NIS2 - Fünfter Referententwurf vom 07.05.2024 und Vergleich der Änderungen

Einleitung

In der heutigen Zeit ist die Energiewirtschaft ein kritischer Faktor für das Funktionieren unserer Gesellschaft. Die zunehmende Digitalisierung und Vernetzung von Energiesystemen führen jedoch auch zu neuen Herausforderungen und potenziellen Sicherheitsrisiken. Um diesen Risiken wirksam zu begegnen, wurden in Deutschland gesetzliche Anforderungen für Energiedienstleister etabliert. Die Einführung von Systemen zur Angriffserkennung und der Einsatz von Managed Security Operations Center (SOC) spielen dabei eine entscheidende Rolle. Im folgenden Artikel werden die gesetzlichen Anforderungen im Kontext des Energiewirtschaftsgesetzes (EnWG) und des BSI-Gesetzes 2.0 erläutert und die Vorteile von Managed SOC dargelegt.

EnWG und die Rolle von IT-Sicherheit

Das Energiewirtschaftsgesetz (EnWG) regelt in Deutschland die Erzeugung, den Transport und den Vertrieb von Energie. Dabei spielt die IT-Sicherheit eine zentrale Rolle, da sie die Integrität, Verfügbarkeit und Vertraulichkeit von energiewirtschaftlichen Prozessen gewährleisten muss. In der aktuellen Fassung des EnWG wurden die Anforderungen an die IT-Sicherheit konkretisiert und verschärft, um den gestiegenen Risiken durch Cyberangriffe Rechnung zu tragen.

Gemäß §11 Abs. 1a EnWG sind Betreiber von Energieversorgungsnetzen verpflichtet, angemessene organisatorische und technische Vorkehrungen zu treffen, um IT-Sicherheitsrisiken zu erkennen und abzuwehren. Zu den technischen Vorkehrungen zählen unter anderem Systeme zur Angriffserkennung, die in der Lage sind, Cyberangriffe frühzeitig zu identifizieren und entsprechende Gegenmaßnahmen einzuleiten.

Vergleich der Änderungen der NIS2UmsG Referententwürfe

Bearbeitungsstand: 22.12.2023 09:58

Referentenentwurf des Bundesministeriums des Innern und für Heimat

Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge Bearbeitungsstand: 07.05.2024 10:19

Referentenentwurf

des Bundesministeriums des Innern und für Heimat

Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Re- gelung eines möglichst hohen Niveaus an Sicherheit wird das bisherige Anordnungserfor- dernis ("Opt-In“) wesentlicher Grundzüge des Informationssicherheitsmanage- ments in der Bundesverwaltung

(NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz)

A. Problem und Ziel

Die moderne Wirtschaft Deutschlands ist für ihr Funktionieren, die Generierung von Wohl- stand und Wachstum und auch für ihre Adaptionsfähigkeit auf geänderte wirtschaftspoliti- sche und geopolitische Rahmenbedingungen angewiesen auf funktionierende und resili- ente Infrastrukturen, sowohl im physischen als auch im digitalen Bereich. Diese Faktoren haben in den vergangenen Jahren erheblich an Bedeutung gewonnen. Unternehmen se- hen sich nicht nur in ihrem wirtschaftlichen Tun, sondern auch in dessen praktischer Absi- cherung vor einer Vielzahl von Herausforderungen. Europaweit und global vernetzte Pro- zesse führen ebenso wie die zunehmende Digitalisierung aller Lebens- und somit auch Wirtschaftsbereiche zu einer höheren Anfälligkeit durch externe, vielfach nicht steuerbare Faktoren. Informationstechnik in kritischen Anlagen sowie in bestimmten Unternehmen spielt dabei eine zentrale Rolle. Ihre Sicherheit und Resilienz bilden auch die Grundlage für die Versorgungssicherheit, von der Versorgung mit Strom und Wasser bis hin zu Sied- lungsabfällen. Gleiches gilt für das Funktionieren der Marktwirtschaft in Deutschland und dem Binnenmarkt der Europäischen Union. Die Vernetzung und enge Verzahnung der Wirtschaft innerhalb Deutschlands und der Europäischen Union resultieren in Interdepen- denzen bei der Cybersicherheit. Die vor diesem Hintergrund erforderlichen Cybersicher- sehen sich nicht nur in ihrem wirtschaftlichen Tun, sondern auch in dessen praktischer Absiche- rung vor einer Vielzahl von Herausforderungen. Europaweit und global vernetzte Prozesse führen ebenso wie die zunehmende Digitalisierung aller Lebens- und somit auch Wirt- schaftsbereiche zu einer höheren Anfälligkeit durch externe, vielfach nicht steuerbare Fak- toren. Informationstechnik in kritischen Anlagen sowie in bestimmten Unternehmen spielt dabei eine zentrale Rolle. Ihre Sicherheit und Resilienz bilden auch die Grundlage für die Versorgungssicherheit, von der Versorgung mit Strom und Wasser bis hin zu Siedlungsab- fällen. Gleiches gilt für das Funktionieren der Marktwirtschaft in Deutschland und dem Bin- nenmarkt der Europäischen Union. Die Vernetzung und enge Verzahnung der Wirtschaft innerhalb Deutschlands und der Europäischen Union resultieren in Interdependenzen bei der Cybersicherheit. Die vor diesem Hintergrund erforderlichen Cybersicherheitsanforde- rungen an juristische und natürliche Personen, die wesentliche Dienste erbringen oder Tä- tigkeiten ausüben, werden mit der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27. Dezember 2022, S. 80, im Folgenden NIS-2-Richtlinie) in der gesamten Euro- päischen Union weiter angeglichen.

In Folge des völkerrechtswidrigen russischen Angriffskriegs auf die Ukraine hat sich nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Bericht zur Lage der IT-Sicherheit in Deutschland 2022 die IT-Sicherheitslage insgesamt zuge- spitzt. Im Bereich der Wirtschaft zählen hierbei Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in diesem Zusammenhang auch insbesondere Cyberangriffe über die Lieferkette (sogenannte Supply-Chain-Angriffe) zu den größten Bedrohungen. Zusätz- lich zu den bereits bekannten Bedrohungen entstanden in Folge des russischen Angriffs- kriegs auf die Ukraine und der damit einhergehenden „Zeitenwende“ auch neue Zusätzlich zu den bereits bekannten Bedrohungen entstanden in Folge des russischen Angriffskriegs auf die Ukraine und der damit einhergehenden „Zeitenwende“ auch neue Bedrohungen o- der die Einschätzungen zu bereits bekannten Bedrohungen mussten aufgrund veränderter Rahmenbedingungen geändert werden. Beispiele hierfür bestehen im Bereich Hacktivis- mus, insbesondere mittels Distributed-Denial-of-Service (DDoS)-Angriffen oder auch durch in Deutschland erfolgte Kollateralschäden in Folge von Cyber-Sabotage-Angriffen im Rah- men des Krieges. Zudem haben auch Störungen und Angriffe im Bereich der Lieferketten sowohl aus den Bereichen Cybercrime als auch im Rahmen des Krieges zuletzt zugenom- men. Diese Phänomene treten nicht mehr nur vereinzelt auf, sondern sind insgesamt Teil des unternehmerischen Alltags. Eine Erhöhung der Resilienz der Wirtschaft gegenüber den

- 2 - Bearbeitungsstand: 07.05.2024 10:19

Gefahren der digitalen Welt ist daher eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, um den Wirtschaftsstandort Deutschland robust und leistungsfähig zu halten.

Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht aus- reichend effektiv erwiesen, um eine flächendeckende wirksame Steigerung des Sicher- heitsniveaus zu erreichen. Dies haben insbesondere Sachstandserhebungen zum Umset- zungsplan bis- herigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausrei- chend effektiv erwiesen, um eine flächendeckende wirksame Steigerung des Sicherheits- niveaus zu erreichen. Dies haben insbesondere Sachstandserhebungen zum Umsetzungs- plan Bund sowie Prüfungen des Bundesrechnungshofs (BRH) bestätigt. Vor dem Hintergrund der durch aktuelle geopolitische Entwicklungen („Zeitenwende“) abermals verschärften Bedrohungslage hat sich das Risiko für staatliche Einrichtungen zudem wei- ter erhöht, durch Gefährdungen aus dem Cyberraum in ihrer Handlungsfähigkeit einge- schränkt zu werden.

Dieser Entwurf steht im Kontext der gefährdeten rechtzeitigen Erreichung der Ziele der Resolution der Generalversammlung der Vereinten Nationen vom 25. September 2015 „Transformation Hinter- grund der durch aktuelle geopolitische Entwicklungen („Zeitenwende“) abermals verschärf- ten Bedrohungslage hat sich das Risiko für staatliche Einrichtungen zudem weiter erhöht, durch Gefährdungen aus dem Cyberraum in ihrer Handlungsfähigkeit eingeschränkt zu werden.

Dieser Entwurf steht im Kontext der gefährdeten rechtzeitigen Erreichung der Ziele der Re- solution der Generalversammlung der Vereinten Nationen vom 25. September 2015 „Trans- formation unserer Welt: die UN-Agenda 2030 für nachhaltige Entwicklung“. Der Entwurf soll insbesondere zur Erreichung des Nachhaltigkeitsziels 9 der UN-Agenda 2030 beitragen, eine hochwertige, verlässliche und widerstandsfähige Infrastruktur aufzubauen.

B. Lösung, Nutzen

Entsprechend der unionsrechtlichen Vorgaben wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I 2015 S. 1324) und dem Zweiten Gesetz zur Erhöhung der Sicherheit informati- onstechnischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicher- heitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert, zusätzlich wer- den entsprechende informations- technischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstär- kungsgesetz für den Bereich bestimmter Unternehmen erweitert, zusätzlich werden ent- sprechende Vorgaben für die Bundesverwaltung eingeführt. Schwerpunktmäßig werden folgende Änderungen vorgenommen:

– Einführung der durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten fol- gende Änderungen vorgenommen:

– Einführung der durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse be- schränkten Anwendungsbereichs einhergeht.

– Der Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 NIS-2- Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdiffe- renziert wird.

– Die bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Meldere- gime der NIS-2-Richtlinie ersetzt. Dabei soll der bürokratische Aufwand für die Ein- richtungen im Rahmen des Umsetzungsspielraums minimiert werden.

– Ausweitung des BSI Instrumentariums im Hinblick auf von der NIS-2-Richtlinie vorge- gebene Aufsichtsmaßnahmen.

– Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informati- onssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten.

– Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nati- onalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhab- bares Regelungsregime zu gewährleisten.

- 3 - Bearbeitungsstand: 22.12.2023 09:58

– Etablierung eines CISO Bund als zentralem Koordinator für Maßnahmen zur Informa- tionssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanage- ment.

Melderegime der NIS-2-Richtlinie ersetzt. Dabei soll der bürokratische Aufwand für die Einrichtungen im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums minimiert werden.

– Ausweitung des Instrumentariums des Bundesamts für Sicherheit in der Informations- technik (BSI) im Hinblick auf von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnah- men.

– Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informations- sicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Ver- antwortlichkeiten.

- 3 - Bearbeitungsstand: 07.05.2024 10:19

– Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nati- onalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhab- bares Regelungsregime zu gewährleisten.

– Etablierung eines CISO Bund als zentralem Koordinator für Maßnahmen zur Informa- tionssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Res- sorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.

Ziel der NIS-2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cy- bersicherheitsniveau sichergestellt werden soll. Wichtige und besonders wichtige Einrich- tungen sollen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des eu- ropäischen euro- päischen Binnenmarktes verbessert werden. Die Konsequenzen eines Cyberangriffes sind sehr vielfältig und können nicht vollständig quantifiziert werden. So können durch Ransomware-Angriffe Ransom- ware-Angriffe Server medizinischer Einrichtungen verschlüsselt werden, was die Aufnahme neuer Notfälle und die ambulante Patientenversorgung tagelang verhindert. Dies etwa sind Risiken und Gefahren für Leib und Leben der Bevölkerung, die nicht in monetären Größen ausgedrückt werden können. Bezogen auf die unmittelbar durch Cyberangriffe verursach- ten und bezifferbaren Schäden für Unternehmen in Deutschland schätzt der Branchenverband der deutschen Informations- und Telekommunikationsunter- nehmen Branchenver- band der deutschen Informations- und Telekommunikationsunternehmen (Bitkom e. V.) ein jährliches Gesamtschadensvolumen von rund 223,5 Milliarden Euro für das Jahr 2021. Im Jahr 2022 lag das Gesamtschadensvolumen bei 202,7 Milliar- den Milliarden Euro und im Jahr 2023 voraussichtlich bei 205,9 Milliarden Euro. Im Schnitt verursachen Cyberangriffe für Unter- nehmen in Deutschland einen jährlichen Gesamtschaden von rund 210,7 Milliarden Euro in den letzten drei Jahren. Dabei hat Bitkom deutsche Unter- nehmen mit mindestens 10 Beschäftigten Unternehmen mit mindestens 10 Be- schäftigten und einem Jahresumsatz von mindestens einer Millionen Euro befragt. Im Unternehmensregister Un- ternehmensregister des Statistischen Bundesamts waren im Berichtsjahr 2021 insgesamt rund 3,4 Millionen rechtliche Einheiten registriert, davon be- schäftigten beschäftigten 444 055 rechtliche Einheiten mindestens 10 Beschäftigten. Unter der Annahme einer Gleichverteilung des Gesamtschadensvolumens auf die Unternehmen mit min- destens Ge- samtschadensvolumens auf die Unternehmen mit mindestens 10 Beschäftigten ergibt sich ein Schadensvolumen pro Unternehmen von rund 500 000 Euro (=210,7 Milliarden Euro / 444 055 Unternehmen). Es ist anzunehmen, dass selbst bei einer vollständigen Umsetzung der von der NIS-2-Richtlinie vorgegebenen Si- cherheitsstandards nicht alle Schäden durch Cyberangriffe abgewehrt werden können. Nimmt man jedoch an, dass durch die Umsetzung Sicherheitsstandards nicht alle Schäden durch Cyberangriffe abgewehrt werden können. Nimmt man jedoch an, dass durch die Umset- zung der vorliegenden Vorgaben die Hälfte des jährlich verursachten Schadens in den zur Umsetzung der NIS-2-Richtlinie verpflich- teten Unternehmen abgewehrt werden kann, so ergibt sich pro Unternehmen ein abge- wehrter Schaden von rund 250 000 Euro. Hochgerechnet auf die voraussichtlich ge- schätzte Anzahl betroffener Unternehmen bedeutet dies einen abgewehrten Gesamtscha- den verpflichteten Unternehmen abgewehrt werden kann, so ergibt sich pro Unternehmen ein abgewehrter Schaden von rund 250 000 Euro. Hochge- rechnet auf die voraussichtlich geschätzte Anzahl betroffener Unternehmen bedeutet dies einen abgewehrten Gesamtschaden in Höhe von ca. 3,6 Milliarden Euro (= 250 000 Euro * 14 500 Unternehmen) für die deutsche Wirtschaft. Zusätzlich zu dem hier geschätzten abgewehrten Schaden in Höhe von ca. 3,6 Milliarden bei den Unternehmen muss ebenfalls ein mangels verfügbarer Da- ten ab- gewehrten Schaden in Höhe von ca. 3,6 Milliarden bei den Unternehmen muss ebenfalls ein mangels verfügbarer Daten nicht bezifferbarer abgewehrter Schaden in der öffentlichen Verwaltung sowie weitere Schäden mitberücksichtigt werden.

