Referentenentwurf für das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG)
https://cyber-resilience-act.net/wp-content/uploads/2023/11/NIS2UmsuCG.pdf
https://cyber-resilience-act.net/wp-content/uploads/2023/11/Referentenentwurf-NIS2UmsuCG.pdf
Referentenentwurf des Bundesministeriums des Innern und für Heimat
Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG))
Der Bundestag hat das folgende Gesetz beschlossen:
Inhaltsübersicht
Artikel 1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit der Informationstechnik von kritischen Anlagen und Einrichtun- gen (BSI-Gesetz – BSIG)
Artikel 2 Änderung des BSI-Gesetzes (FNA 206-2) Artikel 3 Änderung des BND-Gesetzes (FNA 12-6)
Artikel 4 Änderung der Sicherheitsüberprüfungsfeststellungsverordnung (FNA 12-10-3)
Artikel 5 Änderung des Telekommunikation-Telemedien-Datenschutz-Gesetzes (FNA 204-5)
Artikel 6 Änderung der Gleichstellungsbeauftragtenwahlverordnung (FNA 205-3-1) Artikel 7 Änderung des Zweiten Gesetzes zur Erhöhung der Sicherheit informations-
technischer Systeme (FNA 206-2)
Artikel 8 Änderung der BSI-Zertifizierungs- und Anerkennungsverordnung (FNA 206-2- 1)
Artikel 9 Änderung der BSI IT-Sicherheitskennzeichenverordnung (FNA 206-2-3) Artikel 10 Änderung des De-Mail-Gesetzes (FNA 206-4)
Artikel 11 Änderung des E-Government-Gesetz (FNA 206-6)
Artikel 12 Änderung der Passdatenerfassungs- und Übermittlungsverordnung (FNA 210- 5-11)
Artikel 13 Änderung der Personalausweisverordnung (FNA 210-6-1) Artikel 14 Änderung der Kassensicherungsverordnung (FNA 610-1-26)
1) Dieses Gesetz dient der Umsetzung der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheits- niveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27.12.2022, S. 80).
Artikel 15 Änderung des Atomgesetzes (FNA 751-1)
Artikel 16 Änderung des Energiewirtschaftsgesetzes (FNA 752-6) Artikel 17 Änderung des Messstellenbetriebsgesetzes (FNA 752-10) Artikel 18 Änderung des Energiesicherungsgesetzes (FNA 754-3) Artikel 19 Änderung des Fünften Buches Sozialgesetzbuch (FNA 860-5)
Artikel 20 Änderung der Digitale Gesundheitsanwendungen-Verordnung (FNA 860-5-55) Artikel 21 Änderung des Sechsten Buches Sozialgesetzbuch (FNA 860-6)
Artikel 22 Änderung der Verordnung zum Barrierefreiheitsstärkungsgesetz (FNA 860-9- 4-1)
Artikel 23 Änderung des Telekommunikationsgesetzes (FNA 900-17)
Artikel 24 Änderung der Krankenhausstrukturfonds-Verordnung (FNA 2126-9-19) Artikel 25 Änderung der Mess- und Eichverordnung (FNA 7141-8-1)
Artikel 26 Änderung der Außenwirtschaftsverordnung (FNA 7400-4-1) Artikel 27 Änderung des Vertrauensdienstegesetzes (FNA 9020-13) Artikel 28 Inkrafttreten, Außerkrafttreten
Artikel 1
Gesetz über das Bundesamt für Sicherheit in der Informations- technik und über die Sicherheit der Informationstechnik von kriti- schen Anlagen und Einrichtungen
(BSI-Gesetz – BSIG)
Inhaltsübersicht
T e i l 1
A l l g e m e i n e V o r s c h r i f t e n
§ 1 Bundesamt für Sicherheit in der Informationstechnik
§ 2 Begriffsbestimmungen
T e i l 2
D a s B u n d e s a m t
Kapitel 1 Aufgaben und Befugnisse
§ 3 Aufgaben des Bundesamtes
§ 4 Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes
§ 5 Allgemeine Meldestelle für die Sicherheit in der Informationstechnik
§ 6 Informationsaustausch
§ 7 Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte
§ 8 Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes
§ 9 Verarbeitung von Protokollierungsdaten der Kommunikationstechnik des Bundes
§ 10 Anordnungen von Maßnahmen zur Abwendung oder Behebung von Sicherheitsvorfällen
§ 11 Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fäl- len
§ 12 Bestandsdatenauskunft
§ 13 Warnungen
§ 14 Untersuchung der Sicherheit in der Informationstechnik
§ 15 Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden
§ 16 Anordnungen des Bundesamtes gegenüber Anbietern von Telekommunikationsdiensten
§ 17 Anordnungen des Bundesamtes gegenüber Anbietern von Telemediendiensten
§ 18 Anordnungen des Bundesamtes gegenüber Herstellern von IKT-Produkten
§ 19 Bereitstellung von IT-Sicherheitsprodukten
Kapitel 2 Datenverarbeitungen
§ 20 Verarbeitung personenbezogener Daten
§ 21 Beschränkungen der Rechte der betroffenen Person
§ 22 Informationspflicht bei Erhebung von personenbezogenen Daten
§ 23 Auskunftsrecht der betroffenen Person
§ 24 Recht auf Berichtigung
§ 25 Recht auf Löschung
§ 26 Recht auf Einschränkung der Verarbeitung
§ 27 Widerspruchsrecht
T e i l 3
S i c h e r h e i t d e r I n f o r m a t i o n s t e c h n i k v o n k r i t i s c h e n A n l a g e n u n d E i n r i c h t u n g e n
Kapitel 1 Anwendungsbereich
§ 28 Anwendungsbereich, Betreiber kritischer Anlagen, besonders wichtige Einrichtungen und wichtige Einrichtungen
§ 29 Einrichtungen der Bundesverwaltung
Kapitel 2
Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten
§ 30 Risikomanagementmaßnahmen
§ 31 Meldepflichten
§ 32 Registrierungspflicht
§ 33 Besondere Registrierungspflicht für bestimmte Einrichtungsarten
§ 34 Nachweispflichten für besonders wichtige Einrichtungen
§ 35 Unterrichtungspflichten
§ 36 Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen
§ 37 Ausnahmebescheid
§ 38 Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter besonders wichtiger Einrichtungen und wichti- ger Einrichtungen
§ 39 Zusätzliche Anforderungen an Betreiber kritischer Anlagen
§ 40 Zentrale Melde- und Anlaufstelle
§ 41 Untersagung des Einsatzes kritischer Komponenten
§ 42 Auskunftsverlangen
Kapitel 3
Sicherheit in der Informationstechnik der Einrichtungen der Bundesverwaltung
§ 43 Informationssicherheitsmanagement
§ 44 Vorgaben des Bundesamtes
§ 45 Informationssicherheitsbeauftragte der Einrichtungen der Bundesverwaltung
§ 46 Informationssicherheitsbeauftragte der Ressorts
§ 47 Wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes
§ 48 Amt des Koordinators für Informationssicherheit
§ 49 Aufgaben des Koordinators
§ 50 Befugnisse des Koordinators
T e i l 4
D a t e n b a n k e n d e r D o m a i n – N a m e – R e g i s t r i e r u n g s d a t e n
§ 51 Pflicht zum Führen einer Datenbank
§ 52 Verpflichtung zur Zugangsgewährung
§ 53 Kooperationspflicht
T e i l 5
Z e r t i f i z i e r u n g u n d K e n n z e i c h e n
§ 54 Zertifizierung
§ 55 Nationale Behörde für die Cybersicherheitszertifizierung
§ 56 Freiwilliges IT-Sicherheitskennzeichen
T e i l 6
V e r o r d n u n g s e r m ä c h t i g u n g e n , G r u n d r e c h t s e i n s c h r ä n k u n g e n u n d B e r i c h t s p f l i c h t e n
§ 57 Ermächtigung zum Erlass von Rechtsverordnungen
§ 58 Einschränkung von Grundrechten
§ 59 Berichtspflichten des Bundesamtes
T e i l 7
S a n k t i o n s v o r s c h r i f t e n u n d A u f s i c h t
§ 60 Sanktionsvorschriften
§ 61 Institutionen der Sozialen Sicherung
§ 62 Zuständigkeit des Bundesamtes
§ 63 Zentrale Zuständigkeit in der Europäischen Union für bestimmte Einrichtungsarten
§ 64 Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen
§ 65 Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen
T e i l 1
A l l g e m e i n e V o r s c h r i f t e n
§ 1
Bundesamt für Sicherheit in der Informationstechnik
Das Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) ist eine Bundes- oberbehörde im Geschäftsbereich des Bundesministeriums des Innern und für Heimat. Es ist die zentrale Stelle für Informationssicherheit auf nationaler Ebene. Aufgaben gegenüber
den Bundesministerien führt das Bundesamt auf Grundlage wissenschaftlich-technischer Erkenntnisse durch.
§ 2
Begriffsbestimmungen
Im Sinne dieses Gesetzes ist oder sind
„Beinahevorfall“ ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Ver- traulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über informationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zugänglich sind, beeinträchtigt haben könnte, dessen Eintritt jedoch erfolgreich verhindert wurde oder auf andere Weise nicht eingetreten ist;
„Cloud Computing-Dienst“ ein digitaler Dienst, der auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind;
„Content Delivery Network“ ein Netz dezentraler Server zur Gewährleistung einer ho- hen Verfügbarkeit, Zugänglichkeit oder Zustellung digitaler Inhalte und Dienste für In- ternetnutzer mit möglichst niedriger Latenz im Auftrag von Inhalte- und Diensteanbie- tern;
„Cyberbedrohung“ eine Cyberbedrohung im Sinne des Artikel 2 Nummer 8 der Verord- nung (EU) 2019/881;
„Datenverkehr“ mittels technischer Protokolle übertragene Daten; Telekommunikati- onsinhalte nach § 3 Absatz 1 des Telekommunikation-Telemedien-Datenschutz-Ge- setzes und Nutzungsdaten nach § 2 Absatz 2 Nummer 3 des Telekommunikation-Te- lemedien-Datenschutz-Gesetzes können enthalten sein;
„digitaler Dienst“ ein Dienst im Sinne von Artikel 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1);
„DNS-Diensteanbieter“ eine natürliche oder juristische Person, die
für Internet-Endnutzer öffentlich verfügbare rekursive Dienste zur Auflösung von Domain-Namen anbietet oder
autoritative Dienste zur Auflösung von Domain-Namen zur Nutzung durch Dritte, mit Ausnahme von Root- Namenservern, anbietet;
„Domain-Name-Registry-Dienstleister“ ein Registrar oder eine Stelle, die im Namen von Registraren tätig ist, insbesondere Anbieter oder Wiederverkäufer von Daten- schutz- oder Proxy-Registrierungsdiensten;
„erhebliche Cyberbedrohung“ eine Cyberbedrohung, die das Potenzial besitzt, die in- formationstechnischen Systeme, Komponenten und Prozesse aufgrund ihrer besonde- ren technischen Merkmale erheblich zu beeinträchtigen; eine Beeinträchtigung ist er- heblich, wenn sie erheblichen materiellen oder immateriellen Schaden verursachen kann;
„erheblicher Sicherheitsvorfall“ ein Sicherheitsvorfall, der
schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann; oder
andere natürliche oder juristische Personen durch erhebliche materielle oder im- materielle Schäden beeinträchtigt hat oder beeinträchtigen kann,
soweit nach Absatz 2 keine weitergehende Begriffsbestimmung erfolgt;
„Geschäftsleiter“ diejenigen natürlichen Personen, die nach Gesetz, Satzung oder Ge- sellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer Einrichtung be- rufen sind;
„Großunternehmen“ ein Unternehmen oder eine rechtlich unselbständige Organisati- onseinheit einer Gebietskörperschaft, das oder die
mindestens 250 Mitarbeiter beschäftigt, oder
einen Jahresumsatz von mindestens 50 Millionen Euro und zudem eine Jahresbi- lanzsumme von mindestens 43 Millionen Euro aufweist;
bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme ist außer für rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft die Empfehlung 2003/361/EG mit Ausnahme von Artikel 3 Absatz 4 des Anhang anzu- wenden; die Daten von Partner- oder verbundenen Unternehmen im Sinne der Emp- fehlung 2003/361/EG sind nicht hinzurechnen, wenn das Unternehmen unter Berück- sichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse, die das Unternehmen für die Erbringung seiner Dienste nutzt, ausübt;
„IKT-Dienst“ ein IKT-Dienst im Sinne des Artikels 2 Nummer 13 der Verordnung (EU) 2019/881;
„IKT-Produkt“ ein IKT-Produkt im Sinne des Artikels 2 Nummer 12 der Verordnung (EU) 2019/881;
„IKT-Prozess“ ein IKT-Prozess im Sinne des Artikels 2 Nummer 14 der Verordnung (EU) 2019/881;
„Informationstechnik“ ein technisches Mittel zur Verarbeitung von Informationen;
„Internet Exchange Point“ oder „IXP“ eine Netzeinrichtung, die die Zusammenschaltung von mehr als zwei unabhängigen Netzen (autonomen Systemen) ermöglicht, in erster Linie zur Erleichterung des Austauschs von Internet-Datenverkehr, der nur der Zusam- menschaltung autonomer Systeme dient und weder voraussetzt, dass der Internet-Da- tenverkehr zwischen zwei beliebigen teilnehmenden autonomen Systemen über ein drittes autonomes System läuft; noch den betreffenden Datenverkehr verändert oder anderweitig beeinträchtigt;
„Kommunikationstechnik des Bundes“ Informationstechnik, die von einer oder mehre- ren Einrichtungen der Bundesverwaltung oder im Auftrag einer oder mehrerer Einrich- tungen der Bundesverwaltung betrieben wird und der Kommunikation oder dem Daten- austausch innerhalb einer Einrichtung der Bundesverwaltung, der Einrichtungen der Bundesverwaltung untereinander oder der Einrichtungen der Bundesverwaltung mit
Dritten dient; davon ausgenommen ist die Kommunikationstechnik des Bundesverfas- sungsgerichts, der Bundesgerichte, soweit sie nicht öffentlich-rechtliche Verwaltungs- aufgaben wahrnehmen, des Bundestages, des Bundesrates, des Bundespräsidenten und des Bundesrechnungshofes, soweit sie ausschließlich in deren eigener Zuständig- keit betrieben wird;
„kritische Anlage“ eine Anlage, die von hoher Bedeutung für das Funktionieren des Gemeinwesens ist, da durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Ver- sorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden; welche Anlagen im Einzelnen kritische Anlagen sind, bestimmt sich nach
§ 28 Absatz 3;
„kritische Komponenten“ IT-Produkte,
die in Kritischen Anlagen eingesetzt werden,
bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähig- keit Kritischer Anlagen oder zu Gefährdungen für die öffentliche Sicherheit führen können und
die auf Grund eines Gesetzes unter Verweis auf diese Vorschrift
als kritische Komponente bestimmt werden oder
eine auf Grund eines Gesetzes als kritisch bestimmte Funktion realisieren,
werden für einen der in § 57 Absatz 1 Nummer 1 genannten Sektoren keine kritischen Komponenten und keine kritischen Funktionen, aus denen kritische Komponenten ab- geleitet werden können, auf Grund eines Gesetzes unter Verweis auf diese Vorschrift bestimmt, gibt es in diesem Sektor keine kritischen Komponenten im Sinne von dieser Nummer;
„Managed Security Service Provider“ oder „MSSP“ ein Anbieter verwalteter Dienste, der Unterstützung für Tätigkeiten im Zusammenhang mit dem Risikomanagement im Bereich der Cybersicherheit durchführt oder erbringt;
„Managed Service Provider“ oder „MSP“ eine Einrichtung, die Dienste im Zusammen- hang mit der Installation, der Verwaltung, dem Betrieb oder der Wartung von IKT-Pro- dukten, -Netzen, -Infrastruktur, -Anwendungen oder jeglicher anderer Netz- und Infor- mationssysteme durch Unterstützung oder aktive Verwaltung in den Räumlichkeiten der Kunden oder aus der Ferne erbringt;
„mittleres Unternehmen“ ein Unternehmen oder eine rechtlich unselbständige Organi- sationseinheit einer Gebietskörperschaft, das oder die
mindestens 50 und höchstens 249 Mitarbeiter beschäftigt und zudem einen Jah- resumsatz von weniger als 50 Millionen Euro oder eine Jahresbilanzsumme von weniger als 43 Millionen Euro aufweist, oder
weniger als 50 Mitarbeiter beschäftigt und einen Jahresumsatz und eine Jahresbi- lanzsumme von jeweils mindestens 10 Millionen Euro und einen Jahresumsatz von höchstens 50 Millionen Euro sowie eine Bilanzsumme von höchstens 43 Millionen Euro aufweist;
bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme ist außer für rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft
die Empfehlung 2003/361/EG mit Ausnahme von Artikel 3 Absatz 4 des Anhang anzu- wenden; die Daten von Partner- oder verbundenen Unternehmen im Sinne der Emp- fehlung 2003/361/EG sind nicht hinzurechnen, wenn das Unternehmen unter Berück- sichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse, die das Unternehmen für die Erbringung seiner Dienste nutzt, ausübt;
„NIS-2-Richtlinie“ die Richtlinie 2022/2555 des Europäischen Parlaments und des Ra- tes vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersi- cherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27.12.2022, S. 80) in der jeweils geltenden Fassung;
„Online-Marktplatz“ ein Dienst im Sinne des § 312l Absatz 3 BGB;
„Online-Suchmaschine“ ein digitaler Dienst im Sinne des Artikels 2 Nummer 5 der Ver- ordnung (EU) 2019/1150;
„Plattform für Dienste sozialer Netzwerke“ eine Plattform, auf der Endnutzer mit unter- schiedlichen Geräten insbesondere durch Chats, Posts, Videos und Empfehlungen mit- einander in Kontakt treten und kommunizieren sowie Inhalte teilen und entdecken kön- nen;
„Protokolldaten“ Steuerdaten eines informationstechnischen Protokolls zur Datenüber- tragung, die unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sind; Verkehrsdaten gemäß § 3 Nummer 70 des Telekommunikationsgesetzes und Nut- zungsdaten nach § 2 Absatz 2 Nummer 3 des Telekommunikation-Telemedien-Daten- schutz-Gesetzes können enthalten sein;
„Protokollierungsdaten“ Aufzeichnungen über technische Ereignisse oder Zustände in- nerhalb informationstechnischer Systeme;
„qualifizierter Vertrauensdienst“ ein qualifizierter Vertrauensdienst im Sinne des Arti- kels 3 Nummer 17 der Verordnung (EU) Nr. 910/2014;
„qualifizierter Vertrauensdiensteanbieter“ ein qualifizierter Vertrauensdiensteanbieter im Sinne des Artikels 3 Nummer 20 der Verordnung (EU) Nr. 910/2014;
„Rechenzentrumsdienst“ ein Dienst, mit dem spezielle Strukturen oder Gruppen von Strukturen für die zentrale Unterbringung, die Verbindung und den Betrieb von IT- und Netzausrüstungen zur Erbringung von Datenspeicher-, Datenverarbeitungs- und Da- tentransportdiensten sowie alle Anlagen und Infrastrukturen für die Leistungsverteilung und die Umgebungskontrolle bereitgestellt werden;
„Schadprogramme“ Programme und sonstige informationstechnische Routinen und Verfahren, die dem Zweck dienen, unbefugt Daten zu nutzen oder zu löschen oder die dem Zweck dienen, unbefugt auf sonstige informationstechnische Abläufe einzuwirken;
„Schnittstellen der Kommunikationstechnik des Bundes“ sicherheitsrelevante Netzwer- kübergänge innerhalb der Kommunikationstechnik des Bundes sowie zwischen dieser und der Informationstechnik der einzelnen Einrichtungen der Bundesverwaltung, Grup- pen von Einrichtungen der Bundesverwaltung oder Dritter; davon ausgenommen sind die Komponenten an den Netzwerkübergängen, die in eigener Zuständigkeit der in Nummer 18 genannten Gerichte und Verfassungsorgane betrieben werden;
„Schwachstelle“ eine Eigenschaft von IKT-Produkten oder IKT-Diensten durch deren Ausnutzung es möglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang zu fremden IKT-Produkten oder IKT-Diensten verschaffen oder die Funktion von IKT- Produkten oder IKT-Diensten beeinflussen können;
„Sicherheit in der Informationstechnik“ die Einhaltung bestimmter Sicherheitsstan- dards, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen
in informationstechnischen Systemen, Komponenten oder Prozessen oder
bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen;
„Sicherheitsvorfall“ ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über informationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zugänglich sind, beeinträchtigt;
„Systeme zur Angriffserkennung“ durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstech- nische Systeme; wobei die Angriffserkennung durch Abgleich der in einem informati- onstechnischen System verarbeiteten Daten mit Informationen und technischen Mus- tern, die auf Angriffe hindeuten, erfolgt;
„Top Level Domain Name Registry“ eine Einrichtung, welche die Registrierung von In- ternet-Domain-Namen innerhalb einer spezifischen Top Level Domain (TLD) verwaltet und betreibt, einschließlich des Betriebs ihrer Namenserver, der Pflege ihrer Daten- banken und der Verteilung von TLD-Zonendateien über die Namenserver, zuständig ist, unabhängig davon, ob der Betrieb durch die Einrichtung selbst erfolgt oder ausge- lagert wird, jedoch mit Ausnahme von Situationen, in denen TLD-Namen von einem Register nur für seine eigenen Zwecke verwendet werden;
„Vertrauensdienst“ ein Vertrauensdienst im Sinne des Artikels 3 Nummer 16 der Ver- ordnung (EU) Nr. 910/2014;
„Vertrauensdiensteanbieter“ ein Vertrauensdiensteanbieter im Sinne des Artikels 3 Nummer 19 der Verordnung (EU) Nr. 910/2014;
„Zertifizierung“ die Feststellung einer Zertifizierungsstelle, dass ein Produkt, ein Pro- zess, ein System, ein Schutzprofil (Sicherheitszertifizierung), eine Person (Perso- nenzertifizierung) oder ein IT-Sicherheitsdienstleister bestimmte Anforderungen erfüllt.
Das Bundesministerium des Innern und für Heimat kann durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, bestimmen, wann ein Sicherheitsvorfall im Hinblick auf seine technischen oder organisatorischen Ursachen oder seine Auswirkun- gen auf die Einrichtung, Staat, Wirtschaft und Gesellschaft oder die Anzahl der von den Auswirkungen Betroffenen als erheblich im Sinne von Absatz 1 Nummer 10 anzusehen ist. Das Bundesministerium kann die Ermächtigung durch Rechtsverordnung auf das Bundes- amt übertragen. Für den Fall, dass die Europäische Kommission einen oder mehrere Durchführungsrechtsakte gemäß Artikel 23 Absatz 11 Unterabsatz 2 der NIS-2-Richtlinie erlässt, worin näher bestimmt wird, in welchen Fällen ein Sicherheitsvorfall als erheblich anzusehen ist, geht diese der Rechtsverordnung nach Satz 1 und 2 insoweit vor.
T e i l 2
D a s B u n d e s a m t
Kapitel 1 Aufgaben und Befugnisse
§ 3
Aufgaben des Bundesamtes
Das Bundesamt fördert die Sicherheit in der Informationstechnik. Hierzu nimmt es folgende wichtige im öffentlichen Interesse liegende Aufgaben wahr:
Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes;
Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheits- vorkehrungen und Zurverfügungstellung der gewonnenen Erkenntnisse für andere Stellen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist, sowie für Dritte, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist;
Wahrnehmung der Aufgaben in der Kooperationsgruppe und im CSIRTs-Netzwerk nach Artikel 14 und 15 der NIS-2-Richtlinie;
Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen, insbesondere von informationstechnischen Verfahren und Geräten für die Sicherheit in der Informationstechnik (IT-Sicherheitspro- dukte), soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist, einschließ- lich der Forschung im Rahmen seiner gesetzlichen Aufgaben;
Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und für die Prüfung und Bewertung der Konformität im Bereich der IT-Sicherheit;
Durchführung von Peer Reviews nach Artikel 19 der NIS-2-Richtlinie;
Festlegung von Sicherheitsanforderungen für die Kommunikationsinfrastruktur der res- sortübergreifenden Kommunikationsnetze sowie weiterer staatlicher Kommunikati- onsinfrastrukturen des Bundes im Benehmen mit den jeweiligen Betreibern sowie Überprüfung der Einhaltung dieser Sicherheitsanforderungen;
Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und Erteilung von Sicherheitszertifikaten;
Wahrnehmung der Aufgaben und Befugnisse nach Artikel 58 Absatz 7 und 8 der Ver- ordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit, ABl. L 151 vom 7.6.2019, S. 15) als nationale Behörde für die Cybersicherheitszertifi- zierung;
Prüfung und Bestätigung der Konformität im Bereich der IT-Sicherheit von informati- onstechnischen Systemen und Komponenten mit technischen Richtlinien des Bundes- amtes;
Prüfung, Bewertung und Zulassung von informationstechnischen Systemen oder Kom- ponenten, die für die Verarbeitung amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes im Bereich des Bundes oder bei Unternehmen im Rahmen von Aufträgen des Bundes eingesetzt werden sollen;
Herstellung von Schlüsseldaten und Betrieb von Krypto- und Sicherheitsmanagement- systemen für informationssichernde Systeme des Bundes, die im Bereich des staatli- chen Geheimschutzes oder auf Anforderung der betroffenen Behörde auch in anderen Bereichen eingesetzt werden;
Unterstützung und Beratung bei organisatorischen und technischen Sicherheitsmaß- nahmen sowie Durchführung von technischen Prüfungen zum Schutz amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes gegen die Kenntnisnahme durch Unbefugte;
Entwicklung von sicherheitstechnischen Anforderungen an die einzusetzende Informa- tionstechnik des Bundes und an die Eignung von Auftragnehmern im Bereich von In- formationstechnik mit besonderem Schutzbedarf;
Bereitstellung von IT-Sicherheitsprodukten für Einrichtungen der Bundesverwaltung;
Unterstützung der für Sicherheit in der Informationstechnik zuständigen Stellen des Bundes, insbesondere soweit sie Beratungs- oder Kontrollaufgaben wahrnehmen; dies gilt vorrangig für den Bundesbeauftragten für den Datenschutz, dessen Unterstützung im Rahmen der Unabhängigkeit erfolgt, die ihm bei der Erfüllung seiner Aufgaben nach der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Daten- schutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S.
