die zu 100% im Eigentum von Ländern und Kommunen ste hen und keine Waren oder Dienstleistungen gegen Entgelt an Einrichtungen der Bundes verwaltung anbieten. Beteiligungsstrukturen (auch gemischte Beteiligungsstrukturen meh rerer Länder oder Kommunen) sind zulässig. Schließlich ist notwendig, dass das Unterneh men Gegenstand einer landesrechtlichen NIS2-Umsetzung ist und das Land mit der Be zugnahme auf die Öffnungsklausel auch – bewusst – Gebrauch von dieser Öffnungsklausel
macht. Letzteres soll gewährleisten, dass keine Unternehmen regulierungsfrei gestellt wer den, die durch die Bundesrepublik Deutschland in Umsetzung der NIS2-Richtlinie zu regu lieren sind.
Zu § 29 (Einrichtungen der Bundesverwaltung)
§ 29 bezieht Einrichtungen der Bundesverwaltung als Kategorie in das Regelungsregime ein, das mit Umsetzung der NIS2-Richtlinie etabliert wird. In vielen Einrichtungen der Bun desverwaltung besteht ein Defizit bei der Umsetzung von Maßnahmen zum Eigenschutz im Bereich der Informationssicherheit. Die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis (etwa Umsetzungsplan Bund) haben sich als nicht ausreichend ef fektiv erwiesen, um eine flächendeckende wirksame Steigerung des Sicherheitsniveaus zu erreichen. Vor dem Hintergrund der durch aktuelle geopolitische Entwicklungen („Zeiten wende“) abermals verschärften Bedrohungslage hat sich das Risiko für staatliche Einrich tungen zudem weiter erhöht, durch Gefährdungen aus dem Cyberraum in ihrer Handlungs fähigkeit eingeschränkt zu werden. Die Umsetzung der NIS2-Richtlinie wird deshalb durch diese und weitere Bestimmungen begleitet mit weiteren Regelungen für die Bundesverwal tung, die über die reine Umsetzung der NIS2-Richtlinie hinausgehen. Um auf Bundes ebene auch vor dem Hintergrund von Verflechtung und Konsolidierung der IT insgesamt ein gemeinsames, kohärentes und handhabbares Regime zu erreichen, werden in nationa ler Verantwortung Anforderungen formuliert, die inhaltlich an denjenigen für besonders wichtige Einrichtungen orientiert sind.
Zu Absatz 1
Absatz 1 bestimmt die Kategorie der Einrichtungen der Bundesverwaltung. Vor dem Hin tergrund des Schutzzwecks der Informationssicherheit des Bundes und zum Zwecke der Begriffskonsolidierung ist die Definition orientiert am Anwendungsbereich des bisherigen § 8 Absatz 1 sowie dem Geltungsbereich des Umsetzungsplans Bund, mit dem der Begriff der Einrichtungen der Bundesverwaltung bereits etabliert worden ist. Damit wird auch dem Umstand begegnet, dass in der Vergangenheit mitunter Unklarheiten bestanden, ob und für welche Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts die Geltung der Mindeststandards angeordnet war. Mit dem Ziel der möglichst einheitlichen Regelung eines möglichst hohen Niveaus an Sicherheit wird das bisherige Anordnungserfordernis („Opt-In“) für die Mindeststandards im Bereich der mittelbaren Bundesverwaltung nach der bisherigen § 8 Absatz 1 Satz 1 Nr. 2 durch eine allgemeine Anforderung mit der Möglichkeit zum Opt-Out abgelöst: Zur Vermeidung von Unverhältnismäßigkeiten können die Ressorts gemäß § 46 Absatz 4 Ausnahmebescheide erlassen.
Zu Absatz 2
Absatz 2 dient als Generalklausel zur grundsätzlichen Erweiterung des Anwendungsbe reichs auf Einrichtungen der Bundesverwaltung, die selbst weder besonders wichtige Ein richtungen noch wichtige Einrichtungen sind, sowie zur Festlegung von Abweichungen für Einrichtungen der Bundesverwaltung von den Regelungen für (besonders) wichtige Einrich tungen. Für Einrichtungen der Bundesverwaltung finden die Regelungen für besonders wichtige Einrichtungen Anwendung, soweit keine Abweichungen für Einrichtungen der Bundesver waltung geregelt sind. D.h. folgende Regelungen für besonders wichtige Einrichtungen fin den Anwendung: §§ 6, 12, 13 Absatz 1 Nummer 1 e), 30, 32, 33, 35, 36, 37, 57, 62, wobei § 30 durch die Einhaltung von § 44 (1) erfüllt wird. Folgende Regelungen für besonders wichtige oder wichtige Einrichtungen finden keine Anwendung: §§ 38, 40 (3), 60 und 64, da stattdessen folgende abweichende Regelungen Anwendung finden: §§ 4, 7, 10, 43 (1), 43 (2), 43 (4), 50 (3).
Zu Absatz 3
Absatz 3 dient der Festlegung der in der NIS2-Richtlinie angelegten Ausnahme für den Bereich der Verteidigung und den Bereich der nationalen Sicherheit. Die NIS2-Richtlinie gilt zudem laut ihrem Erwägungsgrund 8 nicht für diplomatische und konsularische Vertre tungen der Mitgliedstaaten in Drittländern. Um den Besonderheiten des Auswärtigen Diens tes Rechnung zu tragen, wird das Auswärtige Amt deshalb in seinem Geschäftsbereich eigene Maßnahmen ergreifen, um die Ziele der Richtlinie umzusetzen.
Zu Kapitel 2 (Risikomanagement, Melde-, Registrierungs-, Nachweis und Unterrichtungspflichten)
Zu § 30 (Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen)
§ 30 dient der Umsetzung von Artikel 21 der NIS2-Richtlinie. Für Einrichtungen der Bun desverwaltung wird § 30 durch § 44 umgesetzt.
Zu Absatz 1
Absatz 1 dient der Umsetzung von Artikel 21 Absatz 1 und 4 NIS2-Richtlinie. Während das BSIG im Bereich von Cybersicherheitsmaßnahmen bislang für Betreiber Kritischer Infra strukturen auf diejenigen informationstechnischen Systeme, Komponenten und Prozesse abstellte, die für die Funktionsfähigkeit der Kritischen Infrastruktur maßgeblich sind, sind in Folge der Umsetzung der NIS2-Richtlinie zukünftig sämtliche informationstechnischen Systeme, Komponenten und Prozesse zu berücksichtigen, die von der jeweiligen Einrich tung für die Erbringung ihrer Dienste genutzt werden. Der Begriff „Erbringung ihrer Dienste“ ist hierbei weit gefasst und insbesondere nicht mit der Erbringung (kritischer) Versorgungs dienstleistungen zu verwechseln. Vielmehr sind die hier gemeinten Dienste sämtliche Akti vitäten der Einrichtung, für die IT-Systeme eingesetzt werden, dies beinhaltet beispiels weise auch Büro-IT oder andere IT-Systeme, die durch die Einrichtung betrieben werden.
Risiken sind das Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird. Absatz 1 stellt klar, dass hierbei durch die Einrichtung nur geeignete, verhältnismäßige und wirksame Maßnahmen zu ergreifen sind. Im Bezug auf die Verhältnismäßigkeit sind insbesondere die Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvor fällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.
Dies dient der Umsetzung von Artikel 21 Absatz 1 Unterabsatz 2 NIS2-Richtlinie. Damit keine unverhältnismäßige finanzielle und administrative Belastung für besonders wichtige und wichtige Einrichtungen entstehen, sollen die genannten Risikomanagementmaßnah men in einem angemessenen Verhältnis zu den Risiken stehen, denen das betroffene Netz und Informationssystem ausgesetzt wird. Hierbei werden u.a. auch den Kosten der Umset zung sowie der Größe der Einrichtung Rechnung getragen. In die Bewertung der Angemes senheit und Verhältnismäßigkeit kann ebenfalls einfließen, obob es sich um eine wichtige Einrichtungen, eine besonders wichtige im Vergleich zu wesentlichen Einrichtung oder ei nen Betreiber einer kritischen Anlage handelt, da in diesen Einrichtungskategorien von einem unterschiedlichen Grad der Risikoexposition ausgegangen werden kann grundsätz lich einer unterschiedlichen Risikoexposition ausgesetzt sind. „Risiko“ wird als Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird.
Vergleichbar zur Rechenschaftspflicht nach Artikel 5 Absatz 2 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung) sind Einrichtungen verpflichtet, die Umsetzung und Einhaltung von Maßnahmen angemessen zu dokumentieren. Durch diese Pflicht wird sichergestellt, dass Einrichtungen nach Anforderungen von Nachweisen des Bundesamts gemäß § 64 Abs. 3 dem Bundesamt entsprechende Nachweisdokumente vorlegen können. Entsprechende Dokumentationen können beispielsweise sein: interne Richtlinien, Hand
lungsanweisungen, Checklisten, Mitarbeiterschulungen, Vereinbarungen, Merkblätter o.ä., aber auch Auditberichte, Zertifizierungen oder Prüfungen.
Zu Absatz 2
Absatz 2 dient der Umsetzung von Artikel 21 Absatz 2 der NIS2-Richtlinie. Die hier ge nannten Vorgaben insbesondere im Bereich der Sicherheit der Lieferkette können auch die Durchführung von External Attack Surface (EAS) Scans beinhalten. Mit der Vorgabe in Nummer 2 ist der Fachbegriff „incident response“ gemeint.
Unter dem Begriff “Cyberhygiene” im Sinne der NIS2-Richtlinie werden verschiedene grundlegenden Verfahren und Herangehensweisen umschrieben, welche allgemein zu ei ner Verbesserung des Cybersicherheitsniveaus einer Einrichtung führen können. Dies be inhaltet beispielsweise ein Patchmanagement, Regelungen für sichere Passwörter, die Ein schränkung von Zugriffskonten auf Administratorenebene, Netzwerksegmentierungen, so wie Backup- und Sicherungskonzepte für Daten. Ebenfalls gehören hierzu allgemeine In formations- und Schulungsmaßnahmen, um das allgemeine Bewusstsein der Mitarbeiter für die Risiken im Zusammenhang mit IKT-Produkten zu schärfen.
Unter Maßnahmen zur Sicherheit der Lieferkette sind beispielsweise vertragliche Vereinba rungen mit Zulieferern und Dienstleistern zu Risikomanagementmaßnahmen, Bewältigung von Cybersicherheitsvorfällen, Patchmanagement, sowie der Berücksichtigung von Emp fehlungen des Bundesamt in Bezug auf deren Produkten und Dienstleistungen zu nennen. Ebenfalls kann dies beinhalten, Zulieferer und Dienstleister zur Beachtung von grundsätz lichen Prinzipien wie Security by Design oder Security by Default anzuhalten. Hierbei Bei der Erwägung geeigneter Maßnahmen nach Absatz 4 Nummer 4 sind durch die Einrichtung die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse zu berücksichti gen. Einrichtungen müssen bei der Erwägung geeigneter Maßnahmen nach Satz 1 die Er gebnisse der gemäß Artikel 22 Absatz 1 der NIS2-Richtlinie durchgeführten koordinierten Risikobewertungen kritischer Lieferketten berücksichtigen.
Zu Absatz 3
Absatz 3 dient der Umsetzung von Artikel 21 Absatz 5 Unterabsatz 1 der NIS2-Richtlinie. Zu Absatz 4
Absatz 4 dient der Umsetzung von Artikel 21 Absatz 5 Unterabsatz 2 der NIS2-Richtlinie. Soweit die Europäische Kommission einen Durchführungsrechtsakt gemäß Artikel 24 Ab satz 2 der NIS2-Richtlinie erlässt, gehen die darin enthaltenen Vorgaben an den Einsatz zertifizierter IKT-Produkte, IKT-Dienste und IKT-Prozesse denen des Satzes 1 vor.Zu Absatz 5
Zur angemessenen Berücksichtigung der Bedrohungslage muss das Bundesamt die Mög lichkeit haben, über die ggf. von der Europäischen Kommission erlassenen Maßnahmen hinaus, die Umsetzung angemessener Maßnahmen zu fordern.
Zu Absatz 6
Absatz 6 dient der Umsetzung von Artikel 24 der NIS2-Richtlinie. Gemäß Artikel 24 Absatz 2 der NIS2-Richtlinie ist die EU Kommission ebenfalls befugt, delegierte Rechtsakte nach Artikel 290 AEUV zu erlassen, die ebenfalls den verpflichtenden Einsatz nach europäischen Schemata zertifizierter Produkte, Dienste oder Prozesse vorschreiben kann. Diese dele gierten Rechtsakte haben entsprechend Vorrang gegenüber einer nach Absatz 6 dieser Regelung erlassen Rechtsverordnung des Bundesministeriums des Innern und für Heimat.
Vor Erlass einer solchen Rechtsverordnung ist durch das Bundesministerium des Innern und für Heimat und die weiteren beteiligten Ressorts sicherzustellen, dass entsprechende Zertifizierungsschemata vorhanden sind und nach diesen zertifizierten Produkten, Dienste oder Prozesse ausreichend am Markt verfügbar sind, um nachgelagerte Probleme durch Lieferengpässe oder -schwierigkeiten zu vermeiden.
Zu Absatz 7
Absatz 7 führt den bisherigen § 5 Absatz 7 fort.
Zu Absatz 8
Absatz 8 geht über die reine 1:1-Umsetzung der NIS2-Richtlinie hinaus. Da die Umsetzung des Artikel 29 der NIS2-Richtlinie über die zentrale Austauschplattform des Bundeamtes (BISP) umgesetzt wird, soll durch diesen Absatz 7 der bidirektionale Austausch sicherge stellt werden.
Zu Absatz 9
Die Möglichkeit für KRITIS-Betreiber, für die Erfüllung der gesetzlichen Anforderungen branchenspezifische Sicherheitsstandards (B3S) vorzuschlagen, die anschließend vom Bundesamt im Einvernehmen Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sowie der zuständigen Aufsichtsbehörde des Bundes auf ihre Eignung geprüft werden, hat sich in der Umsetzung der NIS-1 Richtlinie aus Sicht der Bundesregie
rung grundsätzlich sehr bewährt. Da auch aus der Wirtschaft im Zuge der Evaluierung der KRITIS-bezogenen Bestandteile des IT-Sicherheitsgesetzes 2.0 einstimmig eine Einfüh rung eines vergleichbaren Verfahrens angeregt wurde, wird in Absatz 9 eine vergleichbare Regelung für besonders wichtige Einrichtungen eingeführt. Bei der Erarbeitung von bran chenspezifischen Sicherheitsstandards durch Betreiber kritischer Anlagen und ihre Bran chenverbände zur Erfüllung der Nachweispflichten nach § 39 Abs. 1 kann es sinnvoll sein, die Maßnahmen auf diejenigen informationstechnischen Systeme, Komponenten und Pro zesse zu beschränken, die für die Funktionsfähigkeit der kritischen Anlagen maßgeblich sind. Ein solcher branchenspezifischer Sicherheitsstandard ist dann jedoch nur für den Nachweis der Anforderungen nach § 39 Abs. 1 durch Betreiber kritischer Anlagen geeignet. Sofern das Bundesamt gemäß § 64 Abs. 3 BSIG Nachweise von besonders wichtigen Ein richtungen verlangt, die gleichzeitig Betreiber kritischer Anlagen sind, sind durch die Ein richtung entsprechend für diejenigen informationstechnischen Systeme, Komponenten und Prozesse, welche die Einrichtung für die Erbringung ihrer Dienste nutzt, die jedoch nicht vom branchenspezifischen Sicherheitsstandard abgedeckt sind, weitere Nachweisunterla gen zu erbringen.Zu § 31 (Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen)
§ 31 definiert zusätzliche Anforderungen für Betreiber kritischer Anlagen. Zu Absatz 1
Absatz 1 sieht vor, dass bei den nach § 30 umzusetzenden Maßnahmen durch Betreiber kritischer Anlagen in Bezug auf versorgungsrelevante informationstechnische Systeme, Komponenten und Prozesse erhöhte Anforderungen bestehen im Vergleich zu den Anfor derungen an besonders wichtige Einrichtungen für sonstige, nicht versorgungsrelevante Bereiche. Betreiber kritischer Anlagen haben innerhalb ihrer Einrichtung für die informati onstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Anlagen maßgeblich sind, gegenüber wichtigen und be sonders wichtigen Einrichtungen ein nochmals erhöhtes Sicherheitsniveau zu gewährleis ten. Hinsichtlich der besonders schweren gesellschaftlichen und wirtschaftlichen Auswir kungen einer Beeinträchtigung ist die Versorgungserheblichkeit der kritischen Anlagen für die Bevölkerung besonderes Indiz für die wirtschaftliche Angemessenheit der Vornahme von Sicherungsmaßnahmen. Daher gelten Maßnahmen, welche die Resilienz der Anlage erhöhen, um auch in Bezug auf gängige realistische Bedrohungsszenarien entsprechend der aktuellen Lageberichte und Bewertungen des Bundesamtes die Versorgungssicherheit der Bevölkerung auf einem möglichst hohen Niveau sicherzustellen, grundsätzlich gegen über dem erforderlichen Aufwand als angemessen.
Der Absatz trifft mit dem Bezug auf Absatz 2 keine Aussage zur technischen Angemessen heit im Sinne der Eignung einer Maßnahme für die Minimierung eines Risikos, sondern konkretisiert, dass bei kritischen Anlagen eine grundsätzliche Abwägung zugunsten der Vornahme einer Maßnahme gegenüber dagegenstehenden Wirtschaftlichkeitserwägungen zu treffen ist. Dabei fällt in Abgrenzung zu wichtigen und besonders wichtigen Einrichtungen die Abwägung noch stärker zugunsten der Sicherheit der Funktionsfähigkeit der Anlage aus. Die Abwägung bezieht sich auf Maßnahmen für die zur Funktionsfähigkeit erforderli chen informationstechnischen Systeme, Komponenten und Prozesse in der Anlage und so mit nicht auf die gesamte Einrichtung.
Zu Absatz 2
Absatz 2 verpflichtet Betreiber kritischer Anlagen, Systeme zur Angriffserkennung einzu setzen.
Zu § 32 (Meldepflichten)
Zu Absatz 1
Absatz 1 dient der Umsetzung von Artikel 23 Absatz 4 Satz 1 der NIS2-Richtlinie. Mit „Kenntniserlangung“ ist gemeint, dass eine Mitarbeiterin oder ein Mitarbeiter der Einrichtung innerhalb seiner Arbeitszeit Kenntnis über einen erheblichen Sicherheitsvorfall erlangt. Das Bundesamt ermöglicht im Rahmen seiner Möglichkeiten eine Kommunikation auf Englisch.