C. Alternativen

Keine.

D. Haushaltsausgaben ohne Erfüllungsaufwand

[Anm. BMI CI1 – Für die formal korrekte Darstellung unter D. sind noch weitere Angaben erforderlich, die im Rahmen der laufenden Ressortabstimmung abgefragt werden. Eine Darstellung erfolgt in der nächsten Fassung des Referentenentwurfs.]

[…]

- 4 - Bearbeitungsstand: 22.12.2023 09:58

Der Bedarf an Sach- und Personalmitteln sowie Planstellen und Stellen wird finanziell und stellenmäßig im Gesamthaushalt ausgeglichen.

Für die Umsetzung dieses Gesetzes entstehen dem Bundeshaushalt einmalige Mehraus- gaben in Höhe von […] Euro sowie laufende Mehrausgaben in Höhe von […] Euro jährlich. Mehrausgaben für Länder und Kommunen entstehen nicht.

- 4 - Bearbeitungsstand: 07.05.2024 10:19

[Die Gegenfinanzierung der aus diesem Vorhaben resultierenden Mehrbedarfe ist Gegen- stand der weiteren Verhandlungen. Über jeweils ressortspezifische Einzelheiten ist im Rah- men künftiger Haushaltsaufstellungsverfahren zu entscheiden.]

E. Erfüllungsaufwand

E.1 Erfüllungsaufwand für Bürgerinnen und Bürger

Es entsteht kein Erfüllungsaufwand für die Bürgerinnen und Bürger.

E.2 Erfüllungsaufwand für die Wirtschaft

Für die Wirtschaft erhöht sich der jährliche Erfüllungsaufwand um rund 2,3 Milliarden Euro Milliarden Euro. Insgesamt entsteht einmaliger Aufwand von rund zwei Milliarden Euro. Dieser ist fast ausschließlich der Kategorie Einführung oder Anpassung digitaler Prozes- sabläufe Euro. Insgesamt entsteht einmaliger Aufwand von rund zwei Milliarden Euro. Dieser ist fast aus- schließlich der Kategorie Einführung oder Anpassung digitaler Prozessabläufe zuzuordnen.

Davon Bürokratiekosten aus Informationspflichten

Es entfallen rund 121 Millionen Euro auf Bürokratiekosten aus Informationspflichten.

E.3 Erfüllungsaufwand der Verwaltung

[Anm. BMI CI1 – Für die formal korrekte Darstellung unter E.3 sind noch weitere Angaben erforderlich, die im Rahmen der laufenden Ressortabstimmung abgefragt werden. Eine Darstellung erfolgt in der nächsten Fassung des Referentenentwurfs. Für die Bundesverwaltung erhöht sich der jährliche Erfüllungsaufwand um mindestens 365 Millionen Euro. Der einmalige Erfüllungsaufwand beträgt mindestens 335 Millionen Euro.

Die Erfüllungsaufwände nach diesem Gesetz für die Länder fallen nicht an.]

[…]

weniger Bundesbehörden sind in der vorliegenden Fassung der Schätzung des Erfüllungsaufwands noch nicht berücksichtigt.

F. Weitere Kosten

Keine.

• 5 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

Referentenentwurf des Bundesministeriums des Innern
und für Heimat

Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie
und zur Regelung wesentlicher Grundzüge des

Informationssicherheitsmanagements in der Bundesverwaltung

(NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz)1)

Vom ...

Der Bundestag hat das folgende Gesetz beschlossen:

Inhaltsübersicht

Artikel 1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz – BSIG)

Artikel 2 Änderung des BSI-Gesetzes (FNA 206-2) Artikel 3 Änderung des BND-Gesetzes (FNA 12-6)

Artikel 4 Änderung der Sicherheitsüberprüfungsfeststellungsverordnung (FNA 12-10-3)

Artikel 5 Änderung des Telekommunikation-Telemedien-Datenschutz-Gesetzes (FNA 204-5)

Artikel 6 Änderung der Gleichstellungsbeauftragtenwahlverordnung (FNA 205-3-1)

Artikel 7 Änderung des Zweiten Gesetzes zur Erhöhung der Sicherheit informations- technischer Systeme (FNA 206-2)

Artikel 8 Änderung der BSI-Zertifizierungs- und Anerkennungsverordnung (FNA 206-2- 1)

Artikel 9 Änderung der BSI IT-Sicherheitskennzeichenverordnung (FNA 206-2-3)

Artikel 10 Änderung des De-Mail-Gesetzes (FNA 206-4)

Artikel 11 Änderung des E-Government-Gesetz (FNA 206-6)

Artikel 12 Änderung der Passdatenerfassungs- und Übermittlungsverordnung (FNA 210-5-11)

Artikel 13 Änderung der Personalausweisverordnung (FNA 210-6-1)

Artikel 14 Änderung der Kassensicherungsverordnung (FNA 610-1-26)

Artikel 15 Änderung des Atomgesetzes (FNA 751-1) 1 )Dieses Gesetz dient der Umsetzung und des Telekommunikationsgeset- zes (FNA 900-17)

Artikel 3 Änderung des BND-Gesetzes (FNA 12-6)

Artikel 4 Änderung der Sicherheitsüberprüfungsfeststellungsverordnung (FNA 12-10-3)

Artikel 5 Änderung des Telekommunikation-Telemedien-Datenschutz-Gesetzes (FNA 204-5)

Artikel 6 Änderung der Gleichstellungsbeauftragtenwahlverordnung (FNA 205-3-1)

Artikel 7 Änderung des Zweiten Gesetzes zur Erhöhung der Sicherheit informations- technischer Systeme (FNA 206-2)

Artikel 8 Änderung der BSI-Zertifizierungs- und Anerkennungsverordnung (FNA 206-2- 1)

Artikel 9 Änderung der BSI IT-Sicherheitskennzeichenverordnung (FNA 206-2-3)

Artikel 10 Änderung des De-Mail-Gesetzes (FNA 206-4)

Artikel 11 Änderung des E-Government-Gesetz (FNA 206-6)

Artikel 12 Änderung der Passdatenerfassungs- und Übermittlungsverordnung (FNA 210- 5-11)

Artikel 13 Änderung der Personalausweisverordnung (FNA 210-6-1)

Artikel 14 Änderung der Kassensicherungsverordnung (FNA 610-1-26)

1) Dieses Gesetz dient der Umsetzung der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und

des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheits- niveau mit 94 Prozent; sowie OnDEA ID 2015030909595501 und 2020093009264402), ergeben sich jährliche Personalkosten in der Höhe rund 57 Millionen Euro. Hinzu kommen jährliche Sachkosten in der Höhe von 69 Millionen Euro. Der gesamte jährliche Erfüllungs- aufwand aus dieser Informationspflicht beträgt demnach rund 125 Millionen Euro.

Vorgabe 4.2.3 (Informationspflicht): Meldung erheblicher Sicherheitsvorfälle (Be- sonders wichtige und wichtige Einrichtungen); § 31 in Verbindung mit § 28 BSIG-E

Der Regelungsentwurf sieht im Zusammenhang mit Sicherheitsvorfällen Meldepflichten besonders wichtiger und wichtiger Einrichtungen gegenüber dem BSI vor (vgl. § 31 in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27.12.2022, S. 80).

• 6 - Bearbeitungsstand: 22.12.2023 09:58

Artikel 16 Änderung des Energiewirtschaftsgesetzes (FNA 752-6)

Artikel 17 Änderung des Messstellenbetriebsgesetzes (FNA 752-10)

Artikel 18 Änderung des Energiesicherungsgesetzes (FNA 754-3)

Artikel 19 Änderung des Fünften Buches Sozialgesetzbuch (FNA 860-5)

Artikel 20 Änderung der Digitale Gesundheitsanwendungen-Verordnung (FNA 860-5- 55)

07.05.2024 10:19

Artikel 15 Änderung des Atomgesetzes (FNA 751-1)

Artikel 16 Änderung des Energiewirtschaftsgesetzes (FNA 752-6)

Artikel 17 Änderung des Messstellenbetriebsgesetzes (FNA 752-10)

Artikel 18 Änderung des Energiesicherungsgesetzes (FNA 754-3)

Artikel 19 Änderung des Fünften Buches Sozialgesetzbuch (FNA 860-5)

Artikel 20 Änderung der Digitale Gesundheitsanwendungen-Verordnung (FNA 860-5-55)

Artikel 21 Änderung des Sechsten Buches Sozialgesetzbuch (FNA 860-6)

Artikel 22 Änderung der Verordnung zum Barrierefreiheitsstärkungsgesetz (FNA 860-9- 4-1)

Artikel 23 Änderung des Telekommunikationsgesetzes (FNA 900-17)

Artikel 24 Änderung der Krankenhausstrukturfonds-Verordnung (FNA 2126-9-19)

Artikel 25 Änderung der Mess- und Eichverordnung (FNA 7141-8-1)

Artikel 26 Änderung der Außenwirtschaftsverordnung (FNA 7400-4-1)

Artikel 27 Änderung des Vertrauensdienstegesetzes (FNA 9020-13)

Artikel 28 Evaluierung

Artikel 29 Inkrafttreten, Außerkrafttreten

Artikel 1

Gesetz über das Bundesamt für Sicherheit in der Informations- technik und über die Sicherheit in der Informationstechnik von

Einrichtungen

(BSI-Gesetz – BSIG)

Inhaltsübersicht

T e i l 1

A l l g e m e i n e V o r s c h r i f t e n

§ 1 Bundesamt für Sicherheit in der Informationstechnik

§ 2 Begriffsbestimmungen

• 7 - Bearbeitungsstand: 22.12.2023 09:58

T e i l 2 D a s B u n d e s a m t

Kapitel 1 Aufgaben und Befugnisse

§ 3 Aufgaben des Bundesamtes

§ 4 Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes

§ 5 Allgemeine Meldestelle für die Sicherheit in der Informationstechnik

§ 6 Informationsaustausch

§ 7 Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte

§ 8 Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes

§ 9 Verarbeitung von Protokollierungsdaten der Kommunikationstechnik des Bundes

§ 10 Anordnungen von Maßnahmen zur Abwendung oder Behebung von Sicherheitsvorfällen

§ 11 Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen

§ 12 Bestandsdatenauskunft

§ 13 Warnungen

§ 14 Untersuchung der Sicherheit in der Informationstechnik, Auskunftsverlangen

§ 15 Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden

§ 16 Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Telekommunikationsdiensten

§ 17 Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Telemediendiensten

§ 18 Anordnungen von Maßnahmen des Bundesamtes gegenüber Herstellern von IKT-Produkten

§ 19 Bereitstellung von IT-Sicherheitsprodukten

Kapitel 2 Datenverarbeitung

§ 20 Verarbeitung personenbezogener Daten

§ 21 Beschränkungen der Rechte der betroffenen Person

§ 22 Informationspflicht bei Erhebung von personenbezogenen Daten

§ 23 Auskunftsrecht der betroffenen Person

§ 24 Recht auf Berichtigung

§ 25 Recht auf Löschung

§ 26 Recht auf Einschränkung der Verarbeitung

§ 27 Widerspruchsrecht

- 8 - Bearbeitungsstand: 22.12.2023 09:58

T e i l 3 S i c h e r h e i t i n d e r I n f o r m a t i o n s t e c h n i k v o n E i n r i c h t u n g e n

Kapitel 1 Anwendungsbereich

§ 28 Besonders wichtige Einrichtungen und wichtige Einrichtungen

§ 29 Einrichtungen der Bundesverwaltung

Kapitel 2 Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten

§ 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen

§ 31 Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen

§ 32 Meldepflichten

§ 33 Registrierungspflicht

§ 34 Besondere Registrierungspflicht für bestimmte Einrichtungsarten

§ 35 Unterrichtungspflichten

§ 36 Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen

§ 37 Ausnahmebescheid

§ 38 Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen

§ 39 Nachweispflichten für Betreiber kritischer Anlagen

§ 40 Nationale Verbindungsstelle sowie zentrale Melde- und Anlaufstelle für besonders wichtige und wichtige Einrich- tungen

§ 41 Untersagung des Einsatzes kritischer Komponenten

§ 42 Auskunftsverlangen

Kapitel 3 Informationssicherheit der Einrichtungen der Bundesverwaltung

§ 43 Informationssicherheitsmanagement

§ 44 Vorgaben des Bundesamtes

§ 45 Informationssicherheitsbeauftragte der Einrichtungen der Bundesverwaltung

§ 46 Informationssicherheitsbeauftragte der Ressorts

§ 47 Wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes

§ 48 Amt des Koordinators für Informationssicherheit

§ 49 Aufgaben des Koordinators

§ 50 Befugnisse des Koordinators

- 9 - Bearbeitungsstand: 22.12.2023 09:58

T e i l 4 D a t e n b a n k e n d e r D o m a i n - N a m e - R e g i s t r i e r u n g s d a t e n

§ 51 Pflicht zum Führen einer Datenbank

§ 52 Verpflichtung zur Zugangsgewährung

§ 53 Kooperationspflicht

T e i l 5 Z e r t i f i z i e r u n g u n d K e n n z e i c h e n

§ 54 Zertifizierung

§ 55 Nationale Behörde für die Cybersicherheitszertifizierung

§ 56 Freiwilliges IT-Sicherheitskennzeichen

T e i l 6 V e r o r d n u n g s e r m ä c h t i g u n g e n , G r u n d r e c h t s e i n s c h r ä n k u n g e n

u n d B e r i c h t s p f l i c h t e n

§ 57 Ermächtigung zum Erlass von Rechtsverordnungen

§ 58 Einschränkung von Grundrechten

§ 59 Berichtspflichten des Bundesamtes

T e i l 7 S a n k t i o n s v o r s c h r i f t e n u n d A u f s i c h t

§ 60 Bußgeldvorschriften

§ 61 Zuwiderhandlungen durch Institutionen der sozialen Sicherung

§ 62 Zuständigkeit des Bundesamtes

§ 63 Zentrale Zuständigkeit in der Europäischen Union für bestimmte Einrichtungsarten

§ 64 Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen

§ 65 Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen

§ 66 Verwaltungszwang

Anlage 1 Sektoren besonders wichtiger und wichtiger Einrichtungen

Anlage 2 Sektoren wichtiger Einrichtungen

- 10 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

T e i l 2

D a s B u n d e s a m t

Kapitel 1

Aufgaben und Befugnisse

§ 3 Aufgaben des Bundesamtes

§ 4 Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes

§ 5 Allgemeine Meldestelle für die Sicherheit in der Informationstechnik

§ 6 Informationsaustausch

§ 7 Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte

§ 8 Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes

§ 9 Verarbeitung von Protokollierungsdaten der Kommunikationstechnik des Bundes

§ 10 Anordnungen von Maßnahmen zur Abwendung oder Behebung von Sicherheitsvorfällen

§ 11 Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fäl- len

des Absatzes 2 Nummer 1 Buchstabe d und Nummer 5 mit einer Geldbuße bis zu einhunderttausend Euro geahndet werden.