72; L 127 vom 23.5.2018, S. 2) und dem Bundesdatenschutzgesetz zusteht;
Beratung und Unterstützung der Einrichtungen der Bundesverwaltung in Fragen der Sicherheit in der Informationstechnik;
Unterstützung
der Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzli- chen Aufgaben,
der Verfassungsschutzbehörden und des Militärischen Abschirmdienstes bei der Auswertung und Bewertung von Informationen, die bei der Beobachtung terroristi- scher Bestrebungen oder nachrichtendienstlicher Tätigkeiten im Rahmen der ge- setzlichen Befugnisse nach den Verfassungsschutzgesetzen des Bundes und der Länder beziehungsweise dem MAD-Gesetz anfallen,
des Bundesnachrichtendienstes bei der Wahrnehmung seiner gesetzlichen Aufga- ben;
die Unterstützung darf nur gewährt werden, soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen; die Unterstützungs- ersuchen sind durch das Bundesamt aktenkundig zu machen;
auf Ersuchen der zuständigen Stellen der Länder Unterstützung dieser Stellen in Fra- gen der Abwehr von Gefahren für die Sicherheit in der Informationstechnik;
Beratung, Information und Warnung der Einrichtungen der Bundesverwaltung, der Län- der sowie der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der In- formationstechnik, insbesondere unter Berücksichtigung der möglichen Folgen fehlen- der oder unzureichender Sicherheitsvorkehrungen;
Verbraucherschutz und Verbraucherinformation im Bereich der Sicherheit in der Infor- mationstechnik, insbesondere durch Beratung und Warnung von Verbrauchern in Fra- gen der Sicherheit in der Informationstechnik und unter Berücksichtigung der mögli- chen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen;
Aufbau geeigneter Kommunikationsstrukturen zur Krisenfrüherkennung, Krisenreak- tion und Krisenbewältigung sowie Koordinierung der Zusammenarbeit zum Schutz der Sicherheit in der Informationstechnik kritischer Anlagen im Verbund mit der Privatwirt- schaft;
Aufgaben als zentrale Stelle im Bereich der Sicherheit in der Informationstechnik im Hinblick auf die Zusammenarbeit mit den zuständigen Stellen im Ausland, unbeschadet besonderer Zuständigkeiten anderer Stellen;
Aufgaben nach § 40 als zentrale Stelle für die Sicherheit in der Informationstechnik von Betreibern kritischer Anlagen, besonders wichtigen Einrichtungen und wichtigen Ein- richtungen einschließlich des Ersuchens und Erbringens von Amtshilfe nach Artikel 37 der NIS-2-Richtinie;
Unterstützung bei der Wiederherstellung der Sicherheit oder Funktionsfähigkeit infor- mationstechnischer Systeme in herausgehobenen Fällen nach § 11;
Empfehlungen für Identifizierungs- und Authentisierungsverfahren und Bewertung die- ser Verfahren im Hinblick auf die Informationssicherheit;
Beschreibung und Veröffentlichung eines Stands der Technik bei sicherheitstechni- schen Anforderungen an IT-Produkte unter Berücksichtigung bestehender Normen und Standards sowie Einbeziehung der betroffenen Wirtschaftsverbände;
Kooperation mit und Unterstützung für nationale Computer-Notfallteams von Drittlän- dern oder gleichwertigen Stellen von Drittländern; im Fall von Einsätzen des Bundes- amtes im Ausland darf dies nicht gegen den Willen des Staates erfolgen, auf dessen Hoheitsgebiet die Maßnahme stattfinden soll; die Entscheidung über einen Einsatz des Bundesamtes im Ausland trifft das Bundesministerium des Innern und für Heimat.
Das Bundesamt kann die Länder auf Ersuchen bei der Sicherung ihrer Informati- onstechnik unterstützen.
Das Bundesamt kann Betreiber kritischer Anlagen auf deren Ersuchen bei der Si- cherung ihrer Informationstechnik beraten und unterstützen oder auf qualifizierte Sicher- heitsdienstleister verweisen.
§ 4
Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes
Das Bundesamt ist die zentrale Meldestelle für die Zusammenarbeit der Einrich- tungen der Bundesverwaltung in Angelegenheiten der Sicherheit in der Informationstech- nik.
Das Bundesamt hat zur Wahrnehmung dieser Aufgabe
alle für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik erforder- lichen Informationen, insbesondere zu Schwachstellen, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweise, zu sammeln und auszuwerten,
die Einrichtungen der Bundesverwaltung unverzüglich über die sie betreffenden Infor- mationen nach Nummer 1 und die in Erfahrung gebrachten Zusammenhänge zu unter- richten.
Ausgenommen von den Unterrichtungspflichten nach Absatz 2 Nummer 2 sind In- formationen, die aufgrund von Regelungen zum Geheimschutz oder Vereinbarungen mit Dritten nicht weitergegeben werden dürfen oder deren Weitergabe im Widerspruch zu der verfassungsrechtlichen Stellung eines Abgeordneten des Bundestages oder eines Verfas- sungsorgans oder der gesetzlich geregelten Unabhängigkeit einzelner Stellen stünde.
§ 5
Allgemeine Meldestelle für die Sicherheit in der Informationstechnik
Zur Wahrnehmung der Aufgaben nach § 3 nimmt das Bundesamt als zentrale Stelle für Meldungen von Dritten Informationen über Sicherheitsrisiken in der Informations- technik entgegen und wertet diese Informationen aus. Das Bundesamt ist dabei der natio- nale Koordinator für die Zwecke einer koordinierten Offenlegung von Schwachstellen im Sinne des Artikels 12 Absatz 1 der NIS-2-Richtlinie.
Das Bundesamt nimmt zur Wahrnehmung der Aufgaben nach Absatz 1 Informati- onen zu Schwachstellen, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweisen sowie zu Sicherheitsvorfällen, Cyberbedrohungen und Beinahevorfällen entgegen. Das Bundes- amt richtet hierzu geeignete Meldemöglichkeiten ein. Die Meldungen können anonym erfol- gen. Soweit die Meldung nicht anonym erfolgt, kann der Meldende mit der Meldung oder später verlangen, dass seine personenbezogenen Daten nur anonymisiert weitergegeben werden dürfen. Dies gilt nicht in den Fällen des § 8 Absatz 6 und 7 Satz 1. Eine Übermitt- lung der personenbezogenen Daten in den Fällen von § 8 Absatz 6 und 7 Satz 1 hat zu un- terbleiben, wenn für das Bundesamt erkennbar ist, dass die schutzwürdigen Interessen des Meldenden das Allgemeininteresse an der Übermittlung überwiegen. Zu berücksichtigen ist dabei auch die Art und Weise, mittels derer der Meldende die Erkenntnisse gewonnen hat. Die Entscheidung nach Satz 6 muss dem oder der behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem oder einer weiteren Bediensteten des Bundesamtes, der oder die die Befähigung zum Richteramt hat, zur vorherigen Prüfung vorgelegt werden.
Das Bundesamt soll die gemäß Absatz 2 gemeldeten Informationen nutzen, um
Dritte über bekannt gewordene Schwachstellen, Schadprogramme, erfolgte oder ver- suchte Angriffe auf die Sicherheit in der Informationstechnik zu informieren, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist,
die Öffentlichkeit oder betroffene Kreise gemäß § 13 zu warnen und zu informieren,
Einrichtungen der Bundesverwaltung gemäß § 4 Absatz 2 Nummer 2 über die sie be- treffenden Informationen zu unterrichten,
Betreiber kritischer Anlagen, besonders wichtige Einrichtungen und wichtige Einrich- tungen gemäß § 40 Absatz 2 Nummer 4 Buchstabe a über die sie betreffenden Infor- mationen zu unterrichten,
seine Aufgaben als zuständige Behörde, CSIRT und zentrale Anlaufstelle im Sinne der NIS-2-Richtlinie wahrzunehmen.
Eine Weitergabe nach Absatz 3 Nummer 1, 2 oder 4 erfolgt nicht, soweit die ge- mäß Absatz 2 gemeldeten Informationen
Betriebs- und Geschäftsgeheimnisse von Dritten beinhalten und die Maßnahmen nach Absatz 3 nicht ohne Bekanntgabe dieser Betriebs- und Geschäftsgeheimnisse durch- geführt werden können oder
auf Grund von Vereinbarungen des Bundesamtes mit Dritten nicht übermittelt werden dürfen.
Sonstige gesetzliche Meldepflichten, Regelungen zum Geheimschutz, gesetzliche Übermittlungshindernisse und Übermittlungsregelungen bleiben unberührt.
§ 6
Informationsaustausch
Das Bundesamt ermöglicht den Informationsaustausch von Betreibern kritischer Anlagen, besonders wichtigen Einrichtungen und wichtigen Einrichtungen, Einrichtungen der Bundesverwaltung sowie deren jeweiligen Lieferanten oder Dienstleistern untereinan- der zu Cyberbedrohungen, Beinahevorfällen, Schwachstellen, Techniken und Verfahren, Kompromittierungsindikatoren, gegnerische Taktiken, bedrohungsspezifische Informatio- nen, Cybersicherheitswarnungen und Empfehlungen für die Konfiguration von Cybersicher- heitsinstrumenten sowie zur Aufdeckung von Cyberangriffen. Es betreibt dazu ein geeigne- tes Online-Portal.
Die Teilnahme am Informationsaustausch steht grundsätzlich allen Betreibern kri- tischer Anlagen, besonders wichtigen Einrichtungen, wichtigen Einrichtungen, Einrichtun- gen der Bundesverwaltung sowie deren jeweiligen Lieferanten oder Dienstleistern offen. Das Bundesamt kann entsprechende Teilnahmebedingungen erstellen, die die Teilnahme am Informationsaustausch regeln. Das Bundesamt kann weiteren Stellen die Teilnahme ermöglichen.
§ 7
Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte
Das Bundesamt ist befugt, die Sicherheit der Kommunikationstechnik des Bundes und ihrer Komponenten, einschließlich technischer Infrastrukturen, die zum Betrieb der Kommunikationstechnik des Bundes erforderlich sind, zu kontrollieren. Es kann hierzu die Bereitstellung der zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1 und 20
erforderlichen Informationen, insbesondere zu technischen Details, zu Strategien, Planun- gen und Regelungen mit Bezug zur Kommunikationstechnik des Bundes einschließlich Auf- bau- und Ablauforganisation verlangen sowie Unterlagen und Datenträger des Betreibers der jeweiligen Kommunikationstechnik des Bundes oder eines mit Betriebsleistungen be- auftragten Dritten einsehen und die unentgeltliche Herausgabe von Kopien dieser Unterla- gen und Dokumente, auch in elektronischer Form, verlangen, soweit nicht Geheimschutz- interessen oder überwiegende Sicherheitsinteressen des Betreibers entgegenstehen.
Dem Bundesamt ist in den Zeiten, zu denen die Räume normalerweise für die je- weilige geschäftliche oder betriebliche Nutzung zur Verfügung stehen, zu den Grundstü- cken und Betriebsräumen, einschließlich Datenverarbeitungsanlagen und -geräten, die für die Kommunikationstechnik des Bundes verwendet werden, Zugang zu gewähren, soweit dies zur Erfüllung der Zwecke nach Absatz 1 erforderlich ist.
Bei Anlagen eines Dritten, bei dem eine Schnittstelle zur Kommunikationstechnik des Bundes besteht, kann das Bundesamt auf der Schnittstellenseite der Einrichtung nur mit Zustimmung des Dritten die Sicherheit der Schnittstelle kontrollieren. Es kann hierzu mit Zustimmung des Dritten die zur Aufgabenerfüllung erforderlichen Informationen, insbeson- dere zu technischen Details, zu Strategien, Planungen und Regelungen sowie Unterlagen und Datenträger des Betreibers einsehen und unentgeltlich Kopien, auch in elektronischer Form, anfertigen.
Das Bundesamt teilt das Ergebnis seiner Kontrolle nach den Absätzen 1 bis 3 dem jeweiligen überprüften Betreiber, im Falle einer Einrichtung der Bundesverwaltung zusätz- lich der zuständigen Rechts- und Fachaufsicht sowie dem Koordinator oder der Koordina- torin für Informationssicherheit mit. Mit der Mitteilung soll es Vorschläge zur Verbesserung der Informationssicherheit, insbesondere zur Beseitigung der festgestellten Mängel, verbin- den. Für die Mitteilung an Stellen außerhalb des Betreibers gilt § 4 Absatz 3 entsprechend.
Ausgenommen von den Befugnissen nach den Absätzen 1 bis 3 sind Kontrollen der Auslandsinformations- und -kommunikationstechnik im Sinne des § 9 Absatz 2 des Ge- setzes über den Auswärtigen Dienst, soweit sie ausschließlich im Ausland belegen ist oder für das Ausland oder für Anwender im Ausland betrieben wird. Die Bestimmungen für die Schnittstellen der Kommunikationstechnik des Bundes im Inland bleiben davon unberührt. Näheres zu Satz 1 regelt eine Verwaltungsvereinbarung zwischen dem Bundesministerium des Innern und für Heimat und dem Auswärtigen Amt.
Die Befugnisse nach den Absätzen 1 bis 3 gelten im Geschäftsbereich des Bun- desministeriums der Verteidigung nicht für die Kontrolle der Informations- und Kommunika- tionstechnik, die von den Streitkräften für ihre Zwecke oder dem Militärischen Abschirm- dienst genutzt wird. Nicht ausgenommen ist die Informations- und Kommunikationstechnik von Dritten, insbesondere von IT-Dienstleistern, soweit sie nicht ausschließlich für die Zwe- cke der Streitkräfte betrieben wird. Die Bestimmungen für die Schnittstellen der Kommuni- kationstechnik des Bundes bleiben von den Sätzen 1 und 2 unberührt. Näheres regelt eine Verwaltungsvereinbarung zwischen dem Bundesministerium des Innern und für Heimat und dem Bundesministerium der Verteidigung.
Das Bundesamt unterrichtet kalenderjährlich jeweils bis zum 30. Juni des dem Be- richtsjahr folgenden Jahres den Haushaltsausschuss des Deutschen Bundestages über die Anwendung dieser Vorschrift.
§ 8
Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes
Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes
Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, er- heben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Be- seitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist,
die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten, soweit dies für die Erkennung und Abwehr von Schadpro- grammen erforderlich ist.
Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, muss die au- tomatisierte Auswertung dieser Daten unverzüglich erfolgen und müssen diese nach erfolg- tem Abgleich sofort und spurenlos gelöscht werden. Die Verwendungsbeschränkungen gel- ten nicht für Protokolldaten, sofern diese weder personenbezogene noch dem Fernmelde- geheimnis unterliegende Daten beinhalten. Die Einrichtungen der Bundesverwaltung sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu einrichtungsinternen Protokolldaten nach Satz 1 Nummer 1 sowie Schnittstellendaten nach Satz 1 Nummer 2 sicherzustellen. Protokolldaten der Bun- desgerichte dürfen nur in deren Einvernehmen erhoben werden.
Protokolldaten nach Absatz 1 Satz 1 Nummer 1 dürfen über den für die automati- sierte Auswertung nach Absatz 1 Satz 1 Nummer 1 erforderlichen Zeitraum hinaus, längs- tens jedoch für 18 Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte dafür bestehen, dass diese im Falle der Bestätigung eines Verdachts nach Absatz 4 Satz 2 zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen oder zur Er- kennung und Abwehr anderer Schadprogramme erforderlich sein können. Durch organisa- torische und technische Maßnahmen ist sicherzustellen, dass eine Auswertung der nach diesem Absatz gespeicherten Daten nur automatisiert erfolgt und dass ein Zugriff auf Da- ten, die länger als drei Monate gespeichert sind, nur bei Vorliegen tatsächlicher Erkennt- nisse über die Betroffenheit des Bundes mit einem Schadprogramm erfolgt. Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. Eine nicht automatisierte Ver- arbeitung ist nur nach Maßgabe der nachfolgenden Absätze zulässig. Soweit hierzu die Wiederherstellung pseudonymisierter Protokolldaten erforderlich ist, muss diese durch die Präsidentin oder den Präsidenten des Bundesamtes oder die Vertretung im Amt angeordnet werden. Die Entscheidung ist zu dokumentieren.
Protokolldaten dürfen vor ihrer Pseudonymisierung und Speicherung nach Absatz 2 zur Sicherstellung einer fehlerfreien automatisierten Auswertung manuell verar- beitet werden. Liegen Hinweise vor, dass die fehlerfreie automatisierte Auswertung wegen eines erheblichen Fehlers erschwert wird, darf der Personenbezug von Protokolldaten zur Sicherstellung der fehlerfreien automatisierten Auswertung wiederhergestellt werden, so- fern dies im Einzelfall erforderlich ist. Absatz 2 Satz 3 bis 6 gilt entsprechend.
Eine über die Absätze 1 und 2 hinausgehende Verwendung personenbezogener Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass
diese ein Schadprogramm enthalten,
diese durch ein Schadprogramm übermittelt wurden oder
sich aus ihnen Hinweise auf ein Schadprogramm ergeben können,
und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen. Im Falle der Bestätigung ist die weitere Verarbeitung personenbezogener Da- ten zulässig, soweit dies
zur Abwehr des Schadprogramms,
zur Abwehr von Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder
zur Erkennung und Abwehr anderer Schadprogramme erforderlich ist.
Ein Schadprogramm kann beseitigt oder in seiner Funktionsweise gehindert werden. Die nicht automatisierte Verwendung der Daten nach den Sätzen 1 und 2 darf nur durch einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet werden.
Die Beteiligten des Kommunikationsvorgangs sind spätestens nach dem Erkennen und der Abwehr eines Schadprogramms oder von Gefahren, die von einem Schadpro- gramm ausgehen, zu benachrichtigen, wenn sie bekannt sind oder ihre Identifikation ohne unverhältnismäßige weitere Ermittlungen möglich ist und nicht überwiegende schutzwür- dige Belange Dritter entgegenstehen. Die Unterrichtung kann unterbleiben, wenn die Per- son nur unerheblich betroffen wurde, und anzunehmen ist, dass sie an einer Benachrichti- gung kein Interesse hat. Das Bundesamt legt Fälle, in denen es von einer Benachrichtigung absieht, dem behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem wei- teren Bediensteten des Bundesamtes, der die Befähigung zum Richteramt hat, zur Kon- trolle vor. Wenn der behördliche Datenschutzbeauftragte der Entscheidung des Bundesam- tes widerspricht, ist die Benachrichtigung nachzuholen. Die Entscheidung über die Nicht- benachrichtigung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist nach zwölf Monaten zu löschen. In den Fällen der Absätze 6 und 7 erfolgt die Benachrichtigung durch die dort genannten Behör- den in entsprechender Anwendung der für diese Behörden geltenden Vorschriften. Enthal- ten diese keine Bestimmungen zu Benachrichtigungspflichten, sind die Vorschriften der Strafprozessordnung entsprechend anzuwenden.
Das Bundesamt kann die nach Absatz 4 verwendeten personenbezogenen Daten an die Strafverfolgungsbehörden zur Verfolgung einer mittels eines Schadprogramms be- gangenen Straftat nach den §§ 202a, 202b, 303a oder 303b des Strafgesetzbuches über- mitteln. Es kann diese Daten ferner übermitteln
zur Abwehr einer Gefahr für die öffentliche Sicherheit, die unmittelbar von einem Schadprogramm ausgeht, an die Polizeien des Bundes und der Länder,
zur Unterrichtung über Tatsachen, die sicherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht erkennen lassen, an das Bundesamt für Verfas- sungsschutz sowie an den Militärischen Abschirmdienst, wenn sich diese Tätigkeiten gegen Personen, Dienststellen oder Einrichtungen im Geschäftsbereich des Bundes- ministeriums der Verteidigung richten,
zur Unterrichtung über Tatsachen, die einen internationalen kriminellen, terroristischen oder staatlichen Angriff mittels Schadprogrammen oder vergleichbaren schädlich wir- kenden informationstechnischen Mitteln auf die Vertraulichkeit, Integrität oder Verfüg- barkeit von IT-Systemen in Fällen von erheblicher Bedeutung mit Bezug zur Bundes- republik Deutschland erkennen lassen, an den Bundesnachrichtendienst.
Für sonstige Zwecke kann das Bundesamt die Daten übermitteln
an die Strafverfolgungsbehörden zur Verfolgung einer Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere einer in § 100a Absatz 2 der Strafprozessord- nung bezeichneten Straftat,
an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person oder Sa- chen von bedeutendem Wert, deren Erhalt im öffentlichen Interesse geboten ist,
an die Verfassungsschutzbehörden des Bundes und der Länder sowie an den Militäri- schen Abschirmdienst, wenn tatsächliche Anhaltspunkte für Bestrebungen in der Bun- desrepublik Deutschland vorliegen, die durch Anwendung von Gewalt oder darauf ge- richtete Vorbereitungshandlungen gegen die in § 3 Absatz 1 des Bundesverfassungs- schutzgesetzes beziehungsweise § 1 Absatz 1 des MAD-Gesetzes genannten Schutz- güter gerichtet sind,
an den Bundesnachrichtendienst, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand Straftaten nach § 3 Absatz 1 Nummer 8 des Artikel 10-Geset- zes plant, begeht oder begangen hat und dies von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland ist.
Die Übermittlung nach Satz 1 Nummer 1 und 2 bedarf der vorherigen gerichtlichen Zustim- mung. Für das Verfahren nach Satz 1 Nummer 1 und 2 gelten die Vorschriften des Geset- zes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Ge- richtsbarkeit entsprechend. Zuständig ist das Amtsgericht, in dessen Bezirk das Bundesamt seinen Sitz hat. Die Übermittlung nach Satz 1 Nummer 3 und 4 erfolgt nach Zustimmung des Bundesministeriums des Innern und für Heimat; die §§ 9 bis 16 des Artikel 10-Gesetzes gelten entsprechend.
Eine über die vorstehenden Absätze hinausgehende inhaltliche Auswertung zu an- deren Zwecken und die Weitergabe von personenbezogenen Daten an Dritte sind unzuläs- sig. Soweit möglich, ist technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Werden aufgrund der Maßnahmen der Absätze 1 bis 4 Erkenntnisse aus dem Kernbereich privater Lebensgestaltung oder Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 erlangt, dürfen diese nicht verwendet werden. Erkenntnisse aus dem Kernbereich privater Lebensgestaltung sind un- verzüglich zu löschen. Dies gilt auch in Zweifelsfällen. Die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Da- tenschutzkontrolle verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des Kalenderjahres, das dem Jahr der Dokumentation folgt. Werden im Rahmen der Absatz 5 oder 6 Inhalte oder Umstände der Kommunikation von in § 53 Absatz 1 Satz 1 der Strafprozessordnung genannten Personen übermittelt, auf die sich das Zeugnisverweigerungsrecht der genannten Personen erstreckt, ist die Verwertung dieser Daten zu Beweiszwecken in einem Strafverfahren nur insoweit zulässig, als Gegenstand dieses Strafverfahrens eine Straftat ist, die im Höchstmaß mit mindestens fünf Jahren Freiheitsstrafe bedroht ist.
Vor Aufnahme der Datenerhebung und -verwendung hat das Bundesamt ein Da- tenerhebungs- und -verwendungskonzept zu erstellen und für Kontrollen durch den Bun- desbeauftragten für den Datenschutz und die Informationsfreiheit bereitzuhalten. Das Kon- zept hat dem besonderen Schutzbedürfnis der Regierungskommunikation Rechnung zu tragen. Die für die automatisierte Auswertung verwendeten Kriterien sind zu dokumentie- ren. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit teilt das Er- gebnis seiner Kontrollen nach § 16 des Bundesdatenschutzgesetzes auch den Ressorts mit.
Das Bundesamt unterrichtet den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgen- den Jahres über
die Anzahl der Vorgänge, in denen Daten nach Absatz 6 Satz 1, Absatz 6 Satz 2 Nummer 1 oder Absatz 7 Nummer 1 übermittelt wurden, aufgegliedert nach den einzelnen Übermittlungsbefugnissen,
die Anzahl der personenbezogenen Auswertungen nach Absatz 4 Satz 1, in denen der Verdacht widerlegt wurde,
die Anzahl der Fälle, in denen das Bundesamt nach Absatz 5 Satz 2 oder 3 von einer Benachrichtigung der Betroffenen abgesehen hat.
Das Bundesamt unterrichtet kalenderjährlich jeweils bis zum 30. Juni des dem Be- richtsjahr folgenden Jahres den Innenausschuss des Deutschen Bundestages über die An- wendung dieser Vorschrift.
§ 9
Verarbeitung von Protokollierungsdaten der Kommunikationstechnik des Bundes
Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes und ihrer Komponenten, einschließlich technischer Infrastrukturen, die zum Betrieb der Kommunikationstechnik des Bundes erforderlich sind, Protokollierungsdaten, die durch den Betrieb von Kommunikationstechnik des Bundes anfallen, verarbeiten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen, Fehlern oder Sicherheitsvorfällen in der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist und Geheimschutzinteressen oder überwiegende Sicherheitsinte- ressen der betroffenen Stellen nicht entgegenstehen. Die Einrichtungen der Bundesverwal- tung sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu einrichtungsinternen Protokollierungsdaten nach Satz 1 sicherzustellen. Hierzu dürfen sie dem Bundesamt die entsprechenden Protokollie- rungsdaten übermitteln. § 8 Absatz 1 Satz 5, Absatz 2 bis 5, 9 und 10 gilt entsprechend.
§ 7 Absatz 7 gilt für die Verpflichtung nach Satz 2 entsprechend.