Betrifft ein meldepflichtiger Sicherheitsvorfall mehrere Einrichtungen innerhalb einer Kon zerngruppe, und sind für diese Einrichtungen innerhalb der Konzerngruppe eine oder meh rere einheitliche, ggf. auch branchenübergreifende Kontaktstellen benannt, so kann bei Ab gabe einer Vorfallsmeldung nach Absatz 1 auch unmittelbar im Meldeformular angegeben
werden, welche weiteren Einrichtungen innerhalb der Konzerngruppe vom Vorfall betroffen sind. Hierdurch können Mehrfachmeldungen innerhalb einer Konzerngruppe zu ein- und demselben Vorfall mit dem Ziel der Bürokratieminimierung vermieden werden. Innerhalb der Konzerngruppe ist jedoch in diesem Fall sicherzustellen, dass die innerhalb der Kon
zerngruppe benannten Kontaktstellen auch zu anlagen- oder einrichtungsspezifischen Rückfragen des Bundesamts beispielsweise zu Auswirkungen des Sicherheitsvorfalls, Aus kunft erteilen oder einen Ansprechpartner benennen können.
Zu Absatz 2
Absatz 2 dient der Umsetzung von Artikel 23 Absatz 4 Satz 1 Buchstabe e der NIS2-Richt linie.
Zu Absatz 3
Absatz 3 regelt, dass KRITIS-Betreiber bei der Erfüllung der Meldepflicht für Sicherheits vorfälle auch weiterhin weitergehende Angaben in Bezug auf die betroffenen Anlagen, die betroffene kritische Dienstleistung sowie den Auswirkungen des Sicherheitsvorfalls auf diese Dienstleistung zu übermitteln haben.
Zu Absatz 4
Um ein effizientes und bürokratiearmes Meldeverfahren sicherzustellen, legt das Bundes amt Einzelheiten des Meldeverfahrens nach Anhörung der betroffenen Betreiber und Wirt schaftsverbände fest. Soweit die Europäische Kommission einen Durchführungs-rechtsakt gemäß Artikel 23 Absatz 11 Unterabsatz 1 der NIS2-Richtlinie erlässt, in dem die Art der
Angaben, das Format oder das Verfahren der Meldungen festgelegt ist, sind diese Vorga ben einzuhalten.
Zu § 33 (Registrierungspflicht)
§ 33 dient der Umsetzung von Artikel 3 Absatz 3 der NIS2-Richtlinie. In § 43 Absatz 4 wird ergänzend geregelt, dass die Registrierung bei Einrichtungen der Bundesverwaltung der Einrichtungsleitung obliegt.
Die Benennung der für die Tätigkeit, aufgrund derer die Registrierung erfolgt, zuständigen Aufsichtsbehörden des Bundes ist erforderlich, damit das Bundesamt den Beteiligungs- und Informationserfordernissen im Bezug auf diese Behörden nachkommen kann.
Zu Absatz 1
Absatz 1 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 2 Satz 1 der NIS2-Richt linie. Gemäß § 29 trifft die Registrierungspflicht entsprechend auch Einrichtungen der Bun desverwaltung im gleichen Umfang. Dies wird in § 43 Absatz 4 Satz 1 klargestellt.
Für Konzernstrukturen kann unter Effizienzgesichtspunkten die Benennung einer oder mehrere einheitlicher Kontaktstellen innerhalb des Konzerns für mehrere Unternehmens teile sinnvoll sein. Dies ist grundsätzlich möglich, sofern sichergestellt ist, dass für alle re gistrierungspflichten Einrichtungen bzw. Anlagen die in Absatz 1 genannten Informationen vorliegen, und die benannte übergeordnete Kontaktstelle innerhalb des Konzerns auch auf anlagen- oder einrichtungsspezifische Rückfragen des Bundesamt Auskunft geben kann.
Zu Nummer 1
Nummer 1 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 1 Buchstabe a der NIS 2-Richtlinie. Die Vorgabe wird um die Handelsregisternummer erweitert, da die Firma allein nicht eindeutig ist.
Zu Nummer 2
Nummer 2 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 1 Buchstabe b der NIS 2-Richtlinie.Zu Nummer 3
Nummer 3 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 1 Buchstabe c der NIS 2-Richtlinie.
Zu Nummer 4
Nummer 4 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 1 Buchstabe d der NIS 2-Richtlinie.
Zu Nummer 5
Die Vorschrift dient der Erleichterung der Zusammenarbeit mit den im Einzelfall zuständigen Aufsichtsbehörden.
Zu Absatz 2
Absatz 3 regelt für Betreiber kritischer Anlagen zusätzlich zu übermittelnden Angaben bei der Registrierung. Absatz 3 führt den bisherigen § 8b Absatz 3 Satz 1 und 3 fort. Es wird ergänzt, dass Betreiber kritischer Anlagen auch die Versorgungskennzahlen ihrer kriti schen Anlage übermitteln müssen.
Zu Absatz 3
Absatz 3 regelt, dass eine Registrierung von Einrichtungen und Diensteanbietern auch durch das Bundesamt selbst vorgenommen werden kann, wenn eine Einrichtung oder ein Anbieter ihre oder seine Pflicht zur Registrierung nicht erfüllt. Absatz 3 führt den bisherigen § 8b Absatz 3 Satz 2 fort und erweitert diesen auf die hier genannten Einrichtungsarten.
Zu Absatz 4
Absatz 4 führt den bisherigen § 8b Absatz 3a fort. Die hier genannten Geheimschutzinte ressen oder überwiegenden Sicherheitsinteressen beziehen sich auf entsprechende Inte ressen der Bundesrepublik Deutschland. Betriebs- und Geschäftsgeheimnisse beteiligter Unternehmen allein begründen hiernach keine rechtmäßige Ablehnung einer Vorlage der Informationen.
Zu Absatz 5
Absatz 5 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 2 Satz 2 der NIS2-Richt linie.
Zu Absatz 6
Um einheitliche Registrierungsprozesse zu ermöglichen und somit den Verwaltungsauf wand für das Bundesamt sowie den Erfüllungsaufwand für die Wirtschaft effizient zu gestal ten, ist vorgesehen, dass das Bundesamt einheitliche Vorgaben zum Registrierungsverfah ren festlegt.
Zu § 34 (Besondere Registrierungspflicht für bestimmte Einrichtungsarten) § 34 dient der Umsetzung von Artikel 27 Absatz 2 bis 5 der NIS2-Richtlinie. Zu Absatz 4
Absatz 4 sieht vor, dass das Bundesamt für die Registrierung etwa die Verwendung eines Online-Formulars oder Vordrucks vorsehen kann, um die einheitliche Datenerfassung zu erleichtern.Zu § 35 (Unterrichtungspflichten)
Zu Absatz 1
Absatz 1 dient der Umsetzung von Artikel 23 Absatz 1 Satz 2 der NIS2-Richtlinie.
Wenn die Erbringung von Diensten durch besonders wichtige und wichtige Einrichtungen in Folge von aufgetretenen erheblichen Sicherheitsvorfällen beeinträchtigt wird, kann dies regelmäßig auch zu weiteren Einschränkungen, darunter auch mittelbare Einschränkun gen, bei den Empfängern dieser Dienste führen. Dies kann beispielsweise der Fall sein, wenn diese Dienste bei den Empfängern zur Erbringung weiterer oder anderer Dienste für Dritte genutzt werden. Solche Supply-Chain-Angriffe sind regelmäßig schwer abzuwehren, da die Schadensauswirkungen mit zeitlicher Verzögerung, an anderen Orten sowie bei vom ursprünglichen Sicherheitsvorfall nicht unmittelbar betroffenen Unternehmen auftreten kön nen. Beispiele für solche Supply-Chain-Angriffe, die bei unbeteiligten dritten Unternehmen zu weiteren Schadensauswirkungen führten, sind beispielsweise die presseöffentlich be kannten Vorfälle bei Solarwinds (2020), Kaseya (2021) oder ViaSat (2022). Um in Bezug auf solche Angriffe die Resilienz in der Wirtschaft insgesamt zu erhöhen, kann es im Ein zelfall erforderlich sein, dass das Bundesamt entsprechende von einem Sicherheitsvorfall betroffene Einrichtungen anweist, die Empfänger ihrer Dienste über den Sicherheitsvorfall zu unterrichten, damit diese wiederum die erforderlichen Maßnahmen umsetzen können, um weitere Schadensauswirkungen auf ihre eigenen Dienste möglichst zu vermeiden. Das Bundesamt setzt die zuständige Aufsichtsbehörde des Bundes über eine Anordnung nach dieser Vorschrift in Kenntnis.
Zu Absatz 2
Absatz 2 dient der Umsetzung von Artikel 23 Absatz 2 der NIS2-Richtlinie. Nicht in allen Sektoren können die Empfänger von Diensten selbst Maßnahmen gegen Cyberbedrohun gen ergreifen. Gerade bei der Versorgung mit Elektrizität oder Waren sind die Empfänger nicht selbst der Cyberbedrohung ausgesetzt, sondern erst deren Folgen. In den Sektoren, in denen die Dienste selbst mit Informationssystemen der Empfänger der Dienste intera gieren, ist eine Information der Empfänger oftmals sinnvoll. Die Einrichtungen haben sie daher über die Bedrohung selbst und über mögliche Maßnahmen zu unterrichten, die die Empfänger selbst zu ihrem Schutz ergreifen können.
Zu § 36 (Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen) Zu Absatz 1
Absatz 1 dient der Umsetzung von Artikel 23 Absatz 5 der NIS2-Richtlinie. Wird bei dem erheblichen Sicherheitsvorfall ein strafbarer Hintergrund vermutet, gibt das Bundesamt fer ner Orientierungshilfen für die Meldung des Sicherheitsvorfalls an die Strafverfolgungsbe hörden. Das Bundesamt wird als Orientierungshilfen für die Meldung des Sicherheitsvorfalls an die Strafverfolgungsbehörden auf seiner Internetseite bereitstellen und auf diese gege benenfalls verweisen.
Zu Absatz 2
Absatz 2 dient der Umsetzung von Artikel 23 Absatz 7 der NIS2-Richtlinie. Nur das Bun desamt verfügt als zentrale Stelle nach der NIS2-Richtlinie über die Informationen und das Lagebild, um entsprechende bundesweite Informationen auszugeben.
Zu § 37 (Ausnahmebescheid)
§ 37 dient der Umsetzung von Artikel 2 Absatz 8 der NIS2-Richtlinie. Damit wird von der Möglichkeit der Schaffung einer Ausnahme Gebrauch gemacht. Der Grund einer teilweisen oder vollständigen Ausnahme von den in Artikel 21, 23 und 27 der NIS2-Richtlinie – umgesetzt in den §§ 30 ff. – genannten Pflichten ist die Wahrung des nationalen Sicher heitsinteresses. So ist es in den Erwägungsgründen 9 und 10 der NIS2-Richtlinie angelegt, dass es zur Wahrung wesentlicher Interessen der nationalen Sicherheit, dem Schutz der öffentlichen Ordnung und der öffentlichen Sicherheit der Mitgliedsstaaten erforderlich sein muss, Einrichtungen von obigen Pflichten auszunehmen, wenn derartige Auskünfte bzw. eine Preisgabe dem nationalen Sicherheitsinteresse zuwiderliefe. Als relevante Bereiche führt Artikel 2 Absatz 8 der NIS2-Richtlinie die Bereiche der nationalen Sicherheit, öffentli chen Sicherheit, der Verteidigung oder Strafverfolgung, einschließlich der Verhütung, Er mittlung, Aufdeckung und Verfolgung von Straftaten an. Um dem Sinne einer Ausnahmere gelung, die nicht zu weit greift, gerecht zu werden, ist ein Ausgleich zwischen einem „hohen gemeinsamen Cybersicherheitsniveau“ (siehe Erwägungsgrund 138, 142 der NIS2-Richt linie; ausdrückliches Ziel der NIS2-Richtlinie) und dem Mitgliedsstaatsinteresse der Wah rung nationaler Sicherheitsinteressen zu erbringen.
Bei dem hiesigen Ausnahmebescheid ist von einem nichtbegünstigenden Verwaltungsakt auszugehen. Gemäß § 48 Absatz 1 Satz 2 VwVfG bestimmt die Legaldefinition die Begüns tigung wie folgt: Ein Verwaltungsakt ist begünstigend, wenn er ein Recht oder einen recht lich erheblichen Vorteil begründet oder bestätigt. Ein Recht könnte in der Art begründet sein, als dass die der Befreiung unterliegende Einrichtung entweder ganz oder teilweise den Pflichten der §§ 30 ff. nicht nachkommen muss. Andererseits entfallen diese Pflichten nicht einfach. Eine Begünstigung ist nach dem objektiven Regelungsgehalt des Verwal tungsakts unter Berücksichtigung des Zwecks der ihm zugrunde liegenden Norm zu beur teilen, nämlich derart, dass eine Befreiung von obigen Pflichten nicht der Einrichtung, die den Ausnahmebescheid erhält, sondern dem nationalen Sicherheitsinteresse zugutekom men. Der Ausnahmebescheid soll gerade kein Recht verleihen, sondern nur die Pflichten des Adressaten des Ausnahmebescheids anderweitig ausgestalten, zumal gleichwertige Maßnahmen, die denen der Befreiung gleichkommen, (siehe §§ 30 ff.) getroffen werden müssen.
Für Einrichtungen der Bundesverwaltung ist eine zusätzliche Möglichkeit zur Schaffung von Ausnahmen von den Regelungen nach Teil 3 ergänzend in § 46 Absatz 4 geregelt.
Zu Absatz 1
Zunächst wird obig genanntem Ziel durch ein begrenztes Vorschlagsrecht, durch Bundes kanzleramt, Bundesministerium für Verteidigung, Bundesministerium des Innern und für Heimat, Bundesministerium der Justiz und der Ministerien für Inneres und Justiz der Länder entsprochen. Dabei ist ein Antragsrecht der betreffenden Einrichtung bewusst nicht vorge sehen. Weiterhin einschränkend wirken die umfassten Bereiche der Einrichtungen. Hierbei wird insbesondere auf die auch in der NIS2-Richtlinie explizit genannten, rechtlich aner kannten Kategorien, der öffentlichen Sicherheit und Ordnung verwiesen. Als Begrenzung der Ausnahmeregelung einzubeziehender Erwägungsgrund sollte auf die Wesentlichkeit der Interessen der nationalen Sicherheit abzustellen sein.
Nicht zuletzt muss andererseits jedoch bei Ausnehmen von den genannten Pflichten das hohe gemeinsame Cybersicherheitsniveau durch Umsetzung gleichwertiger Maßnahmen (siehe Erwägungsgründe 13 und 137 der NIS2-Richtlinie) gewährleistet werden. Hierbei wird auf den Erwägungsgrund 137 der NIS2-Richtlinie verwiesen, die vorsieht, dass ein hohes Maß an Verantwortung für die Risikomanagementmaßnahmen und die Berichts
pflichten im Bereich der Cybersicherheit sicherzustellen ist. Dem soll dadurch Rechnung getragen werden, dass Absatz 1 bestimmt, dass bei einer Ausnahme die Einrichtung gleich wertige Vorgaben zu erfüllen hat. Die Kontrolle über die Einhaltung obläge dem vorschla genden RessortZu Absatz 2
Absatz 2 dient der Umsetzung von Artikel 2 Absatz 8 Satz 1 und 2 der NIS2-Richtlinie. Absatz 2 Satz 1 setzt die Möglichkeit der Schaffung einer Ausnahme, wie von der Richtlinie vorgesehen, um. Dabei bestimmt Absatz 2 einen einfachen Ausnahmebescheid, die Befrei ung von Risikomanagementmaßnahmen und Meldepflichten. Satz 2 verweist hierbei, wie obig bereits angemerkt, auf die Schaffung gleichwertiger Standards zur Wahrung der Infor mationssicherheit.
Zu Absatz 3
Absatz 3 dient der Umsetzung von Artikel 2 Absatz 8 Satz 3 der NIS2-Richtlinie.
Mit Absatz 3 wurde die Möglichkeit einer vollständigen Befreiung von sowohl Risikoma nagementmaßnahme und Meldepflichten als auch Registrierungspflichten im Rahmen ei nes sogenannten erweiterten Ausnahmebescheids geschaffen. Betroffene Einrichtungen müssen hierfür ausschließlich in den obig genannten Bereichen tätig sein oder Dienste er bringen. Satz 2 stellt die Wahrung von gleichwertigen Maßnahmen sicher.
Zu Absatz 4
Absatz 4 dient der Umsetzung von Artikel 2 Absatz 9 der NIS2-Richtlinie. Zu Absatz 5
Absatz 5 sieht eine Regelung des Widerrufs einer rechtmäßigen Befreiung vor. Für den Widerruf einer rechtmäßigen Befreiung sollte von § 49 VwVfG abgewichen werden, um der spezifischen Interessenlage der Vorschrift Genüge zu tun. Absatz 5 Satz 1 regelt den Fall des späteren Wegfalls der Voraussetzungen zur Erteilung eines Ausnahmebescheids. Satz 2 sieht hiervon eine Rückausnahme vor, wenn die Voraussetzungen nur vorüberge
hend entfallen.
Zu § 38 (Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen)
§ 38 dient der Umsetzung von Artikel 20 der NIS2-Richtlinie.
Zu Absatz 1
Absatz 1 dient der Umsetzung von Artikel 20 Absatz 1 der NIS2-Richtlinie und der dort vorgesehenen Pflichten der organschaftlichen Geschäftsleitungen. Auch bei Einschaltung von Hilfspersonen bleibt das Leitungsorgan letztverantwortlich. Für Einrichtungen der Bun desverwaltung ist die Verantwortlichkeit der Leitungen in § 43 Absatz 1 geregelt.
Zu Absatz 2
Absatz 2 dient der Umsetzung von Artikel 20 Absatz 1 am Ende der NIS2-Richtlinie. Die Vorsehung einer zwingenden Norm ist zwar nicht ausdrücklich in der umzusetzenden Richt linienbestimmung enthalten. Jedoch wird hiermit der bestehende Umsetzungsspielraum unionsrechtskonform ausgeübt. Denn soweit eine Richtlinie den Mitgliedsstaaten keine zwingenden Vorgaben macht, sondern Spielräume für die Umsetzung lässt, sind diese durch die Mitgliedsstaaten eigenständig so auszufüllen, dass die Ziele der Richtlinie voll ständig erreicht werden. Diesen Zielen würde es widersprechen, wenn es sich hier um eine disponible Haftung handeln würde. Ein Vergleich ist daher unzulässig, wenn das Entgegen kommen der Einrichtung gemessen an den jeweiligen prozessualen Risiken grob unver hältnismäßig ist. Bei gerichtlich vorgeschlagenen Vergleichen ist grundsätzlich von einem angemessenen Verhältnis auszugehen. Die Regelung soll nicht die Möglichkeit einschrän ken, das Haftungsrisiko durch Abschluss einer sog. D&O-Versicherung zu versichern.Die Binnenhaftung des Geschäftsleitungsorgans bei Verletzung von Pflichten nach dem BSIG ergibt sich aus den allgemeinen Grundsätzen (bspw. § 93 AktG). Bei Amtsträgern gehen beamtenrechtliche Vorschriften vor, eine Ausweitung der bestehenden Haftung von Amtsträgern erfolgt mithin vor dem Hintergrund von Artikel 20 Absatz 1 Unterabsatz 2 der NIS2-Richtlinie auch insoweit nicht. Für Einrichtungen der Bundesverwaltung ist die Ver
antwortlichkeit der Leitungen in § 43 Absatz 1 geregelt.