(8) § 12 Bestandsdatenauskunft

§ 13 Warnungen

§ 14 Untersuchung der Sicherheit in der Informationstechnik, Auskunftsverlangen

§ 15 Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden

§ 16 Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Telekommunikationsdiensten

§ 17 Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Telemediendiensten

§ 18 Anordnungen von Maßnahmen des Bundesamtes gegenüber Herstellern von IKT-Produkten

§ 19 Bereitstellung von IT-Sicherheitsprodukten

Kapitel 2

Datenverarbeitung

§ 20 Verarbeitung personenbezogener Daten

§ 21 Beschränkungen der Rechte der betroffenen Person

§ 22 Informationspflicht bei Erhebung von personenbezogenen Daten

§ 23 Auskunftsrecht der betroffenen Person

§ 24 Recht auf Berichtigung

§ 25 Recht auf Löschung

§ 26 Recht auf Einschränkung der Verarbeitung

§ 27 Widerspruchsrecht

- 8 - Bearbeitungsstand: 07.05.2024 10:19

T e i l 3

S i c h e r h e i t i n d e r I n f o r m a t i o n s t e c h n i k v o n E i n r i c h t u n g e n

Kapitel 1

Anwendungsbereich

§ 28 Besonders wichtige Einrichtungen und wichtige Einrichtungen

§ 29 Einrichtungen der Bundesverwaltung

Kapitel 2

Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten

§ 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen

§ 31 Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen

§ 32 Meldepflichten

§ 33 Registrierungspflicht

§ 34 Besondere Registrierungspflicht für bestimmte Einrichtungsarten

§ 35 Unterrichtungspflichten

§ 36 Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen

§ 37 Ausnahmebescheid

§ 38 Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen

§ 39 Nachweispflichten für Betreiber kritischer Anlagen

§ 40 Nationale Verbindungsstelle sowie zentrale Melde- und Anlaufstelle für besonders wichtige und wichtige Einrichtun- gen

§ 41 Untersagung des Einsatzes kritischer Komponenten

§ 42 Auskunftsverlangen

Kapitel 3

Informationssicherheit der Einrichtungen der Bundesverwaltung

§ 43 Informationssicherheitsmanagement

§ 44 Vorgaben des Bundesamtes

§ 45 Informationssicherheitsbeauftragte der Einrichtungen der Bundesverwaltung

§ 46 Informationssicherheitsbeauftragte der Ressorts

§ 47 Wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes

§ 48 Amt des Koordinators für Informationssicherheit

§ 49 Aufgaben des Koordinators

§ 50 Befugnisse des Koordinators

- 9 - Bearbeitungsstand: 07.05.2024 10:19

T e i l 4

D a t e n b a n k e n d e r D o m a i n - N a m e - R e g i s t r i e r u n g s d a t e n

§ 51 Pflicht zum Führen einer Datenbank

§ 52 Verpflichtung zur Zugangsgewährung

§ 53 Kooperationspflicht

T e i l 5

Z e r t i f i z i e r u n g u n d K e n n z e i c h e n

§ 54 Zertifizierung

§ 55 Konformitätsbewertung und Konformitätserklärung

§ 56 Nationale Behörde für die Cybersicherheitszertifizierung

§ 57 Freiwilliges IT-Sicherheitskennzeichen

T e i l 6

V e r o r d n u n g s e r m ä c h t i g u n g e n , G r u n d r e c h t s e i n s c h r ä n k u n g e n

u n d B e r i c h t s p f l i c h t e n

§ 58 Ermächtigung zum Erlass von Rechtsverordnungen

§ 59 Einschränkung von Grundrechten

§ 60 Berichtspflichten des Bundesamtes

T e i l 7

S a n k t i o n s v o r s c h r i f t e n u n d A u f s i c h t

§ 61 Bußgeldvorschriften

§ 62 Zuwiderhandlungen durch Institutionen der sozialen Sicherung

§ 63 Zuständigkeit des Bundesamtes

§ 64 Zentrale Zuständigkeit in der Europäischen Union für bestimmte Einrichtungsarten

§ 65 Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen

§ 66 Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen

§ 67 Verwaltungszwang

Anlage 1 Sektoren besonders wichtiger und wichtiger Einrichtungen

Anlage 2 Sektoren wichtiger Einrichtungen

- 10 - Bearbeitungsstand: 07.05.2024 10:19

T e i l 1

A l l g e m e i n e V o r s c h r i f t e n

§ 1

Bundesamt für Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) ist eine Bun- desoberbehörde im Geschäftsbereich des Bundesministeriums des Innern und für Hei- mat. Bundes- oberbehörde im Geschäftsbereich des Bundesministeriums des Innern und für Heimat. Es ist die zentrale Stelle für Informationssicherheit auf nationaler Ebene. Aufgaben gegenüber den Bundesministerien führt das Bundesamt auf Grundlage wissenschaftlich- technischer wissenschaftlich-technischer Erkenntnisse durch.

§ 2

Begriffsbestimmungen

(1) Im Sinne dieses Gesetzes ist oder sind

1. „Beinahevorfall“ ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Ver- traulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über informationstechnische Systeme, Komponenten und Prozesse angeboten wer- den oder zugänglich Integrität oder Vertraulichkeit ge- speicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über informa- tionstechnische Systeme, Komponenten und Prozesse angeboten werden oder zu- gänglich sind, beeinträchtigt haben könnte, dessen Eintritt jedoch erfolg- reich erfolgreich verhindert worden ist oder aus anderen Gründen nicht erfolgt ist;

2. „Bodeninfrastruktur“ betreffend den Sektor Weltraum Einrichtungen, die der Kontrolle, Kommunikation, Beobachtung oder Steuerung des Startes, Fluges oder eventuellen Landung von Weltraumgegenständen dienen;

3. „Cloud-Computing-Dienst“ ein digitaler Dienst, der auf Abruf die Verwaltung eines skalierbaren ska- lierbaren und elastischen Pools gemeinsam nutzbarer Rechenressourcen sowie den umfassenden Fernzugang zu diesem Pool ermöglicht, auch wenn diese Ressour- cen Ressourcen auf mehrere Standorte verteilt sind;

3. 4. „Content Delivery Network“ ein Netz dezentraler Server zur oder „CDN“ eine Gruppe geographisch verteilter, zusam- mengeschalteter Server, die mit dem Internet verbunden sind, mitsamt der hierfür er- forderlichen Infrastruktur, die der Bereitstellung – also Caching – digitaler Inhalte und Dienste für Internetnutzer mit möglichst niedriger Latenz im Auftrag von Inhalte- und Dienstean- bietern;

4. Diensteanbietern dienen, mit dem Ziel, die Gewährleistung einer hohen Verfügbarkeit, Zugänglichkeit oder Zustellung Zustel- lung mit möglichst niedriger Latenz;

5. „Cyberbedrohung“ eine Cyberbedrohung nach Artikel 2 Nummer 8 der Verordnung (EU) 2019/881;

5. 6. „Datenverkehr“ mittels technischer Protokolle übertragene Daten; Telekommunikati- onsinhalte nach § 3 Absatz 1 des Telekommunikation-Telemedien-Datenschutz-Ge- setzes und Nutzungsdaten nach § 2 Absatz 2 Nummer 3 des Telekommunikation-Te- lemedien-Datenschutz-Gesetzes können enthalten sein;

6. 7. „DNS-Diensteanbieter“ eine natürliche oder juristische Person, die

a) für Internet-Endnutzer öffentlich verfügbare rekursive Dienste zur Auflösung von Domain-Namen anbietet oder

- 11 - Bearbeitungsstand: 07.05.2024 10:19

b) autoritative Dienste zur Auflösung von Domain-Namen zur Nutzung durch Dritte, mit Ausnahme von Root- Namenservern, anbietet;

- 11 - Bearbeitungsstand: 22.12.2023 09:58

7. 8. „Domain-Name-Registry-Dienstleister“ ein Registrar oder eine Stelle, die im Namen von Registraren tätig ist, insbesondere Anbieter oder Wiederverkäufer von Daten- schutz- oder Proxy-Registrierungsdiensten;

8. 9. „erhebliche Cyberbedrohung“ eine Cyberbedrohung, die das Potenzial besitzt, die informationstechnischen Systeme, Komponenten und Prozesse aufgrund der beson- deren in- formationstechnischen Systeme, Komponenten und Prozesse aufgrund der besonde- ren technischen Merkmale der Cyberbedrohung erheblich zu beeinträchtigen; eine Beeinträchtigung Be- einträchtigung der betroffenen kritischen Anlage stehen.

§ 32

Meldepflichten

(1) Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, folgende Informationen an eine vom Bundesamt und ist erheblich, wenn sie erheblichen materiellen oder immateriellen Schaden verursachen kann;

9. Scha- den verursachen kann;

10. „erheblicher Sicherheitsvorfall“ ein Sicherheitsvorfall, der

a) schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann; oder

b) andere natürliche oder juristische Personen durch erhebliche materielle oder im- materielle Schäden beeinträchtigt hat oder beeinträchtigen kann,

soweit nach Absatz 2 keine weitergehende Begriffsbestimmung erfolgt;

10. 11. „Forschungseinrichtung“ eine Einrichtung, deren primäres Ziel es ist, angewandte Forschung For- schung oder experimentelle Entwicklung im Hinblick auf die Nutzung der Ergebnisse dieser Forschung für kommerzielle Zwecke durchzuführen, die jedoch Bildungs- einrichtungen Bildungseinrich- tungen nicht einschließt;

11. 12. „Geschäftsleitung“ eine natürliche Personen, die nach Gesetz, Satzung oder Gesell- schaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichti- gen Einrichtung oder wichtigen Einrichtung berufen ist; Leiterinnen und Leiter von Einrichtungen Ein- richtungen der Bundesverwaltung nach § 29 gelten nicht als Geschäftsleitung;

12. 13. „IKT-Dienst“ ein IKT-Dienst nach Artikel 2 Nummer 13 der Verordnung (EU) 2019/881;

13. 14. „IKT-Produkt“ ein IKT-Produkt nach Artikel 2 Nummer 12 der Verordnung (EU) 2019/881;

14. 15. „IKT-Prozess“ ein IKT-Prozess nach Artikel 2 Nummer 14 der Verordnung (EU) 2019/881;

15. 16. „Informationssicherheit“ der angemessene Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen;

16. 17. „Informationstechnik“ ein technisches Mittel zur Verarbeitung von Informationen;

17. 18. „Institutionen der Sozialen Sicherung“ Körperschaften gemäß § 29 des Vierten Buches Sozialgesetzbuch, Arbeitsgemein- Arbeitsgemeinschaften gemäß § 94 des Zehnten Buches Sozialgesetzbuch sowie der Deutschen Post

- 65 - Bearbeitungsstand: 22.12.2023 09:58

Sozialge- setzbuch, die Versorgungsanstalt der deutschen Bühnen, die Versorgungsanstalt der deutschen Kulturorchester und die Versorgungsanstalt der bevollmächtigten Bezirks- schornsteinfeger sowie die Deutsche Post AG, soweit sie mit der Berechnung oder Auszahlung von Sozialleistungen betraut ist (In- stitutionen der Sozialen Sicherung), ist;

19. „Internet Exchange Point“ oder „IXP“ eine Netzeinrichtung, die die Zusammenschal- tung von mehr als zwei unabhängigen Netzen (autonomen Infrastruktur, die

a) die Zusammenschaltung von mehr als zwei unabhängigen autonomen Systemen ermöglicht, die in erster Linie zur zum Austausch von Internet-Datenverkehr genutzt wird,

- 12 - Bearbeitungsstand: 07.05.2024 10:19

b) nur der Zusammenschaltung autonomer Systeme dient und weder dient, und

c) nicht voraussetzt, dass

der In- ternet-Datenverkehr aa) der Internet-Datenverkehr zwischen zwei beliebigen teilnehmenden autono- men Systemen über ein drittes autonomes System läuft; noch den betreffenden Datenverkehr verän- läuft, oder

bb) den betreffenden Datenverkehr verändert oder diesen anderweitig beeinträch- tigt;

20. „Kommunikationstechnik des Bundes“ Informationstechnik, die von einer oder mehre- ren Einrichtungen der Bundesverwaltung oder im Auftrag einer oder mehrerer Einrich- tungen der Bundesverwaltung betrieben wird und der Kommunikation oder dem Daten- austausch innerhalb einer Einrichtung der Bundesverwaltung, der Einrichtungen der Bundesverwaltung untereinander oder der Einrichtungen der Bundesverwaltung mit Dritten dient; davon ausgenommen ist die Kommunikationstechnik des Bundes- verfassungsgerichts, Bundesverfas- sungsschutzgesetzes sungsgerichts, der Bundesgerichte, soweit sie nicht öffentlich-rechtliche Ver- waltungsaufgaben Verwaltungs- aufgaben wahrnehmen, des Bundestages, des Bundesrates, des Bundes- präsidenten Bundespräsidenten und des Bundesrechnungshofes, soweit sie ausschließlich in deren eige- ner Zuständigkeit betrieben wird;

19. „kritische Anlage“ eine Anlage, die eine kritische Dienstleistung erbringt; welche Anla- gen im Einzelnen kritische Anlagen sind, bestimmt sich nach § 28 Absatz 6;

20. eigener Zuständig- keit betrieben wird;

21. „kritische Anlage“ eine Anlage, die für die Erbringung einer kritischen Dienstleistung erheblich nach § 28 Absatz 7 ist;

22. „kritische Komponenten“ IKT-Produkte,

a) die in kritischen Anlagen eingesetzt werden,

b) bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulich- keit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfä- higkeit kritischer Anlagen oder zu Gefährdungen für die öffentliche Sicherheit führen können und

c) die auf Grund eines Gesetzes unter Verweis auf diese Vorschrift

a%6%) als kritische Komponente bestimmt werden oder

b%6%) eine auf Grund eines Gesetzes als kritisch bestimmte Funktion rea- lisieren,

werden für einen der in § 57 Absatz 4 genannten Sektoren keine kritischen Kompo- nenten Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähig- keit erforderlichen informationstechnischen Systeme, Komponenten und Prozesse in der Anlage und somit kritischer Anlagen oder zu Gefährdungen für die öffentliche Sicherheit führen können und

c) die auf Grund eines Gesetzes unter Verweis auf diese Vorschrift

aa) als kritische Komponente bestimmt werden oder

bb) eine auf Grund eines Gesetzes als kritisch bestimmte Funktion realisieren,

werden für einen der in § 28 Absatz 7 genannten Sektoren keine kritischen Komponen- ten und keine kritischen Funktionen, aus denen kritische Komponenten abgeleitet werden können, auf Grund eines Gesetzes unter Verweis auf diese Vorschrift be- stimmt, wer- den können, auf Grund eines Gesetzes unter Verweis auf diese Vorschrift bestimmt, gibt es in diesem Sektor keine kritischen Komponenten im Sinne von dieser Nummer;

21. 23. „kritische Dienstleistung“ eine Dienstleistung, die eine hohe Bedeutung für das Funkti- onieren des Gemeinwesens hat, da durch ihren Ausfall oder ihre Beeinträchti-gung langfristige Versorgungsengpässe oder Gefährdungen für wirtschaftliche Tätig-keiten, die öffentliche Sicherheit oder Ordnung, die öffentliche Gesundheit, wichtige gesell- schaftliche Funktionen oder die Erhaltung der Umwelt eintreten;

22. Dienstleistung zur Versorgung der Allgemeinheit in den Sektoren nach § 28 Absatz 7, deren Ausfall oder Beeinträchtigung zu erheblichen Ver- sorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde;