§ 10
Anordnungen von Maßnahmen zur Abwendung oder Behebung von Sicherheitsvor- fällen
Das Bundesamt kann gegenüber Einrichtungen der Bundesverwaltung Maßnahmen anweisen, die zur Abwendung oder Behebung eines gegenwärtigen Sicherheitsvorfalls er- forderlich sind. Ferner kann das Bundesamt die Einrichtungen zur Berichterstattung inner- halb einer angemessenen Frist zu den nach Satz 1 angeordneten Maßnahmen auffordern. Der Bericht ist dem Bundesamt sowie zugleich an den Informationssicherheitsbeauftragten des jeweils zuständigen Ressorts sowie den Koordinator oder die Koordinatorin für Infor- mationssicherheit zu übermitteln. Für die Berichterstattung gilt § 4 Absatz 3 entsprechend.
§ 11
Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen
Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines informationstechnischen Systems einer Einrichtung der Bundesverwaltung oder Be- treibers kritischer Anlagen oder einer besonders wichtigen Einrichtung oder einer wichtigen Einrichtung um einen herausgehobenen Fall, so kann das Bundesamt auf Ersuchen der betroffenen Einrichtung oder des betroffenen Betreibers oder einer anderen für die Einrich- tung oder den Betreiber zuständigen Behörde die Maßnahmen treffen, die zur Wiederher- stellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich sind. Soweit das Bundesamt erste Maßnahmen zur Schadensbegren- zung und Sicherstellung des Notbetriebes vor Ort ergreift, werden hierfür keine Gebühren oder Auslagen für die Tätigkeit des Bundesamtes erhoben. Hiervon unberührt bleiben et- waige Kosten für die Hinzuziehung qualifizierter Dritter.
Ein herausgehobener Fall nach Absatz 1 liegt insbesondere dann vor, wenn es sich um einen Angriff von besonderer technischer Qualität handelt oder die zügige Wieder- herstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems von besonderem öffentlichem Interesse ist.
Das Bundesamt darf bei Maßnahmen nach Absatz 1 personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten erheben und verarbeiten, soweit dies zur Wie- derherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechni- schen Systems erforderlich und angemessen ist. Die Daten sind unverzüglich zu löschen, sobald sie für die Wiederherstellung der Sicherheit oder Funktionsfähigkeit des informati- onstechnischen Systems nicht mehr benötigt werden. Wenn die Daten in Fällen des Absatzes 4 an eine andere Behörde zur Erfüllung von deren gesetzlichen Aufgaben weiter- gegeben worden sind, darf das Bundesamt die Daten abweichend von Satz 2 bis zur Be- endigung der Unterstützung dieser Behörden weiterverarbeiten. Eine Nutzung zu anderen Zwecken ist unzulässig. § 8 Absatz 8 ist entsprechend anzuwenden.
Das Bundesamt darf Informationen, von denen es im Rahmen dieser Vorschrift Kenntnis erlangt, nur mit Einwilligung des Ersuchenden weitergeben, es sei denn, die In- formationen lassen keine Rückschlüsse auf die Identität des Ersuchenden zu oder die In- formationen können entsprechend § 8 Absatz 6 und 7 übermittelt werden. Zugang zu den in Verfahren nach Absatz 1 geführten Akten wird Dritten nicht gewährt.
Das Bundesamt kann sich bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden der Hilfe qualifizierter Dritter bedienen, wenn dies zur rechtzeitigen oder voll- ständigen Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen infor- mationstechnischen Systems erforderlich ist. Die hierdurch entstehenden Kosten hat der Ersuchende zu tragen. Das Bundesamt kann den Ersuchenden auch auf qualifizierte Dritte verweisen. Das Bundesamt und vom Ersuchenden oder vom Bundesamt nach Satz 1 be- auftragte Dritte können einander bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden Daten übermitteln. Hierfür gilt Absatz 3 entsprechend.
Soweit es zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des infor- mationstechnischen Systems erforderlich ist, kann das Bundesamt vom Hersteller des in- formationstechnischen Systems verlangen, an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit mitzuwirken.
In begründeten Einzelfällen kann das Bundesamt auch bei anderen als den in Absatz 1 genannten Einrichtungen tätig werden, wenn es darum ersucht wurde und es sich um einen herausgehobenen Fall im Sinne des Absatzes 2 handelt. Ein begründeter Einzel- fall liegt in der Regel vor, wenn eine Stelle eines Landes betroffen ist.
Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atom- gesetz bedürfen, ist in Fällen der Absätze 1, 4, 5 und 7 vor Tätigwerden des Bundesamtes das Benehmen mit den zuständigen atomrechtlichen Aufsichtsbehörden des Bundes und der Länder herzustellen. Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atomgesetz bedürfen, haben bei Maßnahmen des Bundesamtes nach diesem
§ 11 die Vorgaben aufgrund des Atomgesetzes Vorrang.
§ 12
Bestandsdatenauskunft
Das Bundesamt darf zur Erfüllung seiner gesetzlichen Aufgabe nach
§ 3 Absatz 1 Satz 1 Nummer 1, 2, 20, 24 oder 25 von demjenigen, der geschäftsmäßig Te- lekommunikationsdienste erbringt oder daran mitwirkt, über Bestandsdaten gemäß § 3 Nummer 6 des Telekommunikationsgesetzes und über die nach § 172 des Telekommuni- kationsgesetzes erhobenen Daten (§ 174 Absatz 1 Satz 1 des Telekommunikationsgeset- zes) Auskunft verlangen. Die Auskunft nach Satz 1 darf nur verlangt werden zum Schutz der Versorgung der Bevölkerung in den Bereichen des § 57 Absatz 1 oder der öffentlichen Sicherheit, um damit eine Beeinträchtigung der Sicherheit oder Funktionsfähigkeit informa- tionstechnischer Systeme einer
kritischen Anlage oder
besonders wichtigen Einrichtung oder wichtigen Einrichtung
abzuwenden, wenn Tatsachen den Schluss auf ein wenigstens seiner Art nach konkreti- siertes und zeitlich absehbares Geschehen zulassen, das auf die informationstechnischen Systeme bestimmbarer Infrastrukturen oder Unternehmen abzielen wird, und die in die Aus- kunft aufzunehmenden Daten im Einzelfall erforderlich sind, um die Betroffenen nach Absatz 4 vor dieser Beeinträchtigung zu warnen, über diese zu informieren oder sie bei deren Beseitigung zu beraten oder zu unterstützen.
Die Auskunft nach Absatz 1 darf auch anhand einer zu einem bestimmten Zeit- punkt zugewiesenen Internetprotokoll-Adresse verlangt werden (§ 174 Absatz 1 Satz 3,
§ 177 Absatz 1 Nummer 3 des Telekommunikationsgesetzes). Die rechtlichen und tatsäch- lichen Grundlagen des Auskunftsverlangens sind aktenkundig zu machen.
Der auf Grund eines Auskunftsverlangens Verpflichtete hat die zur Auskunftsertei- lung erforderlichen Daten unverzüglich und vollständig zu übermitteln.
Nach erfolgter Auskunft weist das Bundesamt den Betreiber der kritischen Anlage oder die besonders wichtige Einrichtung oder die wichtige Einrichtung auf die bei ihm oder ihr drohenden Beeinträchtigungen hin. Nach Möglichkeit weist das Bundesamt den Betrei- ber der kritischen Anlage oder die besonders wichtige Einrichtung oder die wichtige Ein- richtung auf technische Mittel hin, mittels derer die festgestellten Beeinträchtigungen durch den Betreiber kritischer Anlagen oder die besonders wichtige Einrichtung oder die wichtige Einrichtung selbst beseitigt werden können.
Das Bundesamt kann personenbezogene Daten, die es im Rahmen dieser Vor- schrift verarbeitet, entsprechend § 8 Absatz 6 und 7 übermitteln.
In den Fällen des Absatzes 2 ist die betroffene Person über die Auskunft zu be- nachrichtigen. Im Falle der Weitergabe der Information nach § 8 Absatz 6 oder wenn Tat- sachen die Annahme rechtfertigen, dass die Voraussetzungen einer Weitergabe nach
§ 8 Absatz 6 vorliegen, ergeht darüber keine Benachrichtigung an die betroffene Person,
sofern und solange überwiegende schutzwürdige Belange Dritter entgegenstehen. Wird nach Satz 2 die Benachrichtigung zurückgestellt oder wird von ihr abgesehen, sind die Gründe aktenkundig zu machen.
Das Bundesamt unterrichtet die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit jeweils bis zum 30. Juni des dem Berichts- jahr folgenden Jahres über die
Gesamtzahl der Vorgänge, in denen Daten nach Absatz 1 oder Absatz 2 an das Bun- desamt übermittelt wurden und
Übermittlungen nach Absatz 5.
Das Bundesamt hat den Verpflichteten für ihm erteilte Auskünfte eine Entschädi- gung zu gewähren. Der Umfang der Entschädigung bemisst sich nach § 23 und Anlage 3 des Justizvergütungs- und -entschädigungsgesetzes; die Vorschriften über die Verjährung in § 2 Absatz 1 und 4 des Justizvergütungs- und -entschädigungsgesetzes finden entspre- chende Anwendung.
§ 13
Warnungen
Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 20 und 21 kann das Bundesamt
die folgenden Warnungen und Informationen an die Öffentlichkeit oder an die betroffe- nen Kreise richten:
Warnungen vor Schwachstellen und anderen Sicherheitsrisiken in informations- technischen Produkten und Diensten,
Warnungen vor Schadprogrammen,
Warnungen bei einem Verlust oder einem unerlaubten Zugriff auf Daten,
Informationen über sicherheitsrelevante IT-Eigenschaften von Produkten und
Informationen über Verstöße besonders wichtiger Einrichtungen oder wichtiger Einrichtungen gegen die Pflichten aus diesem Gesetz und [einfügen: andere Ge- setze, die die NIS-2-Richtlinie umsetzen].
[Anm. BMI CI 1 – Die Ausgestaltung der Umsetzung der NIS-2-Richtlinie in den Fachgeset- zen (wie zB. TKG) ist Gegenstand der Ressortabstimmung.]
Sicherheitsmaßnahmen sowie den Einsatz bestimmter Sicherheitsprodukte empfeh- len.
Das Bundesamt kann zur Wahrnehmung der Aufgaben nach Satz 1 Dritte einbeziehen, wenn dies für eine wirksame und rechtzeitige Warnung erforderlich ist.
Die Hersteller betroffener Produkte sind rechtzeitig vor Veröffentlichung der War- nungen zu informieren. Diese Informationspflicht besteht nicht,
wenn hierdurch die Erreichung des mit der Maßnahme verfolgten Zwecks gefährdet wird oder
wenn berechtigterweise davon ausgegangen werden kann, dass der Hersteller an einer vorherigen Benachrichtigung kein Interesse hat.
Soweit entdeckte Schwachstellen oder Schadprogramme nicht allgemein bekannt werden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist, kann es den Kreis der zu warnenden Personen einschränken. Kriterien für die Auswahl des zu warnenden Perso- nenkreises nach Satz 3 sind insbesondere die besondere Gefährdung bestimmter Einrich- tungen oder die besondere Zuverlässigkeit des Empfängers.
Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 20 und 21 kann das Bundesamt die Öffentlichkeit unter Nennung der Bezeichnung und des Herstellers des betroffenen Produkts und Dienstes vor Schwachstellen in informationstechnischen Produk- ten und Diensten und vor Schadprogrammen warnen, wenn hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik hiervon ausge- hen, oder Sicherheitsmaßnahmen sowie den Einsatz bestimmter informationstechnischer Produkte und Dienste empfehlen. Stellen sich die an die Öffentlichkeit gegebenen Informa- tionen im Nachhinein als falsch oder die zugrunde liegenden Umstände als unzutreffend wiedergegeben heraus, ist dies unverzüglich öffentlich bekannt zu machen. Warnungen nach Satz 1 sind sechs Monate nach der Veröffentlichung zu entfernen, wenn nicht weiter- hin hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik bestehen. Wird eine Warnung nach Satz 3 nicht entfernt, so ist diese Entscheidung regelmäßig zu überprüfen.
§ 14
Untersuchung der Sicherheit in der Informationstechnik
Das Bundesamt kann zur Erfüllung seiner Aufgaben nach
§ 3 Absatz 1 Satz 2 Nummer 1, 20, 21, 24 oder 25 auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte und Systeme untersuchen. Es kann sich hierbei der Unterstützung Dritter bedienen, soweit berechtigte Interessen des Herstellers der betroffenen Produkte und Systeme dem nicht entgegenste- hen.
Soweit erforderlich, kann das Bundesamt für Untersuchungen nach Absatz 1 von Herstellern informationstechnischer Produkte und Systeme alle notwendigen Auskünfte, insbesondere auch zu technischen Details, verlangen. In dem Auskunftsverlangen gibt das Bundesamt die Rechtsgrundlage, den Zweck des Auskunftsverlangens und die benötigten Auskünfte an und legt eine angemessene Frist für die Übermittlung der Auskünfte fest. Das Auskunftsverlangen enthält ferner einen Hinweis auf die in § 60 vorgesehenen Sanktionen.
Das Bundesamt gibt Auskünfte sowie die aus den Untersuchungen gewonnen Er- kenntnisse unverzüglich an die zuständigen Aufsichtsbehörden des Bundes oder, sofern keine Aufsichtsbehörde vorhanden ist, an das jeweilige Ressort weiter, wenn Anhaltspunkte bestehen, dass diese sie zur Erfüllung ihrer Aufgaben benötigen.
Die Auskünfte und die aus den Untersuchungen gewonnenen Erkenntnisse dürfen nur zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 20, 21, 24 und 25 ge- nutzt werden. Das Bundesamt darf seine Erkenntnisse weitergeben und veröffentlichen, soweit dies zur Erfüllung der Aufgaben nach
§ 3 Absatz 1 Satz 2 Nummer 1, 20, 21, 24 und 25 erforderlich ist. Zuvor ist dem Hersteller der betroffenen Produkte und Systeme mit angemessener Frist Gelegenheit zur Stellung- nahme zu geben. Von einer Gelegenheit zur Stellungnahme kann abgesehen werden,
wenn die Erkenntnisse ohne erkennbaren Bezug zum Hersteller oder der untersuchten in- formationstechnischen Produkte und Systeme weitergegeben oder veröffentlicht werden.
Kommt ein Hersteller der Aufforderung des Bundesamtes nach Absatz 2 Satz 1 nicht oder nur unzureichend nach, kann das Bundesamt hierüber die Öffentlichkeit infor- mieren. Es kann hierbei den Namen des Herstellers sowie die Bezeichnung des betroffenen Produkts oder Systems angeben und darlegen, inwieweit der Hersteller seiner Auskunfts- pflicht nicht nachgekommen ist. Zuvor ist dem Hersteller mit angemessener Frist Gelegen- heit zur Stellungnahme zu gewähren. § 13 Absatz 2 Satz 2 gilt entsprechend.
§ 15
Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffs- methoden
Das Bundesamt kann im Rahmen seiner Aufgaben nach
§ 3 Absatz 1 Satz 2 Nummer 1, 2, 20 oder 24 zur Detektion von Schwachstellen und ande- ren Sicherheitsrisiken bei Einrichtungen der Bundesverwaltung oder Betreibern kritischer Anlagen, besonders wichtigen Einrichtungen oder wichtigen Einrichtungen Maßnahmen an den Schnittstellen öffentlich erreichbarer informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen durchführen, um festzustellen, ob diese ungeschützt und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sein können oder wenn die entsprechenden Einrichtungen darum ersuchen. Erlangt das Bundesamt dabei Informatio- nen, die durch Artikel 10 des Grundgesetzes geschützt sind, darf es diese nur zum Zwecke der Übermittlung nach § 8 Absatz 6 und 7 verarbeiten. Sofern die Voraussetzungen des
§ 8 Absatz 6 und 7 nicht vorliegen, sind Informationen, die nach Artikel 10 des Grundgeset- zes geschützt sind, unverzüglich zu löschen.
Wird durch Maßnahmen gemäß Absatz 1 eine Schwachstelle oder ein anderes Sicherheitsrisiko eines informationstechnischen Systems erkannt, sind die für das informa- tionstechnische System Verantwortlichen unverzüglich darüber zu informieren. Das Bun- desamt soll dabei auf bestehende Abhilfemöglichkeiten hinweisen. Sind dem Bundesamt die Verantwortlichen nicht bekannt oder ist ihre Identifikation nur mit unverhältnismäßigem Aufwand oder über eine Bestandsdatenabfrage nach § 12 möglich, ist hilfsweise der betrei- bende Dienstleister des jeweiligen Netzes oder Systems unverzüglich zu benachrichtigen, wenn überwiegende Sicherheitsinteressen nicht entgegenstehen. Das Bundesamt unter- richtet die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit jeweils bis zum 30. Juni des Folgejahres über die Anzahl der gemäß Absatz 1 ergriffenen Maßnahmen.
Das Bundesamt darf zur Erfüllung seiner Aufgaben Systeme und Verfahren ein- setzen, welche einem Angreifer einen erfolgreichen Angriff vortäuschen, um den Einsatz von Schadprogrammen oder andere Angriffsmethoden zu erheben und auszuwerten. Das Bundesamt darf dabei die zur Auswertung der Funktionsweise der Schadprogramme und Angriffsmethoden erforderlichen Daten verarbeiten.
§ 16
Anordnungen des Bundesamtes gegenüber Anbietern von Telekommunikations- diensten
Zur Abwehr konkreter erheblicher Gefahren für die in Absatz 2 genannten Schutz- ziele kann das Bundesamt gegenüber einem Anbieter von Telekommunikationsdiensten im
Sinne des Telekommunikationsgesetzes (Anbieter von Telekommunikationsdiensten) mit mehr als 100 000 Kunden anordnen, dass er
die in § 169 Absatz 6 und 7 des Telekommunikationsgesetzes bezeichneten Maßnah- men trifft oder
technische Befehle zur Bereinigung von einem konkret benannten Schadprogramm an betroffene informationstechnische Systeme verteilt,
sofern und soweit der Anbieter von Telekommunikationsdiensten dazu technisch in der Lage und es ihm wirtschaftlich zumutbar ist. Vor der Anordnung der Maßnahmen nach Satz 1 Nummer 1 oder 2 durch das Bundesamt ist Einvernehmen mit der Bundesnetzagen- tur herzustellen. Vor der Anordnung der Maßnahme nach Satz 1 Nummer 2 durch das Bun- desamt ist zusätzlich Einvernehmen mit der oder dem Bundesbeauftragten für den Daten- schutz und die Informationsfreiheit herzustellen. Die Daten, auf die mit der Maßnahme nach Satz 1 Nummer 2 zugegriffen werden soll, sind in der Anordnung zu benennen.
§ 8 Absatz 8 Satz 2 bis 8 gilt entsprechend. Widerspruch und Anfechtungsklage gegen die Anordnungen nach Satz 1 haben keine aufschiebende Wirkung.
Schutzziele gemäß Absatz 1 Satz 1 sind die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit
der Kommunikationstechnik des Bundes, eines Betreibers kritischer Anlagen, einer be- sonders wichtigen Einrichtung oder einer wichtigen Einrichtung,
von Informations- oder Kommunikationsdiensten oder
von Informationen, sofern deren Verfügbarkeit, Unversehrtheit oder Vertraulichkeit durch unerlaubte Zugriffe auf eine erhebliche Anzahl von telekommunikations- oder informationstechnischen Systemen von Nutzern eingeschränkt wird.
Ordnet das Bundesamt eine Maßnahme nach Absatz 1 Satz 1 Nummer 1 an, so kann es gegenüber dem Anbieter von Telekommunikationsdiensten auch anordnen, den Datenverkehr an eine vom Bundesamt benannte Anschlusskennung umzuleiten.
Das Bundesamt darf Daten, die von einem Anbieter von Telekommunikations- diensten nach Absatz 1 Satz 1 Nummer 1 und Absatz 3 umgeleitet wurden, verarbeiten, um Informationen über Schadprogramme oder andere Sicherheitsrisiken in informations- technischen Systemen zu erlangen. Die übermittelten Daten dürfen durch das Bundesamt so lange gespeichert werden, wie dies für die Erfüllung des in Satz 1 genannten Zwecks erforderlich ist, längstens jedoch für drei Monate. § 8 Absatz 8 Satz 2 bis 8 gilt entspre- chend. Das Bundesamt unterrichtet die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit jeweils bis zum 30. Juni des Folgejahres über die Gesamtzahl der angeordneten Datenumleitungen.
§ 17
Anordnungen des Bundesamtes gegenüber Anbietern von Telemediendiensten
Das Bundesamt kann in begründeten Einzelfällen zur Abwehr konkreter, erheblicher Gefahren für informationstechnische Systeme einer Vielzahl von Nutzern, die von Tele- medienangeboten von Anbietern von Telemedien im Sinne des § 2 Absatz 2 Nummer 1 des Telekommunikation-Telemedien-Datenschutz-Gesetzes ausgehen, die durch ungenü- gende technische und organisatorische Vorkehrungen im Sinne des § 19 Absatz 4 des Te- lekommunikation-Telemedien-Datenschutz-Gesetzes unzureichend gesichert sind und dadurch keinen hinreichenden Schutz bieten vor
unerlaubten Zugriffen auf die für diese Telemedienangebote genutzten technischen Einrichtungen oder
Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gegenüber dem jeweiligen Anbieter von Telemedien im Sinne des § 2 Absatz 2 Nummer 1 des Telekommunikation-Telemedien-Datenschutz-Gesetzes anordnen, dass dieser die je- weils zur Herstellung des ordnungsgemäßen Zustands seiner Telemedienangebote erfor- derlichen technischen und organisatorischen Maßnahmen ergreift, um den ordnungsgemä- ßen Zustand seiner Telemedienangebote herzustellen. Die Zuständigkeit der Aufsichtsbe- hörden der Länder bleibt im Übrigen unberührt.
§ 18
Anordnungen des Bundesamtes gegenüber Herstellern von IKT-Produkten
Soweit erforderlich kann das Bundesamt von einem Hersteller betroffener IKT-Pro- dukte die Mitwirkung an der Beseitigung oder Vermeidung von erheblichen Sicherheitsvor- fällen bei Betreibern kritischer Anlagen, besonders wichtigen Einrichtungen und wichtigen Einrichtungen verlangen.
§ 19
Bereitstellung von IT-Sicherheitsprodukten
Die Bereitstellung von IT-Sicherheitsprodukten durch das Bundesamt nach
§ 3 Absatz 1 Satz 2 Nummer 15 erfolgt durch Eigenentwicklung oder nach Durchführung von Vergabeverfahren aufgrund einer entsprechenden Bedarfsfeststellung. IT-Sicherheits- produkte können nur in begründeten Ausnahmefällen durch eine Eigenentwicklung des Bundesamtes zur Verfügung gestellt werden. Die Vorschriften des Vergaberechts bleiben unberührt. Wenn das Bundesamt IT-Sicherheitsprodukte bereitstellt, können die Einrichtun- gen der Bundesverwaltung oder von ihnen beauftragte Dritte diese Produkte beim Bundes- amt abrufen.
Kapitel 2 Datenverarbeitungen
§ 20
Verarbeitung personenbezogener Daten
Die Verarbeitung personenbezogener Daten durch das Bundesamt ist zulässig, wenn die Verarbeitung zur Erfüllung seiner im öffentlichen Interesse liegenden Aufgaben erforderlich ist.
Die Verarbeitung personenbezogener Daten durch das Bundesamt zu anderen Zwecken als demjenigen, zu dem die Daten ursprünglich erhoben wurden, ist unbeschadet von Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung und von § 23 des Bundesdatenschutzgesetzes zulässig, wenn
die Verarbeitung erforderlich ist
zur Sammlung, Auswertung oder Untersuchung von Informationen über Sicher- heitsrisiken oder Sicherheitsvorkehrungen für die Informationstechnik oder
zur Unterstützung, Beratung oder Warnung in Fragen der Sicherheit in der Infor- mationstechnik und
kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.
Eine Verarbeitung von besonderen Kategorien personenbezogener Daten durch das Bundesamt ist abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 und unbeschadet des § 22 Absatz 1 des Bundesdatenschutzgesetzes zulässig, wenn
die Verarbeitung erforderlich ist zur Abwehr einer erheblichen Gefahr für die Netz-, Da- ten- oder Informationssicherheit,
ein Ausschluss dieser Daten von der Verarbeitung die Erfüllung der Aufgaben des Bun- desamtes unmöglich machen oder diese erheblich gefährden würde und
kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss dieser Daten von der Verarbeitung überwiegt.
Das Bundesamt sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 des Bundesdaten- schutzgesetzes vor.
§ 21
Beschränkungen der Rechte der betroffenen Person
Für die Rechte der betroffenen Person gegen das Bundesamt gelten ergänzend zu den in der Verordnung (EU) 2016/679 enthaltenen Ausnahmen die nachfolgenden Beschrän- kungen. Soweit dieses Gesetz keine oder geringere Beschränkungen der Rechte der be- troffenen Person enthält, gelten für die Beschränkungen im Übrigen die Regelungen des Bundesdatenschutzgesetzes ergänzend.
§ 22
Informationspflicht bei Erhebung von personenbezogenen Daten
Die Pflicht zur Information gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 besteht ergänzend zu den in Artikel 13 Absatz 4 und Artikel 14 Absatz 5 der Ver- ordnung (EU) 2016/679 genannten Ausnahmen nicht, wenn
die Informationserteilung die ordnungsgemäße Erfüllung der in der Zuständigkeit des Bundesamtes liegenden Aufgaben gefährden würde oder
die Informationserteilung die öffentliche Sicherheit oder Ordnung oder die Gewährleis- tung der Netz- und Informationssicherheit auf sonstige Weise gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde
und deswegen das Interesse der betroffenen Person an der Informationserteilung zurück- treten muss.