Zu Absatz 3
Absatz 3 dient der Umsetzung von Artikel 20 Absatz 2 der NIS2-Richtlinie im Hinblick auf Geschäftsleiter. Wichtige und besonders wichtige Einrichtungen werden aufgefordert, der artige Schulungen für alle Beschäftigten anzubieten. Als „regelmäßig“ im Sinne dieser Vor schrift gelten Schulungen, die mindestens alle 3 Jahre angeboten werden. Für Einrichtun gen der Bundesverwaltung gilt abweichend § 43 Absatz 2.
Zu § 39 (Nachweispflichten für Betreiber kritischer Anlagen)
§ 39 führt den bisherigen § 8a fort. Die Ergebnisse der Evaluierung dieser Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Sicherheit informati onstechnischer Systeme wurden berücksichtigt.
Bei der Bestimmung des Zeitpunkts für die erstmalige Nachweiserbringung nach diesem Gesetz berücksichtigt das Bundesamt eine letztmalige Nachweiserbringung nach der alten Rechtslage insoweit, dass die Nachweiserbringung kontinuierlich etwa alle drei Jahre er folgt.
Zu Absatz 1
Absatz 1 führt den bisherigen § 8a Absatz 3 fort.
Für Betreiber im Luftverkehrssektor bestehen mit der Verordnung (EG) 300/2008 in Verbin dung mit dem Anhang der DVO (EU) 2015/1998 umfangreiche Sicherheitsvorgaben. Ent sprechende Nachweise nach den vorgenannten Verordnungen können durch das Bundes amt für die Erfüllung von Nachweispflichten nach dieser Vorschrift berücksichtigt werden.
Zu Absatz 2
Absatz 2 führt den bisherigen § 8a Absatz 5 fort.
Zu Absatz 3
Um die Prüfung der durch die Betreiber kritischer Anlagen vorgelegten Nachweise durch das Bundesamt zeitlich zu entzerren, wird hier festgelegt, dass nicht sämtliche Nachweise am selben Datum beim Bundesamt vorgelegt werden müssen, sondern dass das Bundes amt jedem Betreiber einen eigenen Nachweistermin nennt. Hierbei ist durch das Bundes amt sicherzustellen, dass alle Betreiber mindestens drei Jahre zur Erbringung eines jeden Nachweises Zeit haben. Für Betreiber kritischer Anlagen, die vor Inkrafttreten dieses Ge setzes als Betreiber Kritischer Infrastrukturen nach § 8a BSIG in den Fassungen des ersten IT-Sicherheitsgesetzes und des IT-Sicherheitsgesetzes 2.0 zum Nachweis verpflichtet wa ren, ist hierbei der Zeitpunkt des letzten Nachweises nach der ehemaligen Rechtslage als Ausgangspunkt zu wählen.
Zu § 40 (Nationale Verbindungsstelle sowie zentrale Melde- und Anlaufstelle für besonders wichtige und wichtige Einrichtungen)
§ 40 führt den bisherigen § 8b fort. Die Ergebnisse der Evaluierung dieser Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Sicherheit informati onstechnischer Systeme wurden berücksichtigt.Die geänderte Vorschrift dient der Umsetzung des Artikel 8 Absatz 3 bis 5 der NIS2-Richt linie. Um die Resilienz der Wirtschaft europaweit zu steigern, sieht die NIS2-Richtlinie u.a. einen koordinierten Austausch von Informationen zwischen den Mitgliedstaaten untereinan der und mit Stellen der Union vor. Dieser erfolgt für Deutschland zentral über das Bundes amt in seiner Eigenschaft als zentrale Stelle nach der NIS2-Richtlinie.
Zu Absatz 1
Absatz 1 führt den bisherigen § 8b Absatz 1 fort. Die geänderte Vorschrift dient der Umset zung des Artikel 8 Absatz 3 bis 5 der NIS2-Richtlinie.
Zu Absatz 2
Absatz 2 dient der Umsetzung des Artikel 8 Absatz 4 und 5 der NIS2-Richtlinie. Zu Absatz 3
Absatz 3 führt den bisherigen § 8b Absatz 2 fort.
Zu Nummer 1
Nummer 1 führt den bisherigen § 8b Absatz 2 Nummer 1 fort.
Zu Nummer 2
Nummer 2 führt den bisherigen § 8b Absatz 2 Nummer 2 fort.
Zu Nummer 3
Nummer 3 führt den bisherigen § 8b Absatz 2 Nummer 3 fort.
Zu Nummer 4
Zu Buchstabe a
Buchstabe a führt den bisherigen § 8b Absatz 2 Nummer 4 Buchstabe a fort. Die Vorschrift wird an die neuen Kategorien angepasst.
Zu Buchstabe b
Buchstabe b führt den bisherigen § 8b Absatz 2 Nummer 4 Buchstabe d fort. Zu Buchstabe c
Für die Erfüllung seiner Aufgaben ist das Auswärtige Amt auf Informationen zu Sicherheits vorfällen, die von wichtigen und besonders wichtigen Einrichtungen sowie Einrichtungen der Bundesverwaltung gemeldet wurden, und die von außenpolitischer Bedeutung sind, angewiesen. Das Bundesamt ist verpflichtet, das Auswärtige Amt über Sicherheitsvorfälle mit internationalem Bezug unverzüglich zu unterrichten.
Zu Nummer 5
Nummer 5 enthält eine Neuregelung. Aufgrund der hohen Sicherheitsrelevanz der Angaben von Betreibern kritischer Anlagen, ist eine restriktivere Behandlung angezeigt. Die bisheri gen § 8b Absatz 2 Nummer 1 Buchstaben b und c entfallen.Zu Absatz 4
Zu Nummer 1
Nummer 1 dient der Umsetzung von Artikel 8 Absatz 3-5 der NIS2-Richtlinie. Zu Nummer 2
Nummer 2 dient der Umsetzung von Artikel 23 Absatz 8 der NIS2-Richtlinie. Zu Nummer 3
Nummer 3 dient der Umsetzung von Artikel 23 Absatz 6 der NIS2-Richtlinie. Zu Absatz 5
Absatz 5 führt den bisherigen § 8b Absatz 4a fort.
Zu Absatz 6
Absatz 6 führt den bisherigen § 8b Absatz 7 fort.
Zu § 41 (Untersagung des Einsatzes kritischer Komponenten)
Zu Absatz 1
Absatz 1 führt den bisherigen § 9b Absatz 1 fort.
Zu Absatz 2
Absatz 2 führt den bisherigen § 9b Absatz 2 fort.
Zu Absatz 3
Absatz 3 führt den bisherigen § 9b Absatz 3 fort.
Zu Absatz 4
Absatz 4 führt den bisherigen § 9b Absatz 4 fort.
Zu Absatz 5
Absatz 5 führt den bisherigen § 9b Absatz 5 fort.
Zu Absatz 6
Absatz 6 führt den bisherigen § 9b Absatz 6 fort.
Zu Absatz 7
Absatz 7 führt den bisherigen § 9b Absatz 7 fort.
Zu § 42 (Auskunftsverlangen)
§ 42 ersetzt den bisherigen § 8e. Die Ergebnisse der Evaluierung dieser Norm gemäß Ar tikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Sicherheit informati onstechnischer Systeme wurden berücksichtigt.Aufgrund der Tätigkeiten als zuständige Behörde, CSIRT und zentrale Anlaufstelle erhält das Bundesamt nach der NIS2-Richtlinie eine Vielzahl neuer Informationen über Wesent liche und Wichtige Einrichtungen und deren IT-Sicherheitsgefährdungen. Diese können so wohl einzeln als auch in Summe sensibel sein. Das Informationsfreiheitsgesetz sieht eine Versagung nur dann vor, wenn die herausgegebene Information für sich genommen sensi bel ist und lässt daher eine Ausforschung durch Informationszugangsanträge zu, die für sich genommen auf unsensible Informationen gerichtet sind, aber in Summe die Zusam menfügung zu einem sensiblen Bild der Informationssicherheit besonders wichtiger und wichtiger Einrichtungen ermöglichen. Im Hinblick auf die geopolitische Lage und die zuneh mende Gefahr von Cyberangriffen auch durch feindlich gesonnene Staaten, müssen diese Informationen daher besonders geschützt werden. Auch Artikel 11 Absatz 1 Buchstabe d NIS2-Richtlinie schreibt daher die Sicherstellung der Vertraulichkeit für die Cybersicher heitseinrichtungen vor. Die Aktenzugangsrechte von Verfahrensbeteiligten im Rahmen von Widerspruchs- und Gerichtsverfahren gegen Anordnungen o.ä. des Bundesamtes bleiben von dieser Regelung unberührt.
Zu Kapitel 3 (Informationssicherheit der Einrichtungen der Bundesverwaltung) Zu § 43 (Informationssicherheitsmanagement)
§ 43 schafft eine neue zentrale Vorschrift zur gesetzlichen Verankerung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung.
Zu Absatz 1
Absatz 1 dient der grundsätzlichen Verantwortungszuweisung für die Informationssicher heit und macht Vorgaben zu den Pflichten, die damit verbunden sind und die in diesem Kapitel weiter konkretisiert werden. Die Verantwortung für die Gewährleistung der Informa tionssicherheit trägt die Leitung einer Einrichtung als Teil der allgemeinen Leitungsverant wortung. Sie verantwortet die Einhaltung von gesetzlichen und sonstigen Anforderungen. Dazu zählen gemäß § 44 Absatz 1 der vom Bundesamt vorgegebene IT-Grundschutz, der inhaltlich kompatibel ist mit ISO/IEC 27001, der zur von Erwägungsgrund 79 der NIS2- Richtlinie referenzierten Reihe ISO/IEC 27000 gehört, sowie die BSI-Mindeststandards. Zu dem verantwortet die Einrichtungsleitung interne Regelungen, die Übernahme von Restri siken [und das Bereitstellen von Ressourcen für die Informationssicherheit]. Die Einrich tungsleitung ist zuständig für übergreifende Entscheidungen hinsichtlich der Informations sicherheitsziele und der Informationssicherheitsstrategie. [Die Vorgabe, bedarfsgerechte fi nanzielle und personelle Mittel zur Verfügung zu stellen, erlaubt abstrakt-generell auch im Einzelfall ein ausgewogenes Verhältnis zwischen IT-Betrieb und Informationssicherheit her zustellen und zu diesem Zweck die Zusammenarbeit zwischen Verantwortlichen für den IT Betrieb und Informationssicherheitsbeauftragten aktiv zu fördern.]
Zu Absatz 2
Absatz 2 dient der Umsetzung Artikel 20 Absatz 2 der NIS2-Richtlinie. Ein weiterer Be standteil dieses Absatzes der NIS2-Richtlinie sieht die stetige Sensibilisierung aller Be schäftigten einer Einrichtung vor. Diese Anforderung, insbesondere bezogen auf Phishing und Social Engineering gemäß Erwägungsgrund 89 der NIS2-Richtlinie, wird bereits durch § 44 Absatz 1 mit Bezug zum IT-Grundschutz berücksichtigt. Angebote des zentralen Fort bildungsdienstleisters der Bundesverwaltung, der Bundesakademie für öffentliche Verwal tung im Bundesministerium des Innern und für Heimat, werden durch das Bundesamt für alle Einrichtungen der Bundesverwaltung qualitätsgesichert. Damit werden Teile der Anfor derungen des Umsetzungsplans Bund 2017 verpflichtend umgesetzt.
Zu Absatz 3
Absatz 3 ist eine Generalklausel zum Zweck der Verantwortungszuweisung an Einrich tungsleitungen im Falle der Beauftragung privater Dienstleister, wie sie bisher bereits nach Kapitel 7 des Umsetzungsplans Bund gilt. Er regelt die Notwendigkeit, dass privatrechtlich organisierte Stellen, die mit Leistungen (z.B. Dienst- oder Betriebsleistung) für die Informa tionstechnik des Bundes beauftragt werden, auf die Einhaltung der Voraussetzungen zur Gewährleistung der Informationssicherheit verpflichtet werden müssen. Verantwortlich ist die Leitung der beauftragenden Einrichtung der Bundesverwaltung (Auftraggeber). Die Ver pflichtung hat im notwendigen und angemessenen Umfang abhängig vom konkreten Auf tragsgegenstand bzw. der beauftragten Leistung zu erfolgen. Die Verpflichtung umfasst in der Regel die Umsetzung des IT-Grundschutzes und relevanter Mindeststandards. Es sind außerdem notwendige Einsichts-/Kontrollrechte und die Zusammenarbeit mit dem Auftrag geber oder dem Bundesamt zur Meldung und Behebung von Störungen oder Sicherheits vorfällen (z.B. Informations- und Mitwirkungspflichten) zu regeln (bei Bedarf verknüpft mit angemessenen Vertragsstrafen). Bei der Beauftragung sind auch die Prüf- und Anord nungsbefugnisse des Bundesamts, die die beauftragende Einrichtung treffen, vertraglich entsprechend auf die Dienstleister zu erstrecken.
Zu Absatz 4
Satz 1 stellt klar, dass die Registrierungspflicht aus § 33 gemäß § 29 auch Einrichtungen der Bundesverwaltung trifft. Die nach Satz 2 zu erbringenden Nachweise dienen u.a. der Herstellung von Transparenz über die Informationssicherheitslage in der Bundesverwal tung. So wird sichergestellt, dass vier Jahre nach Inkrafttreten des Gesetzes und danach regelmäßig ein Überblick über den Umsetzungsstand in der Bundesverwaltung geschaffen werden kann. Der Nachweis über die Erfüllung der Anforderungen kann schrittweise gemäß einer durch das Bundesamt vorgegebenen Priorisierung nach Dringlichkeit erfolgen. Die Regelung dient der Umsetzung des Artikels 32 Absatz 2 Buchstabe g der NIS2-Richtlinie und sieht vor, dass Nachweise nicht nur „auf geeignete Weise“ zu erbringen sind, sondern Einrichtungen der Bundesverwaltung hierzu „nach Vorgaben des Bundesamts“ handeln müssen. Zunächst ist dafür die Form einer standardisierten Selbsterklärung vorgesehen, in der die Einrichtungen die Umsetzung des IT-Grundschutzes und der Mindeststandards nachweisen, soweit dem Bundesamt nicht bereits hinreichend aktuelle Ergebnisse eigener Prüfungen nach § 7 für die jeweilige Einrichtung vorliegen. Damit kann innerhalb der Ein
richtungen der Bundesverwaltung die erforderliche Nachweisdichte risikobasiert weiter dif ferenziert und der Prüfaufwand im Rahmen von § 7 für überprüfte Einrichtungen und Bun desamt gleichermaßen reduziert werden, wo die Gefährdungslage dies erlaubt.
Zu Absatz 5
Satz 1 führt den bisherigen § 4 Absatz 3 fort. Satz 2 führt den bisherigen § 4 Absatz 4 fort. Satz 3 wird neu eingefügt, um mit den betreffenden Informationen („Nullmeldungen“) eine erheblich bessere Gesamtbewertung der Gefährdungslage zu ermöglichen. Die Begrifflich keiten der Regelungen werden von Bundesbehörden zu Einrichtungen der Bundesverwal tung konsolidiert und von „IT anderer Behörden“ zu „Kommunikationstechnik des Bundes“, womit das Schutzgut in den Vordergrund der Regelung gerückt wird. Mit Blick auf das Schutzgut und vor dem Hintergrund der sich entwickelnden Bedrohungslage ist die Erwei terung des Anwendungsbereichs durch die Erweiterung auf Einrichtungen der Bundesver waltung sachgerecht.
Zu Absatz 6
Absatz 6 führt den bisherigen § 4 Absatz 6 fort. Der bisherige Verweis auf den Rat der IT Beauftragten der Bundesregierung wird durch „die Ressorts“ abgelöst, um die Durchfüh rung des Gesetzes unabhängig von über die Legislaturperioden hinweg unterschiedlichen politischen Entwicklungen bei der Ausgestaltung der Gremienlandschaft der IT-Steuerung zu halten. Die Zustimmung der Ressorts kann durch Mehrheitsentscheidung in einem ge eigneten Gremium erfolgen. Wie im Umsetzungsplan Bund wird der Begriff „Ressort“ im Zusammenhang mit Regelungen verwendet, die das Bundeskanzleramt oder ein Bundes ministerium jeweils einschließlich des Geschäftsbereichs betreffen. Zu § 44 (Vorgaben des Bundesamtes)
Zu Absatz 1
Absatz 1 knüpft an den bisherigen § 8 Absatz 1 an und verankert neben den dort bereits geregelten Mindeststandards gleichrangig für die in § 29 etablierte Kategorie der Einrich tungen der Bundesverwaltung auch den IT-Grundschutz, der bereits bisher durch Kabi nettsbeschluss zum Umsetzungsplan Bund verpflichtend umzusetzen ist. Der IT-Grund schutz erhält hiermit – neben den Mindeststandards – für die gesamte Bundesverwaltung mittelbar Gesetzesrang. Um die Nachweisfrist von vier Jahren ab Inkrafttreten (§ 43 Ab satz 4 Satz 2) bei weiterhin knappen finanziellen und personellen Ressourcen umsetzen zu können, muss sichergestellt werden, dass der IT-Grundschutz so effizient und unbürokra tisch wie möglich ausgestaltet ist. Das Bundesamt wird den IT-Grundschutz daher moder nisieren, mit der Maßgabe, den Umfang und die bei der Umsetzung entstehenden Doku mentationspflichten auf das notwendige Mindestmaß zu reduzieren, eine Priorisierung der Anforderungen vorzunehmen und die Anwendung von Automatisierungstools weitestge hend zu ermöglichen. Die Begrifflichkeit der „Mindestanforderungen“ an die Einrichtungen der Bundesverwaltung wurde entsprechend aus dem Umsetzungsplan Bund übernommen. Unter Berücksichtigung der Erwägungsgründe der NIS2-Richtlinie zu den Anforderungen an ein Risikomanagement, insbesondere Erwägungsgründe 78 bis 82, sowie der Tatsache, dass eine Institution mit einem ISO 27001-Zertifikat auf der Basis des IT-Grundschutzes belegen kann, dass die umgesetzten Maßnahmen zur Informationssicherheit anerkannten internationalen Standards entsprechen, wird festgestellt, dass der IT-Grundschutz in Kom bination mit den vom Bundesamt bereitgestellten Mindeststandards die Anforderungen an das Risikomanagement nach § 30 erfüllt und folglich auch bei Vorliegen voneinander ab weichender technischer Termini materiell das dort vorgegebene Schutzniveau erreicht wird. Soweit die Europäische Kommission Durchführungsrechtsakte hierzu erlässt, genießen diese bis zu deren Integration in den IT-Grundschutz oder die Mindeststandards Vorrang. Die bestehenden Vorgaben des Bundesamtes entfalten dann nur noch konkretisierende Wirkung, soweit die Durchführungsrechtsakte Auslegungsspielräume lassen. Die im bishe rigen § 8 Absatz 1 Satz 3 vorgesehene Möglichkeit zur Abweichung wird abgelöst durch die Kompetenz der Ressort-ISBs, Ausnahmebescheide gemäß § 46 Absatz 4 zu erlassen. Die vom bisherigen § 8 Absatz 1 Satz 5 vorgesehene Sonderregelung für die Streitkräfte und den Militärischen Abschirmdienst ist nunmehr in § 29 Absatz 3 enthalten. Die Beratung des Bundesamtes wird ergänzt um die Erstellung von Hilfsmitteln gemäß § 3 Absatz 1 Nummer 17 und die Unterstützung der Bereitstellung entsprechender Lösun gen durch die IT-Dienstleister des Bundes. Bei Ergänzungen der genannten Vorgaben nimmt das Bundesamt im Rahmen des Konsultationsverfahrens eine grobe Aufwands schätzung vor.