24. „Managed Security Service Provider“ oder „MSSP“ ein MSP, der Unterstützung für Tätigkeiten im Zusammenhang mit dem Risikomanagement im Bereich der Cybersi- cherheit Tä- tigkeiten im Zusammenhang mit dem Risikomanagement im Bereich der Cybersicher- heit durchführt oder erbringt;

23. 25. „Managed Service Provider“ oder „MSP“ ein Anbieter von Diensten im Zusammen- Zusammenhang mit der Installation, der Verwaltung, dem Betrieb oder der Wartung von IKT-Pro- dukten, IKT-Produkten, -Netzen, -Infrastruktur, -Anwendungen oder jeglicher anderer Netz- und Infor- mationssysteme Informations- systeme von Anlagen nach § 7 Absatz 1 des Atomgesetzes in der Fassung der Be- kanntmachung durch Unterstützung oder aktive Verwaltung in den Räumlichkeiten der Kunden Kun- den oder aus der Ferne;

24. - 13 - Bearbeitungsstand: 07.05.2024 10:19

26. „NIS-2-Richtlinie“ die Richtlinie 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cyber- sicherheitsniveau Ra- tes vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersi- cherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27.12.2022, S. 80) in der jeweils geltenden Fassung;

25. 27. „Online-Marktplatz“ ein Dienst nach § 312l Absatz 3 BGB;

26. 28. „Online-Suchmaschine“ ein digitaler Dienst nach Artikel 2 Nummer 5 der Verordnung (EU) 2019/1150;

- 13 - Bearbeitungsstand: 22.12.2023 09:58

27. 29. „Plattform für Dienste sozialer Netzwerke“ eine Plattform, auf der Endnutzer mit unter- schiedlichen Geräten insbesondere durch Chats, Posts, Videos und Empfehlungen miteinander mit- einander in Kontakt treten und kommunizieren sowie Inhalte teilen und entdecken können;

28. kön- nen;

30. „Protokolldaten“ Steuerdaten eines informationstechnischen Protokolls zur Daten- übertragung, Datenüber- tragung, die

a) zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwen- dig sind und

b) unabhängig vom Inhalt des Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden;

Protokolldaten können Verkehrsdaten nach § 3 Nummer 70 des Telekommunikati- onsgesetzes und Nutzungsdaten nach § 2 Absatz 2 Nummer 3 des Telekommunikati- on-Telemedien-Datenschutz-Gesetzes Telekommunikations- gesetzes und Nutzungsdaten nach § 2 Absatz 2 Nummer 3 des Telekommunikation- Telemedien-Datenschutz-Gesetzes enthalten;

29. 31. „Protokollierungsdaten“ Aufzeichnungen über technische Ereignisse oder Zustände innerhalb informationstechnischer Systeme;

30. in- nerhalb einer angemessenen Frist anordnen.

(8) Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen anordnen,

1. die natürlichen oder juristischen Personen, für die sie Dienste erbringen oder Tätig- keiten ausüben und die potenziell von einer erheblichen Cyberbedrohung betroffen sind, über die Art der Bedrohung und mögliche Abwehr- oder Abhilfemaßnahmen zu unterrichten, die diese Personen als Reaktion auf die Bedrohung ergreifen können, und

2. Informationen zu Verstößen gegen Verpflichtungen nach diesem Gesetz nach durch das Bundesamt bestimmten Vorgaben öffentlich bekannt zu machen.

(9) Das Bundesamt kann für besonders wichtige Einrichtungen einen Überwa- chungsbeauftragten benennen, der die Einhaltung der Verpflichtungen nach den §§ 28, 29 und 37 überwacht. Die Benennung erfolgt für einen bestimmten Zeitraum. In der Be- informationstechnischer Systeme;

32. „qualifizierter Vertrauensdienst“ ein qualifizierter Vertrauensdienst nach Artikel 3 Nummer 17 der Verordnung (EU) Nr. 910/2014;

31. Num- mer 17 der Verordnung (EU) Nr. 910/2014;

33. „qualifizierter Vertrauensdiensteanbieter“ ein qualifizierter Vertrauensdiensteanbieter nach Artikel 3 Nummer 20 der Verordnung (EU) Nr. 910/2014;

34. „Rechenzentrumsdienst“ ein Dienst, mit dem bereitgestellt ein Dienst, der Strukturen oder Gruppen von Strukturen umfasst, die dem vorrangigen Zweck der zentralen Unterbringung, die Verbindung und den Betrieb von IT- und Netzausrüstungen zur Erbringung von Datenspeicher-, Datenverarbeitungs- und Datentransportdiensten sowie

b) alle Anlagen und Infrastrukturen für die Leistungsverteilung und die Umgebungs- kontrolle (Housing oder Hosting);

der Zu- sammenschaltung und dem Betrieb von IT- oder Netzwerkausrüstungen dienen, die Datenspeicherungs-, Datenverarbeitungs- o-der Datentransportdienste erbringen, mit- samt aller benötigten Anlagen und Infrastrukturen, insbesondere für die Stromvertei- lung und die Umgebungskontrolle;

35. „Schadprogramme“ Programme und sonstige informationstechnische Routinen und Verfahren, die dazu dienen, unbefugt Daten zu nutzen oder zu löschen oder unbefugt auf sonstige informationstechnische Abläufe einzuwirken;

36. „Sicherheit in der Informationstechnik“ die Einhaltung bestimmter Sicherheitsstan- dards, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen betref- fen, durch Sicherheitsvorkehrungen

- 14 - Bearbeitungsstand: 22.12.2023 09:58

„Schnittstellen der Kommunikationstechnik des Bundes“ sicherheitsrelevante Netz- werkübergänge innerhalb der Kommunikationstechnik des Bundes sowie zwischen dieser und der Informationstechnik der einzelnen Einrichtungen der Bundesverwal- tung, Gruppen Netzwer- kübergänge innerhalb der Kommunikationstechnik des Bundes sowie zwischen dieser und der Informationstechnik der einzelnen Einrichtungen der Bundesverwaltung, Grup- pen von Einrichtungen der Bundesverwaltung oder Dritter; nicht als Schnittstellen der Kommunikationstechnik des Bundes gelten die Komponenten an den Netzwerkübergängen, die in eigener Zuständigkeit der in Nummer 18 genannten Gerichte und Verfassungsorgane betrieben werden;

Netzwerküber- gängen, die in eigener Zuständigkeit der in Nummer 20 genannten Gerichte und Ver- fassungsorgane betrieben werden;

- 14 - Bearbeitungsstand: 07.05.2024 10:19

37. „Sicherheitsvorfall“ ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über informationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zugänglich sind, beeinträchtigt;

„Schwachstelle“ eine Eigenschaft von IKT-Produkten oder IKT-Diensten, die von Drit- ten ausgenutzt werden kann, um sich gegen den Willen des Berechtigten Zugang zu den IKT-Produkten oder IKT-Diensten zu verschaffen oder die Funktion der IKT-Pro- dukte oder IKT-Dienste zu beeinflussen;

38. „Sicherheit in der Informationstechnik“ die Einhaltung bestimmter Sicherheitsstan- dards, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen

a) in informationstechnischen Systemen, Komponenten oder Prozessen oder

b) bei der Anwendung informationstechnischer Systeme, Komponenten oder Pro- zesse;

39. „Sicherheitsvorfall“ ein Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über infor- mationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zu- gänglich sind, beeinträchtigt;

40. „Systeme zur Angriffserkennung“ durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstech- nische Systeme; wobei die Angriffserkennung durch Abgleich der in einem informati- onstechnischen System verarbeiteten Daten mit Informationen und technischen Mus- tern, die auf Angriffe hindeuten, erfolgt;

41. „Top Level Domain Name Registry“ ein Unternehmen, das die Registrierung von In- ternet-Domain-Namen Inter- net-Domain-Namen innerhalb einer spezifischen Top Level Domain (TLD) verwal- tet verwaltet und betreibt, einschließlich des Betriebs ihrer Namenserver, der Pflege ihrer Da- tenbanken Daten- banken und der Verteilung von TLD-Zonendateien über die Namenserver, unab- hängig unabhängig davon, ob der Betrieb durch das Unternehmen selbst erfolgt oder ausgelagert wird; keine Top Level Domain Name Registry sind Register, die TLD-Namen nur für eigene Zwecke verwenden;

42. „Vertrauensdienst“ ein Vertrauensdienst nach Artikel 3 Nummer 16 der Verordnung (EU) Nr. 910/2014;

43. „Vertrauensdiensteanbieter“ ein Vertrauensdiensteanbieter nach Artikel 3 Nummer 19 der Verordnung (EU) Nr. 910/2014;

44. „Weltraumgestützte Dienste“ betreffend den Sektor Weltraum Dienste, die auf Daten und Informationen beruhen, die entweder von Weltraumgegenständen erzeugt oder über diese weitergegeben werden und deren Störung zu breiteren Kaskadeneffekten, die weitreichende und lang anhaltende negative Auswirkungen auf die Erbringung von Diensten im gesamten Binnenmarkt haben können, führen kann;

45. „Zertifizierung“ die Feststellung einer Zertifizierungsstelle, dass ein Produkt, ein Pro- zess, ein System, ein Schutzprofil (Sicherheitszertifizierung), eine Person (Personen- zertifizierung) oder ein IT-Sicherheitsdienstleister bestimmte Anforderungen erfüllt.

(2) Das Bundesministerium des Innern und für Heimat kann durch Rechtsver- ordnung, die nicht der Zustimmung des Bundesrates bedarf, bestimmen, wann ein Sicher- heitsvorfall (Perso- nenzertifizierung) oder ein IT-Sicherheitsdienstleister bestimmte Anforderungen erfüllt.

(2) Das Bundesministerium des Innern und für Heimat kann im Benehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz, dem Bundesministerium der Justiz, dem Bundesministerium der Finanzen, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Ge- sundheit, dem Bundesministerium für Digitales und Verkehr, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz durch Rechtsverordnung, die nicht der Zustimmung des Bundesra- tes bedarf, bestimmen, wann ein Sicherheitsvorfall im Hinblick auf seine technischen oder organisatorischen Ursachen oder seine Auswirkungen auf die Einrichtung, Staat, Wirtschaft

und Gesellschaft oder die Anzahl der von den Auswirkungen Betroffenen als erheblich im Sinne von Absatz 1 Nummer 9 - 15 - Bearbeitungsstand: 07.05.2024 10:19

und Gesellschaft oder die Anzahl der von den Auswirkungen Betroffenen als erheblich im Sinne von Absatz 1 Nummer 10 anzusehen ist. Das Bundesministerium kann die Ermäch- tigung durch Rechtsverordnung auf das Bundesamt übertragen. Für den Fall, dass die Europäische Kommission einen oder mehrere Durchführungsrechtsakte gemäß Artikel 23 Absatz 11 Unterabsatz 2 der NIS-2- Richtlinie erlässt, worin näher bestimmt wird, in welchen Fällen ein Sicherheitsvorfall als erheblich anzusehen ist, geht dieser oder gehen diese der Rechtsverordnung nach Satz 1 und 2 insoweit vor.

- 15 - Bearbeitungsstand: 22.12.2023 09:58

Eu- ropäische Kommission einen oder mehrere Durchführungsrechtsakte gemäß Artikel 23 Ab- satz 11 Unterabsatz 2 der NIS-2-Richtlinie erlässt, worin näher bestimmt wird, in welchen Fällen ein Sicherheitsvorfall als erheblich anzusehen ist, geht dieser oder gehen diese der Rechtsverordnung nach Satz 1 und 2 insoweit vor.

T e i l 2

D a s B u n d e s a m t

Kapitel 1

Aufgaben und Befugnisse

§ 3

Aufgaben des Bundesamtes

(1) Das Bundesamt fördert die Sicherheit in der Informationstechnik. Hierzu nimmt es folgende wichtige im öffentlichen Interesse liegende Aufgaben wahr:

1. Gefahren für die Sicherheit in der Informationstechnik des Bundes abwehren;

2. Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen sammeln und auswerten aus- werten und die gewonnenen Erkenntnisse anderen Stellen zu Verfügung stellen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist, und Dritten zur Verfügung stellen, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist;

3. Aufgaben in der Kooperationsgruppe und im CSIRTs-Netzwerk nach Artikel 14 und 15 der NIS-2-Richtlinie wahrnehmen;

4. Sicherheitsrisiken bei der Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen untersuchen, insbesondere von informationstechnischen Verfahren und Geräten für die Sicherheit in der Informationstechnik (IT-Sicherheits- produkte), soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist, ein- schließlich (IT-Sicherheitspro- dukte), soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist, einschließ- lich der Forschung im Rahmen seiner gesetzlichen Aufgaben;

5. Kriterien, Verfahren und Werkzeuge für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und für die Prüfung und Bewertung Bewer- tungskriterien tung der Konformität im Bereich der IT-Sicherheit entwickeln;

6. Peer Reviews nach Artikel 19 der NIS-2-Richtlinie durchführen;

7. Sicherheitsanforderungen für die Kommunikationsinfrastruktur der ressortübergreifen- den Kommunikationsnetze sowie weiterer staatlicher Kommunikationsinfrastrukturen des Bundes im Benehmen mit den jeweiligen Betreibern sowie Überprüfung der Ein- haltung dieser Sicherheitsanforderungen festlegen;

8. Sicherheit von informationstechnischen Systemen oder Komponenten prüfen und bewerten festlegen sowie Einhaltung dieser Sicherheitsanforderungen überprüfen;

8. Sicherheit von informationstechnischen Systemen oder Komponenten prüfen und be- werten sowie Sicherheitszertifikate erteilen;

- 16 - Bearbeitungsstand: 07.05.2024 10:19

9. Aufgaben und Befugnisse nach Artikel 58 Absatz 7 und 8 der Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizie- rung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Auf- hebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit, ABl. L 151 vom 7.6.2019, S. 15) als nationale Behörde für die Cybersicherheitszertifizierung wahrnehmen;

- 16 - Bearbeitungsstand: 22.12.2023 09:58

wahr- genommen.

nehmen;

10. Konformität im Bereich der IT-Sicherheit von informationstechnischen Systemen und Komponenten mit technischen Richtlinien des Bundesamtes prüfen und bestätigen;

11. informationstechnische Systeme oder Komponenten, die für die Verarbeitung amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes im Bereich des Bundes oder bei Unternehmen im Rahmen von Aufträgen des Bundes eingesetzt werden sollen prüfen, bewerten und zulassen;

12. Schlüsseldaten und Betrieb von Krypto- und Sicherheitsmanagementsystemen für informationssichernde Systeme des Bundes herstellen, die im Bereich des staatlichen Geheimschutzes oder auf Anforderung der betroffenen Behörde auch in anderen Be- reichen eingesetzt werden;

13. bei organisatorischen und technischen Sicherheitsmaßnahmen, einschließlich der Bereitstellung praxisnaher Handreichungen zur Umsetzung der IT-Sicherheitsvor- schriften, insbesondere der Vorgaben nach § 30 und § 44 unterstützen und beraten in- formationssichernde Systeme des Bundes herstellen, die im Bereich des staatlichen Geheimschutzes oder auf Anforderung der betroffenen Behörde auch in anderen Be- reichen eingesetzt werden;