Unterbleibt eine Information der betroffenen Person nach Maßgabe des Absatzes 1, ergreift das Bundesamt geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung der in Artikel 13 Ab- satz 1 und 2 und Artikel 14 Absatz 1 und 2 der Verordnung (EU) 2016/679 genannten In- formationen für die Öffentlichkeit in präziser, transparenter, verständlicher und leicht zu- gänglicher Form in einer klaren und einfachen Sprache. Das Bundesamt hält schriftlich fest, aus welchen Gründen es von einer Information der betroffenen Person abgesehen hat.
§ 23
Auskunftsrecht der betroffenen Person
Das Recht auf Auskunft gemäß Artikel 15 Absatz 1 und 2 der Verordnung (EU) 2016/679 besteht nicht, wenn und soweit
die Auskunftserteilung die ordnungsgemäße Erfüllung der Aufgaben gefährden würde, die in der Zuständigkeit des Bundesamtes liegen,
die Auskunftserteilung
die öffentliche Sicherheit oder Ordnung oder die Gewährleistung der Netz- und Informationssicherheit gefährden würde oder
sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde oder
die Auskunftserteilung strafrechtliche Ermittlungen oder die Verfolgung von Straftaten gefährden würde
und deswegen das Interesse der betroffenen Person an der Auskunftserteilung zurücktre- ten muss.
§ 34 Absatz 2 bis 4 des Bundesdatenschutzgesetzes gilt entsprechend.
§ 24
Recht auf Berichtigung
Das Recht der betroffenen Person auf Berichtigung und Vervollständigung gemäß Artikel 16 der Verordnung (EU) 2016/679 besteht nicht, wenn und soweit die Erfüllung der Rechte der betroffenen Person die ordnungsgemäße Erfüllung der in der Zuständigkeit des Bundesamtes liegenden Aufgaben gefährden würde und deswegen das Interesse der be- troffenen Person an der Ausübung dieser Rechte zurücktreten muss.
In den Fällen des Absatzes 1 hat die betroffene Person einen Anspruch darauf, den Daten für die Dauer der Verarbeitung eine Gegendarstellung beizufügen, sofern dies für eine faire und transparente Verarbeitung erforderlich ist.
§ 25
Recht auf Löschung
Im Fall der nicht automatisierten Verarbeitung besteht die Pflicht des Bundesamtes zur Löschung personenbezogener Daten gemäß Artikel 17 Absatz 1 und 2 der Verordnung (EU) 2016/679 ergänzend zu den in Artikel 17 Absatz 3 genannten Ausnahmen nicht, wenn
eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unver- hältnismäßig hohem Aufwand möglich ist und
das Interesse der betroffenen Person an der Löschung als gering anzusehen ist.
In diesem Fall tritt an die Stelle der Löschung eine Einschränkung der Verarbeitung gemäß Artikel 18 der Verordnung (EU) 2016/679. Die Sätze 1 und 2 sind nicht anzuwenden, wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden.
Ist die Löschung lediglich für eine etwaige gerichtliche Überprüfung von Maßnah- men nach § 8 Absatz 4 zurückgestellt, dürfen die Daten ohne Einwilligung der betroffenen Person nur zu diesem Zweck verwendet werden. Sie sind für andere Zwecke in der Verar- beitung einzuschränken. § 8 Absatz 8 bleibt unberührt.
§ 26
Recht auf Einschränkung der Verarbeitung
Die Pflicht des Bundesamtes zur Einschränkung der Verarbeitung gemäß Artikel 18 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 besteht für die Dauer der Überprü- fung der Richtigkeit der personenbezogenen Daten nicht, wenn
die Verarbeitung oder Weiterverarbeitung durch dieses Gesetz ausdrücklich geregelt ist oder
die Einschränkung der Verarbeitung die Abwehr von Gefahren für die Sicherheit in der Informationstechnik gefährden würde.
§ 27
Widerspruchsrecht
Das Recht der betroffenen Person auf Widerspruch gemäß Artikel 21 Absatz 1 der Ver- ordnung (EU) 2016/679 besteht nicht, wenn
an der Verarbeitung ein zwingendes öffentliches Interesse besteht, das die Interessen der betroffenen Person überwiegt, oder
eine Rechtsvorschrift das Bundesamt zur Verarbeitung verpflichtet.
Darüber hinaus darf das Bundesamt die personenbezogenen Daten ergänzend zu Arti- kel 21 Absatz 1 Satz 2 der Verordnung (EU) 2016/679 so lange verarbeiten, bis das Bun- desamt geprüft hat, ob zwingende schutzwürdige Gründe für die Verarbeitung bestehen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.
T e i l 3
S i c h e r h e i t d e r I n f o r m a t i o n s t e c h n i k
v o n k r i t i s c h e n A n l a g e n u n d E i n r i c h t u n g e n
Kapitel 1 Anwendungsbereich
§ 28
Anwendungsbereich, Betreiber kritischer Anlagen, besonders wichtige Einrichtun- gen und wichtige Einrichtungen
Teil 3 Kapitel 2 und Teil 7 sind auf Betreiber kritischer Anlagen, besonders wich- tige Einrichtungen und wichtige Einrichtungen nur anwendbar, soweit dies durch die Rechtsverordnung nach § 57 Absatz 1 festgelegt wurde.
Ein Betreiber kritischer Anlagen ist eine natürliche oder juristische Person oder eine rechtlich unselbständige Organisationseinheit einer Gebietskörperschaft, die unter Be- rücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine kritische Anlage ausübt.
Eine kritische Anlage ist eine Anlage, die den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum sowie Siedlungsab- fallentsorgung angehört und die von hoher Bedeutung für das Funktionieren des Gemein- wesens ist, da durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungseng- pässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden; welche Anlagen im Einzelnen kritische Anlagen sind, bestimmt sich nach der Rechtsverordnung nach
§ 57 Absatz 1.
Eine Anlage ist ab dem durch die Rechtsverordnung nach § 57 Absatz 1 festge- legten Stichtag eine kritische Anlage, wenn sie einer der durch die Rechtsverordnung fest- gelegten Anlagenarten zuzuordnen ist und die durch Verordnung festgelegten Schwellen- werte erreicht oder überschreitet.
Eine Anlage ist ab dem nächsten folgenden durch die Rechtsverordnung nach
§ 57 Absatz 1 als Stichtag festgelegten Tag keine kritische Anlage mehr, wenn sie die durch die Verordnung festgelegten Schwellenwerte unterschreitet.
Eine besonders wichtige Einrichtung ist
ein Großunternehmen, das einer der durch Rechtsverordnung nach § 57 Absatz 1 be- stimmten Einrichtungsarten der Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstech- nik und Telekommunikation, Verwaltung von IKT-Diensten (Business-to-Business) o- der Weltraum zuzuordnen ist,
ein qualifizierter Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter, jeweils unabhängig von der Unternehmensgröße,
ein mittleres Unternehmen, das Anbieter von Telekommunikationsdiensten oder öffent- lich zugänglichen Telekommunikationsnetzen ist,
ein Betreiber kritischer Anlagen oder
eine Einrichtung, die gemäß Rechtsverordnung nach § 57 Absatz 1 dem Teilsektor Zentralregierung des Sektors öffentliche Verwaltung angehört,
ausgenommen Einrichtungen, die gemäß Artikel 2 Absatz 4 der Verordnung (EU) 2022/2554 von deren Anwendungsbereich ausgenommen wurden sowie solche, die als Fi- nanzunternehmen gemäß Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 vergleichba- ren Anforderungen unterliegen, wie sie dieser Teil für besonders wichtige Einrichtungen vorsieht.
[Anm. BMI CI 1 – Die genaue Ausgestaltung dieser Ausnahme für DORA mit BMF noch iRd. Ressortabstimmung abzustimmen.]
Eine wichtige Einrichtung ist
ein mittleres Unternehmen, das einer der durch Rechtsverordnung nach § 57 Absatz 1 bestimmten Einrichtungsarten der Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informations- technik und Telekommunikation, Verwaltung von IKT-Diensten (Business-to-Business) oder Weltraum zuzuordnen ist,
ein mittleres Unternehmen oder Großunternehmen, das einer der durch Rechtsverord- nung nach § 57 Absatz 1 bestimmten Einrichtungsarten der Sektoren Logistik, Sied- lungsabfallentsorgung, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, An- bieter digitaler Dienste oder Forschung zuzuordnen ist,
Vertrauensdiensteanbieter,
wer Güter im Sinne des Teils B der Kriegswaffenliste herstellt oder entwickelt oder vom Bundesamt zugelassene Produkte mit IT-Sicherheitsfunktionen zur Verarbeitung staat- licher Verschlusssachen oder für die IT-Sicherheitsfunktion wesentliche Komponenten solcher Produkte herstellt,
wer Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verord- nung in der jeweils geltenden Fassung oder nach § 1 Absatz 2 der Störfall-Verordnung einem solchen gleichgestellt ist,
und keine besonders wichtige Einrichtung ist, sowie ausgenommen Einrichtungen, die ge- mäß Artikel 2 Absatz 4 der Verordnung (EU) 2022/2554 von deren Anwendungsbereich ausgenommen wurden sowie solche, die als Finanzunternehmen gemäß Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 vergleichbaren Anforderungen unterliegen, wie sie dieser Teil für besonders wichtige Einrichtungen vorsieht.
[Anm. BMI CI 1 – Die genaue Ausgestaltung dieser Ausnahme für DORA mit BMF noch iRd. Ressortabstimmung abzustimmen.]
§§ 30 und 31 gelten nicht für
Betreiber kritischer Anlagen, besonders wichtige Einrichtungen und wichtige Einrich- tungen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen,
Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energie- wirtschaftsgesetz vom 7. Juli 2005 (BGBl. I S. 1970; 3621), das zuletzt durch Artikel 9 des Gesetzes vom 22. März 2023 (BGBl. 2023 I Nr. 88) geändert worden ist, soweit sie den Regelungen des § 11 des Energiewirtschaftsgesetzes unterliegen,
die Gesellschaft für Telematik nach § 306 Absatz 1 Satz 3 des Fünften Buches Sozial- gesetzbuch, Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach
§ 311 Absatz 6 und § 325 des Fünften Buches Sozialgesetzbuch zugelassenen Dienste und Betreiber von Diensten, soweit sie die Telematikinfrastruktur für nach
§ 327 Absatz 2 bis 5 des Fünften Buches Sozialgesetzbuch bestätigte Anwendungen nutzen.
[Anm. BMI CI 1 – Ob und in wieweit diese bisherige Ausnahme aus dem Anwendungsbe- reich in Ansehung der NIS-2-Vorgaben bestehen bleiben kann, ist Gegenstand der Abstim- mung mit BMG im Rahmen der Ressortabstimmung. Einschlägig in diesem Sinne könnte
u.a. die NIS-2-Einrichtungsart „Gesundheitsdienstleister“ des Sektors „Gesundheitswesen“ sein (vgl. NIS-2 Anhang I Ziff. 5 erster Spiegelstrich).]
§ 29
Einrichtungen der Bundesverwaltung
Einrichtungen der Bundesverwaltung im Sinne dieses Gesetzes sind
Stellen des Bundes,
Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie ihre Vereini- gungen ungeachtet ihrer Rechtsform auf Bundesebene, sowie
öffentliche Unternehmen, die mehrheitlich im Eigentum des Bundes stehen und die IT- Dienstleistungen für die Bundesverwaltung erbringen.
Für Einrichtungen der Bundesverwaltung, die nicht zugleich besonders wichtige Einrichtungen nach § 28 Absatz 6 oder wichtige Einrichtungen nach § 28 Absatz 7 sind, sind die Pflichten für besonders wichtige Einrichtungen nach Kapitel 2 entsprechend anzu- wenden, soweit in Kapitel 3 nichts Abweichendes bestimmt ist.
Die Regelungen des Kapitels 2 finden für Einrichtungen nach
§ 28 Absatz 6 Nummer 5, die zugleich Einrichtungen der Bundesverwaltung sind, mit der Maßgabe Anwendung, dass sich aus Kapitel 3 nichts Abweichendes ergibt.
Für Einrichtungen nach § 28 Absatz 6 Nummer 1, 2, 3, 4 und Absatz 7, die zu- gleich Einrichtungen der Bundesverwaltung sind, gelten die Regelungen des Kapitels 2 und ergänzend die Regelungen des Kapitels 3.
Die Ausnahme nach § 7 Absatz 6 gilt entsprechend.
Kapitel 2
Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten
§ 30
Risikomanagementmaßnahmen
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, ge- eignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen auf ihre o- der andere Dienste zu verhindern oder möglichst gering zu halten.
Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten und unter Be- rücksichtigung der einschlägigen europäischen und internationalen Normen sowie der Um- setzungskosten ein Sicherheitsniveau der informationstechnischen Systeme, Komponen- ten und Prozesse gewährleisten, das dem bestehenden Risiko angemessen ist. Bei der Bewertung, ob Maßnahmen dem bestehenden Risiko angemessen sind, sind das Ausmaß der Risikoexposition und die Größe der Einrichtung oder des Betreibers sowie die Eintritts- wahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen, zu berücksichtigen.
Für Betreiber kritischer Anlagen gelten für die Bewertung nach Absatz 2, ob Maß- nahmen dem bestehenden Risiko angemessen sind, erhöhte Anforderungen für Maßnah- men in Bezug auf das Sicherheitsniveau von denjenigen informationstechnischen Syste- men, Komponenten und Prozessen, die für die Funktionsfähigkeit der von ihnen betriebe- nen kritischen Anlagen maßgeblich sind: Maßnahmen gelten grundsätzlich gegenüber dem dafür erforderlichen Aufwand als angemessen, wenn sie dazu geeignet sind, auch in Bezug auf die in den jeweils aktuellen Lageberichten und Bewertungen des Bundesamts genann- ten Bedrohungsszenarien die Versorgungssicherheit durch die kritische Anlage erbrachten kritischen Dienstleistung für die Bevölkerung auf einem möglichst hohen Niveau sicherzu- stellen.
Maßnahmen nach Absatz 1 müssen auf einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, die informationstechnischen Systeme, Komponenten und Pro- zesse und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen, und zumindest Folgendes umfassen:
Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
Bewältigung von Sicherheitsvorfällen,
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehun- gen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechni- schen Systemen, Komponenten und Prozessen, einschließlich Management und Of- fenlegung von Schwachstellen,
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaß- nahmen im Bereich der Cybersicherheit,
grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von An- lagen,
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebe- nenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Der von der Europäischen Kommission gemäß Artikel 21 Absatz 5 Unterabsatz 1 der NIS-2-Richtlinie erlassene Durchführungsrechtsakt zur Festlegung der technischen und methodischen Anforderungen an die in Absatz 1 genannten Maßnahmen in Bezug auf DNS-Diensteanbieter, Top Level Domain Name Registries, Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Betreiber von Content Delivery Networks, Mana- ged Service Provider, Managed Security Service Provider, Anbieter von Online-Marktplät- zen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrau- ensdiensteanbieter, hat für die vorgenannten Einrichtungsarten Vorrang.
Soweit die Europäische Kommission einen Durchführungsrechtsakt gemäß Arti- kel 21 Absatz 5 Unterabsatz 2 der NIS-2-Richtlinie erlässt, in dem die technischen und me- thodischen Anforderungen sowie erforderlichenfalls die sektoralen Anforderungen der in Absatz 4 genannten Maßnahmen festgelegt werden, so gehen diese den in Absatz 4 ge- nannten Maßnahmen vor.
Soweit die Durchführungsrechtsakte der Europäischen Kommission nach Arti- kel 21 Absatz 5 der NIS-2-Richtlinie keine abschließenden Bestimmungen über die techni- schen und methodischen Anforderungen sowie erforderlichenfalls die sektoralen Anforde- rungen der in Absatz 4 genannten Maßnahmen in Bezug auf besonders wichtige Einrich- tungen und wichtige Einrichtungen enthalten, können diese Bestimmungen vom Bundes- ministerium des Innern und Heimat im Benehmen mit den jeweils betroffenen Ressorts durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, unter Berück- sichtigung der möglichen Folgen unzureichender Maßnahmen sowie der Bedeutung be- stimmter Einrichtungen präzisiert und erweitert werden.
Bei der Erwägung geeigneter Maßnahmen nach Absatz 4 Nummer 4 berücksich- tigt die Einrichtung oder der Betreiber die spezifischen Schwachstellen der einzelnen un- mittelbaren Anbieter und Diensteanbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ih- rer Entwicklungsprozesse. Einrichtungen müssen bei der Erwägung geeigneter Maßnah- men nach Satz 1 die Ergebnisse der gemäß Artikel 22 Absatz 1 der NIS-2-Richtlinie durch- geführten koordinierten Risikobewertungen kritischer Lieferketten berücksichtigen.
Verwendet eine besonders wichtige Einrichtung oder eine wichtige Einrichtung ein in einer Rechtsverordnung nach § 57 Absatz 4 bestimmtes IKT-Produkt, einen IKT-Dienst oder IKT-Prozess, so muss dieses oder dieser über eine Cybersicherheitszertifizierung ge- mäß europäischer Schemata nach Artikel 49 der Verordnung (EU) 2019/881 verfügen. So- weit die Europäische Kommission einen Durchführungsrechtsakt gemäß Artikel 24 Ab- satz 2 der NIS-2-Richtlinie erlässt, gehen die darin enthaltenen Vorgaben an den Einsatz zertifizierter IKT-Produkte, IKT-Dienste und IKT-Prozesse denen des Satzes 1 vor.
Besonders wichtige Einrichtungen sind ab dem [einsetzen: 1 Jahr nach Inkrafttre- ten] verpflichtet, am Informationsaustausch nach § 6 teilzunehmen.
Unbeschadet der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Strafta- ten dürfen der Austausch von Informationen nach § 6 oder die freiwillige Meldung nach § 5 nicht dazu führen, dass der meldenden Einrichtung zusätzliche Verpflichtungen auferlegt werden, die nicht für sie gegolten hätten, wenn sie die Meldung nicht übermittelt hätte.
Besonders wichtige Einrichtungen und ihre Branchenverbände können branchen- spezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Diese müssen Durchführungsrechtsakte der Europäischen Kommission so berücksichtigen, dass sie nicht im Widerspruch zu den dort genannten Anforderungen ste- hen sowie darin enthaltende Vorgaben nicht unterschritten werden. Das Bundesamt stellt auf Antrag fest, ob diese branchenspezifisch und geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt
im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe,
im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes.
Das Bundesamt kann zudem feststellen, ob die branchenspezifischen Sicherheitsstandards zur Gewährleistung der Anforderungen nach § 39 Absatz 1 geeignet sind.
§ 31
Meldepflichten
Besonders wichtige Einrichtungen und wichtige Einrichtungen übermitteln dem Bundesamt über eine vom Bundesamt im Einvernehmen mit dem Bundesamt für Bevölke- rungsschutz und Katastrophenhilfe eingerichtete Meldemöglichkeit:
unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkun- gen haben könnte;
unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Meldung über den Sicherheitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittie- rungsindikatoren angegeben werden;
auf Ersuchen des Bundesamtes eine Zwischenmeldung über relevante Statusaktuali- sierungen;
spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Nummer 2, vorbehaltlich Absatz 2, eine Abschlussmeldung, die Folgendes enthält:
eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen;
Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat;
Angaben zu den getroffenen und laufenden Abhilfemaßnahmen;
gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls;
Dauert der Sicherheitsvorfall im Zeitpunkt des Absatz 1 Nummer 4 noch an, legt die betreffende Einrichtung statt einer Abschlussmeldung zu diesem Zeitpunkt eine Fort- schrittsmeldung und eine Abschlussmeldung innerhalb eines Monats nach Abschluss der Bearbeitung des Sicherheitsvorfalls vor.
Dauert der Sicherheitsvorfall im Zeitpunkt des Absatz 1 Nummer 4 noch an, legt die betreffende Einrichtung statt einer Abschlussmeldung zu diesem Zeitpunkt eine Fort- schrittsmeldung und eine Abschlussmeldung innerhalb eines Monats nach Abschluss der Bearbeitung des Sicherheitsvorfalls vor.
Betreiber kritischer Anlagen sind zusätzlich verpflichtet, Angaben zur Art der be- troffenen Anlage, der kritischen Dienstleistung und den Auswirkungen des Sicherheitsvor- falls auf diese Dienstleistung zu übermitteln, wenn ein erheblicher Sicherheitsvorfall Aus- wirkungen auf die von ihnen betriebene kritische Anlage hat oder haben könnte.
Soweit die Europäische Kommission einen Durchführungsrechtsakt gemäß Arti- kel 23 Absatz 11 Unterabsatz 1 der NIS-2-Richtlinie erlässt, in dem die Art der Angaben, das Format oder das Verfahren der Meldungen festgelegt ist, sind diese Vorgaben einzu- halten. Das Bundesamt kann die Einzelheiten zur Ausgestaltung des Meldeverfahrens und zur Konkretisierung der Meldungsinhalte nach Anhörung der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen, soweit sie möglichen Durchführungsrechtsak- ten der Europäischen Kommission nicht widersprechen.
§ 32
Registrierungspflicht
Besonders wichtige Einrichtungen und wichtige Einrichtungen sowie Domain- Name-Registry-Diensteanbieter sind verpflichtet, spätestens drei Monate nachdem sie erst- mals oder erneut als eine der vorgenannten Einrichtungen gelten, dem Bundesamt die fol- genden Angaben zu übermitteln:
der Name der Einrichtung, einschließlich der Rechtsform und soweit einschlägig der Handelsregisternummer,
die Anschrift und aktuellen Kontaktdaten, einschließlich E-Mail-Adresse, IP-Adressbe- reiche und Telefonnummern,
der relevante in der Rechtsverordnung nach § 57 Absatz 1 genannte Sektor oder so- weit einschlägig Teilsektor,
eine Auflistung der Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste erbringt, die die in der in der Rechtsverordnung nach § 57 Absatz 1 genannten Einrichtungsarten erbringen.
Die Registrierung von besonders wichtigen Einrichtungen, wichtigen Einrichtungen und Domain-Name-Registry-Diensteanbieter kann das Bundesamt auch selbst vornehmen, wenn die Einrichtung oder der Anbieter ihre oder seine Pflicht zur Registrierung nicht erfüllt.
Betreiber kritischer Anlagen sind verpflichtet, spätestens bis zum ersten Werktag, der auf denjenigen Tag folgt, an dem die von ihnen betriebene Anlage erstmalig oder erneut
als kritische Anlage gilt, die von ihnen betriebenen kritischen Anlagen beim Bundesamt zu registrieren, indem sie dem Bundesamt die folgenden Angaben übermitteln:
den Standort und die IP-Adressbereiche der der von ihnen betriebenen kritischen An- lagen,
Informationen zu einer jederzeit erreichbaren Kontaktstelle und
die für die von ihnen betriebenen kritischen Anlagen gemäß der Rechtsverordnung nach § 57 Absatz 1 ermittelte Anlagenkategorie und Versorgungskennzahlen.
Die Registrierung einer kritischen Anlage kann das Bundesamt auch selbst vor- nehmen, wenn der Betreiber seine Pflicht zur Registrierung nicht erfüllt. Nimmt das Bun- desamt eine solche Registrierung selbst vor, informiert es die zuständige Aufsichtsbehörde des Bundes darüber. Der Betreiber kritischer Anlagen hat sicherzustellen, dass er über die Angaben nach Absatz 3 Nummer 2 oder durch das Bundesamt festgestellten Kontaktdaten jederzeit erreichbar ist.
Rechtfertigen Tatsachen die Annahme, dass ein Betreiber oder eine Einrichtung ihre Pflicht zur Registrierung nach Absatz 1 oder 2 nicht erfüllt, so hat der Betreiber oder die Einrichtung dem Bundesamt auf Verlangen die für die Bewertung aus Sicht des Bun- desamtes erforderlichen Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeig- neter Weise vorzulegen und Auskunft zu erteilen, soweit nicht Geheimschutzinteressen o- der überwiegende Sicherheitsinteressen entgegenstehen.
Bei Änderungen der nach diesem § 32 zu übermittelnden Angaben sind geänderte Versorgungskennzahlen einmal jährlich, alle anderen Angaben unverzüglich, spätestens jedoch zwei Wochen ab dem Zeitpunkt, zu dem die Einrichtung oder der Betreiber Kenntnis von der Änderung erhalten hat, dem Bundesamt zu übermitteln.
Das Bundesamt kann die Einzelheiten zur Ausgestaltung des Registrierungsver- fahrens festlegen.
§ 33
Besondere Registrierungspflicht für bestimmte Einrichtungsarten
Eine Einrichtung der in § 63 Absatz 1 Satz 1 genannten Einrichtungsart übermittelt bis zum 17. Januar 2025 dem Bundesamt folgende Angaben:
Name der Einrichtung;
einschlägiger Sektor, Teilsektor und Einrichtungsart wie in der Rechtsverordnung nach
§ 57 Absatz 1 weiter bestimmt;
Anschrift der Hauptniederlassung in der Europäischen Union im Sinne des
§ 63 Absatz 2 und seiner sonstigen Niederlassungen in der Europäischen Union oder, falls er nicht in der Europäischen Union niedergelassen ist, Anschrift seines nach
§ 63 Absatz 3 benannten Vertreters;
aktuelle Kontaktdaten, einschließlich E-Mail-Adressen und Telefonnummern der Ein- richtung und soweit erforderlich, seines nach § 63 Absatz 3 benannten Vertreters;
die Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste erbringt, und
die IP-Adressbereiche der Einrichtung.
Im Fall einer Änderung der gemäß Absatz 1 übermittelten Angaben unterrichten die Einrichtungen der in § 63 Absatz 1 Satz 1 genannten Einrichtungsart das Bundesamt unverzüglich über diese Änderung, jedoch spätestens innerhalb von drei Monaten ab dem Tag an dem die Änderung eingetreten ist.
Mit Ausnahme der in Absatz 1 Nummer 6 genannten Angaben leitet das Bundes- amt die nach diesem § 33 übermittelten Angaben an die ENISA weiter.
Das Bundesamt kann für die Übermittlung der Angaben nach Absätzen 1 und 2 eine geeignete Meldemöglichkeit vorsehen.