Zu Absatz 2
Absatz 2 führt den bisherigen § 8 Absatz 2 fort, ergänzt um die Bereitstellung von Refe renzarchitekturen.
Zu Absatz 3
Absatz 3 führt Teile des bisherigen § 8 Absatz 3 fort. Hier enthalten ist die Befugnis, Nut zungsvorgaben für die Einrichtungen der Bundesverwaltung zu machen. Die allgemeine Befugnis des Bundesamts zur Bereitstellung von IT-Sicherheitsprodukten verbleibt mit § 19 in Teil 2. Die Zuständigkeit für die Nutzungsvorgaben wird aus sachlichen Gründen auf CISO Bund im Einvernehmen mit den Ressorts (z.B. durch Mehrheitsbeschluss in einem geeigneten Gremium) verlagert und die Begrifflichkeiten werden vereinheitlichend erweitert zu „Einrichtungen der Bundesverwaltung“. Die Erweiterung erfolgt vor dem Hintergrund, dass eine Abrufverpflichtung über das Bundesamt nur dann erfolgen kann, wenn sachliche Gründe es erfordern, sodass im Ergebnis das Schutzgut der Sicherheit in der Informations technik des Bundes schwerer wiegt als Autonomie der Einrichtungen der Bundesverwaltung. Vergaberechtliche Aspekte bleiben unberührt und sind in die Entschei dungsfindung einzubeziehen. Auf Grundlage des Kabinettbeschlusses zur IT-Konsolidie rung können IT-Sicherheitsprodukte auch durch andere Einrichtungen der Bundesverwal tung bereitgestellt werden.
Zu § 45 (Informationssicherheitsbeauftragte der Einrichtungen der Bundesverwaltung)
Die neue Vorschrift führt auf gesetzlicher Ebene Informationssicherheitsbeauftragte (ISBs) in Einrichtungen der Bundesverwaltung als notwendige Funktion ein, wie sie bisher bereits im Umsetzungsplan Bund vorgesehen sind. Damit wird die herausgehobene Bedeutung der Informationssicherheit in allen Bereichen moderner Verwaltungstätigkeit unterstrichen. Eine klare gesetzliche Definition ihrer Aufgaben und Befugnisse erleichtert auch eine verbes
serte Zusammenarbeit mit der jeweiligen Leitung sowie mit anderen Verantwortungsberei chen und deren Beauftragten, etwa Datenschutz und Geheimschutz. Im Umsetzungsplan Bund wurde bisher die inzwischen überholte Bezeichnung IT-Sicherheitsbeauftragter (IT SiBe) verwendet, diese wird hiermit zugunsten des ISB überwunden.
Zu Absatz 1
Absatz 1 verankert die Bedeutung der Funktion der Informationssicherheitsbeauftragten in den Einrichtungen der Bundesverwaltung und stellt sicher, dass die Funktion auch im Fall der Verhinderung der primär damit betrauten Person wahrgenommen werden kann, damit etwa bei Digitalisierungsvorhaben abwesenheitsbedingte Verzögerungen vermieden wer
den können.
Zu Absatz 2
Absatz 2 regelt die Voraussetzungen, unter denen Einrichtungs-ISBs ihre Funktion ausü ben. [Die finanziellen, personellen und Sachmittel richten sich nach dem Gesamterfüllungs aufwand in der jeweiligen Einrichtung sowie nach dem Schadenspotenzial von Sicherheits vorfällen oder Störungen. Die eigenständige Verwaltung der Sachmittel muss nicht in Form
der Bewirtschaftung eines eigenen Haushalts-Titels erfolgen; es genügt, dass der Informa tionssicherheitsbeauftragte effektiv über die Ausstattung disponieren kann.] Fachkunde ist nicht Voraussetzung für die Übertragung der Tätigkeit, muss jedoch wenigstens tätigkeits begleitend erworben werden. Dadurch wird einerseits die Besetzung entsprechender Funk tionen erleichtert. Andererseits müssen auch etablierte Funktionsträger ihre Fachkunde so kontinuierlich an die sich wandelnden Erfordernisse anpassen. Zum Nachweis der Fach kunde innerhalb der Bundesverwaltung kann eine Zertifizierung bei der Bundesakademie für öffentliche Verwaltung (BAköV) zur bzw. zum Informationssicherheitsbeauftragten die nen. Die Fachaufsicht wird zum Zwecke der notwendigen operativen Unabhängigkeit für die effektive Vertretung von Sicherheitsbelangen durch die fachkundigen Ressort-ISBs aus geübt. In obersten Bundesbehörden ohne Geschäftsbereich bzw. nachgeordnete Behörden werden die Rollen des Einrichtungs-ISB und des Ressort-ISB in Personalunion wahrge nommen.
Zu Absatz 3
Absatz 3 regelt die Aufgaben der Einrichtungs-ISBs, die im Auftrag ihrer Einrichtungsleitung für die operative Umsetzung und Kontrolle von Maßnahmen im Rahmen des Informations sicherheitsmanagements zuständig sind. Indem sie die Anforderungen des Bundesamtes nach § 44 Absatz 1 erfüllen, also die Vorgaben des IT-Grundschutzes und der Mindeststan dards, erfüllen sie die Pflicht zur Erstellung und Umsetzung des Informationssicherheits konzepts vollumfänglich. Darüberhinausgehende Sicherheitsmaßnahmen, die ISBs im Ein zelfall für erforderlich halten, können sie ergänzend im Informationssicherheitskonzept auf nehmen, ohne dass ein Weglassen solcher Maßnahmen eine Pflichtverletzung im Rahmen ihrer individuellen Verantwortung darstellen würde. Die Verantwortung der Einrichtungslei tung wird hierdurch nicht berührt. Es handelt sich bei der Konzepterstellung nicht um eine höchstpersönliche Aufgabe. Insbesondere kann das Gesamt-Informationssicherheitskon zept für die Einrichtung auch eine Auslagerung bzw. eine Beauftragung Dritter mit der Er stellung von Informationssicherheitskonzepten vorsehen. Die Berichtspflicht soll Compli ance erwirken, für deren kontinuierliche Aufrechterhaltung eine mindestens quartalsweise
Berichterstattung förderlich ist. Welche Häufigkeit für Regelmäßigkeit konkret angemessen ist, hängt darüber hinaus von den Umständen des jeweiligen Einzelfalls unter Abwägung des Schadenspotenzials ab. Aus den Aufgaben ergeben sich zugleich einrichtungsintern entsprechende Befugnisse, wie beispielsweise die Befugnis zur Überprüfung des Umset
zungsstands von Maßnahmen aus dem Sicherheitskonzept durch andere Organisations einheiten der Einrichtung sowie die Befugnis, deren Umsetzung einzufordern.
Zu Absatz 4
Absatz 4 räumt den Einrichtungs-ISBs Beteiligungs- und Vortragsrechte ein. Zur Vermei dung von Parallel-/Doppelzuständigkeiten gilt die Beteiligungspflicht nicht für Maßnahmen, die primär verwandten Bereichen der Informationssicherheit zuzuordnen sind, für die ge sonderte Regelungs-Regimes und Zuständigkeiten bestehen (z.B. Datenschutz, Geheim schutz, Notfall-/Krisenmanagement, Arbeitsschutz, Brandschutz). Die Vortragsrechte ge genüber der Einrichtungsleitung und dem jeweiligen Ressort-ISB dienen dazu, die Position der ISBs fachlich so unabhängig von der Organisation der Einrichtung zu gestalten, wie es für die Aufgabe zur Vermeidung von Interessenskonflikten erforderlich ist.
Zu § 46 (Informationssicherheitsbeauftragte der Ressorts)
Die neue Vorschrift gibt ISBs auf Ressortebene (Ressort-ISBs, informell auch „Ressort CISOs“ genannt), wie sie schon bisher im Rahmen des Umsetzungsplans Bund angelegt sind, eine gesetzliche Grundlage. Zur Umsetzung von Artikel 31 Absatz 4 der NIS2-Richt linie ist operative Unabhängigkeit für die Aufsicht über Einrichtungen öffentlicher Verwal tung sicherzustellen. Diese operative Unabhängigkeit wird hier dadurch erreicht, dass Res sort-ISBs (a) Fachkunde besitzen müssen, es sich also nicht um politische Funktionen han delt, sondern der Fokus bei der Aufgabenausübung auf der fachlichen Expertise liegt und (b) ein eigenes Budgetrecht besitzen, um handlungsfähig zu sein, und (c) wird die Unab hängigkeit im Hinblick auf Fragen der Informationssicherheit dadurch sichergestellt, dass
Ressort-ISBs unmittelbar vor dem CISO Bund vortragen dürfen, der seinerseits Vortrags rechte unmittelbar gegenüber Organen der Legislative besitzt. Da es auch oberste Bundes behörden gibt, die keinem Ressort angehören, und die einen Geschäftsbereich mit nach geordneten Behörden haben, ist auch für „ressort-unabhängige“ oberste Bundesbehörden
mit Geschäftsbereich die Rolle eines Ressort-ISB einzurichten. Weitere Regelungen in die sem Paragraphen, die für das jeweilige Ressort des oder der Informationssicherheitsbeauf tragten getroffen werden, sind entsprechend auf die „ressort-unabhängige“ oberste Bun desbehörde und ihren Geschäftsbereich anzuwenden.
Zu Absatz 1
Absatz 1 regelt Bestellung und Zuständigkeit von Ressort-ISBs. Sie sind zuständig für ein funktionierendes und effektives Informationssicherheitsmanagement in ihrem Ressort, das die jeweilige oberste Bundesbehörde mitsamt ihrem jeweiligen Geschäftsbereich umfasst. Im Fall oberster Bundesbehörden sind die Funktionen von Ressort-ISB und Einrichtungs
ISB zu unterscheiden, können jedoch derselben Person übertragen werden. Die Angemes senheit der Informationssicherheit ist in Bezug auf Wechselwirkungen mit den Belangen des IT-Betriebs zu bewerten.
Zu Absatz 2
Absatz 2 regelt die Voraussetzungen, unter denen Ressort-ISBs ihre Funktion ausüben. [Damit Ressort-ISBs die für die Erfüllung ihrer Aufgaben notwendige organisatorische Un abhängigkeit besitzen, benötigen sie bedarfsgerechte Mittel, die nicht auf organisatorischer Ebene anderen Zwecken zufließen können dürfen. Die eigenständige Verwaltung der Sachmittel muss nicht in Form der Bewirtschaftung eines eigenen Haushalts-Titels erfolgen; es genügt, dass der Informationssicherheitsbeauftragte effektiv über die Ausstattung dispo nieren kann.] Fachkunde ist erforderlich, da die Ressort-ISBs die Fachaufsicht über die ISBs der Einrichtungen in ihrem Zuständigkeitsbereich führen können müssen.
Zu Absatz 3
Absatz 3 normiert die Aufgaben der Ressort-ISBs, aus denen sich zugleich ressortintern die Befugnis zu Kontrolle und Umsetzungsmaßnahmen ergibt. Da die Einrichtungs-ISBs der fachlichen Aufsicht der Ressort-ISBs unterstehen, sind die Ressort-ISBs insoweit ge genüber dem Geschäftsbereich weisungsbefugt. Die Berichtspflicht dient als Mittel der Compliance-Förderung. Das Veto-Recht zum Einsatz bestimmter IT-Produkte dient dem Zweck, bei Bedarf Informationssicherheitsbelange durchsetzen zu können. Mit der Begrün dungspflicht wird vermieden, dass mit dieser Möglichkeit andere Vorgaben etwa im Rah men der IT-Konsolidierung umgangen werden. Die Möglichkeit, eine Nutzung nur teilweise zu untersagen, gestattet zwischen unterschiedlichen Anwendungszwecken zu unterschei den, soweit etwa Produkte zum Zweck der Überprüfung verwendet werden müssen oder ein Einsatz in bestimmten IT-Umgebungen möglich ist, aus Sicherheitsgründen jedoch keine Nutzung im allgemeinen Geschäftsbetrieb erfolgen soll.
Zu Absatz 4
Absatz 4 regelt die Möglichkeit für Ressort-ISBs, Ausnahmebescheide für Einrichtungen innerhalb ihres Zuständigkeitsbereichs zu erlassen. Einrichtungen, die die Voraussetzun gen des § 28 Absatz 1 Satz 1 oder § 28 Absatz 2 Satz 1 erfüllen können hiervon nicht um fasst werden, für diese wären Ausnahmebescheide nach § 37 zu erlassen. Dadurch wird sichergestellt, dass Einrichtungen der Bundesverwaltung, die vom Anwendungsbereich der Umsetzung der NIS2-Richtlinie zu erfassen sind, nicht von den Verpflichtungen der NIS2- Richtlinie ausgenommen werden können. Mit einem Ausnahmebescheid kann ein Ressort ISB beispielsweise wie bisher nach dem Umsetzungsplan Bund für sehr kleine Einrichtun gen zulassen, dass dort kein eigener ISB bestellt werden muss, wenn ein anderer ISB des Geschäftsbereichs die Rolle für diese Einrichtung wahrnimmt. Sachliche Gründe zur Ertei lung eines Ausnahmebescheids können sich insbesondere auch aus Geheimschutzinteres sen ergeben.
Zu Absatz 5
Absatz 5 räumt den Ressort-ISBs Beteiligungs- und Vortragsrechte ein. Zur Vermeidung von Parallel-/Doppelzuständigkeiten gilt die Beteiligungspflicht nicht für Vorhaben, die pri mär verwandten Bereichen der Informationssicherheit zuzuordnen sind, für die gesonderte Regelungs-Regimes und Zuständigkeiten bestehen (z.B. Datenschutz, Geheimschutz, Not fall-/Krisenmanagement, Arbeitsschutz, Brandschutz).
Zu § 47 (Wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes)
Zu Absatz 1
Absatz 1 sieht die Bestellung eigener ISBs für wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes vor. Wegen der zunehmenden Bedeutung, Größe und Komplexität solcher Vorhaben und Strukturen ist fachlich erforderlich, dass In formationssicherheit dort durch eigene ISBs umgesetzt wird. Bei ressortübergreifenden Di gitalisierungsvorhaben ist grundsätzlich von einer wesentlichen Bedeutung für allgemeine Sicherheitsbelange auszugehen, und die ressortübergreifenden Kommunikationsinfrastruk turen haben für die Regierungskommunikation insgesamt eine herausgehobene Bedeu tung. In der Regel sollte diejenige Einrichtung den ISB bestellen, die für die Steuerung des Digitalisierungsvorhabens verantwortlich ist. Die Entscheidungskompetenz des CISO Bund in Zweifelsfällen, wenn eine Einigung etwa nicht in einem geeigneten Gremium herbeigeführt werden kann, dient der Auflösung möglicher Konflikte und der Sicherstellung, dass die Wahrnehmung der Funktion nicht von Zuständigkeitsfragen verzögert oder behin dert wird.
Zu Absatz 2
Absatz 2 führt den bisherigen § 8 Absatz 4 fort. [Die Ergänzung erfolgt, um auch hier be darfsgerechte Mittel sicherzustellen.] Der Koordinator oder die Koordinatorin für Informati onssicherheit ist gemäß § 50 Absatz 1 zuständigkeitshalber ebenfalls zu beteiligen.
Zu § 48 (Amt des Koordinators für Informationssicherheit)
Die neue Vorschrift regelt die Bestellung eines Koordinators oder einer Koordinatorin der Bundesregierung für Informationssicherheit (CISO Bund). Die konkrete organisatorische Anbindung sowie die Einbindung in relevante Gremien bleiben dem umsetzenden Kabinett beschlusses vorbehalten. Um Interessenskonflikte zu vermeiden, sollte die Funktion mög lichst unabhängig organisiert werden.
Die zugehörigen Aufgaben und Befugnisse werden in den folgenden Paragraphen geregelt. Zu § 49 (Aufgaben des Koordinators)
§ 49 regelt die allgemeinen Aufgaben des CISO Bund. Die Unterstützung der Ressorts bei der Umsetzung der Vorgaben besteht aus der Bereitstellung von Hilfsmitteln, bewährten Methoden und Vorgehensweisen („Best Practice“) sowie Erfahrungsaustausch und -doku mentation zur Nachnutzung. Zudem ist die Einrichtung eines „Kompetenzzentrums opera tive Sicherheitsberatung des Bundes“ (KoSi Bund) geplant.
Zu § 50 (Befugnisse des Koordinators)
Zu Absatz 1
Absatz 1 sieht Beteiligungsrechte für den CISO Bund zur effektiven Wahrnehmung der Auf gaben vor.
Zu Absatz 2
Absatz 2 räumt dem CISO Bund Vortragsrechte zur effektiven Wahrnehmung der Aufgaben ein.
Zu Absatz 3
Absatz 3 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe d der NIS2-Richtlinie im Hinblick auf Einrichtungen der Zentralregierung sowie im Sinne eines kohärenten Rege lungsregimes zu einer entsprechenden Anwendung auf Einrichtungen der Bundesverwal tung insgesamt im Einklang mit § 29. Aus Rücksicht auf das Ressortprinzip bedarf es des Benehmens mit dem oder der jeweiligen Ressort-ISB. Die Möglichkeit, die Vorlage von So fortprogrammen anzuweisen, bildet ein wirksames Element für effektive Nachsteuerung, wenn Anlass dafür gegeben ist. Anlässe können etwa sein, wenn im Rahmen einer Über prüfung nach § 7 z. B. eine erhebliche Unterschreitung der Anforderungen an das Informa tionssicherheitsmanagement deutlich wird.