13. bei organisatorischen und technischen Sicherheitsmaßnahmen unterstützen und bera- ten sowie technische Prüfungen zum Schutz amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes gegen die Kenntnisnahme durch Un- befugte durchführen;

14. sicherheitstechnische Anforderungen an die einzusetzende Informationstechnik des Bundes und an die Eignung von Auftragnehmern im Bereich von Informationstechnik des Bundes mit besonderem Schutzbedarf entwickeln;

15. IT-Sicherheitsprodukte und IT-Sicherheitsdienstleistungen für Einrichtungen der Bun- desverwaltung bereitstellen;

16. die für die Sicherheit in der Informationstechnik zuständigen Stellen des Bundes, ins- besondere soweit sie Beratungs- oder Kontrollaufgaben wahrnehmen unterstützen; dies gilt vorrangig für die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz Da- tenschutz und die Informationsfreiheit, dessen Unterstützung im Rahmen der Un- abhängigkeit Unab- hängigkeit erfolgt, die ihm bei der Erfüllung seiner Aufgaben nach der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr Da- tenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grund- verordnung) (Datenschutz-Grundverord- nung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) und dem Bundesdatenschutzgesetz zusteht;

17. Einrichtungen der Bundesverwaltung in Fragen der Informationssicherheit, ein- schließlich der Behandlung von Sicherheitsvorfällen sowie der Bereitstellung von Handreichungen einschließ- lich der Behandlung von Sicherheitsvorfällen, beraten und unterstützen sowie konkrete, praxisnahe Hilfsmittel zur Umsetzung von Informationssicherheitsvorgaben, beraten und unterstützen;

insbeson- dere der Vorgaben nach § 30 und § 44, bereitstellen;

18. Unterstützung

a) der Polizeien und Strafverfolgungsbehörden des Bundes bei der Wahrnehmung ihrer gesetzlichen Aufgaben,

b) des Bundesamtes für Verfassungsschutz und des Militärischen Abschirmdienstes bei der Auswertung und Bewertung von Informationen, die bei der Beobachtung terroristischer Bestrebungen oder nachrichtendienstlicher Tätigkeiten im Rahmen der gesetzlichen Befugnisse nach den Verfassungsschutzgesetzen von Bestrebungen, die gegen die freiheitliche demokratische Grundordnung, den Bestand des Staates oder die Sicherheit des Bundes oder eines Landes gerichtet

- 17 - Bearbeitungsstand: 07.05.2024 10:19

sind oder bei der Beobachtung sicherheitsgefährdender oder geheimdienstlicher Tätigkeiten im Rahmen der gesetzlichen Befugnisse nach den Verfassungsschutz- gesetzen des Bundes beziehungsweise dem MAD-Gesetz anfallen,

c) des Bundesnachrichtendienstes bei der Wahrnehmung seiner gesetzlichen Auf- gaben;

- 17 - Bearbeitungsstand: 22.12.2023 09:58

Aufga- ben;

die Unterstützung darf nur gewährt werden, soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen; die Unterstüt- zungsersuchen Unterstützungs- ersuchen sind durch das Bundesamt aktenkundig zu machen;

19. die zuständigen Stellen der Länder in Fragen der Abwehr von Gefahren für die Si- cherheit Sicher- heit in der Informationstechnik auf deren Ersuchen unterstützen;

20. Einrichtungen der Bundesverwaltung sowie Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik, insbesondere unter Berücksichti- gung Fra- gen der Sicherheit in der Informationstechnik, insbesondere unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen, beraten, informieren und warnen;

21. Verbraucherschutz und Verbraucherinformation im Bereich der Sicherheit in der Infor- mationstechnik, insbesondere Beratung und Warnung von Verbrauchern in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen feh- lender oder unzureichender Sicherheitsvorkehrungen;

22. geeignete Kommunikationsstrukturen zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung aufbauen sowie Zusammenarbeit zum Schutz der Sicherheit in der Informationstechnik kritischer Anlagen im Verbund mit der Privatwirtschaft koordinie- ren;

23. Aufgaben als zentrale Stelle im Bereich der Sicherheit in der Informationstechnik im Hinblick auf die Zusammenarbeit mit den zuständigen Stellen im Ausland, unbescha- det unbeschadet besonderer Zuständigkeiten anderer Stellen;

24. Aufgaben nach § 40 als zentrale Stelle für die Sicherheit in der Informationstechnik besonders wichtiger Einrichtungen und wichtiger Einrichtungen einschließlich des Ersuchens Er- suchens und Erbringens von Amtshilfe nach Artikel 37 der NIS-2-Richtinie;

25. bei der Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechni- scher Systeme in herausgehobenen Fällen nach § 11 unterstützen;

26. Empfehlungen für Identifizierungs- und Authentisierungsverfahren und Bewertung dieser die- ser Verfahren im Hinblick auf die Informationssicherheit erarbeiten;

27. einen Stand der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte, unter Berücksichtigung bestehender Normen und Standards sowie Einbeziehung der betroffenen Wirtschaftsverbände, beschreiben und veröffentlichen;

28. mit nationalen Computer-Notfallteams von Drittländern oder gleichwertigen Stellen von Drittländern kooperieren sowie diese Teams oder Stellen unterstützen; Einsätze des Bundesamtes in Drittländern dürfen nicht gegen den Willen des Staates erfolgen, auf dessen Hoheitsgebiet die Maßnahme stattfinden soll; die Entscheidung über einen Einsatz des Bundesamtes in Drittländern trifft das Bundesministerium des In- nern und für Heimat im Einvernehmen mit dem Auswärtigen Amt.

(2) Das Bundesamt kann die Länder auf Ersuchen bei der Sicherung ihrer Informati- onstechnik unterstützen.

(3) Das Bundesamt kann besonders wichtige Einrichtungen auf deren Ersuchen bei der Sicherung ihrer Informationstechnik beraten und unterstützen oder auf qualifizierte Sicherheitsdienstleister verweisen.

- 18 - Bearbeitungsstand: 22.12.2023 09:58

§ 4

Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes

(1) Das Bundesamt ist die zentrale Meldestelle für die Zusammenarbeit der Einrich- tungen der Bundesverwaltung in Angelegenheiten der Sicherheit in der Informationstech- nik.

(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe

1. alle für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik erfor- derlichen Informationen, insbesondere zu Schwachstellen, Schadprogrammen, er- folgten Ein- satz des Bundesamtes in Drittländern trifft das Bundesministerium des Innern und für Heimat im Einvernehmen mit dem Auswärtigen Amt.

(2) Das Bundesamt kann die Länder auf Ersuchen bei der Sicherung ihrer Informati- onstechnik unterstützen.

- 18 - Bearbeitungsstand: 07.05.2024 10:19

(3) Das Bundesamt kann besonders wichtige Einrichtungen auf deren Ersuchen bei der Sicherung ihrer Informationstechnik beraten und unterstützen oder auf qualifizierte Si- cherheitsdienstleister verweisen.

§ 4

Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes

(1) Das Bundesamt ist die zentrale Meldestelle für die Zusammenarbeit der Einrich- tungen der Bundesverwaltung in Angelegenheiten der Sicherheit in der Informationstech- nik.

(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe

1. alle für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik erforder- lichen Informationen, insbesondere zu Schwachstellen, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweise, zu sammeln und auszuwerten,

2. die Einrichtungen der Bundesverwaltung unverzüglich über die sie betreffenden Infor- mationen nach Nummer 1 und die in Erfahrung gebrachten Zusammenhänge zu unter- richten,

3. den Einrichtungen der Bundesverwaltung Empfehlungen zum Umgang mit den Gefah- ren bereitzustellen.

(3) Ausgenommen von den Unterrichtungspflichten nach Absatz 2 Nummer 2 sind Informationen, In- formationen, die aufgrund von Regelungen zum Geheimschutz oder Vereinbarungen mit Dritten nicht weitergegeben werden dürfen oder deren Weitergabe im Widerspruch zu der verfassungsrechtlichen Stellung eines Abgeordneten des Bundestages oder eines Verfas- sungsorgans oder der gesetzlich geregelten Unabhängigkeit einzelner Stellen stünde.

§ 5

Allgemeine Meldestelle für die Sicherheit in der Informationstechnik

(1) Zur Wahrnehmung der Aufgaben nach § 3 nimmt das Bundesamt als zentrale Stelle für Meldungen von Dritten Informationen über Sicherheitsrisiken in der Informati- onstechnik Informations- technik entgegen und wertet diese Informationen aus. Das Bundesamt ist dabei der nationale Koordinator für die Zwecke einer koordinierten Offenlegung von Schwachstellen nach Artikel 12 Absatz 1 der NIS-2-Richtlinie.

(2) Das Bundesamt nimmt zur Wahrnehmung der Aufgaben nach Absatz 1 Informati- onen zu Schwachstellen, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweisen so- wie natio- nale Koordinator für die Zwecke einer koordinierten Offenlegung von Schwachstellen nach Artikel 12 Absatz 1 der NIS-2-Richtlinie.

(2) Das Bundesamt nimmt zur Wahrnehmung der Aufgaben nach Absatz 1 Informati- onen zu Schwachstellen, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweisen sowie zu Sicherheitsvorfällen, Cyberbedrohungen und Beinahevorfällen entgegen. Das Bun- desamt Bundes- amt richtet hierzu geeignete Meldemöglichkeiten ein. Die Meldungen können anonym erfolgen. erfol- gen, gen. Erfolgt die Meldung nicht anonym, kann der Meldende mit der Meldung oder später verlangen, dass seine personenbezogenen Daten nur anonymisiert weitergegeben werden dürfen. Dies gilt nicht in den Fällen des § 8 Absatz 6 und 7 Satz 1. Eine Übermitt- lung der personenbezogenen Daten in den Fällen von § 8 Absatz 6 und 7 Satz 1 hat zu unterbleiben, Übermittlung der personenbezogenen Daten in den Fällen von § 8 Absatz 6 und 7 Satz 1 hat zu unterblei- ben, wenn für das Bundesamt erkennbar ist, dass die schutzwürdigen Interessen des Meldenden Mel- denden das Allgemeininteresse an der Übermittlung überwiegen. Zu berücksichtigen ist da- gegen bei auch die Art und Weise, in der der Meldende die Erkenntnisse gewonnen hat. Die Entscheidung nach Satz 6 muss dem oder der behördlichen Datenschutzbeauf- tragten des Bundesamtes sowie einem oder einer weiteren Bediensteten des Bundesam- tes, der oder die die Befähigung zum Richteramt hat, zur vorherigen Prüfung vorgelegt werden.

(3) Das Bundesamt soll die gemäß Absatz 2 gemeldeten Informationen nutzen, um

- 19 - Bearbeitungsstand: 22.12.2023 09:58

Ent- scheidung nach Satz 6 muss dem oder der behördlichen Datenschutzbeauftragten des

- 19 - Bearbeitungsstand: 07.05.2024 10:19

Bundesamtes sowie einem oder einer weiteren Bediensteten des Bundesamtes, der oder die die Befähigung zum Richteramt hat, zur vorherigen Prüfung vorgelegt werden.

(3) Das Bundesamt soll die gemäß Absatz 2 gemeldeten Informationen nutzen, um

1. Dritte über bekannt gewordene Schwachstellen, Schadprogramme, erfolgte oder ver- suchte Angriffe auf die Sicherheit in der Informationstechnik zu informieren, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist,

2. die Öffentlichkeit oder betroffene Kreise gemäß § 13 zu warnen und zu informieren,

3. Einrichtungen der Bundesverwaltung gemäß § 4 Absatz 2 Nummer 2 über die sie betreffenden Informationen zu unterrichten,

4. besonders wichtige Einrichtungen und wichtige Einrichtungen gemäß § 40 Absatz 3 Nummer 4 Buchstabe a über die sie betreffenden Informationen zu unterrichten,

be- treffenden Informationen zu unterrichten,

4. besonders wichtige Einrichtungen und wichtige Einrichtungen gemäß § 40 Absatz 3 Nummer 4 Buchstabe a über die sie betreffenden Informationen zu un- terrichten,

3. den Einrichtungen der Bundesverwaltung Empfehlungen zum Umgang mit den Ge- 5. seine Aufgaben als zuständige Behörde, CSIRT und zentrale Anlaufstelle im Sinne der NIS-2-Richtlinie wahrzunehmen.

(4) Eine Weitergabe nach Absatz 3 Nummer 1, 2 oder 4 erfolgt nicht, soweit die ge- mäß Absatz 2 gemeldeten Informationen

1. Betriebs- und Geschäftsgeheimnisse von Dritten beinhalten und die Maßnahmen nach Absatz 3 nicht ohne Bekanntgabe dieser Betriebs- und Geschäftsgeheimnisse durchgeführt durch- geführt werden können oder

2. auf Grund von Vereinbarungen des Bundesamtes mit Dritten nicht übermittelt werden dürfen.

(5) Sonstige gesetzliche Meldepflichten, Regelungen zum Geheimschutz, gesetzli- che gesetzliche Übermittlungshindernisse und Übermittlungsregelungen bleiben unberührt.

§ 6

Informationsaustausch

(1) Das Bundesamt ermöglicht den Informationsaustausch zwischen besonders wichtigen Einrichtungen, wichtigen Einrichtungen, Einrichtungen der Bundesverwaltung sowie deren jeweiligen Lieferanten oder Dienstleistern zu betreibt eine Online-Plattform zum Informationsaustausch mit wichtigen Einrichtungen, besonders wichtigen Einrichtungen und Einrichtungen der Bun- desverwaltung. Es kann die beteiligten Hersteller, Lieferanten oder Dienstleister zum Aus- tausch nach § 6 des BSI-Gesetzes teilzunehmen.

(11) Die Bundesnetzagentur erstellt im Benehmen mit dem Bundesamt für Si- cherheit in der Informationstechnik bis zum 1. Juni jeden Jahres einen zusammenfas- senden Bericht über die im vergangenen Kalenderjahr an sie nach Absatz 6 über Cyberbedrohungen, Schwachstellen, Beinahevorfällen, IT-Sicherheitsmaß- nahmen sowie zur Aufdeckung und Abwehr von Cyberangriffen hinzuziehen. Das Bundes- amt kann weiteren Stellen die Teilnahme ermöglichen.

(2) Das Bundesamt gibt Teilnahmebedingungen für den Informationsaustausch und die Plattformnutzung zwischen den Teilnehmenden vor.

§ 7

Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte

(1) Das Bundesamt ist befugt, die Sicherheit der Kommunikationstechnik des Bundes und ihrer Komponenten, einschließlich technischer Infrastrukturen, die zum Betrieb der Kommunikationstechnik des Bundes erforderlich sind, zu kontrollieren. Es kann hierzu die

- 20 - Bearbeitungsstand: 07.05.2024 10:19

Bereitstellung der zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1 und 20 erforderlichen Informationen, insbesondere zu technischen Details, zu Strategien, Planun- gen und Regelungen mit Bezug zur Kommunikationstechnik des Bundes einschließlich Auf- bau- und Ablauforganisation verlangen sowie Unterlagen und Datenträger des Betreibers der jeweiligen Kommunikationstechnik des Bundes oder eines mit Be- triebsleistungen beauftragten Betriebsleistungen be- auftragten Dritten einsehen und die unentgeltliche Herausgabe von Kopien dieser Unterlagen Unterla- gen und Dokumente, auch in elektronischer Form, verlangen, soweit nicht Geheimschutzinteressen oder überwiegende Sicherheitsinteressen des Betreibers entgegenstehen.