§ 34
Nachweispflichten für besonders wichtige Einrichtungen
Besonders wichtige Einrichtungen haben die Erfüllung der Anforderungen nach
§ 30 Absatz 1 und § 31 spätestens zu einem vom Bundesamt bei der Registrierung festge- legten Zeitpunkt und anschließend alle zwei Jahre dem Bundesamt auf geeignete Weise nachzuweisen. Der in Satz 1 genannte Zeitpunkt ist durch das Bundesamt auf einen Zeit- punkt spätestens vier Jahre nach Inkrafttreten dieses Gesetzes festzulegen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Einrichtungen übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlan- gen. Es kann bei Sicherheitsmängeln die Vorlage eines geeigneten Mängelbeseitigungs- planes und im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheits- mängel verlangen. Das Bundesamt kann die Vorlage eines geeigneten Nachweises über die erfolgte Mängelbeseitigung verlangen.
Das Bundesamt kann zur Ausgestaltung des Verfahrens der Prüfungen und Er- bringung des Nachweises nach Absatz 1 Anforderungen an die Art und Weise der Durch- führung, an die Geeignetheit der zu erbringenden Nachweise sowie fachliche und organi- satorische Anforderungen an die Prüfer und die prüfende Stelle nach Anhörung von Vertre- tern der betroffenen Betreiber und Einrichtungen und der betroffenen Wirtschaftsverbände festlegen. Die Festlegung nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der Inter- netseite des Bundesamts, die abrufbar ist unter der URL http://bsi.bund.de/[genaue URL noch einzufügen].
§ 35
Unterrichtungspflichten
Im Fall eines erheblichen Sicherheitsvorfalls kann das Bundesamt besonders wichtige Einrichtungen und wichtige Einrichtungen anweisen, die Empfänger ihrer Dienste unverzüglich über diese erheblichen Sicherheitsvorfälle zu unterrichten, die die Erbringung des jeweiligen Dienstes beeinträchtigen könnten. Die Unterrichtung nach Satz 1 kann, so- weit sinnvoll, auch durch eine Veröffentlichung im Internet erfolgen.
Einrichtungen im Sinne des Absatz 1 aus den Sektoren Finanz- und Versiche- rungswesen, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten
und Digitale Dienste teilen den potenziell von einer erheblichen Cyberbedrohung betroffe- nen Empfängern ihrer Dienste und dem Bundesamt unverzüglich alle Maßnahmen oder Abhilfemaßnahmen mit, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können. Die Einrichtungen im Sinne des Absatz 1 informieren diese Empfänger auch über die erhebliche Cyberbedrohung selbst. Die Unterrichtungspflicht nach diesem Absatz gilt nur dann, wenn in Abwägung der Interessen der Einrichtung im Sinne des Absatz 1 und derjenigen des Empfängers letztere überwiegen.
§ 36
Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen
Im Fall einer Meldung durch einen Betreiber oder eine Einrichtung gemäß § 31 übermittelt das Bundesamt der meldenden Einrichtung unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach Eingang der frühen Erstmeldung gemäß § 31 eine Antwort, einschließlich einer ersten Rückmeldung zu dem erheblichen Sicherheitsvorfall und, auf Ersuchen der Einrichtung, Orientierungshilfen oder operativer Beratung für die Durchfüh- rung möglicher Abhilfemaßnahmen. Das Bundesamt kann, im Rahmen der zur Verfügung stehenden Kapazitäten und der Priorisierung im Ermessen des Bundesamts, auf Ersuchen der betreffenden Einrichtung zusätzliche technische Unterstützung leisten. Wird bei dem erheblichen Sicherheitsvorfall ein krimineller Hintergrund vermutet, gibt das Bundesamt fer- ner Orientierungshilfen für die Meldung des Sicherheitsvorfalls an die Strafverfolgungsbe- hörden.
Ist eine Sensibilisierung der Öffentlichkeit erforderlich, um einen erheblichen Si- cherheitsvorfall zu verhindern oder einen laufenden erheblichen Sicherheitsvorfall zu be- wältigen oder liegt die Offenlegung des erheblichen Sicherheitsvorfalls anderweitig im öf- fentlichen Interesse, so kann das Bundesamt nach Konsultation des betreffenden Betrei- bers oder der betreffenden Einrichtung die Öffentlichkeit über den erheblichen Sicherheits- vorfall informieren oder den Betreiber oder die Einrichtung auffordern, dies zu tun. Soweit es sich bei der betreffenden Einrichtung um eine Stelle des Bundes handelt, gilt für die Information der Öffentlichkeit § 4 Absatz 3 entsprechend.
§ 37
Ausnahmebescheid
Das Bundesministerium des Innern und für Heimat kann auf Vorschlag des Bun- deskanzleramts, des Bundesministeriums für Verteidigung oder auf eigenes Betreiben be- sonders wichtige Einrichtungen oder wichtige Einrichtungen von Verpflichtungen nach die- sem Gesetz nach Maßgabe des Absatzes 2 teilweise (einfacher Ausnahmebescheid) oder des Absatzes 3 insgesamt (erweiterter Ausnahmebescheid) befreien, sofern durch die Ein- richtung gleichwertige Vorgaben eingehalten werden.
Einrichtungen, die
in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Straf- verfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten (relevante Bereiche) tätig sind oder Dienste erbringen, oder
ausschließlich für Behörden, die Aufgaben in relevanten Bereichen erfüllen, tätig sind oder Dienste erbringen
können für diese Tätigkeiten oder Dienste von den Risikomanagementmaßnahmen nach
§ 30 und Meldepflichten nach § 31 befreit werden. Die Informationssicherheit dieser Ein- richtungen muss in diesen Fällen anderweitig gewährleistet sein und beaufsichtigt werden.
Einrichtungen, die ausschließlich in den relevanten Bereichen tätig sind oder Dienste erbringen, können insgesamt von den in Absatz 2 genannten Pflichten und von den Registrierungspflichten nach § 32 und § 33 befreit werden. Absatz 2 Satz 2 gilt entspre- chend.
Diese Vorschrift gilt nicht, wenn die betreffende Einrichtung als Vertrauensdienste- anbieter auftritt.
Ein Ausnahmebescheid nach diesem Gesetz ist zu widerrufen, wenn nachträglich Tatsachen eintreten, die zur Ablehnung einer Erteilung einer Ausnahme hätten führen müs- sen. Abweichend von Satz 1 kann im Falle eines vorübergehenden Wegfalls der Voraus- setzungen des Absatz 2 Nummer 1 oder 2 aus besonderen Gründen von einem Widerruf abgesehen werden.
§ 38
Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtungen
Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen zur Einhaltung von § 30 ergriffenen Risiko- managementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen. Die Beauftragung eines Dritten zu Erfüllung der Verpflichtungen nach Satz 1 ist nicht zulässig.
Geschäftsleiter, welche ihre Pflichten nach Absatz 1 verletzen, haften der Einrich- tung für den entstandenen Schaden. Satz 1 gilt nicht für Geschäftsleiter besonders wichti- ger Einrichtungen des Teilsektors Zentralregierung des Sektors öffentliche Verwaltung.
Ein Verzicht der Einrichtung auf Ersatzansprüche nach Absatz 2 oder ein Vergleich der Einrichtung über diese Ansprüche ist unwirksam. Dies gilt nicht, wenn der Ersatzpflich- tige zahlungsunfähig ist und sich zur Abwendung des Insolvenzverfahrens mit seinen Gläu- bigern vergleicht oder wenn die Ersatzpflicht in einem Insolvenzplan geregelt wird.
Die Geschäftsleiter von besonders wichtigen Einrichtungen und wichtigen Einrich- tungen müssen und deren Mitarbeiter sollen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken so- wie Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.
§ 39
Zusätzliche Anforderungen an Betreiber kritischer Anlagen
Betreiber kritischer Anlagen sind verpflichtet, Systeme zur Angriffserkennung ein- zusetzen. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und aus- werten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vor- zusehen. Dabei soll der Stand der Technik eingehalten werden. Der hierfür erforderliche
Aufwand soll nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchti- gung der betroffenen kritischen Anlage stehen.
Betreiber kritischer Anlagen haben die Erfüllung der Anforderungen nach Absatz 1 als zusätzlichen Teil des Nachweises gemäß § 34 dem Bundesamt geeignet nachzuwei- sen. Betreiber, die gemäß [§ [●] des KRITIS-Dachgesetzes] zum Nachweis der Erfüllung von Anforderungen gegenüber dem Bundesamt für Bevölkerungsschutz und Katastrophen- hilfe verpflichtet sind, können die in Satz 1 sowie in § 34 Absatz 1 genannten Nachweis zum in [§ [●] des KRITIS-Dachgesetzes] genannten Zeitpunkt einreichen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Einrichtungen übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlan- gen. Es kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbe- hörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Be- seitigung der Sicherheitsmängel verlangen.
Das Bundesamt kann bei Betreibern kritischer Anlagen die Einhaltung der Anfor- derungen nach dem Absatz 1 überprüfen; es kann sich bei der Durchführung der Überprü- fung eines qualifizierten unabhängigen Dritten bedienen. Der Betreiber kritischer Anlagen hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Über- prüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszei- ten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schrift- stücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei dem jeweiligen Betreiber kritischer Anlagen nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen nach dem Absatz 1 begründeten.
Das Bundesamt kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen nach Absatz 2 Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisa- torische Anforderungen an die Prüfer und die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen.
§ 40
Zentrale Melde- und Anlaufstelle
Das Bundesamt ist die zentrale Meldestelle für Betreiber kritischer Anlagen, be- sonders wichtige Einrichtungen und wichtige Einrichtungen in Angelegenheiten der Sicher- heit in der Informationstechnik und zentrale Anlaufstelle für die Aufsicht in Angelegenheiten der Sicherheit in der Informationstechnik über Betreiber kritischer Anlagen, besonders wich- tige Einrichtungen und wichtige Einrichtungen und fungiert dabei als nationale Verbindungs- stelle um:
die grenzüberschreitende Zusammenarbeit von Behörden der Länder, die diese als zuständige Behörde für die Aufsicht von Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene im Sinne des Artikels 2 Absatz 2 Buchstabe f Nummer ii der NIS-2- Richtlinie bestimmt haben, Bundesnetzagentur und Bundesanstalt für Finanzdienstleis- tungsaufsicht mit den für die Überwachung der Anwendung der NIS-2-Richtlinie zu- ständigen Behörden anderer Mitgliedstaaten und gegebenenfalls mit der Europäischen Kommission und der ENISA
sowie die sektorübergreifende Zusammenarbeit mit in Nummer 1 genannten Behörden der Länder, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, Bundesnetza- gentur und Bundesanstalt für Finanzdienstleistungsaufsicht
zu gewährleisten.
Das Bundesamt hat zur Wahrnehmung dieser Aufgabe
die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentli- chen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Schwachstellen, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und zu der dabei beobachteten Vorgehensweise,
deren potentielle Auswirkungen auf die Verfügbarkeit der kritischen Anlagen in Zusam- menarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölke- rungsschutz und Katastrophenhilfe zu analysieren,
das Lagebild bezüglich der Sicherheit in der Informationstechnik der kritischen Anlagen oder besonders wichtigen Einrichtungen oder wichtigen Einrichtungen kontinuierlich zu aktualisieren und
unverzüglich
die Betreiber kritischer Anlagen, besonders wichtigen Einrichtungen und wichtigen Einrichtungen über sie betreffende Informationen nach den Nummern 1 bis 3 durch Übermittlung an die Kontaktdaten nach § 32 Absatz 1 Nummer 2 sowie
die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 4 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben
soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist, im Rahmen vorab abgestimm- ter Prozesse zur Weitergabe und Wahrung der notwendigen Vertraulichkeit den zu- ständigen Behörden des Bundes und der Länder Informationen zu Betreibern kritischer Anlagen und in begründeten Fällen zu einer einzelnen kritischen Anlage Informationen nach den Nummern 1 bis 3 zur Verfügung zu stellen
zu unterrichten.
Das Bundesamt hat zur Wahrnehmung seiner Aufgabe als zentrale Anlaufstelle
Anfragen von den in Absatz 1 genannten Stellen anzunehmen oder soweit zutreffend an eine oder mehrere in Absatz 1 genannten Stellen weiterzuleiten,
Antworten auf die in Absatz 2 Nummer 2 genannten Anfragen zu erstellen und dabei soweit zutreffend die in Absatz 1 genannten Stellen zu beteiligen oder Antworten der in Absatz 1 genannten Stellen an die in Absatz 1 genannten Stellen weiterzuleiten,
auf eigenes Betreiben nach § 31 eingegangene Meldungen an zentrale Anlaufstellen der anderen betroffenen Mitgliedstaaten der Europäischen Union weiterzuleiten,
gegebenenfalls und insbesondere, wenn der erhebliche Sicherheitsvorfall zwei oder mehr Mitgliedstaaten der Europäischen Union betrifft, die anderen betroffenen Mitglied- staaten und die ENISA über den erheblichen Sicherheitsvorfall zu unterrichten, wobei diese Informationen umfassen die Art der gemäß § 31 Absatz 2 erhaltenen Informatio- nen und das Bundesamt dabei das wirtschaftliche Interesse der Einrichtung sowie die Vertraulichkeit der bereitgestellten Informationen wahrt.
Während einer erheblichen Störung gemäß § 31 Absatz 1, kann das Bundesamt im Einvernehmen mit der jeweils zuständigen Aufsichtsbehörde des Bundes von den be- troffenen Betreibern kritischer Anlagen die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen. Betreiber kritischer Anlagen sind befugt, dem Bundesamt auf Verlangen die zur Bewältigung der Stö- rung notwendigen Informationen einschließlich personenbezogener Daten zu übermitteln, soweit dies zur Bewältigung einer erheblichen Störung gemäß Absatz 4 Satz 1 Nummer 2 erforderlich ist.
Soweit im Rahmen dieser Vorschrift personenbezogene Daten verarbeitet werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung zu anderen Zwecken unzulässig. § 8 Absatz 8 Satz 3 bis 9 ist entsprechend anzuwenden.
§ 41
Untersagung des Einsatzes kritischer Komponenten
Ein Betreiber kritischer Anlagen hat den geplanten erstmaligen Einsatz einer kriti- schen Komponente gemäß § 2 Absatz 1 Nummer 26 dem Bundesministerium des Innern und für Heimat vor ihrem Einsatz anzuzeigen. In der Anzeige sind die kritische Komponente und die geplante Art ihres Einsatzes anzugeben. Satz 1 gilt für einen Betreiber kritischer Anlagen nicht, wenn dieser den Einsatz einer anderen kritischen Komponente desselben Typs für dieselbe Art des Einsatzes bereits nach Satz 1 angezeigt hat und ihm dieser nicht untersagt wurde.
Das Bundesministerium des Innern und für Heimat kann den geplanten erstmali- gen Einsatz einer kritischen Komponente gegenüber dem Betreiber kritischer Anlagen im Benehmen mit den in § 57 Absatz 1 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt bis zum Ablauf von zwei Monaten nach Eingang der Anzeige nach Ab- satz 1 untersagen oder Anordnungen erlassen, wenn der Einsatz die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt. Bei der Prü- fung einer voraussichtlichen Beeinträchtigung der öffentlichen Ordnung oder Sicherheit kann insbesondere berücksichtigt werden, ob
der Hersteller unmittelbar oder mittelbar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert wird,
der Hersteller bereits an Aktivitäten beteiligt war oder ist, die nachteilige Auswirkungen auf die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland oder eines anderen Mitgliedstaates der Europäischen Union, der Europäischen Freihandelsasso- ziation oder des Nordatlantikvertrages oder auf deren Einrichtungen hatten, oder
der Einsatz der kritischen Komponente im Einklang mit den sicherheitspolitischen Zie- len der Bundesrepublik Deutschland, der Europäischen Union oder des Nordatlantik- vertrages steht.
Vor Ablauf der Frist von zwei Monaten nach Anzeige nach Absatz 1 ist der Einsatz nicht gestattet. Das Bundesministerium des Innern und für Heimat kann die Frist gegenüber der Einrichtung um weitere zwei Monate verlängern, wenn die Prüfung besondere Schwierig- keiten tatsächlicher oder rechtlicher Art aufweist.
Kritische Komponenten gemäß § 2 Absatz 1 Nummer 26 dürfen nur eingesetzt werden, wenn der Hersteller eine Erklärung über seine Vertrauenswürdigkeit (Garantieer- klärung) gegenüber dem Betreiber der kritischen Anlage abgeben hat. Die Garantieerklä-
rung ist der Anzeige nach Absatz 1 beizufügen. Aus der Garantieerklärung muss hervorge- hen, wie der Hersteller sicherstellt, dass die kritische Komponente nicht über technische Eigenschaften verfügt, die spezifisch geeignet sind, missbräuchlich, insbesondere zum Zwecke von Sabotage, Spionage oder Terrorismus auf die Sicherheit, Vertraulichkeit, In- tegrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage einwirken zu können. Das Bundesministerium des Innern und für Heimat legt die Einzelheiten der Mindestanfor- derungen an die Garantieerklärung im Einvernehmen mit den in § 57 Absatz 1 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt durch Allgemeinverfügung fest, die im Bundesanzeiger bekannt zu machen ist. Die Einzelheiten der Mindestanforderungen an die Garantieerklärung müssen aus den Schutzzielen der Sicherheit, Vertraulichkeit, In- tegrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage folgen und die Vermei- dung von Gefahren für die öffentliche Sicherheit und Ordnung, insbesondere im Sinne von Absatz 2 Satz 2, adressieren, die aus der Sphäre des Herstellers der kritischen Kompo- nente, insbesondere dessen Organisationsstruktur, stammen. Die Sätze 1 und 2 gelten erst ab der Bekanntmachung der Allgemeinverfügung nach Satz 5 und nicht für bereits vor die- sem Zeitpunkt eingesetzte kritische Komponenten. Soweit Änderungen der Allgemeinver- fügung erfolgen, sind diese für bereits nach diesem Absatz abgegebene Garantieerklärun- gen unbeachtlich.
Das Bundesministerium des Innern und für Heimat kann den weiteren Einsatz ei- ner kritischen Komponente gegenüber dem Betreiber kritischer Anlagen im Einvernehmen mit den in § 57 Absatz 1 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt untersagen oder Anordnungen erlassen, wenn der weitere Einsatz die öffentliche Ord- nung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt, ins- besondere, wenn der Hersteller der kritischen Komponente nicht vertrauenswürdig ist. Absatz 2 Satz 2 gilt entsprechend.
Ein Hersteller einer kritischen Komponente kann insbesondere dann nicht vertrau- enswürdig sein, wenn hinreichende Anhaltspunkte dafür bestehen, dass
er gegen die in der Garantieerklärung eingegangen Verpflichtungen verstoßen hat,
in der Garantieerklärung angegebene Tatsachenbehauptungen unwahr sind,
er Sicherheitsüberprüfungen und Penetrationsanalysen an seinem Produkt und in der Produktionsumgebung nicht im erforderlichen Umfang in angemessener Weise unter- stützt,
Schwachstellen oder Manipulationen nicht unverzüglich, nachdem er davon Kenntnis erlangt, beseitigt und dem Betreiber kritischer Anlagen meldet,
die kritische Komponente auf Grund von Mängeln ein erhöhtes Gefährdungspotenzial aufweist oder aufgewiesen hat, missbräuchlich auf die Sicherheit, Vertraulichkeit, In- tegrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage einwirken zu kön- nen oder
die kritische Komponente über technische Eigenschaften verfügt oder verfügt hat, die spezifisch geeignet sind oder waren, missbräuchlich auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage einwirken zu können.
Wurde nach Absatz 4 der weitere Einsatz einer kritischen Komponente untersagt, kann das Bundesministerium des Innern und für Heimat im Einvernehmen mit den in
§ 57 Absatz 1 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt
den geplanten Einsatz weiterer kritischer Komponenten desselben Typs und desselben Herstellers untersagen und
den weiteren Einsatz kritischer Komponenten desselben Typs und desselben Herstel- lers unter Einräumung einer angemessenen Frist untersagen.
Bei schwerwiegenden Fällen nicht vorliegender Vertrauenswürdigkeit nach Ab- satz 5 kann das Bundesministerium des Innern und für Heimat den Einsatz aller kritischen Komponenten des Herstellers im Einvernehmen mit den in § 57 Absatz 1 aufgeführten je- weils betroffenen Ressorts sowie dem Auswärtigen Amt untersagen.
§ 42
Auskunftsverlangen
Zugang zu den Informationen und Akten in Angelegenheiten nach Teil 2 §§ 4 bis 10 und Teil 3 dieses Gesetzes wird nicht gewährt. Die Akteneinsichtsrechte von Verfahrens- beteiligten bleiben unberührt.
Kapitel 3
Sicherheit in der Informationstechnik der Einrichtungen der Bundesverwal- tung
§ 43
Informationssicherheitsmanagement
Die Einrichtungsleitung ist dafür verantwortlich, unter Berücksichtigung der Be- lange des IT-Betriebs die Voraussetzungen zur Gewährleistung der Informationssicherheit zu schaffen. Hierfür sind angemessene finanzielle, personelle und Sachmittel einzusetzen. Der finanzielle Mitteleinsatz gilt als angemessen, wenn er mindestens 20 Prozent der Aus- gaben des IT-Betriebs innerhalb der Einrichtung beträgt. Die Einrichtungsleitung unterrich- tet kalenderjährlich jeweils bis zum 31. März des dem Berichtsjahr folgenden Jahres die jeweils zuständige oberste Bundesbehörde über den Einsatz von Mitteln für die Informati- onssicherheit.
Soweit mit Leistungen für Informationstechnik des Bundes privatrechtlich organi- sierte Stellen beauftragt werden, ist vertraglich sicherzustellen, dass diese sich zur Einhal- tung der Voraussetzungen zur Gewährleistung der Informationssicherheit verpflichten. Dies gilt auch für den Fall, dass Schnittstellen zur Kommunikationstechnik des Bundes einge- richtet werden. Die Pflichten der Einrichtungsleitung nach Absatz 1 bleiben hiervon unbe- rührt.
Die Registrierung von Einrichtungen der Bundesverwaltung nach § 32 obliegt der Einrichtungsleitung. Abweichend von § 34 weisen die Einrichtungen der Bundesverwaltung die Erfüllung der Anforderungen nach Absatz 1 spätestens zwei Jahre nach Inkrafttreten dieses Gesetzes und anschließend regelmäßig dem Bundesamt nach dessen Vorgaben nach.
Werden, über die sich aus § 31 ergebenden Meldepflichten hinaus, Einrichtungen der Bundesverwaltung Informationen nach § 4 Absatz 2 Nummer 1 bekannt, die für die Er- füllung von Aufgaben oder die Sicherheit der Kommunikationstechnik des Bundes von Be- deutung sind, unterrichten diese das Bundesamt hierüber unverzüglich, soweit andere Vor- schriften dem nicht entgegenstehen. Ausgenommen von den Pflichten nach Satz 1 sind
Informationen, die aufgrund von Regelungen zum Geheimschutz oder Vereinbarungen mit Dritten nicht weitergegeben werden dürfen oder deren Weitergabe im Widerspruch zu der verfassungsrechtlichen Stellung eines Abgeordneten des Bundestages oder eines Verfas- sungsorgans oder der gesetzlich geregelten Unabhängigkeit einzelner Stellen stünde. Die Einrichtungen der Bundesverwaltung melden dem Bundesamt kalenderjährlich jeweils bis zum 31. Januar eines Jahres die Gesamtzahl der nach Satz 2 nicht übermittelten Informa- tionen.
Das Bundesministerium des Innern und für Heimat erlässt nach Zustimmung durch die Ressorts allgemeine Verwaltungsvorschriften zur Durchführung des Absatzes 4.
§ 44
Vorgaben des Bundesamtes
Das Bundesamt legt durch den IT-Grundschutz und durch Mindeststandards für die Sicherheit der Informationstechnik des Bundes die nach § 30 zu erfüllenden Anforde- rungen für Einrichtungen der Bundesverwaltung fest. Die Mindeststandards legt das Bun- desamt im Benehmen mit den Ressorts fest. Das Bundesamt berät die Einrichtungen der Bundesverwaltung auf Ersuchen bei der Umsetzung und Einhaltung dieser Anforderungen. Für die in § 2 Absatz 1 Nummer 18 genannten Gerichte und Verfassungsorgane haben die Vorschriften nach Satz 1 empfehlenden Charakter.
Das Bundesamt stellt im Rahmen seiner Aufgaben nach § 3 Absatz 1 Satz 2 Num- mer 10 technische Richtlinien bereit, die von den Stellen des Bundes als Rahmen für die Entwicklung sachgerechter Anforderungen an Auftragnehmer (Eignung) und IT-Produkte (Spezifikation) für die Durchführung von Vergabeverfahren berücksichtigt werden. Die Vor- schriften des Vergaberechts und des Geheimschutzes bleiben unberührt.
Für die Einrichtungen der Bundesverwaltung kann der Koordinator oder die Koor- dinatorin für Informationssicherheit im Einvernehmen mit den Ressorts festlegen, dass sie verpflichtet sind, nach § 19 bereitgestellte IT-Sicherheitsprodukte beim Bundesamt abzuru- fen. Eigenbeschaffungen sind in diesem Fall nur zulässig, wenn das spezifische Anforde- rungsprofil den Einsatz abweichender Produkte erfordert. Dies gilt nicht für die in
§ 2 Absatz 1 Nummer 18 genannten Gerichte und Verfassungsorgane.
§ 45
Informationssicherheitsbeauftragte der Einrichtungen der Bundesverwaltung
Die Einrichtungen der Bundesverwaltung bestellen jeweils eine Informationssi- cherheitsbeauftragte oder einen Informationssicherheitsbeauftragten sowie eine zur Vertre- tung berechtigte Person.