Zu Teil 4 (Datenbanken der Domain-Name-Registrierungsdaten)
Teil 4 dient der Umsetzung von Artikel 28 der NIS2-Richtlinie.Zu § 51 (Pflicht zum Führen einer Datenbank)
Zu Absatz 1
Absatz 1 dient der Umsetzung von Artikel 28 Absatz 1 der NIS2-Richtlinie. Zu Absatz 2
Zu Nummer 1
Nummer 1 dient der Umsetzung von Artikel 28 Absatz 2 Buchstabe a der NIS2-Richtlinie. Zu Nummer 2
Nummer 2 dient der Umsetzung von Artikel 28 Absatz 2 Buchstabe b der NIS2-Richtlinie. Zu Nummer 3
Nummer 3 dient der Umsetzung von Artikel 28 Absatz 2 Buchstabe c der NIS2-Richtlinie. Zu Nummer 4
Nummer 4 dient der Umsetzung von Artikel 28 Absatz 2 Buchstabe d der NIS2-Richtlinie. Zu Absatz 3
Absatz 3 dient der Umsetzung von Artikel 28 Absatz 3 der NIS2-Richtlinie. Zu Absatz 4
Absatz 4 dient der Umsetzung von Artikel 28 Absatz 4 der NIS2-Richtlinie. Zu § 52 (Verpflichtung zur Zugangsgewährung)
§ 52 dient der Umsetzung von Artikel 28 Absatz 5 der NIS2-Richtlinie. Zu § 53 (Kooperationspflicht)
§ 53 dient der Umsetzung von Artikel 28 Absatz 6 der NIS2-Richtlinie. Zu Teil 5 (Zertifizierung und Kennzeichen)
Zu § 54 (Zertifizierung)
Zu Absatz 1
Absatz 1 führt den bisherigen § 9 Absatz 1 fort.
Zu Absatz 2
Absatz 2 führt den bisherigen § 9 Absatz 2 fort.
Zu Absatz 3
Absatz 3 führt den bisherigen § 9 Absatz 3 fort. Die Angebote der Bundesakademie für öf fentliche Verwaltung zur Fortbildung und Zertifizierung der Informationssicherheitsbeauf tragten der Bundesverwaltung werden wie im Umsetzungsplan 2017 Bund dargestellt fort geführt.Zu Absatz 4
Zu Nummer 1
Nummer 1 führt den bisherigen § 9 Absatz 4 Nummer 1 fort.
Zu Nummer 2
Nummer 2 führt den bisherigen § 9 Absatz 4 Nummer 2 fort.
Zu Absatz 5
Absatz 5 führt den bisherigen § 9 Absatz 4a fort.
Zu Absatz 6
Absatz 6 führt den bisherigen § 9 Absatz 5 fort.
Zu Absatz 7
Zu Nummer 1
Nummer 1 führt den bisherigen § 9 Absatz 6 Nummer 1 fort.
Zu Nummer 2
Nummer 2 führt den bisherigen § 9 Absatz 6 Nummer 2 fort.
Zu Absatz 8
Absatz 8 führt den bisherigen § 9 Absatz 7 fort.
Zu § 55 (Konformitätsbewertung und Konformitätserklärung)
Die Vorschrift dient der Angleichung der Konformitätsbewertungsverfahren im Bereich IT Sicherheit an internationale Vorgaben und insbesondere die Verordnung (EU) 2019/881 (sog. Cybersecurity Act – CSA), die auch in der NIS2-Richtlinie zur Anwendung kommt. Im CSA ist im Rahmen eines Zertifizierungsschemas auch eine Selbstbewertung der Konfor mität als Alternative zu einer klassischen Zertifizierung durch einen Dritten vorgesehen, in der ein Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen selbst alle Überprüfungen vornimmt, um sicherzustellen, dass die IKT-Produkte, -Dienste oder -Pro zesse mit dem europäischen Schema für die Cybersicherheitszertifizierung konform sind. Mit der Selbstbewertung verbunden ist die Unterzeichnung einer Erklärung durch den Her steller, Anbieter oder IT-Sicherheitsdienstleister, worin dieser bestätigt, dass die Anforde rungen der Technischen Richtlinie eingehalten werden (Konformitätserklärung). Hierdurch übernimmt der Unterzeichner (Aussteller) die Verantwortung für die Einhaltung der Anfor derungen. Vorteile der Selbstbewertung sind die niedrigeren Kosten und der geringere Auf wand für den Hersteller, Anbieter oder IT-Sicherheitsdienstleister. Darüber hinaus wird dem Bundesamt hierdurch ermöglicht, Vorgaben an die IT-Sicherheit niedrigschwellig auf dem Markt zu etablieren und zugleich die Kontrolle der Anforderungen auf einem dem Schutzni veau entsprechenden Niveau sicherzustellen, ohne den Markt mit den strengeren Vorga ben einer Zertifizierung zu belasten. Bei der Konformitätserklärung handelt es sich um eine rein nationale Regelung. Im Einklang mit der Verordnung (EU) 2019/881 wird das Bundes amt kein Schema betreiben, welches im Widerspruch zu einem europäisch harmonisierten Zertifizierungsschema steht. Zugleich kann das Bundesamt jedoch das Ziel verfolgen, ein bewährtes nationales Schema einer europäischen Harmonisierung im Wege der Verord nung (EU) 2019/881 zuzuführen.Zu Absatz 1 und 2
Absatz 1 legt den Rahmen für eine Konformitätserklärung fest. In Abgrenzung zum IT-Si cherheitskennzeichen werden keine Verbraucherprodukte von der Konformitätserklärung nach dieser Regelung erfasst. Ein möglicher Anwendungsbereich ist insbesondere der be reits im Bundesamt etablierte IT-Grundschutz und entsprechende Selbstbewertungen von Personen (z.B. IT-Grundschutz-Praktiker) oder Institutionen.
Die Absätze 1 und 2 stellen zudem klar, dass die entsprechenden Technischen Richtlinien vom Bundesamt erstellt werden und festlegen, welche konkreten Vorgaben (insbesondere bezüglich der Durchführung und dem Nachweis der Konformitätsbewertung) mit der Selbst bewertung verbunden sind. Sowohl die Anforderungen, als auch die Vorgaben für Durch führung der Konformitätsbewertung können somit von Technischer Richtlinie zu Techni scher Richtlinie variieren. Bei den Vorgaben an die Konformitätsbewertung kann dabei auf etablierte Akteure (Beispielsweise im Bereich Grundschutz) zurückgegriffen werden, die bereits heute eine Konformitätsbewertung anbieten. Wie Absatz 3 klarstellt, kann dabei auch auf akkreditierte Konformitätsbewertungsstellen zurückgegriffen werden.
Dieses Vorgehen entspricht in weiten Teilen dem Regelungsgehalt von Schemata im An wendungsbereich der Verordnung (EU) 2019/881. Durch die so gewonnene Flexibilität kann das Bundesamt in der Technischen Richtlinie auf die jeweiligen Ziele und den konkreten Gegenstand der Selbstbewertung reagieren. Aufgrund der guten Erfahrungen mit dem IT Sicherheitskennzeichen, soll es dem Bundesamt darüber hinaus ermöglicht werden, in der Technischen Richtlinie die Bereitstellung von aktuellen Informationen auf der Internetseite des Bundesamtes vorzusehen und dies gegebenenfalls durch einen dynamischen Bestand teil mit dem Kennzeichen des Schemas zu verknüpfen.
Zu Absatz 3
Um zusätzlich ein einheitliches Niveau in der Konformitätsbewertung sicherzustellen, kann das Bundesamt in seiner Technischen Richtlinie auf das System der Akkreditierung ent sprechend dem Gesetz über die Akkreditierungsstelle (Akkreditierungsstellengesetz – Ak kStelleG) zurückgreifen. Aussteller einer Konformitätserklärung müssen sich dann einer Konformitätsbewertung durch eine von der Deutschen Akkreditierungsstelle (DAkkS) ak kreditierten Konformitätsbewertungsstelle unterziehen, der das Bundesamt die Befugnis er teilt hat, als solche im Anwendungsbereich des § 55 tätig zu werden. Die Erteilung der Be fugnis liegt im Ermessen des Bundesamtes und kann an Anforderungen geknüpft werden, die über diejenigen der Akkreditierung hinausgehen. Die Entscheidung kann mit Nebenbe stimmungen verbunden werden. Mit der Stellung als die für die Erteilung der Befugnis zu ständigen Behörde gehen die Rechte des Bundesamtes entsprechend dem AkkStelleG ein her.
Zu Absatz 4
Absatz 3 Satz 1 stellt sicher, dass dem Bundesamt bei Bedarf die für die Aufsicht notwen digen Informationen und Dokumente vorliegen. Die nach Satz 2 vorzulegende Konformi tätserklärung kann vom Bundesamt, soweit es das Schema vorsieht, gemeinsam mit wei teren Informationen und Dokumenten auf der Internetseite des Bundesamtes nach Absatz
2 Nummer 6 veröffentlicht werden.
Zu Absatz 5 und 6
Der Konformitätserklärung liegt –anders als es bei der Zertifizierung der Fall ist- keine Ent scheidung des Bundesamtes in Gestalt eines Verwaltungsaktes zugrunde. Daher bedarf es zur Durchsetzung von Maßnahmen der Aufsicht einer eigenständigen Ermächtigungs grundlage. Kontrolliert wird die Einhaltung der Vorgaben ex-post durch die bereits etablierte Marktaufsicht des Bundesamtes. Diese kann anlasslos oder anlassbezogen erfolgen. Wer den Maßnahmen aufgrund eines begründeten Verdachts getroffen, so kann das Bundesamt gegenüber dem Adressaten der Maßnahme Gebühren erheben. Ein begründeter Verdacht kann sowohl auf eigenen Erkenntnissen des Bundesamtes, als auch durch vertrauenswür dige öffentliche Quellen oder Hinweisgeber beruhen. Flankiert wird die Aufsicht durch die Sanktionsvorschriften in § 61. Danach ist es strafbewehrt, wenn eine vom Bundesamt für ungültig erklärte Konformitätserklärung verwendet oder nur wahrheitswidrig behauptet wird, dass eine solche abgegeben wurde.
Zu § 56 (Nationale Behörde für die Cybersicherheitszertifizierung) Zu Absatz 1
Absatz 1 führt den bisherigen § 9a Absatz 1 fort.
Zu Absatz 2
Absatz 2 führt den bisherigen § 9a Absatz 2 fort.
Zu Absatz 3
Absatz 3 führt den bisherigen § 9a Absatz 3 fort.
Zu Absatz 4
Absatz 4 führt den bisherigen § 9a Absatz 4 fort.
Zu Absatz 5
Absatz 5 führt den bisherigen § 9a Absatz 5 fort.
Zu Absatz 6
Zu Nummer 1
Nummer 1 führt den bisherigen § 9a Absatz 6 Nummer 1 fort.
Zu Nummer 2
Nummer 2 führt den bisherigen § 9a Absatz 6 Nummer 2 fort.
Zu Absatz 7
Zu Nummer 1
Nummer 1 führt den bisherigen § 9a Absatz 7 Nummer 1 fort.
Zu Nummer 2
Nummer 2 führt den bisherigen § 9a Absatz 7 Nummer 2 fort.
Zu § 57 (Freiwilliges IT-Sicherheitskennzeichen)
Zu Absatz 1
Absatz 1 führt den bisherigen § 9c Absatz 1 fort.Zu Absatz 2
Zu Nummer 1
Nummer 1 führt den bisherigen § 9c Absatz 2 Nummer 1 fort.
Zu Nummer 2
Nummer 2 führt den bisherigen § 9c Absatz 2 Nummer 2 fort.
Zu Absatz 3
Absatz 3 führt den bisherigen § 9c Absatz 3 fort.
Zu Absatz 4
Absatz 4 führt den bisherigen § 9c Absatz 4 fort.
Zu Absatz 5
Zu Nummer 1
Nummer 1 führt den bisherigen § 9c Absatz 5 Nummer 1 fort.
Zu Nummer 2
Nummer 2 führt den bisherigen § 9c Absatz 5 Nummer 2 fort.
Zu Nummer 3
Nummer 3 führt den bisherigen § 9c Absatz 5 Nummer 3 fort.
Zu Absatz 6
Absatz 6 führt den bisherigen § 9c Absatz 6 fort.
Zu Absatz 7
Absatz 7 führt den bisherigen § 9c Absatz 7 fort. Der bisherige Verweis auf Absatz 3 war irreführend bzw. falsch. Daher wurde die Regelung für die Dauer hier explizit ausgegeben. Die Dauer, für die der Hersteller oder Diensteanbieter die Erfüllung der IT-Sicherheitsanfor derungen zusichert, wird wie bisher durch Verordnung nach § 58 Absatz 2 und die hierin aufgeführten Verfahren bestimmt.
Zu Absatz 8
Zu Nummer 1
Nummer 1 führt den bisherigen § 9c Absatz 8 Nummer 1 fort.
Zu Nummer 2
Nummer 2 führt den bisherigen § 9c Absatz 8 Nummer 2 fort.
Zu Absatz 9
Absatz 9 führt den bisherigen § 9c Absatz 9 fort.Zu Teil 6 (Verordnungsermächtigungen, Grundrechtseinschränkungen und Berichtspflichten)
Zu § 58 (Ermächtigung zum Erlass von Rechtsverordnungen)
Zu Absatz 1
Absatz 1 führt den bisherigen § 10 Absatz 2 fort. In der auf Basis dieses Absatzes erlasse nen Rechtsverordnung können insbesondere jeweils für die Zertifizierung von Produkten oder Komponenten, informationstechnischen Systemen, Schutzprofilen sowie Personen und Anerkennung von sachverständigen Stellen die Modalitäten des Zertifizierungsverfah rens, wie etwa Antragsstellung und eventuelle Mitwirkungspflichten, sowie mögliche Ne benbestimmungen (wie zum Beispiel Befristungen) von Zertifikaten und Anerkennungen geregelt werden.
Zu Absatz 2
Absatz 2 führt den bisherigen § 10 Absatz 3 fort. Gemäß der Begründung zum IT-Sicher heitsgesetz 2.0 können in der Verordnung etwa die Details der Ausgestaltung (grafische Darstellung usw.) festgelegt werden. Auch die Verfahren zu Feststellung der Eignung bran chenabgestimmter IT-Sicherheitsvorgaben sowie zu Antragsstellung auf Freigabe durch ei nen Hersteller können darin näher geregelt werden. Insbesondere ist dort das genaue Ver fahren und die Gestaltung des Verweises auf Sicherheitsinformationen (zum Beispiel zu verfügbaren Sicherheitsupdates oder bekanntgewordenen Schwachstellen), der Teil des Etiketts des IT-Sicherheitskennzeichens sein soll, zu regeln.
Zu Absatz 3
Absatz 3 dient der Umsetzung von Artikel 24 der NIS2-Richtlinie. Wenn informationstech nische Produkte, Dienste oder Prozesse für die Erbringung von Diensten der Einrichtung maßgeblich sind, können verpflichtende Zertifizierungen von diesen Produkten, Diensten oder Prozessen dazu beitragen, das Risiko für Sicherheitsvorfälle in diesen Bereichen zu verringern. Sofern Art und Ausmaß der Risikoexposition der Einrichtung diesen Eingriff rechtfertigen, ist daher vorgesehen, dass das BMI in Umsetzung des Artikel 24 Absatz 4 der NIS2-Richtlinie eine Zertifizierung in diesen Bereichen verpflichtend vorschreiben kann. Diese Vorschrift greift nur, insoweit auch entsprechende Zertifizierungsschemata vor
handen sind. Vor Erlass der Rechtsverordnung ist durch das BMI und unter Beteiligung der potenziell betroffenen Einrichtungen zu prüfen, dass für die einzubeziehenden Produkte, Dienste oder Prozesse eine ausreichende Verfügbarkeit am Markt sichergestellt ist.
Zu Absatz 4
Absatz 4 führt den bisherigen § 10 Absatz 1 fort. Die Ergebnisse der Evaluierung dieser Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Sicher heit informationstechnischer Systeme wurden berücksichtigt. Die bisherige Praxis wird bei behalten, eine Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und Wirtschaftsverbände durchzuführen (vgl. § 62 Absatz 2 i.V.m. § 47 Absatz 3 GGO).
Der vorliegende Gesetzentwurf sieht vor, dass zusätzlich zu den gemäß der Vorgaben der NIS2-Richtlinie verbindlichen Einrichtungskategorien innerhalb der Kategorie der beson ders wichtigen Einrichtungen weiterhin KRITIS-Betreiber anhand von Schwellenwerten mit einem Bezug zur Versorgungsrelevanz definiert werden. Dies ist zum einen erforderlich, um einen Gleichklang mit dem KRITIS-Dachgesetz und dem dort in Umsetzung der CER Richtlinie vorgesehenen Verfahren zur KRITIS Bestimmung zu erreichen. Gleichzeitig hat die Evaluierung der KRITIS bezogenen Bestandteile des IT-Sicherheitsgesetzes 2.0 erge ben, dass aufgrund der starken Ausweitung des Anwendungsbereichs des BSI-Gesetzes im Zuge der NIS2-Umsetzung auch weiterhin eine Bestimmung von kritischen Infrastruk turen mit einem Fokus auf die Versorgungsrelevanz erfolgen sollte. Gemäß dieser Verordnung als KRITIS-Betreiber bestimmte Unternehmen gelten gleichzeitig als beson ders wichtige Einrichtungen.
KRITIS-Betreiber werden in Zukunft weiterhin mit Schwellenwerten anhand ihrer Versor gungsrelevanz bestimmt.
Für den in der Rechtsverordnung festzusetzenden als bedeutend anzusehenden Versor gungsgrad anhand von branchenspezifischen Schwellenwerten soll das bereits in mehrjäh riger Verwaltungspraxis etablierte Verfahren der Verordnung zu Bestimmung Kritischer Inf rastrukturen (BSI-KritisV) weiter fortgeführt werden. Hierbei werden durch BMI gemeinsam
mit den jeweils zuständigen Ressorts sowie unter Beteiligung der KRITIS-Betreiber und ihrer Branchenverbände geeignete Bemessungsgrößen für kritische Anlagen bestimmt, an hand derer der Versorgungsgrad im Sinne der durch die Anlage versorgten Personen nä herungsweise bestimmt werden kann. Diese Bemessungsgrößen stellen typischerweise quantitative oder qualitative anlagenspezifische Eigenschaften wie Kapazitäten, Größen, Typ oder Art der Anlage dar, die entweder den Betreibern bereits bekannt sind oder zumin dest mit möglichst geringem Aufwand für die jeweiligen Anlagen ermittelt werden können. Anschließend werden für die so gefundenen Bemessungsgrößen Schwellenwerte be stimmt, bei deren Überschreitung der Versorgungsgrad der betreffenden Anlage als bedeu tend im Sinne dieses Gesetzes gilt und damit die Anlage eine kritische Anlage darstellt.
Zu § 59 (Einschränkung von Grundrechten)
§ 58 führt den bisherigen § 11 fort.