(2) Dem Bundesamt ist in den Zeiten, zu denen die Räume normalerweise für die jeweilige Geheimschutz- interessen oder überwiegende Sicherheitsinteressen des Betreibers entgegenstehen.

(2) Dem Bundesamt ist in den Zeiten, zu denen die Räume normalerweise für die je- weilige geschäftliche oder betriebliche Nutzung zur Verfügung stehen, zu den Grundstü- cken und Betriebsräumen, einschließlich Datenverarbeitungsanlagen und -geräten, die für die Kommunikationstechnik des Bundes verwendet werden, Zugang zu gewähren, soweit dies zur Erfüllung der Zwecke nach Absatz 1 erforderlich ist.

(3) Bei Anlagen eines Dritten, bei dem eine Schnittstelle zur Kommunikationstechnik des Bundes besteht, kann das Bundesamt auf der Schnittstellenseite der Einrichtung nur mit Zustimmung des Dritten die Sicherheit der Schnittstelle kontrollieren. Es kann hierzu mit Zustimmung des Dritten die zur Aufgabenerfüllung erforderlichen Informationen, ins- besondere zu technischen Details, zu Strategien, Planungen und Regelungen sowie Un- terlagen insbeson- dere zu technischen Details, zu Strategien, Planungen und Regelungen sowie Unterlagen und Datenträger des Betreibers einsehen und unentgeltlich Kopien, auch in elek- tronischer elektronischer Form, anfertigen.

(4) Das Bundesamt teilt das Ergebnis seiner Kontrolle nach den Absätzen 1 bis 3 dem jeweiligen überprüften Betreiber, im Falle einer Einrichtung der Bundesverwaltung zusätzlich der oder dem Informationssicherheitsbeauftragten des Ressorts sowie der zu- ständigen Rechts- und Fachaufsicht sowie dem Koordinator oder der Koordinatorin für Informationssicherheit zusätz- lich der oder dem Informationssicherheitsbeauftragten des Ressorts sowie der zuständigen Rechts- und Fachaufsicht sowie dem Koordinator oder der Koordinatorin für Informations- sicherheit mit. Das Bundesamt führt vor der Finalisierung des Prüfberichts eine Sachverhaltsklärung Sachver- haltsklärung mit der geprüften Einrichtung durch. Mit der Mitteilung soll das Bundesamt Vorschläge zur Verbesserung der Informationssicherheit, insbesondere zur Beseitigung der festgestellten Mängel, verbinden. Für die Mitteilung an Stellen außerhalb des Betreibers gilt § 4 Absatz 3 entsprechend.

(5) Ausgenommen von den Befugnissen nach den Absätzen 1 bis 3 sind Kontrollen der Auslandsinformations- und -kommunikationstechnik nach § 9 Absatz 2 des Gesetzes über den Auswärtigen Dienst, soweit sie ausschließlich im Ausland belegen ist oder für das Ausland oder für Anwender im Ausland betrieben wird. Die Bestimmungen für die Schnittstellen der Kommunikationstechnik im Ausland belegen ist oder für das Ausland oder für Anwender im Ausland betrieben wird. Die Bestimmungen für die Schnittstellen der Kom- munikationstechnik des Bundes im Inland bleiben davon unberührt. Näheres zu Satz 1 regelt eine Verwaltungsvereinbarung zwischen dem Bundesministeri- um des Innern und für Heimat und dem Auswärtigen Amt.

(6) Die Befugnisse nach den Absätzen 1 bis 3 gelten im Geschäftsbereich des Bun- desministeriums der Verteidigung nicht für die Kontrolle der Informations- und Kommuni- kationstechnik, re- gelt eine Verwaltungsvereinbarung zwischen dem Bundesministerium des Innern und für Heimat und dem Auswärtigen Amt.

(6) Die Befugnisse nach den Absätzen 1 bis 3 gelten im Geschäftsbereich des Bun- desministeriums der Verteidigung nicht für die Kontrolle der Informations- und Kommunika- tionstechnik, die von den Streitkräften für ihre Zwecke oder dem Militärischen Ab- schirmdienst genutzt wird. Nicht ausgenommen ist die Informations- und Kommunikati- onstechnik Abschirm- dienst ist nunmehr in § 29 Absatz 3 enthalten. Die Beratung des Bundesamtes wird er- genutzt wird. Nicht ausgenommen ist die Informations- und Kommunikationstechnik von Dritten, insbesondere von IT-Dienstleistern, soweit sie nicht ausschließlich für die Zwecke der Streitkräfte betrieben wird. Die Bestimmungen für die Schnittstellen der Kommunikationstechnik Zwe- cke der Streitkräfte betrieben wird. Die Bestimmungen für die Schnittstellen der Kommuni- kationstechnik des Bundes bleiben von den Sätzen 1 und 2 unberührt. Näheres regelt eine Verwaltungsvereinbarung zwischen dem Bundesministerium des Innern und für Heimat und dem Bundesministerium der Verteidigung.

(7) Stellt das Bundesamt im Rahmen seiner Kontrollen fest, dass Verstöße gegen die im vorliegenden Gesetz festgelegten Verpflichtungen eine Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4 Nummer 12 der Verordnung (EU) 2016/679 zur Folge haben kann, die gemäß Artikel 33 der genannten Verordnung zu mel-

- 21 - Bearbeitungsstand: 22.12.2023 09:58

den ist, unterrichten sie unverzüglich die in Artikel 55 oder 56 jener Verordnung genann- ten Aufsichtsbehörden.

ein Verstoß gegen die Verpflichtungen dieses Gesetzes eine offensichtliche Verletzung des Schutzes perso- nenbezogener Daten zulässig, soweit dies erforderlich ist

1. zur Abwehr des Schadprogramms der sonstigen Gefahren für die Kommunikations- technik im Sinne von Artikel 4 Nummer 12 der Verordnung (EU) 2016/679 zur Folge hat, die gemäß Artikel 33 dieser Verordnung zu melden ist, unterrichtet es unverzüg- lich die zuständigen Aufsichtsbehörden.

- 21 - Bearbeitungsstand: 07.05.2024 10:19

(8) Das Bundesamt unterrichtet den Haushaltsausschuss des Deutschen Bundesta- ges kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über die Anwendung dieser Vorschrift.

§ 8

Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes

(1) Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes

1. Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen er- heben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Be- seitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist,

2. die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten, soweit dies für die Erkennung und Abwehr von Schadpro- grammen und sonstigen Gefahren für die Kommunikationstechnik des Bundes erfor- derlich erheblichen Gefahren für die Kommunikationstechnik des Bundes erforderlich ist.

Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, muss die automatisierte Auswertung dieser Daten unverzüglich erfolgen und müssen diese nach erfolgtem Abgleich sofort und spurenlos gelöscht werden. Die Verwendungsbeschränkun- gen gelten nicht für Protokolldaten, sofern diese weder personenbezogene noch dem Fernmeldegeheimnis unterliegende Daten beinhalten. Die Einrichtungen der Bundesver- waltung müssen die automatisierte Auswertung dieser Daten und deren anschließende vollständige und nicht wiederherstellbare Löschung unverzüglich erfolgen. Die Verwendungsbeschränkungen gel- ten nicht für Protokolldaten, sofern diese weder personenbezogene noch dem Fernmelde- geheimnis unterliegende Daten beinhalten. Die Einrichtungen der Bundesverwaltung sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu einrichtungsinternen Protokolldaten nach Satz 1 Nummer 1 sowie zu Schnittstellendaten nach Satz 1 Nummer 2 sicherzustellen. Protokolldaten der Bundesgerichte dürfen nur in deren Einvernehmen erhoben werden.

(2) Protokolldaten nach Absatz 1 Satz 1 Nummer 1 dürfen über den für die automati- sierte Auswertung nach Absatz 1 Satz 1 Nummer 1 erforderlichen Zeitraum hinaus, längs- tens jedoch für 18 Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte dafür bestehen, dass diese im Falle der Bestätigung eines Verdachts nach Absatz 4 Satz 2 zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen, oder zur Erkennung und Abwehr anderer Schadprogramme oder sonstiger Gefahren für die Kom- munikationstechnik des Bundes erforderlich sein können. Durch organisatorische und technische Maßnahmen ist sicherzustellen, dass eine Auswertung der nach diesem Ab- satz gespeicherten Daten nur automatisiert erfolgt und dass ein Zugriff auf Daten, die län- ger als drei Monate gespeichert sind, nur bei Vorliegen tatsächlicher Erkenntnisse über die Betroffenheit des Bundes mit einem Schadprogramm oder einer sonstigen Er- kennung und Abwehr anderer Schadprogramme oder sonstiger Gefahren für die Kommu- nikationstechnik des Bundes erforderlich sein können. Durch organisatorische und techni- sche Maßnahmen ist sicherzustellen, dass eine Auswertung der nach diesem Absatz ge- speicherten Daten nur automatisiert erfolgt und dass ein Zugriff auf Daten, die länger als drei Monate gespeichert sind, nur bei Vorliegen tatsächlicher Erkenntnisse über die Betrof- fenheit des Bundes mit einem Schadprogramm oder einer sonstigen erheblichen Gefahr für die Kommunikationstechnik des Bundes erfolgt. Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. Eine nicht automatisierte Verarbeitung ist nur nach Maßgabe der nachfolgenden Absätze zulässig. Soweit hierzu die Wiederherstellung pseudonymisierter so- weit dies automatisiert möglich ist. Eine nicht automatisierte Verarbeitung ist nur nach Maß- gabe der nachfolgenden Absätze zulässig. Soweit hierzu die Wiederherstellung pseudony- misierter Protokolldaten erforderlich ist, muss diese durch die Präsidentin oder den Präsidenten des Bundesamtes oder die Vertretung im Amt angeordnet werden. Die Entscheidung Präsi- denten des Bundesamtes oder die Vertretung im Amt angeordnet werden. Die Entschei- dung ist zu dokumentieren.

(3) Protokolldaten dürfen vor ihrer Pseudonymisierung und Speicherung nach Ab- satz Absatz 2 zur Sicherstellung einer fehlerfreien automatisierten Auswertung manuell verarbei-

- 22 - Bearbeitungsstand: 22.12.2023 09:58

tet verar- beitet werden. Liegen Hinweise vor, dass die fehlerfreie automatisierte Auswertung wegen eines erheblichen Fehlers erschwert wird, darf der Personenbezug von Protokolldaten zur Sicherstellung der fehlerfreien automatisierten Auswertung wiederhergestellt werden, so- fern dies im Einzelfall erforderlich ist. Absatz 2 Satz 3 bis 6 gilt entsprechend.

(4) Eine über die Absätze 1 und 2 hinausgehende Verwendung personenbezogener Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass

1. diese Daten ein Schadprogramm enthalten,

2. diese Daten durch ein Schadprogramm übermittelt wurden,

3. diese Daten im Zusammenhang mit einer sonstigen Gefahr für die Kommunikations- technik - 22 - Bearbeitungsstand: 07.05.2024 10:19

(4) Eine über die Absätze 1 und 2 hinausgehende Verwendung personenbezogener Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass

1. diese Daten ein Schadprogramm enthalten,

2. diese Daten durch ein Schadprogramm übermittelt wurden,

3. diese Daten im Zusammenhang mit einer sonstigen erheblichen Gefahr für die Kom- munikationstechnik des Bundes stehen oder

4. sich aus diesen Daten Hinweise auf ein Schadprogramm oder eine sonstige Gefahr für die Kommunikationstechnik des Bundesergeben können ergeben können,

und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen. Im Falle der Bestätigung des Verdachts ist die weitere Verarbeitung personen- bezogener Daten zulässig, soweit dies erforderlich ist

1. zur Abwehr des Schadprogramms der sonstigen erheblichen Gefahren für die Kommu- nikationstechnik des Bundes,

2. zur Abwehr von Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder

3. zur Erkennung und Abwehr anderer Schadprogramme oder Gefahren für die Kommu- nikationstechnik des Bundes.

Ein Schadprogramm kann beseitigt oder in seiner Funktionsweise gehindert werden. Es dürfen die erforderlichen technischen Maßnahmen getroffen werden, um eine sonstige Gefahr Ge- fahr für die Kommunikationstechnik des Bundes zu beseitigen. Das Bundesamt kann die Daten an die betroffene Einrichtung der Bundesverwaltung übermitteln soweit dies für eine Verwendung nach den Sätzen 1 bis 4 erforderlich ist. Die nicht automatisierte Ver- wendung der Daten nach den Sätzen 1 und 2 darf nur durch einen Bediensteten des Bun- desamtes Verwendung der Daten nach den Sätzen 1 und 2 darf nur durch einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet werden.

(5) Die Beteiligten des Kommunikationsvorgangs sind spätestens nach dem Erken- nen Erkennen und der Abwehr eines Schadprogramms oder seiner Wirkungen oder von sonstigen Gefahren für die Kommunikationstechnik des Bundes die von einem Schadprogramm erheb- lichen Gefahren für die Kommunikationstechnik des Bundes die von einem Schadpro- gramm ausgehen, zu benachrichtigen, wenn sie bekannt sind oder ihre Identifikation ohne unver- hältnismäßige weitere Ermittlungen möglich ist und nicht überwiegende schutzwürdige Belange Dritter entgegenstehen. Die Unterrichtung kann unterbleiben, wenn die Person unverhältnismäßige weitere Ermittlungen möglich ist und nicht überwiegende schutzwür- dige Belange Dritter entgegenstehen. Die Unterrichtung kann unterbleiben, wenn die Per- son nur unerheblich betroffen wurde und wenn anzunehmen ist, dass sie an einer Benach- richtigung kein Interesse hat. Das Bundesamt legt Fälle, in denen es von einer Benachrich- tigung kein Interesse hat. Das Bundesamt legt Fälle, in denen es von einer Benachrichti- gung absieht, dem behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem weiteren Bediensteten des Bundesamtes, der die Befähigung zum Richteramt hat, zur Kontrolle Kon- trolle vor. Wenn der behördliche Datenschutzbeauftragte der Entscheidung des Bun- desamtes Bundesam- tes widerspricht, ist die Benachrichtigung nachzuholen. Die Entscheidung über die Nichtbenachrichtigung Nicht- benachrichtigung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist nach zwölf Monaten zu löschen. In den Fällen der Absätze 6 und 7 erfolgt die Benachrichtigung durch die dort genannten Behör- den in entsprechender Anwendung der für diese Behörden geltenden Vorschriften. Enthal- ten diese Vorschriften keine Bestimmungen zu Benachrichtigungspflichten, sind die Vor- schriften der Strafprozessordnung entsprechend anzuwenden.