Für die Erfüllung ihrer Aufgaben sind neben Personal- und Sachausstattung in an- gemessenem Umfang auch finanzielle Mittel zur Verfügung zu stellen, die sie zur Erfüllung ihrer Aufgaben eigenständig verwalten. Die Informationssicherheitsbeauftragen müssen die zur Erfüllung ihrer Aufgaben erforderliche Fachkunde erwerben. Sie unterstehen der Fach- aufsicht des oder der jeweils zuständigen Informationssicherheitsbeauftragten des Res- sorts.
Die Informationssicherheitsbeauftragten sind für den Aufbau und die Aufrechter- haltung des Informationssicherheitsprozesses der Einrichtung verantwortlich. Sie erstellen ein Informationssicherheitskonzept, welches mindestens die Vorgaben des Bundesamtes
nach § 44 Absatz 1 erfüllt. Sie sorgen für die operative Umsetzung des Informationssicher- heitskonzepts und kontrollieren diese innerhalb der Einrichtung. Die Informationssicher- heitsbeauftragen beraten die Einrichtungsleitung in allen Fragen der Informationssicherheit und unterrichten die Einrichtungsleitung regelmäßig sowie anlassbezogen über ihre Tätig- keit.
Die Informationssicherheitsbeauftragten sind bei allen Maßnahmen zu beteiligen, die die Informationssicherheit der Einrichtung betreffen. Sie haben ein unmittelbares Vor- tragsrecht bei der jeweiligen Einrichtungsleitung sowie beim Koordinator oder der Koordi- natorin für Informationssicherheit des jeweils zuständigen Ressorts.
§ 46
Informationssicherheitsbeauftragte der Ressorts
Die Ressorts bestellen jeweils eine Informationssicherheitsbeauftragte oder einen Informationssicherheitsbeauftragten des Ressorts, der oder dem unter Berücksichtigung der Belange des IT-Betriebs die Steuerung und Überwachung des Informationssicherheits- managements innerhalb des Ressorts obliegt. Er oder sie wirkt auf eine angemessene Um- setzung der Informationssicherheit und eine angemessene Verwendung von Mitteln für die Informationssicherheit in ihrem Ressort hin.
Für die Erfüllung seiner oder ihrer Aufgaben sind neben Personal- und Sachaus- stattung in angemessenem Umfang auch angemessene finanzielle Mittel zur Verfügung zu stellen, die der oder die Informationssicherheitsbeauftragte des Ressorts zur Erfüllung sei- ner oder ihrer Aufgaben eigenständig verwaltet. Der oder die Informationssicherheitsbeauf- tragte des Ressorts muss die zur Erfüllung seiner oder ihrer Aufgaben erforderliche Fach- kunde besitzen.
Der oder die Informationssicherheitsbeauftragte initiiert und koordiniert jeweils die Fortschreibung von Informationssicherheitsleitlinien für sein oder ihr Ressort. Er oder sie unterrichtet die Ressortleitung über seine oder ihre Tätigkeit und über den Stand der Infor- mationssicherheit innerhalb des Ressorts, über die angemessene Mittelverwendung nach
§ 43 Absatz 1 Satz 2 sowie über Sicherheitsvorfälle. Er oder sie berichtet über die ange- messene Mittelverwendung zudem kalenderjährlich jeweils bis zum 31. März des dem Be- richtsjahr folgenden Jahres an den Koordinator oder die Koordinatorin für Informationssi- cherheit. In begründeten Einzelfällen kann der Informationssicherheitsbeauftragte des Res- sorts im Benehmen mit dem oder der jeweiligen IT-Beauftragten des Ressorts den Einsatz bestimmter IT-Produkte in Einrichtungen der Bundesverwaltung innerhalb des jeweiligen Ressorts ganz oder teilweise untersagen. Über eine Untersagung ist der Koordinator oder die Koordinatorin für Informationssicherheit zu unterrichten.
Der oder die Informationssicherheitsbeauftragte des Ressorts kann im Benehmen mit dem Koordinator oder der Koordinatorin für Informationssicherheit Einrichtungen der Bundesverwaltung innerhalb des Ressorts, soweit diese nicht besonders wichtige Einrich- tungen oder wichtige Einrichtungen nach § 28 sind, von Verpflichtungen nach diesem Teil teilweise oder insgesamt durch Erteilung eines Ausnahmebescheides befreien. Vorausset- zung hierfür ist, dass sachliche Gründe für die Erteilung einer Ausnahme vorliegen und durch die Befreiung keine nachteiligen Auswirkungen für die Sicherheit der Informations- technik des Bundes zu befürchten sind. Über erteilte Ausnahmebescheide sind das Bun- desamt sowie der Koordinator oder die Koordinatorin für Informationssicherheit zu unter- richten, hierbei gilt § 43 Absatz 4 Satz 2 entsprechend.
Der oder die Informationssicherheitsbeauftragte des Ressorts ist bei allen Geset- zes-, Verordnungs- und sonstigen wichtigen Vorhaben innerhalb des Ressorts zu beteili- gen, soweit diese Fragen der Informationssicherheit berühren. Er oder sie hat ein unmittel- bares Vortragsrecht bei der jeweiligen Ressortleitung sowie bei dem Koordinator oder der Koordinatorin für Informationssicherheit.
§ 47
Wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes
Für die Planung und Umsetzung von wesentlichen Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes sind jeweils eigene Informationssicherheitsbe- auftragte nach § 45 zu bestellen. Digitalisierungsvorhaben oder Kommunikationsinfrastruk- turen des Bundes sind insbesondere dann wesentlich, wenn dabei Kommunikationstechnik des Bundes ressortübergreifend betrieben wird oder der ressortübergreifenden Kommuni- kation oder dem ressortübergreifenden Datenaustausch dient. Soweit bei ressortübergrei- fenden Digitalisierungsvorhaben oder Kommunikationsinfrastrukturen eine Bestellung durch Einrichtungen in verschiedenen beteiligten Ressorts in Betracht kommt und Einver- nehmen darüber zwischen den Ressorts nicht innerhalb einer angemessenen Frist herge- stellt werden kann, entscheidet der Koordinator oder die Koordinatorin für Informationssi- cherheit, durch welche Einrichtung die Bestellung erfolgt.
Zur Gewährleistung der Sicherheit in der Informationstechnik bei der Planung und Umsetzung von wesentlichen Digitalisierungsvorhaben sind angemessene Mittel für die In- formationssicherheit einzusetzen. Die jeweils verantwortliche Einrichtung soll das Bundes- amt frühzeitig beteiligen und dem Bundesamt Gelegenheit zur Stellungnahme geben.
§ 48
Amt des Koordinators für Informationssicherheit
Die Bundesregierung bestellt eine Koordinatorin oder einen Koordinator für Infor- mationssicherheit.
Für die Erfüllung der Aufgaben sind neben Personal- und Sachausstattung auch finanzielle Mittel in angemessenem Umfang zur Verfügung zu stellen, die der Koordinator oder die Koordinatorin zur Erfüllung seiner oder ihrer Aufgaben eigenständig verwaltet.
§ 49
Aufgaben des Koordinators
Dem Koordinator oder der Koordinatorin für Informationssicherheit obliegt die zentrale Koordinierung des Informationssicherheitsmanagements des Bundes. Zu diesem Zweck wirkt er oder sie auf ein angemessenes Verhältnis zwischen dem Einsatz von Informations- technik und Informationssicherheit hin. Er oder sie koordiniert die Erstellung und Aktualisie- rung von Informationssicherheitsleitlinien des Bundes und unterstützt die Ressorts bei der Umsetzung der Vorgaben zur Informationssicherheit. Er oder sie überwacht die angemes- sene Mittelverwendung nach § 43 Absatz 1 Satz 2 und unterrichtet hierüber kalenderjähr- lich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Haushaltsaus- schuss des Deutschen Bundestages.
§ 50
Befugnisse des Koordinators
Zur Wahrnehmung der Aufgaben nach § 49 beteiligen die Ressorts den Koordina- tor oder die Koordinatorin für Informationssicherheit bei allen Gesetzes-, Verordnungs- und sonstigen wichtigen Vorhaben, soweit sie Fragen der Informationssicherheit berühren. Er oder sie kann der Bundesregierung Vorschläge machen und Stellungnahmen zuleiten. Die Ressorts unterstützen den Koordinator oder die Koordinatorin bei der Erfüllung seiner oder ihrer Aufgaben.
Zur Wahrnehmung seiner oder ihrer Aufgaben hat der Koordinator oder die Koor- dinatorin ein direktes Vortragsrecht vor dem Ausschuss für Inneres und Heimat und dem Haushaltsausschuss des Deutschen Bundestages zu allen Themen der Informationssicher- heit in Einrichtungen der Bundesverwaltung.
Der Koordinator oder die Koordinatorin kann im Benehmen mit dem oder der In- formationssicherheitsbeauftragten des jeweils zuständigen Ressorts Einrichtungen anwei- sen, innerhalb von drei Monaten nach der Vorlage der Ergebnisse von Kontrollen gemäß
§ 7 ein Sofortprogramm vorzulegen, welches die Einhaltung der Anforderungen innerhalb einer angemessenen Umsetzungsfrist sichert.
T e i l 4
D a t e n b a n k e n d e r D o m a i n – N a m e – R e g i s t r i e r u n g s d a – ten
§ 51
Pflicht zum Führen einer Datenbank
Um einen Beitrag zur Sicherheit, Stabilität und Resilienz des Domain Name Sys- tems zu leisten, sind Top Level Domain Name Registries und Domain-Name-Registry- Dienstleister verpflichtet, genaue und vollständige Domain-Namen-Registrierungsdaten in einer eigenen Datenbank im Einklang mit dem Datenschutzrecht in Bezug auf personenbe- zogene Daten mit der gebotenen Sorgfalt zu sammeln und zu pflegen.
Die Datenbank im Sinne des Absatzes 1 hat die erforderlichen Angaben zu enthal- ten, anhand derer die Inhaber der Domain-Namen und die Kontaktstellen, die die Domain- Namen im Rahmen der TLD verwalten, identifiziert und kontaktiert werden können. Diese Angaben müssen Folgendes umfassen:
den Domain-Namen,
das Datum der Registrierung;
den Namen des Domain-Inhabers, seine E-Mail-Adresse und Telefonnummer;
die Kontakt-E-Mail-Adresse und die Telefonnummer der Anlaufstelle, die den Domain- Namen verwaltet, falls diese sich von denen des Domain-Inhabers unterscheiden.
Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister sind verpflichtet Vorgaben und Verfahren, einschließlich Überprüfungsverfahren, vorzuhalten,
mit denen sichergestellt wird, dass die Datenbanken im Sinne des Absatz 1 genaue und vollständige Angaben enthalten. Diese Vorgaben und Verfahren sind öffentlich zugänglich zu machen.
Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister sind verpflichtet, unverzüglich nach der Registrierung eines Domain-Namens die nicht perso- nenbezogenen Domain-Namen-Registrierungsdaten öffentlich zugänglich zu machen.
§ 52
Verpflichtung zur Zugangsgewährung
Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister sind ver- pflichtet,
auf rechtmäßige und hinreichend begründete Anträge berechtigten Zugangsnachfra- gern im Einklang mit dem Datenschutzrecht Zugang zu bestimmten Domain-Namen- Registrierungsdaten zu gewähren und
alle Anträge auf Zugang unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Eingang eines Antrags auf Zugang zu beantworten.
Diese Vorgaben und Verfahren im Hinblick auf die Offenlegung solcher Daten sind öffentlich zugänglich zu machen. Das Auskunftsverfahren bei Bestandsdaten gemäß § 22 des Tele- kommunikation-Telemedien-Datenschutz-Gesetzes bleibt unberührt.
§ 53
Kooperationspflicht
Um zu vermeiden, dass die Einhaltung der in § 51 und § 52 festgelegten Verpflichtun- gen zu einer doppelten Erhebung von Domain-Namen-Registrierungsdaten führt, sind Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister insoweit zur Ko- operation verpflichtet.
T e i l 5
Z e r t i f i z i e r u n g u n d K e n n z e i c h e n
§ 54
Zertifizierung
Das Bundesamt ist nationale Zertifizierungsstelle der Bundesverwaltung für IT-Si- cherheit.
Für bestimmte Produkte oder Leistungen kann beim Bundesamt eine Sicherheits- oder Personenzertifizierung oder eine Zertifizierung als IT-Sicherheitsdienstleister bean- tragt werden. Die Anträge werden in der zeitlichen Reihenfolge ihres Eingangs bearbeitet; hiervon kann abgewichen werden, wenn das Bundesamt wegen der Zahl und des Umfangs anhängiger Prüfungsverfahren eine Prüfung in angemessener Zeit nicht durchführen kann
und an der Erteilung eines Zertifikats ein öffentliches Interesse besteht. Der Antragsteller hat dem Bundesamt die Unterlagen vorzulegen und die Auskünfte zu erteilen, deren Kennt- nis für die Prüfung und Bewertung des Systems oder der Komponente oder der Eignung der Person sowie für die Erteilung des Zertifikats erforderlich ist.
Die Prüfung und Bewertung können durch vom Bundesamt anerkannte sachver- ständige Stellen erfolgen.
Das Sicherheitszertifikat wird erteilt, wenn
informationstechnische Systeme, Komponenten, Produkte oder Schutzprofile den vom Bundesamt festgelegten Kriterien entsprechen und
das Bundesministerium des Innern und für Heimat die Erteilung des Zertifikats nicht nach Absatz 5 untersagt hat.
Vor Erteilung des Sicherheitszertifikats legt das Bundesamt den Vorgang dem Bundesmi- nisterium des Innern und für Heimat zur Prüfung nach Absatz 5 vor.
Das Bundesministerium des Innern und für Heimat kann eine Zertifikatserteilung nach Absatz 4 im Einzelfall untersagen, wenn überwiegende öffentliche Interessen, insbe- sondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung ent- gegenstehen.
Für die Zertifizierung von Personen und IT-Sicherheitsdienstleistern gilt Absatz 4 entsprechend.
Eine Anerkennung nach Absatz 3 wird erteilt, wenn
die sachliche und personelle Ausstattung sowie die fachliche Qualifikation und Zuver- lässigkeit der Konformitätsbewertungsstelle den vom Bundesamt festgelegten Kriterien entspricht und
das Bundesministerium des Innern und für Heimat festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
Das Bundesamt stellt durch die notwendigen Maßnahmen sicher, dass das Fortbestehen der Voraussetzungen nach Satz 1 regelmäßig überprüft wird.
Sicherheitszertifikate anderer anerkannter Zertifizierungsstellen aus dem Bereich der Europäischen Union werden vom Bundesamt anerkannt, soweit sie eine den Sicher- heitszertifikaten des Bundesamtes gleichwertige Sicherheit ausweisen und die Gleichwer- tigkeit vom Bundesamt festgestellt worden ist.
§ 55
Nationale Behörde für die Cybersicherheitszertifizierung
Das Bundesamt ist die nationale Behörde für die Cybersicherheitszertifizierung im Sinne des Artikels 58 Absatz 1 der Verordnung (EU) 2019/881.
Das Bundesamt kann auf Antrag Konformitätsbewertungsstellen, die im Anwen- dungsbereich der Verordnung (EU) 2019/881 sowie des § 54 dieses Gesetzes tätig werden, eine Befugnis erteilen, als solche tätig zu werden, wenn die Voraussetzungen des maßgeb-
lichen europäischen Schemas für die Cybersicherheitszertifizierung nach Artikel 54 der Ver- ordnung (EU) 2019/881 oder des § 54 dieses Gesetzes erfüllt sind. Ohne eine Befugniser- teilung durch das Bundesamt dürfen Konformitätsbewertungsstellen im Anwendungsbe- reich der Verordnung (EU) 2019/881 nicht tätig werden.
Soweit dies zur Erfüllung seiner Aufgaben nach Artikel 58 Absatz 7 der Verord- nung (EU) 2019/881 und nach § 54 dieses Gesetzes erforderlich ist, kann das Bundesamt von Konformitätsbewertungsstellen, denen eine Befugnis nach Absatz 2 erteilt wurde, von Inhabern europäischer Cybersicherheitszertifikate und von Ausstellern von EU-Konformi- tätserklärungen im Sinne von Artikel 56 Absatz 8 der Verordnung (EU) 2019/881 die erfor- derlichen Auskünfte und sonstige Unterstützung, insbesondere die Vorlage von Unterlagen oder Mustern, verlangen. § 3 Absatz 1 Satz 1 und 3 des Akkreditierungsstellengesetzes gilt entsprechend.
Das Bundesamt kann Untersuchungen in Form von Auditierungen nach Artikel 58 Absatz 8 Buchstabe b der Verordnung (EU) 2019/881 bei Konformitätsbewertungsstellen, denen eine Befugnis nach Absatz 2 erteilt wurde, bei Inhabern europäischer Cybersicher- heitszertifikate und bei Ausstellern von EU-Konformitätserklärungen im Sinne von Artikel 56 Absatz 8 der Verordnung (EU) 2019/881 durchführen, um die Einhaltung der Bestimmun- gen des Titels III der Verordnung (EU) 2019/881 zu überprüfen. § 3 Absatz 1 Satz 1 bis 3 des Akkreditierungsstellengesetzes gilt entsprechend.
Das Bundesamt ist befugt, Betriebsstätten, Geschäfts- und Betriebsräume von Konformitätsbewertungsstellen, denen eine Befugnis nach Absatz 2 erteilt wurde, und von Inhabern europäischer Cybersicherheitszertifikate im Sinne von Artikel 56 Absatz 8 der Ver- ordnung (EU) 2019/881 in den Zeiten, zu denen die Räume normalerweise für die jeweilige geschäftliche oder betriebliche Nutzung zur Verfügung stehen, zu betreten, zu besichtigen und zu prüfen, soweit dies zur Erfüllung seiner Aufgaben nach Artikel 58 Absatz 7 der Ver- ordnung (EU) 2019/881 sowie nach § 54 dieses Gesetzes erforderlich ist. § 3 Absatz 1 Satz 1 bis 3 des Akkreditierungsstellengesetzes gilt entsprechend.
Das Bundesamt kann von ihm ausgestellte Cybersicherheitszertifikate oder durch eine Konformitätsbewertungsstelle, der eine Befugnis nach Absatz 2 erteilt wurde, nach Ar- tikel 56 Absatz 6 der Verordnung (EU) 2019/881 ausgestellte Cybersicherheitszertifikate widerrufen oder EU-Konformitätserklärungen im Sinne der Verordnung (EU) 2019/881 für ungültig erklären,
sofern diese Zertifikate oder EU-Konformitätserklärungen die Anforderungen nach der Verordnung (EU) 2019/881 oder eines europäischen Schemas für die Cybersicher- heitszertifizierung nach Artikel 54 der Verordnung (EU) 2019/881 nicht erfüllen oder
wenn das Bundesamt die Erfüllung nach Nummer 1 nicht feststellen kann, weil der In- haber des europäischen Cybersicherheitszertifikats oder der Aussteller der EU-Konfor- mitätserklärung seinen Mitwirkungspflichten nach Absatz 3 nicht nachgekommen ist o- der weil dieser das Bundesamt bei der Wahrnehmung seiner Befugnisse nach Absatz 4 oder im Falle eines Inhabers eines europäischen Cybersicherheitszertifikats auch nach Absatz 5 behindert hat.
Das Bundesamt kann von ihm erteilte Befugnisse nach Absatz 2 widerrufen,
sofern die Voraussetzungen des maßgeblichen europäischen Schemas für die Cyber- sicherheitszertifizierung nach Artikel 54 Verordnung (EU) 2019/881 oder des § 54 die- ses Gesetzes nicht erfüllt sind oder
wenn das Bundesamt die Erfüllung dieser Voraussetzungen nicht feststellen kann, weil die Konformitätsbewertungsstelle ihren Mitwirkungspflichten nach Absatz 3 nicht nach- gekommen ist oder weil diese das Bundesamt bei der Wahrnehmung seiner Befug- nisse nach den Absätzen 4 und 5 behindert hat.
§ 56
Freiwilliges IT-Sicherheitskennzeichen
Das Bundesamt führt zur Information von Verbrauchern über die IT-Sicherheit von Produkten bestimmter vom Bundesamt festgelegter Produktkategorien ein einheitliches IT- Sicherheitskennzeichen ein. Das IT-Sicherheitskennzeichen trifft keine Aussage über die den Datenschutz betreffenden Eigenschaften eines Produktes.
Das IT-Sicherheitskennzeichen besteht aus
einer Zusicherung des Herstellers oder Diensteanbieters, dass das Produkt für eine festgelegte Dauer bestimmte IT-Sicherheitsanforderungen erfüllt (Herstellererklärung), und
einer Information des Bundesamtes über sicherheitsrelevante IT-Eigenschaften des Produktes (Sicherheitsinformation).
Die IT-Sicherheitsanforderungen, auf die sich die Herstellererklärung bezieht, er- geben sich aus einer Norm oder einem Standard oder aus einer branchenabgestimmten IT- Sicherheitsvorgabe, die die jeweilige Produktkategorie umfasst, sofern das Bundesamt in einem Verfahren, das durch Rechtsverordnung nach § 57 Absatz 3 geregelt wird, festge- stellt hat, dass die Norm oder der Standard oder die branchenabgestimmte IT-Sicherheits- vorgabe geeignet ist, ausreichende IT-Sicherheitsanforderungen für die Produktkategorie abzubilden. Ein Anspruch auf diese Feststellung besteht nicht. Liegt keine Feststellung nach Satz 1 vor, ergeben sich die IT-Sicherheitsvorgaben aus einer vom Bundesamt veröf- fentlichten Technischen Richtlinie, die die jeweilige Produktkategorie umfasst, sofern das Bundesamt eine solche Richtlinie bereits veröffentlicht hat. Wird ein Produkt von mehr als einer oder einem bestehenden, als geeignet festgestellten Norm, Standard, branchenabge- stimmten IT-Sicherheitsvorgabe oder Technischen Richtlinie umfasst, richten sich die An- forderungen nach der oder dem jeweils spezielleren bestehenden, als geeignet festgestell- ten Norm, Standard, branchenabgestimmten IT-Sicherheitsvorgabe oder Technischen Richtlinie.
Das IT-Sicherheitskennzeichen darf nur dann für ein Produkt verwendet werden, wenn das Bundesamt das IT-Sicherheitskennzeichen für dieses Produkt freigegeben hat. Das Bundesamt prüft die Freigabe des IT-Sicherheitskennzeichens für ein Produkt auf An- trag des Herstellers oder Diensteanbieters. Dem Antrag sind die Herstellererklärung zu dem Produkt sowie alle Unterlagen beizufügen, die die Angaben in der Herstellererklärung be- legen. Das Bundesamt bestätigt den Eingang des Antrags und prüft die Plausibilität der Herstellererklärung anhand der beigefügten Unterlagen. Die Plausibilitätsprüfung kann auch durch einen vom Bundesamt beauftragten qualifizierten Dritten erfolgen. Für die An- tragsbearbeitung kann das Bundesamt eine Verwaltungsgebühr erheben.
Das Bundesamt erteilt die Freigabe des IT-Sicherheitskennzeichens für das jewei- lige Produkt, wenn
das Produkt zu einer der Produktkategorien gehört, die das Bundesamt durch im Bun- desanzeiger veröffentlichte Allgemeinverfügung bekannt gegeben hat,
die Herstellererklärung plausibel und durch die beigefügten Unterlagen ausreichend belegt ist und
die gegebenenfalls erhobene Verwaltungsgebühr beglichen wurde.
Die Erteilung der Freigabe erfolgt schriftlich und innerhalb einer angemessenen Frist, die in der Rechtsverordnung nach § 57 Absatz 3 bestimmt wird. Den genauen Ablauf des An- tragsverfahrens und die beizufügenden Unterlagen regelt die Rechtsverordnung nach
§ 57 Absatz 3.
Hat das Bundesamt die Freigabe erteilt, ist das Etikett des IT-Sicherheitskennzei- chens auf dem jeweiligen Produkt oder auf dessen Umverpackung anzubringen, sofern dies nach der Beschaffenheit des Produktes möglich ist. Das IT-Sicherheitskennzeichen kann auch elektronisch veröffentlicht werden. Wenn nach der Beschaffenheit des Produktes das Anbringen nicht möglich ist, muss die Veröffentlichung des IT-Sicherheitskennzeichens elektronisch erfolgen. Das Etikett des IT-Sicherheitskennzeichens verweist auf eine Inter- netseite des Bundesamtes, auf der die Herstellererklärung und die Sicherheitsinformatio- nen abrufbar sind. Das genaue Verfahren und die Gestaltung des Verweises sind in der Rechtsverordnung nach § 57 Absatz 3 festzulegen.
Nach Ablauf der festgelegten Dauer, für die der Hersteller oder Diensteanbieter die Erfüllung der IT-Sicherheitsanforderungen zusichert oder nach Rücknahmeerklärung des Herstellers oder Diensteanbieters gegenüber dem Bundesamt erlischt die Freigabe. Das Bundesamt nimmt einen Hinweis auf das Erlöschen der Freigabe in die Sicherheitsin- formation auf.
Das Bundesamt kann prüfen, ob die Anforderungen an die Freigabe des IT-Sicher- heitskennzeichens für ein Produkt eingehalten werden. Werden bei der Prüfung Abwei- chungen von der abgegebenen Herstellererklärung oder Schwachstellen festgestellt, kann das Bundesamt die geeigneten Maßnahmen zum Schutz des Vertrauens der Verbraucher in das IT-Sicherheitskennzeichen treffen, insbesondere
Informationen über die Abweichungen oder Schwachstellen in geeigneter Weise in der Sicherheitsinformation veröffentlichen oder
die Freigabe des IT-Sicherheitskennzeichens widerrufen.
Absatz 7 Satz 2 gilt entsprechend.
Bevor das Bundesamt eine Maßnahme nach Absatz 8 trifft, räumt es dem Herstel- ler oder Diensteanbieter Gelegenheit ein, die festgestellten Abweichungen oder Schwach- stellen innerhalb eines angemessenen Zeitraumes zu beseitigen, es sei denn, gewichtige Gründe der Sicherheit der Produkte erfordern eine sofortige Maßnahme. Die Befugnis des Bundesamtes zur Warnung nach § 13 bleibt davon unberührt.