Zu § 60 (Berichtspflichten des Bundesamtes)
In der Überschrift von § 59 erfolgt eine klarstellende Ergänzung, dass Berichtspflichten sich stets auf das Bundesamt beziehen. Im Gegensatz dazu beziehen sich Meldepflichten stets auf Einrichtungen.
Zu Absatz 1
Absatz 1 führt den bisherigen § 13 Absatz 1 fort.
Zu Absatz 2
Absatz 2 führt den bisherigen § 13 Absatz 2 fort.
Zu Absatz 3
Absatz 3 führt den bisherigen § 13 Absatz 3 fort.
Zu Absatz 4
Zu Nummer 1
Nummer 1 führt den bisherigen § 13 Absatz 4 Nummer 1 fort.
Zu Nummer 2
Nummer 2 führt den bisherigen § 13 Absatz 4 Nummer 2 fort.
Zu Nummer 3
Nummer 3 führt den bisherigen § 13 Absatz 4 Nummer 3 fort.Zu Absatz 5
Absatz 5 führt den bisherigen § 13 Absatz 5 fort.
Zu Absatz 6
Absatz 6 führt den bisherigen § 13 Absatz 6 fort. Gemäß Artikel 44 der NIS2-Richtlinie tritt die Richtlinie (EU) 2016/1148 am 18. Oktober 2024 außer Kraft, damit entfällt die Übermitt lungspflicht nach deren Artikel 11 wodurch die Daten für das Kalenderjahr 2023 nach dieser Vorschrift die letztmalige Übermittlung darstellen.
Zu Absatz 7
Absatz 7 dient der Umsetzung von Artikel 23 Absatz 9 der NIS2-Richtlinie. Für die zu über mittelnden Informationen gelten die Ausnahmen des Artikel 2 Absatz 11 (nationale, öffent liche Sicherheit oder Verteidigung) und Absatz 13 (Vertraulichkeit von Geschäftsgeheim nissen) der NIS2-Richtlinie. Der Begriff der Anonymisierung ist im Sinne der Pseudonymi sierung gemäß Artikel 4 Nummer 5 der Verordnung (EU) 2016/679 auszulegen. Als Über gangsregelung sind Daten für das gesamte Kalenderjahr 2024 Teil der erstmaligen Über mittlung im von der NIS2-Richtlinie vorgegebenen Dreimonatszeitraum.
Zu Absatz 8
Zu Nummer 1
Nummer 1 dient der Umsetzung von Artikel 3 Absatz 5 Buchstabe a NIS2-Richtlinie. Zu Nummer 2
Nummer 2 dient der Umsetzung von Artikel 3 Absatz 5 Buchstabe b NIS2-Richtlinie. Zu Teil 7 (Sanktionsvorschriften und Aufsicht)
Zu § 61 (Bußgeldvorschriften)
§ 61 führt den bisherigen § 14 fort. Die Bußgeldtatbestände wurden insbesondere entspre chend den Vorgaben der NIS2-Richtlinie ergänzt sowie der Bußgeldrahmen angepasst.
Zu Absatz 1
Absatz 1 führt den bisherigen § 14 Absatz 1 fort. Absatz 1 sanktioniert, wie bisher, Fälle, in denen die von den Betreibern Kritischer Anlagen zu erbringenden Nachweisen, Nachforde rungen, Auskünfte und Kennzahlen vorsätzlich nicht richtig oder nicht vollständig erbracht werden.
Zu Absatz 2
Mit Absatz 2 Nummer 1 Buchstaben a, b, c, d, e und f werden Fälle von Zuwiderhandlungen gegen vollziehbare Anordnungen erfasst. Eine separate Aufzählung soll, aufgrund unter schiedlicher Schwere der Zuwiderhandlungen, eine entsprechende Bebußung in unter schiedlicher Höhe ermöglichen.Zu Nummer 1
Zu Buchstabe a
Der genannte § 11 Absatz 6 führt den bisherigen § 5b Absatz 6, § 16 Absatz 1 Satz 1 den bisherigen § 7c Absatz 1 Satz 1, § 17 den bisherigen § 7d und § 39 Absatz 1 Satz 6 den bisherigen § 8a Absatz 3 Satz 5 fort.
Zu Buchstabe b
§ 14 Absatz 2 Satz 1 führt den bisherigen § 7a Absatz 2 Satz 1 fort. Außerdem wurde eine Variante ergänzt:
§ 65 Absatz 8 oder auch in Verbindung mit § 66 sehen respektive für besonders wichtige und wichtige Einrichtungen vor, dass das Bundesamt sie anweisen kann, die natürlichen oder juristischen Personen, für die sie Dienste erbringen oder Tätigkeiten ausüben und die potenziell von einer erheblichen Cyberbedrohung betroffen sind, über die Art der Bedro
hung und mögliche Abwehr- oder Abhilfemaßnahmen zu unterrichten, die von diesen na türlichen oder juristischen Personen als Reaktion auf diese Bedrohung ergriffen werden können. Zudem kann es wichtige und besonders wichtige Einrichtungen anweisen, Infor mationen zu Verstößen gegen diese Richtlinie nach bestimmten Vorgaben öffentlich be kannt zu machen. Mit der Schaffung dieses Bußgeldtatbestandes wird den Anforderungen aus Artikel 32 Absatz 4 Buchstabe i in Verbindung mit Buchstabe g der NIS2-Richtlinie nachgekommen.
Artikel 34 Absatz 4 der NIS2 Richtlinie sieht vor, dass Geldbußen zusätzlich zu jeglichen der Maßnahmen nach Artikel 32 Absatz 2 Buchstaben a bis h, Artikel 32 Absatz 5 und Artikel 33 Absatz 4 Buchstaben a bis g verhängt werden. Artikel 32 Absatz 4 Buchstabe h sieht eine Bebußung bei Zuwiderhandlung gegen Anweisungen, Aspekte der Verstöße ge
gen diese Richtlinie entsprechend bestimmten Vorgaben öffentlich bekannt zu machen, vor. Zu Buchstabe c
§ 18 führt den bisherigen § 8b Absatz 6 Satz 1 fort. Satz 2 entfällt aufgrund obiger Anpas sungen. § 8c Absatz 4 Satz 1 entfällt, da die Kategorie „Anbieter digitaler Dienste“ in den neuen Einrichtungskategorien aufgeht.
Ferner wurde eine neue Variante ergänzt: § 65 Absatz 6 Satz 1 und 3 in Verbindung mit § 66 sieht eine Bebußung bei Verstößen besonders wichtiger und wichtiger Einrichtungen gegen Anordnungen nach § 65 Absatz 6 vor. Dieser bestimmt, dass das Bundesamt ge genüber besonders wichtigen und wichtigen Einrichtungen Anweisungen in Bezug auf Maß nahmen anordnen kann, die zur Verhütung oder Behebung eines Sicherheitsvorfalls oder eines Mangels erforderlich sind. Ferner kann das Bundesamt die Berichterstattung den nach Satz 1 angeordneten Maßnahmen verlangen. Es werden hiermit Vorgaben aus Artikel 32 Absatz 4 Buchstabe h umgesetzt. Demnach ist eine Bebußung bei Zuwiderhandlung nach Artikel 32 Absatz 4 Buchstabe b vorzunehmen.
Zu Buchstabe d
Es wird mit Buchstabe d ein neuer Bußgeldtatbestand geschaffen, der die Weigerung der Herausgabe notwendiger Informationen zur Bewältigung einer Störung bei Betreibern kriti scher Anlagen ahnden soll (siehe § 40 Absatz 4 Satz 1).
Zu Buchstabe e
Es wurde entsprechend den Vorgaben der NIS2-Richtlinie nach Artikel 32 Absatz 4 Buch stabe d für besonders wichtige sowie nach Artikel 33 Absatz 4 Buchstabe d für wichtige Einrichtungen eine Bebußung aufgenommen: Dies gilt für Zuwiderhandlungen gegen Anweisungen innerhalb einer bestimmten Frist sicherzustellen, dass Risikomanagement maßnahmen im Bereich der Cybersicherheit mit Artikel 21 im Einklang stehen, bzw. die in Artikel 23 festgelegten Berichtspflichten erfüllt werden.
Zu Buchstabe f
Es wurde ein neuer Bußgeldtatbestand geschaffen, der ein Zuwiderhandeln gegen eine verbindliche Anweisung nach § 65 Absatz 7 Satz 2 oder § 66 ahnden sollen. § 65 Absatz 7 und § 66 bestimmen, dass das Bundesamt gegenüber besonders wichtigen, respektive wichtigen Einrichtungen verbindliche Anweisungen zur Umsetzung der Verpflichtungen nach diesem Gesetz erlassen kann. Mit der Schaffung dieses Bußgeldtatbestandes werden Artikel 32, 33 Absatz 4 Buchstaben f, i der NIS2-Richtlinie umgesetzt, die eine respektive Bebußung von wichtigen und besonders wichtigen Einrichtungen vorsehen, wenn diese sie sich einer verbindlichen Anweisung die im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen innerhalb einer angemessenen Frist umzusetzen, widersetzen.
Zu Nummer 2
In Nummer 2 wurden die Verweise angepasst. Der bisherige Bußgeldtatbestand schuf eine Sanktionsmöglichkeit dafür, dass entgegen § 8a Absatz 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 eine dort genannte Vorkehrung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen wird. Dieser sah vor, dass angemes
sene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu getroffen werden, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Der Verweis wurde angepasst und bezieht sich nunmehr auf den neugeschaffenen § 30 (Risikomanagement
maßnahmen), der § 8a Absatz 1 Satz 1 entspricht. Zudem wird hiermit den Anforderungen der NIS2-Richtlinie (Artikel 21 NIS2-Richtlinie) nach einer Bebußung bei Verstößen gegen Risikomanagementmaßnahmen nachgekommen.
Zu Nummer 3
§ 32 Absatz 1 definiert die Meldepflichten für besonders wichtige und wichtige Einrichtun gen (Umsetzung des Artikels 23 der NIS2-Richtlinie).
§ 8c und 8f entfallen, da die Regelungsadressaten in den neuen Einrichtungskategorien aufgehen.
Zu Nummer 4
Nach Nummer 4 handelt ordnungswidrig, wer eine Angabe oder eine Änderung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. § 8b Absatz 3 Satz 1 wird durch § 33 Absatz 1 und 2 ersetzt und auf die neugeschaffenen Einrichtungskategorien ange passt: Absatz 1 definiert die Registrierungspflichten für wichtige und besonders wichtige Einrichtungen, Absatz 2 die Anforderungen für Betreiber kritischer Anlagen.
§ 8f Absatz 5 Satz 1 entfällt, da dieser in den neuen Einrichtungskategorien aufgeht. Ein Ersatz erfolgt jedoch durch § 34 Absatz 1 und 2, der Registrierungspflichten für andere Ein richtungsarten vorsieht.
Zu Nummer 5
Nummer 5 sieht eine Bebußung für Betreiber kritischer Anlagen vor. Diese haben nach § 33 Absatz 2 Satz 2 sicherzustellen, dass sie über ihre in Absatz 1 genannten Kontaktda ten jederzeit erreichbar sind.Zu Nummer 6
In Nummer 6 wurde ein neuer Bußgeldtatbestand geschaffen. § 34 Absatz 2 sieht vor, dass Änderungen der nach § 34 Absatz 1 zu übermittelnden Angaben unverzüglich, spätestens jedoch zwei Wochen ab dem Zeitpunkt der Änderung dem Bundesamt zu übermitteln sind.
Eine Sanktionierung ist erforderlich, um eine bessere Durchsetzbarkeit der Registrierungs pflichten zu ermöglichen. Zweck dieser ist es, die unverzügliche Weiterleitung wichtiger Si cherheitsinformationen an betroffene Betreiber sicherzustellen. So kann bei Störungen und sonstigen IT-Sicherheitsinformationen, die für die Verfügbarkeit und Funktionsfähigkeit der Betreiber maßgeblich sind, ein verlässlicher, beständiger und schneller Informationsfluss gewährleistet werden. Nur durch eine Erweiterung der Pflicht zur zeitnahen Mitteilung von Änderungen kann diese effektiv gewährleistet werden.
Zu Nummer 7
Hier wurde der Verweis zur Aktualisierung der Nachweispflichten (siehe bereits unter Ab satz 1) angepasst und eine Aktualisierung der Nachweispflichten entsprechend der neuen Einrichtungskategorien vorgenommen: Hier bestimmt § 39 Absatz 1 Satz 1die für kritische Einrichtungen.
Ebenfalls wurde entsprechend den Vorgaben der NIS2-Richtlinie nach Artikel 32 Absatz 4 Buchstabe d für besonders wichtige sowie Artikel 33 Absatz 4 Buchstabe d für wichtige Einrichtungen eine Bebußung aufgenommen. Dies gilt für Zuwiderhandlungen gegen An weisungen innerhalb einer bestimmten Frist sicherzustellen, dass Risikomanagementmaß nahmen im Bereich der Cybersicherheit mit Artikel 21 im Einklang stehen, bzw. die in Artikel 23 festgelegten Berichtspflichten erfüllt werden.
Zu Nummer 8
Mit der Nummer 8 wird die in Artikel 36 der NIS2-Richtline vorgesehene Möglichkeit, die Nichtbefolgung der Vorgaben für Maßnahmen auch für Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister zu sanktionieren, umgesetzt. Das schafft eine Durchsetzbarkeit der gesetzlich festgelegten Verpflichtung, eine Datenbank über die Do
mains und ihre Domain-Namen-Registrierungsdaten vorzuhalten und auf berechtigten An trag diese Daten für Anfragende zugänglich machen zu können. Ebenso erfasst wird das vorgeschriebene Vorhalten eines öffentlichen Zugangs zu den nicht personenbezogenen Domain-Namen-Registrierungsdaten sowie zu den Vorgaben und Verfahren für die Auf rechterhaltung der vollständigen Datenbank oder der Offenlegung bestimmter weiterer Re gistrierungsdaten.
Zu Nummer 9
Mit Nummer 9 wurde ein neuer Bußgeldtatbestand geschaffen: § 54 Absatz 2 bestimmt, dass für bestimmte Produkte oder Leistungen beim Bundesamt eine Sicherheits- oder Per sonenzertifizierung beantragt werden kann. Eine Ahndung im Rahmen eines Bußgeldes bei Vorgabe über die Inhabereigenschaft einer solchen Zertifizierung ist aufgrund des Miss brauchspotentials sowie damit einhergehender unbefugter Nutzung erforderlich; auch da hier keine effektive Verwaltungszwangsmöglichkeit besteht.
Zu Nummer 10
Mit § 55 wurde die Möglichkeit geschaffen, selbst eine Konformitätserklärung nach den Vor gaben des Bundesamtes und unter deren Aufsicht abzugeben. Obwohl der Aussteller dabei selbst die Verantwortung für seine Konformitätserklärung trägt, besteht ein Vertrauen des Marktes in die Möglichkeiten des Bundesamtes nach § 55, gegen erkannte Abweichungen von den zugrundeliegenden Anforderungen vorzugehen. Dieses Vertrauen setzt aber vo raus, dass das Bundesamt auch gegen solche Akteure vorgehen kann, die über keine gültige Konformitätserklärung im Sinne des § 55 verfügen und nur bewusst oder fahrlässig (beispielsweise durch das Verwenden eines entsprechenden Kennzeichens) vorgeben, sich den Anforderungen des § 55 unterworfen zu haben.
Zu Nummer 11
Nach § 55 Absatz 3 Satz 2 bedarf es zur Konformitätsbewertung, soweit eine Akkreditie rung der in der Technischen Richtlinie durch das Bundesamt vorgesehen wurde, einer Be fugniserteilung. Führt eine Stelle Konformitätsbewertungstätigkeiten durch, ohne eine sol che Befugnis zu haben, gefährdet dies die Vergleichbarkeit der Konformitätsbewertungs verfahren und in der Folge das besondere Vertrauen in die Konformitätserklärung, das
durch die Vorgabe erzeugt werden sollte.
Zu Nummer 12
§ 56 Absatz 2 Satz 2 führt den bisherigen § 9a Absatz 2 Satz 2 fort.
Zu Nummer 13
§ 57 Absatz 4 Satz 1 führt den bisherigen § 9c Absatz 4 Satz 1 fort.
Zu Nummer 14
Der bisherige § 14 Absatz 2 Nummer 8 mit einer Bußgeldahndung für Verstöße gegen § 8c Absatz 1 Satz 1 wurde gestrichen, da dieser in den neuen Einrichtungskategorien aufgeht. Die Vorschrift sieht eine Bebußung bei besonders wichtigen Einrichtungen vor. Sofern das Betreten eines dort genannten Raums nicht gestattet, eine dort genannte Unterlage nicht oder nicht rechtzeitig vorlegt, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung nicht oder nicht rechtzeitig gewährt.
Zu Absatz 3
Absatz 3 führt den bisherigen § 14 Absatz 3 fort.
Zu Absatz 4
Zu Nummer 1
Nummer 1 führt den bisherigen § 14 Absatz 4 Nummer 1 fort.
Zu Nummer 2
Nummer 2 führt den bisherigen § 14 Absatz 4 Nummer 2 fort. Redaktionelle Änderung von „Sicherheitslücke“ auf „Schwachstelle“.
Zu Nummer 3
Bei Nummer 3 handelt es sich um einen neuen Bußgeldtatbestand, der das Vorgeben der Inhaberschaft eines europäischen Cybersicherheitszertifikats oder Aussteller einer EU Konformitätserklärung zu sein, obgleich diese nicht besteht, widerrufen oder für ungültig erklärt wurde, ahndet. Eine Notwendigkeit für die Ahndung ergibt sich anlehnend an Ab satz 2 Nummer 9 aus vergleichbarem Missbrauchspotential, Folgen einer unbefugten Nut zung und der fehlenden effektiven Verwaltungszwangsmöglichkeit.
Zu Absatz 5
Absatz 5 regelt die Höhe der jeweiligen Bußgelder. Das bisherige Stufensystem wurde bei behalten, wobei die Stufen angepasst wurden. Die Stufen sind auf den Werten 10 bzw. 7 Millionen, (höchste Stufe), 2 Millionen Euro, (zweite Stufe) 500.000 Euro (dritte Stufe) und 100.000 Euro (vierte Stufe) angesetzt. Vorgaben aus Artikel 34 NIS2-Richtlinie bedingen Modifizierungen im Rahmen von Umsatzregelungen.
Zu Nummer 1
Bei einem Verstoß gegen Absatz 1 tritt keine Veränderung der Bußgeldhöhe ein, da der frühere Verweis auf § 30 Absatz 2 Satz 3 OWiG zu einer Verzehnfachung führte, die hier ebenfalls erreicht wird.
Ein Verstoß gegen Absatz 2 Nummer 7 Variante 1 (Nachweispflichten) ist auf der höchsten Stufe bei Betreibern kritischer Anlagen angesiedelt. Die Bußgeldhöhe wurde entsprechend Absatz 1 angepasst (vormals ebenso hoch durch den Verweis des § 30 Absatz 2 Satz 3 OWiG).