(6) Das Bundesamt kann die nach Absatz 4 verwendeten personenbezogenen Daten an die Strafverfolgungsbehörden zur Verfolgung einer mittels eines Schadprogramms oder im Rahmen einer sonstigen erheblichen Gefahr für die Kommunikationstechnik des Bundes begangenen Straftat nach den §§ 202a, 202b, 303a oder 303b des Strafgesetzbuches über- mitteln. Es kann diese Daten ferner übermitteln

1. an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für die öffentli- che übermitteln. Es kann diese Daten ferner übermitteln

- 23 - Bearbeitungsstand: 07.05.2024 10:19

1. an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für die öffentliche Sicherheit, die unmittelbar von einem Schadprogramm ausgeht,

2. an das Bundesamt für Verfassungsschutz zur Unterrichtung über Tatsachen, die si- cherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht er- kennen erken- nen lassen, sowie an den Militärischen Abschirmdienst, wenn sich diese Tätigkei- ten Tätigkeiten gegen Personen, Dienststellen oder Einrichtungen im Geschäftsbereich des Bun- desministeriums der Verteidigung richten,

3. an den Bundesnachrichtendienst zur Unterrichtung über Tatsachen, die einen inter- nationalen Bundes- ministeriums der Verteidigung richten,

3. an den Bundesnachrichtendienst zur Unterrichtung über Tatsachen, die einen interna- tionalen kriminellen, terroristischen oder staatlichen Angriff mittels Schadprogram- men Schadprogrammen oder vergleichbarer schädlich wirkender informationstechnischer Mittel auf die Vertraulichkeit, Vertrau- lichkeit, Integrität oder Verfügbarkeit von IT-Systemen in Fällen von erhebli- cher Bedeutung erheblicher Bedeu- tung mit Bezug zur Bundesrepublik Deutschland erkennen lassen,.

(7) Für sonstige Zwecke kann das Bundesamt die Daten übermitteln

1. an die Strafverfolgungsbehörden zur Verfolgung einer Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere einer in § 100a Absatz 2 der Strafprozessord- nung bezeichneten Straftat,

2. an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für den Be- stand Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person oder Sachen Sa- chen von bedeutendem Wert, deren Erhalt im öffentlichen Interesse geboten ist,

3. an die Verfassungsschutzbehörden des Bundes und der Länder sowie an den Militäri- schen Abschirmdienst, wenn tatsächliche Anhaltspunkte für Bestrebungen in der Bundesrepublik Bun- desrepublik Deutschland vorliegen, die durch Anwendung von Gewalt oder darauf gerichtete ge- richtete Vorbereitungshandlungen gegen die in § 3 Absatz 1 des Bundesverfassungs- schutzgesetzes beziehungsweise § 1 Absatz 1 des MAD-Gesetzes genannten Schutzgüter Schutz- güter gerichtet sind,

4. an den Bundesnachrichtendienst, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand Straftaten nach § 3 Absatz 1 Nummer 8 des Artikel 10-Geset- zes plant, begeht oder begangen hat und dies von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland ist,

Die Übermittlung nach Satz 1 Nummer 1 und 2 bedarf der vorherigen gerichtlichen Zu- stimmung. Für das Verfahren nach Satz 1 Nummer 1 und 2 gelten die Vorschriften des Gesetzes Zustim- mung. Für das Verfahren nach Satz 1 Nummer 1 und 2 gelten die Vorschriften des Geset- zes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilli- gen Gerichtsbarkeit freiwilligen Ge- richtsbarkeit entsprechend. Zuständig ist das Amtsgericht, in dessen Bezirk das Bundesamt seinen Sitz hat. Die Übermittlung nach Satz 1 Nummer 3 und 4 erfolgt nach Zustimmung des Bundesministeriums des Innern und für Heimat; die §§ 9 bis 16 des Arti- kel Artikel 10-Gesetzes gelten entsprechend.

(8) Eine über die vorstehenden Absätze hinausgehende inhaltliche Auswertung zu anderen Zwecken und die Weitergabe von personenbezogenen Daten an Dritte sind un- zulässig. Soweit möglich, ist technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Werden aufgrund der Maß- nahmen der Absätze 1 bis 4 Erkenntnisse aus dem Kernbereich privater Lebensgestal-

- 24 - Bearbeitungsstand: 22.12.2023 09:58

tung oder Daten nach Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 erlangt, dürfen diese Erkenntnisse und Daten nicht verwendet werden. Erkenntnisse aus dem Kernbe- reich privater Lebensgestaltung sind unverzüglich zu löschen. Dies gilt auch in Zweifels- an- deren Zwecken und die Weitergabe von personenbezogenen Daten an Dritte sind unzuläs- sig. Soweit möglich, ist technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Werden aufgrund der Maßnahmen der Absätze 1 bis 4 Erkenntnisse aus dem Kernbereich privater Lebensgestaltung oder Daten nach Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 erlangt, dürfen diese Erkenntnisse und Daten nicht verwendet werden. Erkenntnisse aus dem Kernbereich privater Lebensge- staltung sind unverzüglich zu löschen. Dies gilt auch in Zweifelsfällen. Die Tatsache der Erlangung und Löschung dieser Erkenntnisse ist zu dokumentie- ren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwen- det werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spä- testens dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu lö- schen. In den Fällen der Absätze 6 und 7 erfolgt die Benachrichtigung durch die dort ge- nannten Behörden in entsprechender Anwendung der für diese Behörden geltenden Vor- schriften. Enthalten diese Vorschriften keine Bestimmungen zu Benachrichtigungspflich- ten, sind die Vorschriften der Strafprozessordnung entsprechend anzuwenden.

- 23 - Bearbeitungsstand: 22.12.2023 09:58

(6) Das Bundesamt kann die nach Absatz 4 verwendeten personenbezogenen Da- ten an die Strafverfolgungsbehörden zur Verfolgung einer mittels eines Schadprogramms oder im Rahmen einer sonstigen Gefahr für die Kommunikationstechnik des Bundes be- schen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des Kalenderjahres, das dem Jahr folgt, in dem die der Doku- Dokumentation erstellt worden ist. Werden im Rahmen der Absatz 5 oder 6 Inhalte oder Umstände der Kommunikation von in

- 24 - Bearbeitungsstand: 07.05.2024 10:19

§ 53 Absatz 1 Satz 1 der Strafprozessordnung genannten Personen übermittelt, auf die sich das Zeugnisverweigerungsrecht dieser Personen erstreckt, ist die Verwertung dieser Daten zu Beweiszwecken in einem Strafverfahren nur insoweit zulässig, als Gegenstand dieses Strafverfahrens eine Straftat ist, die im Höchst- maß Höchstmaß mit mindestens fünf Jahren Freiheitsstrafe Freiheits- strafe bedroht ist.

(9) Vor Aufnahme der Datenerhebung und -verwendung hat das Bundesamt ein Da- tenerhebungs- und -verwendungskonzept zu erstellen und für Kontrollen durch die Bun- desbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informations- freiheit Bundes- beauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bereitzuhalten. Das Konzept hat dem besonderen Schutzbedürfnis der Regie- rungskommunikation Rechnung zu tragen. Die für die automatisierte Auswertung verwen- deten Kriterien sind zu dokumentieren. Die oder der Bundesbeauftragte für den Daten- schutz und die Informationsfreiheit teilt das Ergebnis seiner Kontrollen nach § 16 des Bun- desdatenschutzgesetzes auch den Ressorts mit.

(10) Das Bundesamt unterrichtet die Bundesbeauftragte oder den Bundesbeauftrag- ten Regierungskommu- nikation Rechnung zu tragen. Die für die automatisierte Auswertung verwendeten Kriterien sind zu dokumentieren. Die oder der Bundesbeauftragte für den Datenschutz und die Infor- mationsfreiheit teilt das Ergebnis seiner Kontrollen nach § 16 des Bundesdatenschutzge- setzes auch den Ressorts mit.

(10) Das Bundesamt unterrichtet die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über

1. die Anzahl der Vorgänge, in denen Daten nach Absatz 6 Satz 1, Absatz 6 Satz 2 Nummer 1 oder Absatz 7 Nummer 1 übermittelt wurden, aufgegliedert nach den ein- zelnen einzelnen Übermittlungsbefugnissen,

2. die Anzahl der personenbezogenen Auswertungen nach Absatz 4 Satz 1, in denen der Verdacht widerlegt wurde,

3. die Anzahl der Fälle, in denen das Bundesamt nach Absatz 5 Satz 2 oder 3 von einer Benachrichtigung der Betroffenen abgesehen hat.

(11) Das Bundesamt unterrichtet kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Ausschuss für Inneres und Heimat des Deutschen Bundestages Be- richtsjahr folgenden Jahres den Ausschuss für Inneres und Heimat des Deutschen Bundes- tages über die Anwendung dieser Vorschrift.

§ 9

Verarbeitung von Protokollierungsdaten der Kommunikationstechnik des Bundes

(1) Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes und ihrer Komponenten, einschließlich technischer Infrastrukturen, die zum Betrieb der Kommunikationstechnik des Bundes erforderlich sind, Protokollierungsdaten, die durch den Betrieb von Kommunikationstechnik des Bundes anfallen, verarbeiten, so- weit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen, Fehlern oder Sicher- heitsvorfällen in der Kommunikationstechnik des Bundes oder von Angriffen auf die Infor- mationstechnik des Bundes erforderlich ist und Geheimschutzinteressen oder überwie- gende Sicherheitsinteressen der betroffenen Stellen nicht entgegenstehen.

- 25 - Bearbeitungsstand: 22.12.2023 09:58

(2) Die Einrichtungen der Bundesverwaltung sind verpflichtet, das Bundesamt bei Maßnahmen nach Absatz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu einrichtungsinternen Protokollierungsdaten nach Satz 1 sicherzustellen. Hierzu dürfen sie dem Bundesamt die entsprechenden Protokollierungsdaten übermitteln. § 8 Absatz 1 Satz gilt entsprechend. § 7 Absatz 6 gilt für die Verpflichtung nach Absatz 2 Satz 1ent- sprechend.

soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen, Fehlern oder Sicherheitsvorfällen in der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist und Geheimschutzinteressen oder überwiegende Sicherheitsinte- ressen der betroffenen Stellen nicht entgegenstehen.

(2) Die Einrichtungen der Bundesverwaltung sind verpflichtet, das Bundesamt bei Maßnahmen nach Absatz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu einrichtungsinternen Protokollierungsdaten nach Satz 1 sicherzustellen. Hierzu dürfen sie dem Bundesamt die entsprechenden Protokollierungsdaten übermitteln. § 8 Absatz 1 Satz 5, Absatz 2 bis 5, 9 und 10 gilt entsprechend. § 7 Absatz 8 gilt für die Verpflichtung nach Satz 1entsprechend.

- 25 - Bearbeitungsstand: 07.05.2024 10:19

§ 10

Anordnungen von Maßnahmen zur Abwendung oder Behebung von Sicherheitsvor- fällen

Das Bundesamt kann im Einzelfall gegenüber Einrichtungen der Bundesverwaltung Maßnahmen anordnen, die zur Abwendung oder Behebung eines gegenwärtigen Sicher- heitsvorfalls erforderlich sind. Ferner kann das Bundesamt die Einrichtungen zur Bericht- erstattung innerhalb einer angemessenen Frist zu den nach Satz 1 angeordneten Maß- nahmen der Bundes- verwaltung zur Berichterstattung innerhalb einer angemessenen Frist zu den nach Satz 1 angeordneten Maßnahmen auffordern. Der oder die jeweils zuständige Ressort-Informationssicherheits- beauftragte Informationssicher- heitsbeauftragte des Ressorts wird über Anweisungen und Aufforderungen nach Satz 1 und 2 durch das Bundesamt entsprechend informiert. Der Bericht ist dem Bundesamt und zugleich dem oder der Informationssicherheitsbeauftragten des jeweils zuständigen Ressorts sowie dem Koordinator oder der Koordinatorin für Informationssicherheit zu übermitteln. Für die Berichterstattung gilt § 4 Absatz 3 entsprechend.

§ 11

Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen

(1) Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines informationstechnischen Systems einer Einrichtung der Bundesverwaltung oder einer besonders wichtigen Einrichtung oder einer wichtigen Einrichtung um einen heraus- gehobenen Fall, so kann das Bundesamt auf Ersuchen der betroffenen Einrichtung oder des betroffenen Betreibers oder einer anderen für die Einrichtung oder den Betreiber zu- ständigen Behörde die Maßnahmen treffen, die zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit zu übermitteln. Für die Berichterstattung gilt § 4 Absatz 3 entsprechend.

§ 11

Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen

(1) Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines informationstechnischen Systems einer Einrichtung der Bundesverwaltung oder einer besonders wichtigen Einrichtung oder einer wichtigen Einrichtung um einen herausgehobe- nen Fall, so kann das Bundesamt auf Ersuchen der betroffenen Einrichtung oder des be- troffenen Betreibers oder einer anderen für die Einrichtung oder den Betreiber zuständigen Behörde die Maßnahmen treffen, die zur Wiederherstellung der Sicherheit oder Funktions- fähigkeit des betroffenen informationstechnischen Systems erforderlich sind. Soweit das Bundesamt erste Maßnahmen zur Schadensbegrenzung und Sicherstellung des Notbetriebes Notbetrie- bes vor Ort ergreift, werden hierfür keine Gebühren oder Auslagen für die Tätigkeit des Bundesamtes erhoben. Hiervon unberührt bleiben etwaige Kosten für die Hinzuziehung qualifizierter Dritter.

(2) Ein herausgehobener Fall nach Absatz 1 liegt insbesondere dann vor, wenn es sich um einen Angriff von besonderer technischer Qualität handelt oder wenn die zügige Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informations- technischen informationstech- nischen Systems von besonderem öffentlichem Interesse ist.

(3) Das Bundesamt darf bei Maßnahmen nach Absatz 1 personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten erheben und verarbeiten, soweit dies zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informations- technischen verarbeiten, soweit dies zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich und angemessen ist. Die Daten sind unverzüglich zu löschen, sobald sie für die Wiederherstellung der Sicherheit oder Funktionsfähigkeit des informationstechnischen Systems Sys- tems nicht mehr benötigt werden. Wenn die Daten in Fällen des Absatzes 4 an eine andere Behörde zur Erfüllung von deren gesetzlichen Aufgaben weitergegeben worden sind, darf das Bundesamt die Daten abweichend von Satz 2 bis - 26 - Bearbeitungsstand: 22.12.2023 09:58

zur Beendigung der Unterstützung dieser Behörden weiterverarbeiten. Eine Nutzung zu anderen Zwecken ist unzulässig. § 8 Absatz 8 ist entsprechend anzuwenden.

(4) Das Bundesamt darf Informationen, von denen es im Rahmen dieser Vorschrift Kenntnis erlangt, nur mit Einwilligung des Ersuchenden weitergeben, es sei denn, die Informationen In- formationen lassen keine Rückschlüsse auf die Identität des Ersuchenden zu oder die Informationen können entsprechend § 8 Absatz 6 und 7 übermittelt werden. Hiervon sind erforderliche In- formationen können entsprechend § 8 Absatz 6 und 7 übermittelt werden. Hiervon sind er- forderliche Informationsaustausche zwischen dem Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe nach § 3 Absatz 7 KRITIS-DachG ausgenom- men. Zugang zu den in Verfahren nach Absatz 1 geführten Akten wird Dritten nicht ge- währt.

(5) Das Bundesamt kann sich bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden der Hilfe qualifizierter Dritter bedienen, wenn dies zur rechtzeitigen oder vollständigen Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Be- völkerungsschutz und Katastrophenhilfe festgelegten Zeitpunkt frühestens drei Jahre nachdem sie erstmals oder erneut als ein Betreiber einer kritischen Anlage gelten und anschließend nach § 3 Absatz 5 des Dachgesetzes zur Stärkung der physischen Resilienz von Betreibern kritischer Anlagen (KRITIS-Dachgesetz)

- 26 - Bearbeitungsstand: 07.05.2024 10:19

ausgenommen. Zugang zu den in Verfahren nach Absatz 1 geführten Akten wird Dritten nicht gewährt.