T e i l 6
V e r o r d n u n g s e r m ä c h t i g u n g e n , G r u n d r e c h t s e i n – s c h r ä n k u n g e n u n d B e r i c h t s p f l i c h t e n
§ 57
Ermächtigung zum Erlass von Rechtsverordnungen
Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord- nung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber, Einrichtungen und der betroffenen Wirt- schaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Klima- schutz, dem Bundesministerium der Finanzen, dem Bundesministerium der Justiz, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium der Verteidigung, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesund- heit, dem Bundesministerium für Digitales und Verkehr und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz
unter Festlegung der in den jeweiligen Sektoren Energie, Transport und Verkehr, Fi- nanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernäh- rung, Informationstechnik und Telekommunikation, Weltraum sowie Siedlungsab- fallentsorgung im Hinblick auf § 28 Absatz 3 wegen ihrer Bedeutung als kritisch anzu- sehenden Dienstleistungen und deren als bedeutend anzusehenden Versorgungs- grads, welche Anlagen oder Teile davon als kritische Anlagen im Sinne dieses Geset- zes gelten,
sowie welche Einrichtungsarten in den Sektoren Energie, Transport und Verkehr, Fi- nanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informa- tionstechnik und Telekommunikation, Verwaltung von IKT-Diensten (Business-to-Busi- ness), öffentliche Verwaltung und Weltraum Einrichtungsarten besonders wichtiger Einrichtungen sind, und
welche Einrichtungsarten in den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstech- nik und Telekommunikation, Siedlungsabfallentsorgung, Logistik, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, Anbieter digitaler Dienste oder Forschung Ein- richtungsarten wichtiger Einrichtungen sind.
Der nach Satz 1 als bedeutend anzusehende Versorgungsgrad ist anhand von branchen- spezifischen Schwellenwerten für jede wegen ihrer Bedeutung als kritisch anzusehende Dienstleistung im jeweiligen Sektor zu bestimmen. Zugang zu Akten, die die Erstellung oder Änderung dieser Verordnung betreffen, wird nicht gewährt.
Das Bundesministerium des Innern und für Heimat bestimmt nach Anhörung der betroffenen Wirtschaftsverbände und im Einvernehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz durch Rechtsverordnung, die nicht der Zustimmung des Bun- desrates bedarf, das Nähere über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen nach § 54 und deren Inhalt.
Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord- nung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Kli- maschutz und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und
Verbraucherschutz die Einzelheiten der Gestaltung, des Inhalts und der Verwendung des IT-Sicherheitskennzeichens nach § 52, um eine einheitliche Gestaltung des Kennzeichens und eine eindeutige Erkennbarkeit der gekennzeichneten informationstechnischen Pro- dukte zu gewährleisten, sowie die Einzelheiten des Verfahrens zur Feststellung der Eig- nung branchenabgestimmter IT-Sicherheitsvorgaben und des Antragsverfahrens auf Frei- gabe einschließlich der diesbezüglichen Fristen und der beizufügenden Unterlagen sowie das Verfahren und die Gestaltung des Verweises auf Sicherheitsinformationen.
Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord- nung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Einrichtungen und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz, dem Bun- desministerium der Finanzen, dem Bundesministerium der Justiz, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium der Verteidigung, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundes- ministerium für Digitales und Verkehr und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz welche durch eine besonders wichtige Einrich- tung oder wichtige Einrichtung eingesetzten Produkte, Dienste oder Prozesse gemäß
§ 30 Absatz 9 über eine Cybersicherheitszertifizierung verfügen müssen, da sie für die Er- bringung der Dienste der Einrichtung maßgeblich sind und Art und Ausmaß der Risikoex- position der Einrichtung einen verpflichtenden Einsatz von zertifizierten Produkten, Diens- ten oder Prozessen in diesem Bereich erforderlich machen.
§ 58
Einschränkung von Grundrechten
Das Fernmeldegeheimnis (Artikel 10 des Grundgesetzes) wird durch die
§§ 7, 8, 9, 11, 12, 15 und 16 eingeschränkt.
§ 59
Berichtspflichten des Bundesamtes
Das Bundesamt unterrichtet das Bundesministerium des Innern und für Heimat über seine Tätigkeit.
Die Unterrichtung nach Absatz 1 dient auch der Aufklärung der Öffentlichkeit durch das Bundesministerium des Innern und für Heimat über Gefahren für die Sicherheit in der Informationstechnik, die mindestens einmal jährlich in einem zusammenfassenden Bericht erfolgt. § 13 Absatz 2 ist entsprechend anzuwenden.
Das Bundesministerium des Innern und für Heimat unterrichtet kalenderjährlich je- weils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Ausschuss für Inneres und Heimat des Deutschen Bundestages über die Anwendung dieses Gesetzes. Es geht dabei auch auf die Fortentwicklung des maßgeblichen Unionsrechts ein.
Das Bundesamt übermittelt bis zum 9. November 2018 und danach alle zwei Jahre bis zum 17. Oktober 2024 die folgenden Informationen an die Europäische Kommission:
die nationalen Maßnahmen zur Ermittlung der Betreiber kritischer Anlagen;
eine Aufstellung der im in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren, die in der Rechtsverordnung nach § 57 Absatz 1 wegen ihrer Bedeutung als kritisch
anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versor- gungsgrad;
eine zahlenmäßige Aufstellung der Einrichtungen der in Nummer 2 genannten Sekto- ren, die in den in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren ermittelt werden, einschließlich eines Hinweises auf ihre Bedeutung für den jeweiligen Sektor.
Die Übermittlung darf keine Informationen enthalten, die zu einer Identifizierung einzelner Betreiber führen können. Das Bundesamt übermittelt die nach Satz 1 übermittelten Infor- mationen unverzüglich dem Bundesministerium des Innern und für Heimat, dem Bundes- kanzleramt, dem Bundesministerium für Wirtschaft und Klimaschutz, dem Bundesministe- rium der Finanzen, dem Bundesministerium der Justiz, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium der Verteidigung, dem Bundesministerium für Er- nährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministe- rium für Digitales und Verkehr und dem Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit und Verbraucherschutz.
Sobald bekannt wird, dass eine Einrichtung oder Anlage nach
§ 2 Absatz 1 Nummer 19 oder Teile einer Einrichtung oder Anlage eine wegen ihrer Bedeu- tung als kritisch anzusehenden Dienstleistung in einem der in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren in einem anderen Mitgliedstaat der Europäischen Union bereitstellt, nimmt das Bundesamt zum Zweck der gemeinsamen Ermittlung der Einrichtun- gen, die kritische Dienstleistungen in den in Anhang II der Richtlinie (EU) 2016/1148 ge- nannten Teilsektoren erbringen, mit der zuständigen Behörde dieses Mitgliedstaats Kon- sultationen auf.
Das Bundesamt übermittelt bis zum 9. August 2018 und danach jährlich bis zum Berichtszeitraum Kalenderjahr 2023 an die Kooperationsgruppe nach Artikel 11 der Richt- linie (EU) 2016/1148 einen zusammenfassenden Bericht zu den Meldungen, die die in An- hang II der Richtlinie (EU) 2016/1148 genannten Sektoren oder digitale Dienste betreffen. Der Bericht enthält auch die Zahl der Meldungen und die Art der gemeldeten Sicherheits- vorfälle sowie die ergriffenen Maßnahmen. Der Bericht darf keine Informationen enthalten, die zu einer Identifizierung einzelner Meldungen oder einzelner Einrichtungen führen kön- nen.
Das Bundesamt legt der ENISA erstmalig zum 18. Januar 2025 und in der Folge alle drei Monate einen zusammenfassenden Bericht vor, der anonymisierte und aggregierte Daten zu erheblichen Sicherheitsvorfällen, erheblichen Cyberbedrohungen und Beinahe- vorfällen enthält, die gemäß § 31 und § 5 Absatz 2 gemeldet wurden. Der erstmalige Be- richt nach Satz 1 enthält auch die Daten, die für das Jahr 2024 gemäß Absatz 6 übermitteln zu gewesen wären.
Das Bundesamt übermittelt erstmalig zum 17. April 2025 und in der Folge alle zwei Jahre
der Europäischen Kommission und der Kooperationsgruppe nach Artikel 14 der NIS-2- Richtlinie für jeden Sektor und Teilsektor gemäß Anhang I oder II der NIS-2-Richtlinie die Anzahl der besonders wichtigen Einrichtungen und wichtigen Einrichtungen, die gemäß § 32 Absatz 1 registriert wurden
der Europäischen Kommission sachdienliche Informationen über die Zahl der kritischen Anlagen, über den Sektor und den Teilsektor gemäß Anhang I oder II der NIS-2-Richt- linie, zu dem sie gehören, über die Art der von ihnen erbrachten Dienste und über die Bestimmungen, auf deren Grundlage sie ermittelt wurden.
T e i l 7
S a n k t i o n s v o r s c h r i f t e n u n d A u f s i c h t
§ 60
Sanktionsvorschriften
Ordnungswidrig handelt, wer entgegen § 34 Absatz 1 Satz 1 in Verbindung mit der Rechtsverordnung nach § 57 Absatz 1 Satz 1 einen Nachweis nicht richtig oder nicht voll- ständig erbringt.
Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
einer vollziehbaren Anordnung nach
§ 11 Absatz 6, § 16 Absatz 1 Satz 1, auch in Verbindung mit § 16 Absatz 3, § 17, oder § 34 Absatz 1 Satz 5,
§ 14 Absatz 2 Satz 1 oder
§ 18 zuwiderhandelt,
entgegen § 30 Absatz 1 in Verbindung mit einer Rechtsverordnung nach
§ 57 Absatz 1 Satz 1 eine dort genannte Vorkehrung nicht, nicht richtig, nicht vollstän- dig oder nicht rechtzeitig trifft,
entgegen § 34 Absatz 1 Satz 1 oder § 39 Absatz 2 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 57 Absatz 1 Satz 1 einen Nachweis nicht oder nicht recht- zeitig erbringt,
entgegen § 64 Absatz 1 Satz 3 oder § 39 Absatz 3 Satz 2 das Betreten eines dort ge- nannten Raums nicht gestattet, eine dort genannte Unterlage nicht oder nicht rechtzei- tig vorlegt, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig er- teilt oder Unterstützung nicht oder nicht rechtzeitig gewährt,
entgegen § 32 Absatz 1, 2 in Verbindung mit einer Rechtsverordnung nach
§ 57 Absatz 1 Satz 1 oder entgegen § 33 Absatz 1, 2 eine Registrierung nicht oder nicht rechtzeitig vornimmt oder eine dort genannte Stelle nicht oder nicht rechtzeitig benennt,
entgegen § 32 Absatz 4 Satz 3 nicht sicherstellt, dass er erreichbar ist,
entgegen § 32 Absatz 6 Änderungen der nach § 32 zu übermittelnden Angaben nicht unverzüglich, spätestens jedoch bis zwei Wochen ab dem Zeitpunkt der Änderung dem Bundesamt übermittelt,
entgegen § 31 Absatz 1, § 40 Absatz 4 eine Meldung nicht, nicht richtig, nicht vollstän- dig oder nicht rechtzeitig macht,
entgegen § 40 Absatz 4 Satz 1 die zur Bewältigung der Störung notwendigen Informa- tionen nicht herausgibt,
entgegen § 55 Absatz 2 Satz 2 als Konformitätsbewertungsstelle tätig wird,
entgegen § 56 Absatz 4 Satz 1 das IT-Sicherheitskennzeichen verwendet,
vorgibt, Inhaber einer Zertifizierung nach § 54 Absatz 2 zu sein, ohne dass diese be- steht,
vorgibt, Inhaber eines europäischen Cybersicherheitszertifikats oder Aussteller einer EU-Konformitätserklärung zu sein, obwohl diese nicht besteht, widerrufen oder für un- gültig erklärt wurde,
einer verbindlichen Anweisung nach § 64 Absatz 3 oder § 65 Absatz 1 Nummer 2 nicht nachkommt oder
entgegen § 64 Absatz 4 oder § 65 Absatz 3 einer Anweisung nicht oder seinen Mitwir- kungspflichten gegenüber einem Überwachungsbeauftragten gemäß § 64 Absatz 5 nicht nachkommt.
Ordnungswidrig handelt, wer eine in Absatz 1 bezeichnete Handlung fahrlässig begeht.
Ordnungswidrig handelt, wer gegen die Verordnung (EU) 2019/881 des Europäi- schen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europä- ischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Infor- mations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl. L 151 vom 7.6.2019, S. 15) verstößt, indem er vorsätzlich oder fahrlässig
entgegen Artikel 55 Absatz 1 eine dort genannte Angabe nicht, nicht richtig, nicht voll- ständig oder nicht binnen eines Monats nach Ausstellung zugänglich macht oder
entgegen Artikel 56 Absatz 8 Satz 1 eine Information nicht, nicht richtig, nicht vollstän- dig oder nicht unverzüglich nach Feststellung einer Schwachstelle oder Unregelmäßig- keit gibt.
Die Ordnungswidrigkeit kann in den Fällen des Absatzes 2 Nummer 1 Buchstabe a mit einer Geldbuße bis zu zwei Millionen Euro, wobei
§ 30 Absatz 2 Satz 3 des Gesetzes über Ordnungswidrigkeiten anzuwenden ist, sowie in den Fällen des Absatzes 2 Nummer 1 Buchstabe c, Nummer 5, 10, 11, 12 und 13 mit einer Geldbuße bis zu fünfhunderttausend Euro und in den Fällen des Absatzes 2 Nummer 1 Buchstabe b und des Absatzes 3 mit einer Geldbuße bis zu einhun- derttausend Euro geahndet werden.
Handelt es sich bei dem Betroffenen um eine wichtige Einrichtung kann die Ord- nungswidrigkeit in den Fällen der Absatz 2 Nummer 2 und 8 mit einer Geldbuße bis zu 7 Millionen Euro oder mit einem Höchstbetrag von mindestens 1,4 % des gesamten weltwei- ten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene angehört, in den Fällen des Absatzes 2 Nummer 3, 5 und 9 mit einer Geldbuße bis zu fünfhunderttausend Euro und in dem Fall des Absatzes 2 Nummer 7, 14 und 15 mit einer Geldbuße bis zu einhunderttausend Euro geahndet werden.
Handelt es sich bei dem Betroffenen um einen Betreiber kritischer Anlagen oder eine besonders wichtige Einrichtung, kann die Ordnungswidrigkeit in den Fällen der Absätze 1 und 2 Nummer 2, 3 und 8 mit einer Geldbuße bis zu 10 Millionen Euro oder mit einem Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene angehört, in
den Fällen des Absatzes 2 Nummer 4, 5, 7, 9 und 14 mit einer Geldbuße bis zu fünfhun- derttausend Euro und in den Fällen des Absatzes 2 Nummer 6 und 15 mit einer Geldbuße bis zu einhunderttausend Euro geahndet werden.
Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist das Bundesamt.
Verhängen die in Artikel 55 oder 56 der Verordnung (EU) 2016/679 genannten Aufsichtsbehörden gemäß Artikel 58 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679 eine Geldbuße, so darf ein weiteres Bußgeld für einen Verstoß nach diesem Gesetz, der sich aus demselben Verhalten ergibt wie jener Verstoß, nicht verhängt werden.
Soweit das Bundesamt Zwangsgelder verhängt, beträgt deren Höhe abweichend von § 11 Absatz 3 des Verwaltungsverfahrensgesetzes bis zu 100.000 Euro.
§ 61
Institutionen der Sozialen Sicherung
Bei Zuwiderhandlungen gegen eine in § 60 Absatz 1 bis 4 genannte Vorschrift, die von Körperschaften gemäß § 29 des Vierten Buches Sozialgesetzbuch, Arbeitsgemeinschaften gemäß § 94 des Zehnten Buches Sozialgesetzbuch sowie der Deutschen Post AG, soweit sie mit der Berechnung oder Auszahlung von Sozialleistungen betraut ist (Institutionen der Sozialen Sicherung), begangen werden, finden die Sätze 2 bis 4 Anwendung. Bei einer in Satz 1 genannten Zuwiderhandlung von Institutionen der Sozialen Sicherung in Träger- schaft des Bundes stellt das Bundesamt das Einvernehmen über die zu ergreifenden Maß- nahmen mit der für die Institution der Sozialen Sicherung zuständigen Aufsichtsbehörde her. Bei einer in Satz 1 genannten Zuwiderhandlung von Institutionen der Sozialen Siche- rung in Trägerschaft der Länder informiert das Bundesamt die zuständige Aufsichtsbehörde und schlägt geeignete Maßnahmen vor. Die jeweils zuständige Aufsichtsbehörde informiert das Bundesamt über die Einleitung und Umsetzung von Aufsichtsmitteln und sorgt für deren Durchsetzung.
§ 62
Zuständigkeit des Bundesamtes
Das Bundesamt ist zuständige Aufsichtsbehörde für die Einhaltung der Vorschrif- ten in Teil 3 durch wichtige und besonders wichtige Einrichtungen, die in der Bundesrepub- lik Deutschland niedergelassen und nicht Einrichtungen des Sektors öffentliche Verwaltung sind, sowie durch Betreiber kritischer Anlagen, deren kritische Anlagen sich auf dem Ho- heitsgebiet der Bundesrepublik Deutschland befinden.
Abweichend von Absatz 1 ist die Bundesnetzagentur für Betreiber von Kommuni- kationsnetzen oder Anbieter von Telekommunikationsdiensten zuständig, die ihre Dienste in der Bundesrepublik Deutschland erbringen.
Im Sektor öffentliche Verwaltung ist das Bundesamt nur für solche wichtige und besonders wichtige Einrichtungen zuständig, die von der Bundesrepublik Deutschland ein- gerichtet wurden.
§ 63
Zentrale Zuständigkeit in der Europäischen Union für bestimmte Einrichtungsarten
Abweichend von § 62 ist das Bundesamt für DNS-Diensteanbieter, Top Level Do- main Name Registries, Domain-Name-Registry-Dienstleister, Anbieter von Cloud Compu- ting-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Content Delivery Net- works, Managed Service Provider, Managed Security Service Provider sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netz- werke nur dann zuständig, wenn diese ihre Hauptniederlassung in der Europäischen Union in der Bundesrepublik Deutschland hat. Ist dies der Fall, so ist das Bundesamt für die Ein- richtung in der gesamten Europäischen Union zentral zuständig.
Als Hauptniederlassung in der Europäischen Union im Sinne von Absatz 1 gilt der- jenige Mitgliedstaat der Europäischen Union, in dem die Entscheidungen der Einrichtung im Zusammenhang mit den Maßnahmen zum Cybersicherheitsrisikomanagement vorwie- gend getroffen werden. Kann ein solcher Mitgliedstaat nicht bestimmt werden oder werden solche Entscheidungen nicht in der Europäischen Union getroffen, so gilt als Hauptnieder- lassung der Mitgliedstaat, in dem die Cybersicherheitsmaßnahmen durchgeführt werden. Kann ein solcher Mitgliedstaat nicht bestimmt werden, so gilt als Hauptniederlassung der Mitgliedstaat, in dem die betreffende Einrichtung die Niederlassung mit der höchsten Be- schäftigtenzahl in der Europäischen Union hat.
Hat eine Einrichtung der in Absatz 1 Satz 1 genannten Einrichtungsart keine Nie- derlassung in der Europäischen Union, bietet aber Dienste innerhalb der Europäischen Union an, ist sie verpflichtet einen Vertreter zu benennen. Der Vertreter muss in einem Mitgliedstaat der Europäischen Union niedergelassen sein, in der die betreffende Einrich- tung die Dienste anbietet. Ist der Vertreter in der Bundesrepublik Deutschland niedergelas- sen, ist das Bundesamt für die Einrichtung zuständig. Wurde durch eine Einrichtung der in Absatz 1 Satz 1 genannten Einrichtungsart in der Europäischen Union kein Vertreter im Sinne dieses Absatzes benannt, kann das Bundesamt sich für die betreffende Einrichtung zuständig erklären.
Die Benennung eines Vertreters durch eine Einrichtung der in Absatz 1 Satz 1 ge- nannten Einrichtungsart lässt rechtliche Schritte, die gegen die Einrichtung selbst eingelei- tet werden könnten, unberührt.
Das Bundesamt ist befugt, wenn und soweit es ein Rechtshilfeersuchen eines an- deren Mitgliedsstaats der Europäischen Union zu einer Einrichtung der in Absatz 1 Satz 1 genannten Einrichtungsart erhalten hat, innerhalb der Grenzen dieses Ersuchens geeig- nete Aufsichts- und Durchsetzungsmaßnahmen in Bezug auf die betreffende Einrichtung zu ergreifen, die in der Bundesrepublik Deutschland Dienste anbietet oder eine informati- onstechnisches System, Komponente oder Prozess betreibt.
§ 64
Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen
Das Bundesamt kann bei besonders wichtigen Einrichtungen die Einhaltung der Anforderungen nach diesem Gesetz überprüfen. Es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. Die Besonders wichtige Einrichtung hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der übli- chen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeich- nungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft
zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei der jeweiligen besonders wichtigen Einrich- tung nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die be- rechtigte Zweifel an der Einhaltung der Anforderungen nach § 30 Absatz 1 begründeten.
Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen Anweisun- gen in Bezug auf Maßnahmen erlassen, die zur Verhütung oder Behebung eines Sicher- heitsvorfalls erforderlich sind. Ferner kann das Bundesamt die Einrichtungen zur Berichter- stattung zu den nach Satz 1 angeordneten Maßnahmen auffordern.
Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen verbindliche Anweisungen zur Umsetzung der Verpflichtungen nach diesem Gesetz erlassen.
Das Bundesamt kann besonders wichtige Einrichtungen anweisen, die natürlichen oder juristischen Personen, für die sie Dienste erbringen oder Tätigkeiten ausüben und die potenziell von einer erheblichen Cyberbedrohung betroffen sind, über die Art der Bedro- hung und mögliche Abwehr- oder Abhilfemaßnahmen zu unterrichten, die von diesen na- türlichen oder juristischen Personen als Reaktion auf diese Bedrohung ergriffen werden können. Zudem kann es besonders wichtige Einrichtungen anweisen, Informationen zu Ver- stößen gegen diese Richtlinie nach bestimmten Vorgaben öffentlich bekannt zu machen.
Das Bundesamt kann für besonders wichtige Einrichtungen einen Überwachungs- beauftragten benennen, der die Einhaltung der Verpflichtungen aus §§ 28, 29 und 37 über- wacht. Die Benennung erfolgt für einen bestimmten Zeitraum und muss die Aufgaben des Überwachungsbeauftragten genau festlegen.
Sofern besonders wichtige Einrichtungen den Anordnungen des Bundesamtes nach diesem Gesetz trotz Fristsetzung nicht nachkommen, kann das Bundesamt die jeweils zuständige Aufsichtsbehörde des Bundes auffordern
die Genehmigung für einen Teil oder alle Dienste oder Tätigkeiten dieser Einrichtung vorübergehend auszusetzen
den natürlichen Personen, die als Geschäftsführung oder gesetzliche Vertreter für Lei- tungsaufgaben in der besonders wichtigen Einrichtung zuständig sind, die Wahrneh- mung der Leitungsaufgaben vorübergehend untersagen.
Die Aussetzung nach Buchstabe a und die Untersagung nach Buchstabe b sind nur solange zulässig, bis die Besonders wichtige Einrichtung den Anordnungen des Bundesamtes nach- kommt, wegen deren Nichtbefolgung sie verhängt ausgesprochen wurden.
Soweit das Bundesamt Aufsichtsmaßnahmen gegenüber besonders wichtigen Einrichtungen [die in Umsetzung der CER-Richtlinie als kritische Einrichtungen im Sinne der CER-Richtlinie identifiziert wurden], informiert es die für die Aufsicht über diese Einrich- tungen nach dem [KRITIS-Dachgesetz] zuständige Behörde des Bundes darüber.
Stellt das Bundesamt im Zuge der Beaufsichtigung oder Durchsetzung fest, dass der Verstoß einer besonders wichtigen Einrichtung gegen Verpflichtungen aus § 30 oder 31 eine Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4 Num- mer 12 der Verordnung (EU) 2016/679 zur Folge haben kann, die gemäß Artikel 33 der vorgenannten Verordnung zu melden ist, unterrichtet das Bundesamt unverzüglich die in Artikel 55 oder 56 der Verordnung (EU) 2016/679 genannten Aufsichtsbehörden.
§ 65
Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen
Erlangt das Bundesamt Kenntnis über Hinweise oder Informationen, wonach eine wichtige Einrichtung die Anforderungen aus § 29 oder 30 Absatz 1 nicht oder nicht richtig umsetzt, so kann es folgende Maßnahmen durchführen:
Überprüfung der Einhaltung der Anforderungen nach § 30 Absatz 1.
§ 64 Absatz 1 Satz 2 bis 4 gelten entsprechend.
Verbindliche Anweisungen zur Umsetzung der Verpflichtungen für wichtige Einrichtun- gen nach diesem Gesetz erlassen
Das Bundesamt kann Informationen anfordern, um die Einhaltung der Verpflich- tungen zur Übermittlung von Informationen an die zuständigen Behörden nach diesem Ge- setz zu überprüfen.
Das Bundesamt kann wichtige Einrichtungen anweisen, die natürlichen oder juris- tischen Personen, für die sie Dienste erbringen oder Tätigkeiten ausüben und die potenziell von einer erheblichen Cyberbedrohung betroffen sind, über die Art der Bedrohung und mög- liche Abwehr- oder Abhilfemaßnahmen zu unterrichten, die von diesen natürlichen oder juristischen Personen als Reaktion auf diese Bedrohung ergriffen werden können. Zudem kann es wichtige Einrichtungen anweisen, Informationen zu Verstößen gegen diese Richt- linie nach bestimmten Vorgaben öffentlich bekannt zu machen.
§ 64 Absatz 8 gilt entsprechend für einen Verstoß einer wichtigen Einrichtung.