Zu Nummer 2
In Nummer 2 werden Verstöße gegen Risikomanagementmaßnahmen und Meldepflichten bebußt (höchste Bußgeldstufe).
Zu Buchstabe a
Ein Verstoß gegen Absatz 2 Nummer 2 sieht die Ahndung von Verstößen gegen Risikoma nagementmaßnahmen nach § 30 Absatz 1, ein Verstoß gegen Nummer 3 die Ahndung von Verstößen gegen Meldepflichten vor. Hier traf Artikel 34 Absatz 4 NIS2 Richtlinie dezidierte Vorgaben: 10 Millionen Euro oder mindestens 2 % des gesamten weltweiten im vorange gangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene an gehört; gleiches gilt für Nummer 3.
Zu Buchstabe b
Bei wichtigen Einrichtungen sieht Artikel 34 Absatz 5 der NIS2-Richtlinie eine Höhe von 7 Millionen Euro oder mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene angehört, vor. Gleiches gilt für Nummer 3.
Zu Nummer 3
Auf zweiter Stufe (2 Millionen Euro) sind Verstöße gegen Absatz 2 Nummer 1 Buchstabe a angesiedelt. Es wurde keine Veränderung der Bußgeldhöhe vorgenommen; durch den übernommenen Verweis auf § 30 Absatz 2 Satz 3 OWiG in § 14 Absatz 5 alte Fassung ist eine Modifizierung in Form einer Verzehnfachung möglich.
Zu Nummer 4
Für die dritte Stufe wurde ein Wert von 500.000 Euro angesetzt. Für einen Verstoß gegen Absatz 2 Nummer 1 Buchstabe c ergab sich hierbei keine Veränderung. Auf dieser Stufe wurde ebenfalls ein Verstoß gegen Absatz 2 Nummer 4 und 6 aufgenommen. Bei diesem handelt es sich um einen Verstoß gegen die Registrierungspflichten für Einrichtungsarten nach § 32 Absatz 1 Domain-Name Registry Diensteanbieter oder Anbieter nach §§ 33 Ab
satz 1, 64 Absatz 1.
Ein Verstoß gegen Absatz 2 Nummer 1 Buchstabe e sowie Absatz 2 Nummer 7 wurde ebenfalls auf dieser Stufe angesiedelt wegen der Nähe zu den Risikomanagementmaßnah men, die auf höchster Stufe bebußt sind.
Ein Verstoß gegen Absatz 2 Nummer 8 für Nichtbefolgung der Vorgaben für Maßnahmen auch für Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister fällt ebenfalls unter diese Einstufung. Für einen Verstoß gegen Absatz 2 Nummer 10 und 11 ergaben sich keine Veränderungen in der Bußgeldhöhe.
Auf der zweithöchsten Stufe wurden zudem Verstöße gegen den neueingeführten Absatz 2 Nummer 9 aufgenommen. Bei diesem handelt es sich um Vorgabe der Inhaberschaft einer Zertifizierung nach § 54 Absatz 2. Bei der Einstufung wurde sich an der Bußgeldhöhe von Nummern 10 und 11, die in der vormaligen und jetzigen Fassung ebenfalls in dieser Höhe angesiedelt sind und im Unrechtsgehalt eine Entsprechung finden, orientiert.
Ebenfalls auf dieser Stufe sind Verstöße gegen Absatz 4 angesiedelt. Für die Nummern 1 und 2 ergaben sich keine Veränderungen. Neu wurde auf dieser Stufe die Nummer 3 auf grund einer Vergleichbarkeit zu den Bußgeldtatbeständen aus Absatz 2 Nummern 10 und 11 aufgenommen.
Zu Nummer 5
Als niedrigste Stufe wurde die frühere 100.000 Euro Stufe übernommen.
Hierbei ergaben sich für einen Verstöße gegen Absatz 2 Nummer 1 Buchstabe b Variante 1 und Absatz 3 keine Veränderungen. Ebenfalls auf dieser Stufe wurden Verstöße gegen Absatz 2 Nummer 1 Buchstabe b Varianten 2, 3 und 4 aufgenommen. Ein Verstoß gegen Absatz 2 Nummer 1 Buchstabe d, der die Herausgabe von notwendigen Informationen zur Bewältigung der Störung betrifft, wurde auf dieser Stufe angesiedelt, um die Dringlichkeit der Herausgabe derartiger Informationen zu verdeutlichen.
Der neu geschaffenen Absatz 2 Nummer 1 Buchstabe f wurde auf dieser untersten Stufe angesetzt, da hier erstmals eine Bebußung von Verstößen gegen Anordnungen zur Umset zung von im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen innerhalb einer bestimmten Frist vorgesehen wird.
Bei einem Verstoß gegen Absatz 2 Nummer 5 wurde die bisherige Bußgeldhöhe übernom men.
Die neu geschaffene Nummer 12 für Verstöße wenn bei besonders wichtigen Einrichtungen das Betreten eines dort genannten Raums nicht gestattet, eine dort genannte Unterlage nicht oder nicht rechtzeitig vorlegt, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung nicht oder nicht rechtzeitig gewährt, wurde eben
falls auf dieser Stufe angesetzt.
Zu Absatz 6
Absatz 6 schafft die von Artikel 34 Absatz 4 NIS2-Richtlinie vorgesehene Grundlage, zur Verhängung eines Bußgeldes in Höhe von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Be troffene angehört bei besonders wichtigen Einrichtungen, sofern ein Verstoß gegen Risiko managementmaßnahmen oder Meldepflichten vorliegt (Absatz 2 Nummer 2 und 3).
Zu Absatz 7
Absatz 7 schafft die von Artikel 34 Absatz 5 der NIS2-Richtlinie vorgesehene Grundlage, zur Verhängung eines Bußgeldes in Höhe von mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Be troffene angehört bei wichtigen Einrichtungen, sofern ein Verstoß gegen Risikomanage mentmaßnahmen oder Meldepflichten vorliegt (Absatz 2 Nummer 2 und 3). Zu Absatz 8
Absatz 8 konkretisiert die Bedeutung des in Absatz 6 und 7 verwendeten Begriff des Jah resumsatzes.
Zu Absatz 9
Absatz 9 führt den bisherigen § 14 Absatz 6 fort.
Zu Absatz 10
Absatz 10 dient der Umsetzung von Artikel 35 Absatz 2 der NIS2-Richtlinie. Zu § 62 (Zuwiderhandlungen durch Institutionen der sozialen Sicherung) § 62 führt den bisherigen § 14a fort.
Zu § 63 (Zuständigkeit des Bundesamtes)
Die Vorschrift dient der Umsetzung von Artikel 8 Absatz 1 bis 2, Artikel 26 Absatz 1 der NIS 2-Richtlinie. Die Zuständigkeit für wichtige und besonders wichtige Einrichtungen bestimmt sich nach dem Niederlassungsprinzip. Die Zuständigkeit für Betreiber kritischer Anlagen bestimmt sich nach Belegenheitsprinzip hinsichtlich der jeweiligen kritischen Anlagen.
Zu § 64 (Zentrale Zuständigkeit in der Europäischen Union für bestimmte Einrichtungsarten)
Zu Absatz 1
Absatz 1 dient der Umsetzung von Artikel 26 Absatz 1 Buchstabe b der NIS2-Richtlinie. Zu Absatz 2
Absatz 2 dient der Umsetzung von Artikel 26 Absatz 2 der NIS2-Richtlinie. Zu Absatz 3
Absatz 3 dient der Umsetzung von Artikel 26 Absatz 3 der NIS2-Richtlinie. Vertreter kann eine in der Europäischen Union niedergelassene natürliche oder juristische Person sein, die ausdrücklich benannt wurde, um im Auftrag einer Einrichtung, die nicht in der Europäi schen Union niedergelassen ist, zu handeln, und an die sich das Bundesamt in Fragen der der Pflichten der benennenden Einrichtung nach diesem Gesetz wenden kann.
Zu Absatz 4
Absatz 4 dient der Umsetzung von Artikel 26 Absatz 4 der NIS2-Richtlinie. Zu Absatz 5
Absatz 5 dient der Umsetzung von Artikel 26 Absatz 5 der NIS2-Richtlinie.
Zu § 65 (Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen)
Zu Absatz 1
§ 65 dient der Umsetzung von Artikel 32 der NIS2-Richtlinie. Da eine regelmäßige Nach weispflicht für die Umsetzung von Risikomanagementmaßnahmen ausschließlich für Betreiber kritischer Anlagen gilt, ist in § 64 vorgesehen, dass das Bundesamt die hier vor gesehenen Aufsichtsmaßnahmen in Bezug auf einzelne Einrichtungen ausüben kann. Demnach ist das Bundesamt unter Anderem befugt, Einrichtungen zu verpflichten, Audits, Prüfungen oder Zertifizierungen von unabhängigen Stellen durchführen zu lassen. Auch ohne verpflichtend durchzuführende Audits, Prüfungen oder Zertifizierungen kann das Bun desamt von einzelnen Einrichtungen Nachweise über die Erfüllung einzelner oder aller An forderungen nach den §§ 30, 31 und 32 verlangen. Sofern durch die Einrichtung keine Au dits, Prüfungen oder Zertifizierungen durchgeführt wurden, kann das Bundesamt hiernach auch andere Nachweisunterlagen verlangen. Hierzu gehören beispielsweise unterneh menseigene Richtlinien und Dokumentationen, Berichte oder Selbsterklärungen.
Gemäß den Anforderungen der NIS2-Richtlinie ist es bei der Ausübung dieser Aufsichts maßnahmen in Bezug auf besonders wichtige Einrichtungen nicht erforderlich, dass dem Bundesamt Hinweise oder Informationen vorliegen, welche die Annahme rechtfertigen, dass eine Einrichtung die Anforderungen der §§ 30, 31 und 32 nicht oder nicht richtig um gesetzt hat. Stattdessen hat das Bundesamt bei der Auswahl der Einrichtungen im Sinne einer Priorisierung die in Absatz 4 genannten Kriterien zu berücksichtigen. Der Ermessens spielraum des Bundesamts bei der Auswahl von Einrichtungen ist im Sinne der NIS2-Richt linie entsprechend weit auszulegen. Die in Absatz 4 genannten Kriterien dienen insoweit der Priorisierung, in Bezug auf welche Einrichtungen die Aufsichtsmaßnahmen prioritär an gewendet werden sollten. Die in Absatz 4 genannten Kriterien eignen sich dagegen nicht zum Ausschluss, beispielsweise um zu begründen, dass bestimmte Aufsichtsmaßnahmen nicht auf einzelne Einrichtungen anzuwenden sein sollten, da sie zum Beispiel besonders klein sind oder die Eintrittswahrscheinlichkeit von Sicherheitsvorfällen als niedrig einge schätzt wird. Denn nach den Anforderungen der NIS2-Richtlinie muss das Bundesamt be fugt sein, die hier genannten Aufsichtsmaßnahmen in Bezug auf alle besonders wichtige Einrichtungen ausüben zu können.
Die Zuständigkeit des Bundesamtes für Einrichtungen der Bundesverwaltung richtet sich nach den Befugnissen des Bundesamtes in Teil 2 Kapitel 1 sowie Teil 3.
Zu Absatz 6
Absatz 6 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe b der NIS2-Richtlinie. Zu Absatz 7
Absatz 7 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe c, d und f der NIS2- Richtlinie. Die Nachweise können durch dokumentierte IT-Sicherheitskonzepte, Prozess beschreibungen, Richtlinien, Daten, Dokumente und sonstige Informationen, die für die Be wertung der von der betreffenden Einrichtung ergriffenen Risikomanagementmaßnahmen
im Bereich der Cybersicherheit erforderlich sind.
Zu Absatz 8
Absatz 8 Satz 1 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe e der NIS2-Richt linie. Absatz 8 Satz 2 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe h der NIS2- Richtlinie.
Zu Absatz 9
Absatz 9 dient der Umsetzung von Artikel 32 Absatz 5 Unterabsatz 1 der NIS2-Richtlinie. Da dem deutschen Recht eine Genehmigungsart-unabhängige Aussetzung (Satz 2 Num mer 1) bzw. Rechtsform-unabhängige Untersagung (Satz 2 Nummer 2) fremd ist, muss hierfür eine zentrale Rechtsgrundlage geschaffen werden, da die Möglichkeit einer behörd lichen Aussetzung bzw. Untersagung durch die Mitteilungsmöglichkeit der national zustän digen Behörde nach Artikel 32 Absatz 5 Unterabsatz 1 der NIS2-Richtlinie vorausgesetzt wird. Würde diese Rechtsgrundlage nicht geschaffen, liefe die Mitteilung des Bundesamtes Gefahr leer zu laufen.
Zu Absatz 10
Absatz 10 dient der Umsetzung von Artikel 32 Absatz 9 der NIS2-Richtlinie. Zu Absatz 11
Absatz 11 dient der Umsetzung von Artikel 35 der NIS2-Richtlinie und trägt dem Umstand Rechnung, dass bei Verstößen gegen die dort adressierten Pflichten auch Verstöße gegen andere unionsrechtliche Vorgaben vorliegen können. Auch wenn das Bundesamt im Rah men seiner Kompetenzen technische und keine datenschutzrechtlichen Kontrollen vor nimmt, soll damit sichergestellt werden, dass aufgrund der engen Verbindung von Datensi cherheit und Datenschutz bei zufällig im Rahmen der Prüfung aufgefundenen, augen scheinlichen Verstößen gegen datenschutzrechtliche Regelungen die zuständigen Behör den unverzüglich in Kenntnis gesetzt werden und eine Prüfung durchführen können. Die NIS2-Richtlinie bezeichnet dabei den Bereich der Verstöße, die eine Verletzung personen bezogener Daten zur Folge haben können, sowohl bei nicht ausreichenden Risikomanage mentmaßnahmen im Bereich der Cybersicherheit, als auch bei einem Zurückbleiben hinter den gesetzlich vorgegebenen Berichtspflichten. Die Unterrichtung ist unverzüglich nach der technischen Kontrolle gegenüber der nach Artikel 55 oder 56 der Verordnung (EU) 2016/679 zuständigen Aufsichtsbehörde für den Datenschutz vorzunehmen.
Zu Absatz 12
Absatz 12 regelt in Umsetzung von Artikel 37 der NIS2-Richtlinie Einzelheiten zur Amtshilfe für zuständige Aufsichtsbehörden in anderen Mitgliedsstaaten der Europäischen Union, wenn Einrichtungen Dienstleistungen in mehreren Mitgliedsstaaten erbringen, und hierfür beispielsweise IT-Systeme, Komponenten oder Prozesse eingesetzt werden, die sich in Deutschland befinden.
Zu § 66 (Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen)
§ 66 dient der Umsetzung von Artikel 33 der NIS2-Richtlinie. Für wichtige Einrichtungen sind gemäß dieser Vorschrift grundsätzlich die gleichen Aufsichtsmaßnahmen des Bundes amts vorgesehen, wie in § 65 für besonders wichtige Einrichtungen. Jedoch gilt für wichtige Einrichtungen als Voraussetzung zur Ausübung dieser Aufsichtsmaßnahmen, dass Tatsa chen die Annahme rechtfertigen, dass eine wichtige Einrichtung die Anforderungen aus den §§ 30, 31 oder 32 nicht oder nicht richtig umgesetzt hat.
Zu § 67 (Verwaltungszwang)
§ 67 dient der Umsetzung von Artikel 34 Absatz 6 der NIS2-Richtlinie. Zu Anlage 1 (Sektoren besonders wichtiger und wichtiger Einrichtungen) Die Anlage dient der Umsetzung von Anhang I der NIS2-Richtlinie.
Zur Definition von Gesundheitsdienstleister unter Nr. 4.1.1: Die NIS2-Richtlinie stellt für die einzubeziehenden Einrichtungskategorien in Anhang 1 Nr. 5 auf Gesundheitsdienstleister im Sinne des Artikels 3 Buchstabe g der Richtlinie (EU) 2011/24 des Europäischen Parla ments und des Rates (Patientenmobilitätsrichtlinie) ab. Gemäß Artikel 3 Absatz 3 Buch stabe a) der genannten Richtlinie fallen Einrichtungen der Langzeitpflege, deren Ziel darin besteht, Personen zu unterstützen, die auf Hilfe bei routinemäßigen, alltäglichen Verrich tungen angewiesen sind, nicht in den Anwendungsbereich der EU- Patientenmobilitätsricht linie. Daher gelten Einrichtungen der Langzeitpflege nicht als Gesundheitsdienstleister im Sinne des vorliegenden Gesetzes.Zu Anlage 2 (Sektoren wichtiger Einrichtungen)
Die Anlage dient der Umsetzung von Anhang II der NIS2-Richtlinie.
Zu Artikel 2 (Änderung des BSI-Gesetzes (FNA 206-2))
Artikel 2 setzt die beabsichtigte Verschiebung der gesetzlichen Bestimmung kritischer An lagen in das Dachgesetz zur Stärkung der physischen Resilienz von Betreibern kritischer Anlagen (KRITIS-Dachgesetz) um. Artikel 2 tritt nach der Regelung in Artikel 29 erst mit dem Inkrafttreten einer Verordnung nach dem KRITIS-Dachgesetz in Kraft. Dabei handelt es sich um eine Nachfolgeverordnung der bisherigen BSI-Kritisverordnung. Hierdurch wird sichergestellt, dass es zu jedem Zeitpunkt immer jeweils nur eine Verordnung zur KRITIS Bestimmung gibt. Bis zum Erlass der Verordnung nach § 4 Absatz 4 KRITIS-Dachgesetz ist dies übergangsweise die Rechtsverordnung nach § 58 Absatz 4 BSI-Gesetz. Die Ver ordnungsermächtigung in § 58 Absatz 4 BSI-Gesetz wird mit dem Inkrafttreten der Verord nung nach § 4 Absatz 4 KRITIS-Dachgesetz gestrichen.
Zu Absatz 1
Zu Nummer 1
Die bisherige originäre Begriffsbestimmung wird durch einen Verweis auf die Begriffsbe stimmung im KRITIS-Dachgesetz ersetzt.
Zu Nummer 2
Die bisherigen Vorschriften zur Bestimmung von Betreibern kritischer Anlagen entfallen auf grund der Verweise in das KRITIS-Dachgesetz.
Zu Nummer 3
Die Liste der Sektoren des bisherigen § 28 Absatz 7 BSI-Gesetz wird ersetzt durch dieje nige des KRITIS-Dachgesetzes.
Zu Nummer 4 und Nummer 5
Die Rechtsverordnung nach KRITIS-Dachgesetz tritt an die Stelle der bisherigen BSI-Kri tisV.
Zu Nummer 6
Die Liste der Ressorts des bisherigen § 58 Absatz 4 BSI-Gesetz wird ersetzt durch dieje nige des KRITIS-Dachgesetzes.