Artikel 2
Änderung des BSI-Gesetzes (FNA 206-2)
In § 10 des BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Arti- kel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert worden ist, werden fol- gende Absätze 1a und 1b angefügt:
„(1a) Die Ermächtigung zum Erlass einer Rechtsverordnung nach Absatz 1 entfällt, so- bald von der Ermächtigung zum Erlass einer Rechtsverordnung nach Absatz 1b Gebrauch gemacht wurde.
(1b) Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord- nung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber, Einrichtungen und der betroffenen Wirt- schaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Klima- schutz, dem Bundesministerium der Finanzen, dem Bundesministerium der Justiz, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium der Verteidigung, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesund- heit, dem Bundesministerium für Digitales und Verkehr und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz
unter Festlegung der in den jeweiligen Sektoren Energie, Verkehr und Transport, Fi- nanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernäh- rung, Informationstechnik und Telekommunikation, Weltraum sowie Siedlungsab- fallentsorgung wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und
deren als bedeutend anzusehenden Versorgungsgrads, welche Anlagen oder Teile da- von als kritische Anlagen im Sinne dieses Gesetzes gelten,
sowie welche Einrichtungsarten in den Sektoren Energie, Transport und Verkehr, Fi- nanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informa- tionstechnik und Telekommunikation, Verwaltung von IKT-Diensten (Business-to-Busi- ness), öffentliche Verwaltung und Weltraum Einrichtungsarten besonders wichtiger Einrichtungen sind, und
welche Einrichtungsarten in den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstech- nik und Telekommunikation, Siedlungsabfallentsorgung, Logistik, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, Anbieter digitaler Dienste oder Forschung Ein- richtungsarten wichtiger Einrichtungen sind.
Der nach Satz 1 als bedeutend anzusehende Versorgungsgrad ist anhand von branchen- spezifischen Schwellenwerten für jede wegen ihrer Bedeutung als kritisch anzusehende Dienstleistung im jeweiligen Sektor zu bestimmen. Zugang zu Akten, die die Erstellung oder Änderung dieser Verordnung betreffen, wird nicht gewährt.“
Artikel 3
Änderung des BND-Gesetzes (FNA 12-6)
In § 24 des BND-Gesetzes vom 20. Dezember 1990 (BGBl. I S. 2954, 2979), das zu- letzt durch Artikel 3 des Gesetzes vom 5. Juli 2021 (BGBl. I S. 2274) geändert worden ist, wird die Angabe „§ 5 Absatz 7 Satz 2 bis 8 des BSI-Gesetzes“ durch die Angabe „§ 8 Ab- satz 8 Satz 2 bis 8 des BSI-Gesetzes“ ersetzt.
Artikel 4
Änderung der Sicherheitsüberprüfungsfeststellungsverordnung (FNA 12-10-3)
In § 1 Nummer 8 der Sicherheitsüberprüfungsfeststellungsverordnung vom 6. Februar 2023 (BGBl. 2023 I Nr. 33), wird die Angabe „§ 3 Absatz 1 Satz 2 Nummer 1, Nummer 13 Satz 1 Buchstabe b und c, Nummer 15 und Nummer 18 des BSI-Gesetzes“ durch die An- gabe „§ 3 Absatz 1 Satz 2 Nummer 1, Nummer 18 Buchstabe b und c, Nummer 22 und Nummer 25 des BSI-Gesetzes“ ersetzt.
Artikel 5
Änderung des Telekommunikation-Telemedien-Datenschutz-Ge- setzes (FNA 204-5)
In § 19 des Telekommunikation-Telemedien-Datenschutz-Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982; 2022 I S. 1045), das zuletzt durch Artikel 4 des Gesetzes vom 12. August
2021 (BGBl. I S. 3544; 2022 I 1045) geändert worden ist, wird die Angabe „§ 7d Satz 1 BSI- Gesetz“ durch die Angabe „§ 17 Satz 1 des BSI-Gesetzes“ ersetzt.
Artikel 6
Änderung der Gleichstellungsbeauftragtenwahlverordnung (FNA 205-3-1)
In § 19 Absatz 9 der Gleichstellungsbeauftragtenwahlverordnung vom 17. Dezember 2015 (BGBl. I S. 2274), die durch Artikel 3 des Gesetzes vom 7. August 2021 geändert worden ist, wird die Angabe „§ 9 des BSI-Gesetzes“ durch die Angabe „§ 54 des BSI-Ge- setzes“ ersetzt.
Artikel 7
Änderung des Zweiten Gesetzes zur Erhöhung der Sicherheit in- formationstechnischer Systeme (FNA 206-2)
Artikel 6 Absatz 1 des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstech- nischer Systeme vom 18. Mai 2021 (BGBl. I S. 1122; 4304), wird wie folgt geändert:
Die Nummerbezeichnung „1.“ wird gestrichen und das Wort „und“, das nach der An- gabe „(Artikel 1)“ folgt, wird durch einen Punkt „.“ ersetzt.
Nummer 2 wird aufgehoben.
Artikel 8
Änderung der BSI-Zertifizierungs- und Anerkennungsverordnung (FNA 206-2-1)
Die BSI-Zertifizierungs- und -Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231), die zuletzt durch Artikel 74 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist, wird wie folgt geändert:
Die Eingangsformel wird wie folgt neu gefasst:
„Auf Grund des § 57 Absatz 2 des BSI-Gesetzes in der Fassung der Bekanntma- chung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bundesge- setzblatt]) verordnet das Bundesministerium des Innern und für Heimat nach Anhörung der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz:“.
In § 1 wird die Angabe „§ 9 des BSI-Gesetzes“ durch die Angabe „§ 54 des BSI-Geset- zes“ ersetzt.
In § 12 Absatz 1 wird die Angabe „§ 9 Absatz 4 des BSI-Gesetzes“ durch die Angabe
„§ 54 Absatz 4 des BSI-Gesetzes“ ersetzt.
In § 15 Absatz 1 und § 18 Absatz 1 wird die Angabe „§ 9 Absatz 5 des BSI-Gesetzes“ durch die Angabe „§ 54 Absatz 6 des BSI-Gesetzes“ und die Angabe „§ 9 Absatz 4 Nummer 2 des BSI-Gesetzes“ durch die Angabe „§ 54 Absatz 4 Nummer 2 des BSI- Gesetzes“ ersetzt.
§ 21 wird wie folgt geändert:
In Absatz 1 wird die Angabe „§ 9 Absatz 6 des BSI-Gesetzes“ durch die Angabe
„§ 54 Absatz 7 des BSI-Gesetzes“ ersetzt.
In Absatz 1 Nummer 2 wird die Angabe „§ 9 Absatz 6 Nummer 2 des BSI-Geset- zes“ durch die Angabe „§ 54 Absatz 7 Satz 1 Nummer 2 des BSI-Gesetzes“ er- setzt.
In Absatz 4 Satz 1 wird die Angabe „§ 9 Absatz 6 Satz 2 des BSI-Gesetzes“ durch die Angabe „§ 54 Absatz 7 Satz 2 des BSI-Gesetzes“ ersetzt.
Artikel 9
Änderung der BSI IT-Sicherheitskennzeichenverordnung (FNA 206-2-3)
Die BSI-IT-Sicherheitskennzeichenverordnung vom 24. November 2021 (BGBl. I S.
4978), wird wie folgt geändert:
Die Eingangsformel wird wie folgt neu gefasst:
„Auf Grund des § 57 Absatz 3 des BSI-Gesetzes in der Fassung der Bekanntma- chung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bundesge- setzblatt]) verordnet das Bundesministerium des Innern und für Heimat im Einverneh- men mit dem Bundesministerium für Wirtschaft und Klimaschutz und dem Bundesmi- nisterium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz:“.
In § 2 Nummer 4 wird die Angabe „§ 9c Absatz 3 Satz 1 des BSI-Gesetzes“ durch die Angabe „§ 56 Absatz 3 Satz 1 des BSI-Gesetzes“ ersetzt.
In § 3 Absatz 1 Satz 1 wird die Angabe „§ 9c Absatz 2 des BSI-Gesetzes“ durch die Angabe „§ 56 Absatz 2 des BSI-Gesetzes“ ersetzt.
In § 5 wird wie folgt geändert:
In Absatz 4 wird die Angabe „§ 9c Absatz 5 BSIG“ durch die Angabe „§ 56 Absatz 5 des BSI-Gesetzes“ ersetzt.
In Absatz 5 Satz 1 wird die Angabe „§§ 7 oder 7a des BSI-Gesetzes“ durch die Angabe „§ 13 oder 14 des BSI-Gesetzes“ und die Angabe „§ 9c Absatz 8 des BSI- Gesetzes“ durch die Angabe „§ 56 Absatz 8 des BSI-Gesetzes“ ersetzt.
In § 6 Absatz 1 wird die Angabe „§ 9 des BSI-Gesetzes“ durch die Angabe „§ 54 des BSI-Gesetzes“ ersetzt.
In § 7 Absatz 3 und § 9 Absatz 1 Satz 1 wird die Angabe „§ 9c des BSI-Gesetzes“ durch die Angabe „§ 56 des BSI-Gesetzes“ ersetzt.
§ 13 wird wie folgt geändert:
In Satz 1 wird die Angabe „§ 9c Absatz 2 des BSI-Gesetzes“ durch die Angabe
„§ 56 Absatz 2 des BSI-Gesetzes“ ersetzt.
In Satz 2 wird die Angabe „§§ 7 oder 7a des BSI-Gesetzes“ durch die Angabe
„§ 13 oder 14 des BSI-Gesetzes“ ersetzt.
In § 14 wird die Angabe „§ 10 Absatz 3 Satz 1 des BSI-Gesetzes“ durch die Angabe
„§ 57 Absatz 3 Satz 1 des BSI-Gesetzes“ ersetzt.
Artikel 10
Änderung des De-Mail-Gesetzes (FNA 206-4)
In § 18 Absatz 3 Nummer 3 des De-Mail-Gesetzes vom 28. April 2011 (BGBl. I S. 666), das zuletzt durch Artikel 7 des Gesetzes vom 10. August 2021 (BGBl. I S. 3436) geändert worden ist, werden wie Wörter „§ 9 Absatz 2 Satz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik“ durch die Wörter „§ 54 Absatz 2 Satz 1 des BSI-Ge- setzes“ ersetzt.
Artikel 11
Änderung des E-Government-Gesetz (FNA 206-6)
In § 10 des E-Government-Gesetz vom 25. Juli 2013 (BGBl. I S. 2749), das zuletzt durch Artikel 1 des Gesetzes vom 16. Juli 2021 (BGBl. I S. 2941) geändert worden ist, wird Satz 2 gestrichen.
Artikel 12
Änderung der Passdatenerfassungs- und Übermittlungsverord- nung (FNA 210-5-11)
In § 4 der Passdatenerfassungs- und Übermittlungsverordnung vom 9. Oktober 2007 (BGBl. I S. 2312), die zuletzt durch Artikel 79 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist, werden die Wörter „§ 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821)“ durch die Angabe „§ 54 des BSI-Gesetzes in der Fassung der Be- kanntmachung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bundes- gesetzblatt])“ ersetzt.
Artikel 13
Änderung der Personalausweisverordnung (FNA 210-6-1)
In § 3 der Personalausweisverordnung vom 1. November 2010 (BGBl. I S. 1460), die zuletzt durch Artikel 3 der Verordnung vom 20. August 2021 (BGBl. I S. 3682) geändert worden ist, wird die Angabe „§ 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) geändert worden ist,“ durch die Angabe „§ 54 des BSI-Gesetzes in der Fassung der Bekanntma- chung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bundesgesetz- blatt])“ ersetzt.
Artikel 14
Änderung der Kassensicherungsverordnung (FNA 610-1-26)
In § 11 Absatz 1 der Kassensicherungsverordnung vom 26. September 2017 (BGBl. I S. 3515), die durch Artikel 2 des Gesetzes vom 30. Juli 2021 (BGBl. I S. 3295) geändert worden ist, wird die Angabe „§ 9 des BSI-Gesetzes“ durch die Angabe „§ 54 des BSI-Ge- setzes“ ersetzt.
Artikel 15
Änderung des Atomgesetzes (FNA 751-1)
[Anm. BMI CI1 – In der Ressortabstimmung mit BMUV zu klären, ob eine vergleichbare Regelung für die seit dem Atomausstieg noch bestehenden Genehmigungsinhaber noch weiterhin erforderlich ist]
In § 44b des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das zuletzt durch Artikel 1 des Gesetzes vom 4. Dezember 2022 (BGBl. I S. 2153) geändert worden ist, wird die Angabe „§ 8b Absatz 1, 2 Nummer 1 bis 3, Num- mer 4 Buchstabe a bis c und Absatz 7 des BSI-Gesetzes“ durch die Angabe „§ 40 Absatz 1, 2 Nummer 1 bis 3, Nummer 4 Buchstabe a, Nummer 5 und Absatz 5 des BSI-Gesetzes“ ersetzt.
Artikel 16
Änderung des Energiewirtschaftsgesetzes (FNA 752-6)
§ 11 des Energiewirtschaftsgesetzes vom 7. Juli 2005 (BGBl. I S. 1970; 3621), das
zuletzt durch Artikel 9 des Gesetzes vom 22. März 2023 (BGBl. 2023 I Nr. 88) geändert worden ist, wird wie folgt geändert:
In Absatz 1a Satz 2 werden nach dem Wort „Sicherheitsanforderungen“ ein Komma und folgende Wörter eingefügt: „der mindestens die in § 30 des BSI-Gesetzes in der
Fassung der Bekanntmachung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfü- gen: Seite im Bundesgesetzblatt]) in der jeweils geltenden Fassung genannten Risiko- managementmaßnahmen für besonders wichtige Einrichtungen enthält“.
Absatz 1b wird wie folgt geändert:
In Satz 1 werden die Wörter „§ 10 Absatz 1 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 8 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung als Kriti- sche Infrastruktur“ durch die Wörter „§ 57 Absatz 1 des BSI-Gesetzes als kritische Anlage“ ersetzt.
In Satz 2 wird nach dem Komma, das auf das Wort „ist“ folgt, die Wörter „der min- destens die in § 30 des BSI-Gesetzes genannten Risikomanagementmaßnahmen für besonders wichtige Einrichtungen enthält“ eingefügt.
Absatz 1c wird wie folgt gefasst:
„(1c) Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 57 Absatz 1 des BSI-Gesetzes als kritische Anlage bestimmt wurden, übermitteln dem Bundesamt für Sicherheit in der Informationstechnik über die gemäß § 31 Absatz 1 des BSI-Gesetzes eingerichtete Meldemöglichkeit:
unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlan- gung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der an- gegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüber- schreitende Auswirkungen haben könnte;
unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlan- gung von einem erheblichen Sicherheitsvorfall, eine Meldung über den Sicher- heitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktua- lisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, ein- schließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden;
auf Ersuchen des Bundesamtes für Sicherheit in der Informationstechnik eine Zwi- schenmeldung über relevante Statusaktualisierungen;
spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Nummer 2, vorbehaltlich § 31 Absatz 2 des BSI-Gesetzes, eine Abschluss- meldung, die Folgendes enthält:
eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen;
Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursa- che, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat;
Angaben zu den getroffenen und laufenden Abhilfemaßnahmen;
gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvor- falls.
§§ 2 Absatz 1 Nummer 10 und 31 Absatz 2 bis 5 des BSI-Gesetzes gelten entspre- chend.“
Artikel 17
Änderung des Messstellenbetriebsgesetzes (FNA 752-10)
In § 24 des Messstellenbetriebsgesetz vom 29. August 2016 (BGBl. I S. 2034), das zuletzt durch Artikel 11 des Gesetzes vom 20. Juli 2022 (BGBl. I S. 1237) geändert worden ist, wird die Angabe „§ 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821)“ durch die Angabe „§ 54 des BSI-Gesetzes in der Fassung der Bekanntmachung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bundesgesetzblatt])“ ersetzt.
Artikel 18
Änderung des Energiesicherungsgesetzes (FNA 754-3)
In §§ 17 Absatz 1, 18 Absatz 2 Satz 1 Nummer 1 und § 29 Absatz 1 des Energiesiche- rungsgesetz vom 20. Dezember 1974 (BGBl. I S. 3681), das zuletzt durch Artikel 7 des Ge- setzes vom 20. Dezember 2022 (BGBl. I S. 2560) geändert worden ist, werden die Wörter
„Kritische Infrastrukturen“ durch die Wörter „kritische Anlagen“ und die Angabe „§ 2 Ab- satz 10 des BSI-Gesetzes“ durch die Angabe „§ 2 Absatz 1 Nummer 19 des BSI-Gesetzes“ ersetzt.
Artikel 19
Änderung des Fünften Buches Sozialgesetzbuch (FNA 860-5)
Das Fünfte Buch Sozialgesetzbuch – Gesetzliche Krankenversicherung – (Artikel 1 des Gesetzes vom 20. Dezember 1988, BGBl. I S. 2477, 2482), das zuletzt durch Artikel 1b des Gesetzes vom 20. Dezember 2022 (BGBl. I S. 2793) geändert worden ist, wird wie folgt geändert:
In § 75b Absatz 4 wird die Angabe „§ 8a Absatz 1 des BSI-Gesetzes“ durch die Angabe
„§ 39 Absatz 1 des BSI-Gesetzes“ ersetzt.
§ 75c wird wie folgt geändert:
In Absatz 2 wird die Angabe „§ 8a Absatz 2 des BSI-Gesetzes“ durch die Angabe
„§ 30 Absatz 12 des BSI-Gesetzes“ ersetzt.
In Absatz 3 werden die Wörter „Kritische Infrastrukturen“ durch die Wörter „kriti- scher Anlagen“ und die Angabe „§ 8a des BSI-Gesetzes“ durch die Angabe
„§§ 30 und 39 des BSI-Gesetzes“ ersetzt.
Artikel 20
Änderung der Digitale Gesundheitsanwendungen-Verordnung (FNA 860-5-55)
In der Tabellenzelle in der Spalte Anforderung und der Zeile Nummer 5 der Überschrift
„Datensicherheit“, der Unterüberschift „Basisanforderungen, die für alle digitalen Gesund- heitsanwendungen gelten“ der Tabelle in Anlage 1 (Fragebogen gemäß § 4 Absatz 6) der Digitale Gesundheitsanwendungen-Verordnung vom 8. April 2020 (BGBl. I S. 768), die zu- letzt durch Artikel 3 des Gesetzes vom 20. Dezember 2022 (BGBl. I S. 2793) geändert worden ist, wird die Angabe „§ 8 Absatz 1 Satz 1 des BSI-Gesetzes“ durch die Angabe
„§ 44 Absatz 1 Satz 1 des BSI-Gesetzes“ ersetzt.
Artikel 21
Änderung des Sechsten Buches Sozialgesetzbuch (FNA 860-6)
[Anm. BMI CI 1 – Ergänzungsbitte BMAS]
§ 138 Absatz 1 Satz 2 des Sechsten Buches Sozialgesetzbuch – Gesetzliche Renten- versicherung – in der Fassung der Bekanntmachung vom 19. Februar 2002 (BGBl. I S. 754, 1404, 3384), das zuletzt durch Artikel 13 des Gesetzes vom 2. März 2023 (BGBl. 2023 I Nr. 56) geändert worden ist, wird wie folgt geändert:
In Nummer 15 wird das Wort „und“ durch ein Komma ersetzt.
In Nummer 16 wird der Punkt am Ende durch das Wort „und“ ersetzt.
Folgende Nummer 17 wird angefügt:
„17.
Koordinierung einer an den Zielen von Wirtschaftlichkeit und Sicherheit ausge- richteten Informationstechnik der Rentenversicherung, insbesondere durch
die Festlegung von einheitlichen Grundsätzen für die Informationstechnik und Informationssicherheit der Rentenversicherung,
den Betrieb der informationstechnischen Infrastruktur und des Netzwerkes der Rentenversicherung,
die Entwicklung rentenversicherungsbezogener Anwendungen und
die Festlegung eines Beschaffungskonzepts.“
Artikel 22
Änderung der Verordnung zum Barrierefreiheitsstärkungsgesetz (FNA 860-9-4-1)
In § 2 Nummer 3 der Verordnung zum Barrierefreiheitsstärkungsgesetz vom 15. Juni 2022 (BGBl. I S. 928) werden die Wörter „§ 2 Absatz 2 Satz 4 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert worden ist“ durch die Wörter „§ 2 Absatz 1 Nummer 36 des BSI-Gesetzes in der Fassung der Bekanntmachung vom [einfügen: Verkündungsda- tum] (BGBl. I S. [einfügen: Seite im Bundesgesetzblatt])“.
Artikel 23
Änderung des Telekommunikationsgesetzes (FNA 900-17)
[Anm. BMI CI 1 – Aufgrund von Artikel 43 NIS-2-Richtlinie besteht Umsetzungsbedarf hin- sichtlich Verpflichtungen (Risikomanagementmaßnahmen und Meldepflichten) sowie Buß- geldrahmen für TK-Anbieter. Art der Umsetzung im Rahmen der Ressortabstimmung mit BMDV abzustimmen.]
Das Telekommunikationsgesetz vom 23. Juni 2021 (BGBl. I S. 1858), das zuletzt durch Artikel 5 des Gesetzes vom 14. März 2023 (BGBl. 2023 I Nr. 71) geändert worden ist, wird wie folgt geändert:
§ 165 wird wie folgt geändert:
In Absatz 3 wird die Angabe „§ 2 Absatz 9b“ durch die Angabe „§ 2 Absatz 1 Num- mer 38“ ersetzt.
In Absatz 4 wird Angabe „§ 2 Absatz 13“ durch die Angabe „§ 2 Absatz 1 Num- mer 20“ ersetzt.
§ 167 Absatz 1 Nummer 2 wird wie folgt geändert:
Die Angabe „§ 2 Absatz 13 Satz 1 Nummer 3 Buchstabe b“ wird durch die Angabe
„§ 2 Absatz 1 Nummer 20 Buchstabe c Doppelbuchstabe bb“ ersetzt.
Die Angabe „§ 2 Absatz 13“ wird durch die Angabe „§ 2 Absatz 1 Nummer 20“ er- setzt.
In § 168 Absatz 6 wird die Angabe „§ 8e“ durch die Angabe „§ 42“ ersetzt.
[Anm. BMI CI 3 – Hier ist in Folge der NIS-2-Richtlinie noch sicherzustellen, dass die Mel- devorschrift die Mindestanforderungen von NIS-2 nicht unterschreitet.]
In § 174 Absatz 3 und 5 wird die Angabe „§ 2 Absatz 10 Satz 1 Nummer 1“ durch die
Angabe „§ 57 Absatz 1 Nummer 1“ ersetzt.
In § 214 Absatz 3 werden die Wörter „Kritische Infrastrukturen“ durch die Wörter „kriti- sche Anlagen“ und die Angabe „§ 2 Absatz 10“ durch die Angabe „§ 2 Absatz 1 Num- mer 19“ ersetzt.
Artikel 24
Änderung der Krankenhausstrukturfonds-Verordnung (FNA 2126- 9-19)
In § 11 Absatz 1 Nummer 4 Buchstabe a und § 14 Absatz 2 Nummer 8 der Kranken- hausstrukturfonds-Verordnung vom 17. Dezember 2015 (BGBl. I S. 2350), die zuletzt durch Artikel 6 des Gesetzes vom 20. Dezember 2022 (BGBl. I S. 2793) geändert worden ist, wird wird die Angabe „§ 8a des BSI-Gesetzes“ durch die Angabe „§ 39 des BSI-Gesetzes“ er- setzt.
Artikel 25
Änderung der Mess- und Eichverordnung (FNA 7141-8-1)
In § 40 Absatz 4 Nummer 2 der Mess- und Eichverordnung vom 11. Dezember 2014
(BGBl. I S. 2010, 2011), die zuletzt durch Artikel 1 der Verordnung vom 26. Oktober 2021 (BGBl. I S. 4742) geändert worden ist, werden die Wörter „§ 3 Absatz 1 Nummer 5 des BSI- Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 3 Absatz 7 des Gesetzes vom 7. August 2013 (BGBl. I S. 3154) geändert worden ist, in der jeweils gelten- den Fassung“ durch die Angabe „§ 3 Absatz 1 Satz 2 Nummer 8 des BSI-Gesetzes in der Fassung der Bekanntmachung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bundesgesetzblatt])“ ersetzt.
Artikel 26
Änderung der Außenwirtschaftsverordnung (FNA 7400-4-1)
In § 55a der Außenwirtschaftsverordnung vom 2. August 2013 (BGBl. I S. 2865; 2021 I S. 4304), die zuletzt durch Artikel 10 des Gesetzes vom 19. Dezember 2022 (BGBl. I S. 2632) geändert worden ist, wird wie folgt geändert:
In Absatz 1 Nummer 1 werden die Wörter „Kritischen Infrastruktur“ durch die Wörter
„kritischen Anlage“ ersetzt.
In Absatz 1 Nummer 2 wird die Angabe „§ 2 Absatz 13 des BSI-Gesetzes“ durch die Angabe „§ 2 Absatz 1 Nummer 19 des BSI-Gesetzes“ und die Wörter „Kritischen Infra- strukturen“ durch die Wörter „kritischen Anlagen“ ersetzt.
Artikel 27
Änderung des Vertrauensdienstegesetzes (FNA 9020-13)
In § 2 des Vertrauensdienstegesetzes vom 18. Juli 2017 (BGBl. I S. 2745), das durch Artikel 2 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2745) geändert worden ist, wird Ab- satz 3 gestrichen.
Artikel 28
Inkrafttreten, Außerkrafttreten
Dieses Gesetz tritt vorbehaltlich des Absatzes 2 am 1. Oktober 2024 in Kraft. Gleichzeitig tritt das BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 2 dieses Gesetzes geändert worden ist, außer Kraft.
Artikel 2 tritt am Tag nach der Verkündung in Kraft. Artikel 27 tritt am 18. Oktober 2024 in Kraft.