Zu Nummer 7
Die Richtlinie (EU) 2016/1148 (sog. NIS-Richtlinie) wird gemäß Artikel 44 NIS2-Richtlinie mit Wirkung zum 18. Oktober 2024 aufgehoben. Mithin sind die diesbezüglichen Regelun gen zu streichen.
Zu Absatz 2
Folgeänderung aufgrund Wegfalls der Regelung im BSI-Gesetz.
Zu Artikel 3 (Änderung des BND-Gesetzes (FNA 12-6))
Es handelt sich um eine Folgeänderung. Der Verweis auf die Vorschrift des bisherigen BSI Gesetzes wird angepasst.Zu Artikel 4 (Änderung der Sicherheitsüberprüfungsfeststellungsverordnung (FNA 12-10-3))
Es handelt sich um Folgeänderungen. Verweise auf die Vorschriften des bisherigen BSI Gesetzes werden angepasst.
Zu Artikel 5 (Änderung des Telekommunikation-Telemedien-Datenschutz-Gesetzes (FNA 204-5))
Es handelt sich um eine Folgeänderung. Der Verweis auf die Vorschrift des bisherigen BSI Gesetzes wird angepasst.
Zu Artikel 6 (Änderung der Gleichstellungsbeauftragtenwahlverordnung (FNA 205- 3-1))
Es handelt sich um Folgeänderungen. Verweise auf die Vorschriften des bisherigen BSI Gesetzes werden angepasst.
Zu Artikel 7 (Änderung des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (FNA 206-2))
Die bis zum 1. Mai 2025 durchzuführende Evaluierung der übrigen Vorschriften des IT SiG 2.0 erübrigt sich da diese in weiten Teilen im Zuge der NIS2-Umsetzung geändert werden. Die unveränderten Vorschriften sind bereits durch dieses Gesetz bestätigt. Da die NIS2-Richtlinie bereits einer Evaluierung durch die Europäische Kommission unterliegt (Ar tikel 40 der NIS2-Richtlinie) ist eine (auf den Mitgliedstaat Deutschland isolierte) Evaluie rung der Umsetzung nicht zielführend.
Zu Artikel 8 (Änderung der BSI-Zertifizierungs- und Anerkennungsverordnung (FNA 206-2-1))
Es handelt sich um Folgeänderungen. Verweise auf die Vorschriften des bisherigen BSI Gesetzes werden angepasst.
Zu Artikel 9 (Änderung der BSI IT-Sicherheitskennzeichenverordnung (FNA 206-2- 3))
Es handelt sich um Folgeänderungen. Verweise auf die Vorschriften des bisherigen BSI Gesetzes werden angepasst.
Zu Artikel 10 (Änderung des De-Mail-Gesetzes (FNA 206-4))
Es handelt sich um eine Folgeänderung. Der Verweis auf die Vorschrift des bisherigen BSI Gesetzes wird angepasst.
Zu Artikel 11 (Änderung des E-Government-Gesetz (FNA 206-6))
Löschung des Verweises auf das BSI-Gesetz wegen Wegfalls der Regelung zum IT-Rat im bisherigen § 12 BSI-Gesetz.
Zu Artikel 12 (Änderung der Passdatenerfassungs- und Übermittlungsverordnung (FNA 210-5-11))
Es handelt sich um Folgeänderungen. Verweise auf die Vorschriften des bisherigen BSI Gesetzes werden angepasst. Zu Artikel 13 (Änderung der Personalausweisverordnung (FNA 210-6-1))
Es handelt sich um Folgeänderungen. Verweise auf die Vorschriften des bisherigen BSI Gesetzes werden angepasst.
Zu Artikel 14 (Änderung der Kassensicherungsverordnung (FNA 610-1-26))
Es handelt sich um Folgeänderungen. Verweise auf die Vorschriften des bisherigen BSI Gesetzes werden angepasst.
Zu Artikel 15 (Änderung des Atomgesetzes (FNA 751-1))
Es handelt sich um eine Folgeänderung. Der Verweis auf die Vorschrift des bisherigen BSI Gesetzes wird angepasst.
Zu Artikel 16 (Änderung des Energiewirtschaftsgesetzes (FNA 752-6)) Zu Nummer 1
Die Vorschrift wird ergänzt, da der durch die Bundesnetzagentur zu erstellende Sicherheits katalog mindestens die in Umsetzung der NIS2 Richtlinie in § 30 des BSI-Gesetzes ge nannten Risikomanagementmaßnahmen für besonders wichtige Einrichtungen enthalten muss.
Zu Nummer 2
Die Vorschrift wird ergänzt, da der durch die Bundesnetzagentur zu erstellende Sicher heitskatalog mindestens die in Umsetzung der NIS2 Richtlinie in § 30 des BSI-Gesetzes genannten Risikomanagementmaßnahmen für besonders wichtige Einrichtungen enthalten muss.
Zu Nummer 5
Die Vorschrift zur Meldung von Sicherheitsvorfällen wird unter Berücksichtigung der neuen Mindestvorgaben aus Artikel 23 der NIS2 Richtlinie neu gefasst.
Zu Buchstabe b
Zu Artikel 17 (Änderung des Messstellenbetriebsgesetzes (FNA 752-10))
Es handelt sich um eine Folgeänderung. Der Verweis auf die Vorschrift des bisherigen BSI Gesetzes wird angepasst.
Zu Artikel 18 (Änderung des Energiesicherungsgesetzes (FNA 754-3))
Es handelt sich um Folgeänderungen. Die Begrifflichkeiten und der Verweis auf die Vor schrift des bisherigen BSI-Gesetzes werden angepasst.
Zu Artikel 19 (Änderung des Fünften Buches Sozialgesetzbuch (FNA 860-5))
Es handelt sich um Folgeänderungen. Die Verweise auf Vorschriften des bisherigen BSI Gesetzes werden angepasst.
Zu Artikel 20 (Änderung der Digitale Gesundheitsanwendungen-Verordnung (FNA 860-5-55))
Es handelt sich um Folgeänderungen. Verweise auf die Vorschriften des bisherigen BSI Gesetzes werden angepasst.Zu Artikel 21 (Änderung des Sechsten Buches Sozialgesetzbuch (FNA 860-6)) Zu Nummer 1
Zu Buchstabe c
Zu Nummer 17
Mit einer Erweiterung des gesetzlich normierten Katalogs der Grundsatz- und Querschnitts aufgaben der Deutschen Rentenversicherung Bund in § 138 Absatz 1 Satz 2 Nummer 17 um die Organisation der Sicherheit und Wirtschaftlichkeit der Informationstechnik der Ren tenversicherung soll die Grundlage für die Vorgabe inhaltlicher und organisatorischer Maß nahmen geschaffen werden, die die Gewährleistung der IT-Sicherheit der Deutschen Ren tenversicherung zum Ziel haben. Dazu gehört auch, die Informationstechnologie zukunfts orientiert weiter zu entwickeln. Die nähere Ausgestaltung der sich hieraus ergebenden Auf gaben ergibt sich aus den Buchstaben a bis d. Die Aufzählung ist nicht abschließend, um
insbesondere dem stetig voranschreitenden Wandel in der Informationstechnik und den sich hieraus ergebenden Anforderungen an ihre Sicherheit entsprechen zu können.
Die Umsetzung der erforderlichen inhaltlichen und organisatorischen Maßnahmen müssen dabei die einzelnen Träger der gesetzlichen Rentenversicherung auf Grundlage der Vorga ben hierzu gewährleisten. Dies gilt auch für Aufgabenstellungen aus dem Bereich der In formationstechnik, die der neuen Grundsatz- und Querschnittsaufgabe nicht zuzuordnen sind.
Mit dieser Befugnis erhält die Deutsche Rentenversicherung Bund den Auftrag, einheitliche Grundsätze für den Einsatz und den sicheren Betrieb von Informationstechnik sowie dem Notfallmanagement bei der Deutschen Rentenversicherung festzulegen, die für alle Träger der gesetzlichen Rentenversicherung verbindlich sind. Die Notwendigkeit, im Bereich der Informationssicherheit für alle Träger der gesetzlichen Rentenversicherung ein einheitliches hohes Sicherheitsniveau sicherzustellen, wird durch die Aufnahme in den Gesetzestext be
tont und als Ziel definiert. Ein einheitliches Sicherheitsniveau kann insbesondere durch ein heitliche und verbindliche Sicherheitsstandards und Sicherheitskonzepte erreicht wer-den. Der eingeräumten Befugnis entspricht die Verpflichtung, Fortschritte in der Entwick-lung der Informationstechnik auf Nutzen und Umsetzbarkeit in der Rentenversicherung zu bewerten und Risiken für die Informationstechnik zu beobachten und zu analysieren, um hieraus Maßnahmen zur Sicherstellung der IT-Sicherheit abzuleiten.
Zu Buchstabe a
Mit dieser Befugnis erhält die Deutsche Rentenversicherung Bund den Auftrag, einheitliche Grundsätze für den Einsatz und den sicheren Betrieb von Informationstechnik sowie dem Notfallmanagement bei der Deutschen Rentenversicherung festzulegen, die für alle Träger der gesetzlichen Rentenversicherung verbindlich sind. Die Notwendigkeit, im Bereich der Informationssicherheit für alle Träger der gesetzlichen Rentenversicherung ein einheitliches hohes Sicherheitsniveau sicherzustellen, wird durch die Aufnahme in den Gesetzestext be
tont und als Ziel definiert. Ein einheitliches Sicherheitsniveau kann insbesondere durch ein heitliche und verbindliche Sicherheitsstandards und Sicherheitskonzepte erreicht wer-den. Der eingeräumten Befugnis entspricht die Verpflichtung, Fortschritte in der Entwick-lung der Informationstechnik auf Nutzen und Umsetzbarkeit in der Rentenversicherung zu bewerten und Risiken für die Informationstechnik zu beobachten und zu analysieren, um hieraus Maßnahmen zur Sicherstellung der IT-Sicherheit abzuleiten.
Zu Buchstabe b
Mit dieser Ergänzung erhält die Deutsche Rentenversicherung Bund die gesetzliche Befug nis, einen einheitlichen organisatorischen Rahmen für den Betrieb der informationstechni schen Infrastruktur und des Netzwerkes der Rentenversicherung zu schaffen. Mit der Errichtung eines Gemeinsamen Rechenzentrums wurde von den Trägern der Rentenversi cherung ein erster Schritt in diese Richtung gegangen. In Umsetzung der Regelung in Buch stabe b wird künftig die Zuständigkeit für den Betrieb der gesamten informationstechni schen Infrastruktur und des Netzwerks der gesetzlichen Rentenversicherung bei der Deut schen Rentenversicherung Bund liegen. Im Hinblick auf die vorhandenen Strukturen und
Zuständigkeiten und den zu klärenden komplexen technischen und organisatorischen Fra gestellungen wird es sich um einen gestuften Prozess des Übergangs handeln.
Zu Buchstabe c
Die Träger der gesetzlichen Rentenversicherung greifen zur Erfüllung ihrer Aufgaben auf von ihnen entwickelte Softwareanwendungen und -dienste zurück. Deren Entwicklung er folgt arbeitsteilig durch die IT-Einrichtungen verschiedener Träger. Dies erschwert die Wei terentwicklung nach einheitlichen Maßstäben und zu einheitlichen Zeitpunkten und hat zur Verwendung von untereinander inkompatiblen Versionen der Anwendungen geführt. Die Entwicklung von Anwendungen und Diensten, die unmittelbar für die Aufgaben und die Erbringung der Leistungen der Rentenversicherung erforderlich sind oder auf die zur Ge währleistung der Sicherheit der IT-Infrastruktur der Deutschen Rentenversicherung die ge setzlichen Anforderungen des BSIG anzuwenden sind, sollen daher bei der Deutschen Rentenversicherung Bund gebündelt werden.
Zu Buchstabe d
Durch die Festlegung und Umsetzung eines Beschaffungskonzepts soll bei Hardware, Soft ware und Infrastrukturkomponenten eine höhere Standardisierung und eine höhere Wirt schaftlichkeit geschaffen werden. Dies muss nicht dazu führen, dass alle Rentenversiche rungsträger mit einheitlichen Produkten ausgestattet sind. Solange die Produkte unterei nander kompatibel sind und den Vorgaben des Beschaffungskonzepts entsprechen, kön nen die Träger mit Produkten verschiedener Anwender ausgestattet sein.
Zu Nummer 2
Die Deutsche Rentenversicherung Knappschaft-Bahn-See hat neben Aufgaben aus der all gemeinen Rentenversicherung noch weitere ihr gesetzlich übertragene Aufgaben (zum Bei spiel Kranken- und Pflegeversicherung, Minijob-Zentrale, Bundesfachstelle Barrierefreiheit) und besondere Leistungen (zum Beispiel Leistungszuschlag, Rente für Bergleute, Leistun gen aus der Seemannskasse) wahrzunehmen. Diese machen eine besondere Regelung erforderlich. Bei den sich aus Satz 2 Nummer 17 ergebenden Grundsätzen und deren Um setzungen sind die Interessen des Verbundsystems insgesamt und seiner besonderen Leistungen zu wahren und entsprechende Befugnisse sicherzustellen. Deshalb sind not wendige Abweichungen zulässig.
Zu Artikel 22 (Änderung der Verordnung zum Barrierefreiheitsstärkungsgesetz (FNA 860-9-4-1))
Es handelt sich um eine Folgeänderung. Der Verweis auf die Vorschrift des bisherigen BSI Gesetzes wird angepasst.
Zu Artikel 23 (Änderung des Telekommunikationsgesetzes (FNA 900-17))
Die bisherigen Vorschriften des Telekommunikationsgesetzes (TKG) hinsichtlich der Cy bersicherheit öffentlicher Telekommunikationsnetze werden entsprechend der Vorgaben der NIS2-Richtline angepasst. Darüber hinaus werden die Verweise auf Vorschriften und die Begrifflichkeiten des bisherigen BSI-Gesetzes angepasst.Zu Nummer 1
Die Begriffsbestimmungen des § 3 TKG werden im Hinblick auf die NIS2-Richtlinie ange passt: Die bereits in § 3 Nummer 53 TKG bestehende Definition des „Sicherheitsvorfalls“ wird an Artikel 6 Nummer 6 der NIS2-Richtlinie angepasst. Darüber hinaus wird in Umset zung von Artikel 6 Nummer 1 der NIS2-Richtlinie die Begriffsbestimmung für ein „Netz- und Informationssystem“ ergänzt.
Zu Nummer 2
Die Änderungen dienen der Umsetzung der NIS2-Richtlinie, nach der die Artikel 40 und 41 der Richtlinie (EU) 2018/1972 gestrichen werden (vgl. Artikel 43 der NIS2-Richtlinie), die in den §§ 165 ff. TKG umgesetzt sind. Die Änderungen in § 165 TKG setzen Artikel 21 der NIS2-Richtlinie um. Im Übrigen werden redaktionelle Anpassungen vorgenommen.
Zu Nummer 3
Es handelt sich um rein redaktionelle Anpassungen.
Zu Nummer 4
Die Änderungen des § 168 TKG, der bislang Artikel 40 der Richtlinie (EU) 2018/1972 um setzt, dienen der Umsetzung von Artikel 23 der NIS2-Richtlinie.
Zu Nummer 5 und 6
Es handelt sich um rein redaktionelle Anpassungen.
Zu Artikel 24 (Änderung der Krankenhausstrukturfonds-Verordnung (FNA 2126-9- 19))
Es handelt sich um Folgeänderungen. Die Verweise auf die Vorschriften des bisherigen BSI-Gesetzes werden angepasst.
Zu Artikel 25 (Änderung der Mess- und Eichverordnung (FNA 7141-8-1))
Es handelt sich um Folgeänderungen. Die Verweise auf die Vorschriften des bisherigen BSI-Gesetzes werden angepasst.
Zu Artikel 26 (Änderung der Außenwirtschaftsverordnung (FNA 7400-4-1))
Es handelt sich um Folgeänderungen. Die Verweise auf die Vorschriften des bisherigen BSI-Gesetzes werden angepasst.
Zu Artikel 27 (Änderung des Vertrauensdienstegesetzes (FNA 9020-13))
Gemäß Artikel 42 der NIS2-Richtlinie werden die Sicherheitsanforderungen und Melde pflichten für Vertrauensdiensteanbieter in Artikel 19 der Verordnung (EU) Nr. 910/2014 (eIDAS) gestrichen. Damit entfällt die Notwendigkeit zur Benennung einer zuständigen Stelle im Sinne des letztgenannten Artikels. Fortan gelten für Vertrauensdiensteanbieter die Vorgaben des BSI-Gesetzes.
Zu Artikel 28 (Evaluierung)
Artikel 28 sieht eine Evaluierungsklausel vor.
Mit der Evaluierungsklausel soll überprüft werden, ob die Zielsetzung des NIS2UmsuCG in Bezug auf die Bundesverwaltung erreicht wird. Gemäß Artikel 40 der NIS2-Richtlinie nimmt die EU-Kommission eine eigene Evaluierung der Richtlinie vor. Sie legt den ersten Bericht bis zum 17.Oktober 2027 vor. Um eine Doppelevaluierung zu vermeiden, ist vorliegend eine beschränkte Evaluierung hinsichtlich des Teil 2 Kapitel 1, Teil 3 Kapitel 3 sowie Teil 5 des BSI-Gesetzes (Artikel 1) vorgesehen.
Evaluiert werden sollen, die Aufgaben und Befugnisse des BSI, die Informationssicherheit der Einrichtungen der Bundesverwaltung und die Zertifizierung und Kennzeichen.
Zu Artikel 29 (Inkrafttreten, Außerkrafttreten)
Zu Absatz 1
Der hier genannte Zeitpunkt ist der letzte Quartalsbeginn vor Ablauf der Umsetzungsfrist des Artikel 41 NIS2-Richtlinie am 17. Oktober 2024. Im Übrigen sind die für die Verpflich tungen von wesentlichen und wichtigen Einrichtungen maßgeblichen Inhalte der NIS2- Richtlinie bereits seit dem Kommissionsentwurf aus Dezember 2020 bekannt.
Zu Absatz 2
Absatz 2 regelt die zeitliche Verknüpfung der Verschiebung bestimmter Regelungen zu kri tischen Anlagen in Artikel 2, die künftig in das Gesetz zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz) verschoben wer den sollen. Die überarbeitete Ermächtigung zum Erlass einer Rechtsverordnung nach § 10 Absatz 1b BSI-Gesetz muss bereits zuvor in Kraft treten, damit diese zum Tag des Inkraft tretens des Gesetzes im Übrigen bereits erlassen sein kann.
Zu Absatz 3
Der Artikel 19 der Verordnung (EU) Nr. 910/2014 wird durch Artikel 42 der NIS2-Richtlinie mit Wirkung für den 17. Oktober 2024 gelöscht, daher tritt dieser Änderungsbefehl verzögert in Kraft.