(5) Das Bundesamt kann sich bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden der Hilfe qualifizierter Dritter bedienen, wenn dies zur rechtzeitigen oder voll- ständigen Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen infor- mationstechnischen Systems erforderlich ist. Die hierdurch entstehenden Kosten hat der Ersuchende zu tragen. Das Bundesamt kann den Ersuchenden auch auf qualifizierte Dritte verweisen. Das Bundesamt und vom Ersuchenden oder vom Bundesamt nach Satz 1 beauftragte Dritte können einander bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden Daten übermitteln. Hierfür gilt Absatz 3 entsprechend.

(6) Soweit es zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des infor- mationstechnischen Systems erforderlich ist, kann das Bundesamt vom Hersteller des informationstechnischen be- auftragte Dritte können einander bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden Daten übermitteln. Hierfür gilt Absatz 3 entsprechend.

(6) Soweit es zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des infor- mationstechnischen Systems erforderlich ist, kann das Bundesamt vom Hersteller des in- formationstechnischen Systems verlangen, an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit mitzuwirken.

(7) In begründeten Einzelfällen kann das Bundesamt auch bei anderen als den in Absatz 1 genannten Einrichtungen tätig werden, wenn das Bundesamt darum ersucht wurde und wenn es sich um einen herausgehobenen Fall nach Absatz 2 handelt. Ein be- gründeter Absatzes 2 handelt. Ein begründeter Einzelfall liegt in der Regel vor, wenn eine Stelle eines Landes betroffen ist.

(8) Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atom- gesetz bedürfen, ist in Fällen der Absätze 1, 4, 5 und 7 vor Tätigwerden des Bundesam- tes Bundesamtes das Benehmen mit den zuständigen atomrechtlichen Aufsichtsbehörden des Bundes und der Länder herzustellen. Im Falle von Anlagen oder Tätigkeiten, die einer Genehmi- gung Genehmigung nach dem Atomgesetz bedürfen, haben bei Maßnahmen des Bundesamtes nach diesem § 11 die Vorgaben aufgrund des Atomgesetzes Vorrang.

§ 12

Bestandsdatenauskunft

(1) Das Bundesamt darf zur Erfüllung seiner gesetzlichen Aufgabe nach § 3 Absatz 1 Satz 1 Nummer 1, 2, 20, 24 oder 25 von demjenigen, der geschäftsmäßig Telekommu- nikationsdienste Te- lekommunikationsdienste erbringt oder daran mitwirkt, über Bestandsdaten gemäß § 3 Nummer 6 des Telekommunikationsgesetzes und über die nach § 172 des Telekommunikationsge- setzes Telekommuni- kationsgesetzes erhobenen Daten (§ 174 Absatz 1 Satz 1 des Telekommunikationsgesetzes) Aus- kunft verlangen. Die Auskunft nach Satz 1 darf nur verlangt werden zum Schutz der Ver- sorgung der Bevölkerung in den Bereichen des § 57 Absatz 4 oder der öffentlichen Si- cherheit, um damit eine Beeinträchtigung der Sicherheit oder Funktionsfähigkeit informati- onstechnischer Telekommunikationsgeset- zes) Auskunft verlangen. Die Auskunft nach Satz 1 darf nur verlangt werden zum Schutz der Versorgung der Bevölkerung in den Sektoren des § 28 Absatz 7 oder der öffentlichen Sicherheit, um damit eine Beeinträchtigung der Sicherheit oder Funktionsfähigkeit informa- tionstechnischer Systeme einer besonders wichtigen Einrichtung oder wichtigen Einrich- tung abzuwenden, wenn Tatsachen den Schluss auf ein wenigstens seiner Art nach kon- kretisiertes und zeitlich absehbares Geschehen zulassen, das auf die informationstechni- schen Systeme bestimmbarer Infrastrukturen oder Unternehmen abzielen wird, und wenn die in die Auskunft aufzunehmenden Daten im Einzelfall erforderlich sind, um die Betroffe- - 27 - Bearbeitungsstand: 22.12.2023 09:58

nen nach Absatz 4 vor dieser Beeinträchtigung zu warnen, über diese Beeinträchtigung zu informieren oder bei der Beseitigung zu beraten oder zu unterstützen.

(2) Die Auskunft nach Absatz 1 darf auch anhand einer zu einem bestimmten Zeit- punkt zugewiesenen Internetprotokoll-Adresse verlangt werden (§ 174 Absatz 1 Satz 3, § 177 Absatz 1 Nummer 3 des Telekommunikationsgesetzes). Die rechtlichen und tatsäch- lichen Grundlagen des Auskunftsverlangens sind aktenkundig zu machen.

(3) Der auf Grund eines Auskunftsverlangens Verpflichtete hat die zur Auskunftser- teilung erforderlichen Daten unverzüglich und vollständig zu übermitteln.

Auskunftsertei- lung erforderlichen Daten unverzüglich und vollständig zu übermitteln.

- 27 - Bearbeitungsstand: 07.05.2024 10:19

(4) Nach erfolgter Auskunft weist das Bundesamt die besonders wichtige Einrichtung oder die wichtige Einrichtung auf die bei ihr drohenden Beeinträchtigungen hin. Nach Möglichkeit weist das Bundesamt die besonders wichtige Einrichtung oder die wichtige Einrichtung Mög- lichkeit weist das Bundesamt die besonders wichtige Einrichtung oder die wichtige Einrich- tung auf technische Mittel hin, mittels derer die festgestellten Beeinträchtigungen durch die besonders wichtige Einrichtung oder die wichtige Einrichtung selbst beseitigt werden können.

kön- nen.

(5) Das Bundesamt kann personenbezogene Daten, die es im Rahmen dieser Vor- schrift verarbeitet, entsprechend § 8 Absatz 6 und 7 übermitteln.

(6) In den Fällen des Absatzes 2 ist die betroffene Person über die Auskunft zu be- nachrichtigen. Im Falle der Weitergabe der Information nach § 8 Absatz 6 oder wenn Tat- sachen die Annahme rechtfertigen, dass die Voraussetzungen einer Weitergabe nach § 8 Absatz 6 vorliegen, ergeht darüber keine Benachrichtigung an die betroffene Person, so- fern sofern und solange überwiegende schutzwürdige Belange Dritter entgegenstehen. Wird nach Satz 2 die Benachrichtigung zurückgestellt oder wird von ihr abgesehen, sind die Gründe aktenkundig zu machen.

(7) Das Bundesamt unterrichtet die Bundesbeauftragte oder den Bundesbeauftrag- ten für den Datenschutz und die Informationsfreiheit jeweils bis zum 30. Juni des dem Berichtsjahr Bundesbeauftragten für den Datenschutz und die Informationsfreiheit jeweils bis zum 30. Juni des dem Berichts- jahr folgenden Jahres über

1. die Gesamtzahl der Vorgänge, in denen Daten nach Absatz 1 oder Absatz 2 an das Bundesamt übermittelt wurden, und

2. die Übermittlungen nach Absatz 5.

(8) Das Bundesamt hat den Verpflichteten für ihm erteilte Auskünfte eine Entschädi- gung zu gewähren. Der Umfang der Entschädigung bemisst sich nach § 23 und Anlage 3 des Justizvergütungs- und -entschädigungsgesetzes; die Vorschriften über die Verjährung in § 2 Absatz 1 und 4 des Justizvergütungs- und -entschädigungsgesetzes finden entspre- chende Anwendung.

§ 13

Warnungen

(1) Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 20 und 21 kann das Bundesamt

1. die folgenden Warnungen und Informationen an die Öffentlichkeit oder an die betrof- fenen betroffe- nen Kreise richten:

a) Warnungen vor Schwachstellen und anderen Sicherheitsrisiken in informations- technischen Produkten und Diensten,

- 28 - Bearbeitungsstand: 22.12.2023 09:58

b) Warnungen vor Schadprogrammen,

c) Warnungen bei einem Verlust oder einem unerlaubten Zugriff auf Daten,

d) Informationen über sicherheitsrelevante IT-Eigenschaften von Produkten und

e) Informationen über Verstöße besonders wichtiger Einrichtungen oder wichtiger Einrichtungen gegen die Pflichten aus diesem Gesetz und [einfügen: andere Ge- setze, die die NIS-2-Richtlinie umsetzen] sowie

2. Sicherheitsmaßnahmen und Einsatz bestimmter Sicherheitsprodukte empfehlen.

- 28 - Bearbeitungsstand: 07.05.2024 10:19

Das Bundesamt kann zur Wahrnehmung der Aufgaben nach Satz 1 Dritte einbeziehen, wenn dies für eine wirksame und rechtzeitige Warnung erforderlich ist.

(2) Die Hersteller betroffener Produkte sind rechtzeitig vor Veröffentlichung der War- nungen zu informieren. Diese Informationspflicht besteht nicht,

1. wenn hierdurch die Erreichung des mit der Maßnahme verfolgten Zwecks gefährdet würde oder

2. wenn berechtigterweise davon ausgegangen werden kann, dass der Hersteller an einer vorherigen Benachrichtigung kein Interesse hat.

Soweit entdeckte Schwachstellen oder Schadprogramme nicht allgemein bekannt werden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist, kann es den Kreis der zu warnenden Personen einschränken. Kriterien für die Auswahl des zu warnenden Personenkreises Perso- nenkreises nach Satz 3 sind insbesondere die besondere Gefährdung bestimmter Einrichtungen Einrich- tungen oder die besondere Zuverlässigkeit des Empfängers.

(3) Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 20 und 21 kann das Bundesamt die Öffentlichkeit unter Nennung der Bezeichnung und des Herstellers des betroffenen Produkts und Dienstes

1. vor Schwachstellen in informationstechnischen Produkten und Diensten und vor Schadprogrammen warnen, wenn hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik hiervon ausgehen, oder

2. Sicherheitsmaßnahmen sowie den Einsatz bestimmter informationstechnischer Pro- dukte und Dienste empfehlen.

Stellen sich die an die Öffentlichkeit gegebenen Informationen im Nachhinein als falsch heraus oder stellen sich die zugrunde liegenden Umstände als unzutreffend wiedergege- ben wiedergegeben heraus, ist dies unverzüglich öffentlich bekannt zu machen. Warnungen nach Satz 1 sind sechs Monate nach der Veröffentlichung zu entfernen, wenn nicht weiterhin hinrei- chende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informati- onstechnik hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik bestehen. Wird eine Warnung nach Satz 3 nicht entfernt, so ist diese Entschei- dung regelmäßig zu überprüfen.

§ 14

Untersuchung der Sicherheit in der Informationstechnik, Auskunftsverlangen

(1) Das Bundesamt kann zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 20, 21, 24 oder 25 auf dem Markt bereitgestellte oder zur Bereitstellung auf

- 29 - Bearbeitungsstand: 22.12.2023 09:58

Entscheidung regel- mäßig zu überprüfen.

§ 14

Untersuchung der Sicherheit in der Informationstechnik, Auskunftsverlangen

(1) Das Bundesamt kann zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 20, 21, 24 oder 25 auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte und Systeme untersuchen. Es kann sich hierbei der Unterstützung Dritter bedienen, soweit berechtigte Interessen des Herstellers der betroffenen Produkte und Systeme dem nicht entgegenstehen.

entgegenste- hen.

(2) Soweit erforderlich, kann das Bundesamt für Untersuchungen nach Absatz 1 von Herstellern informationstechnischer Produkte und Systeme alle notwendigen Auskünfte, insbesondere auch zu technischen Details, verlangen. In dem Auskunftsverlangen gibt das Bundesamt die Rechtsgrundlage, den Zweck des Auskunftsverlangens und die benö- tigten Auskünfte an und legt eine angemessene Frist für die Übermittlung der Auskünfte fest. Das Auskunftsverlangen enthält ferner einen Hinweis auf die in § 60 benötigten Auskünfte an und legt eine angemessene Frist für die Übermittlung der Auskünfte fest. Das Auskunftsverlangen enthält ferner einen Hinweis auf die in § 61 vorgesehenen Sanktionen.

(3) Das Bundesamt gibt Auskünfte sowie die aus den Untersuchungen gewonnen Erkenntnisse unverzüglich an die zuständigen Aufsichtsbehörden des Bundes oder, so- fern - 29 - Bearbeitungsstand: 07.05.2024 10:19

(3) Das Bundesamt gibt Auskünfte sowie die aus den Untersuchungen gewonnen Er- kenntnisse unverzüglich an die zuständigen Aufsichtsbehörden des Bundes oder, sofern keine Aufsichtsbehörde vorhanden ist, an das jeweilige Ressort weiter, wenn Anhaltspunkte bestehen, dass diese sie zur Erfüllung ihrer Aufgaben benötigen.

(4) Die Auskünfte und die aus den Untersuchungen gewonnenen Erkenntnisse dür- fen nur zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 20, 21, 24 und 25 genutzt werden. Das Bundesamt darf seine Erkenntnisse weitergeben und veröffentli- chen, soweit dies zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 20, 21, erforderlich ist. Zuvor ist dem Hersteller der betroffenen Produkte und Systeme mit angemessener Frist Gelegenheit zur Stellungnahme dürfen nur zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 20, 21, 24 und 25 ge- nutzt werden. Das Bundesamt darf seine Erkenntnisse weitergeben und veröffentlichen, soweit dies zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 20, 21, 24 und 25 erforderlich ist. Zuvor ist dem Hersteller der betroffenen Produkte und Systeme mit angemessener Frist Gelegenheit zur Stellung- nahme zu geben. Von einer Gelegenheit zur Stellungnahme kann abgesehen werden, wenn die Erkenntnisse ohne erkennbaren Be- zug zum Hersteller oder der untersuchten informationstechnischen Bezug zum Hersteller oder der untersuchten in- formationstechnischen Produkte und Systeme weitergegeben oder veröffentlicht werden.

(5) Kommt ein Hersteller der Aufforderung des Bundesamtes nach Absatz 2 Satz 1 nicht oder nur unzureichend nach, kann das Bundesamt hierüber die Öffentlichkeit infor- mieren. Es kann hierbei den Namen des Herstellers sowie die Bezeichnung des betroffe- nen betroffenen Produkts oder Systems angeben und darlegen, inwieweit der Hersteller seiner Aus- kunftspflicht nicht nachgekommen ist. Zuvor ist dem Hersteller mit angemessener Frist Gelegenheit Auskunfts- pflicht nicht nachgekommen ist. Zuvor ist dem Hersteller mit angemessener Frist Gelegen- heit zur Stellungnahme zu gewähren. § 13 Absatz 2 Satz 2 gilt entsprechend.

§ 15

Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffs- methoden

(1) Das Bundesamt kann im Rahmen seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 2, 20 oder 24 zur Detektion von Schwachstellen und anderen ande- ren Sicherheitsrisiken bei Einrichtungen der Bundesverwaltung, besonders wichtigen Ein- richtungen oder wichtigen Einrichtungen Abfragen an den Schnittstellen öffentlich erreich- barer informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen durchführen, um fest- zustellen, ob diese Schnittstellen unzureichend geschützt und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sein können, oder wenn die entsprechenden Einrichtun- gen durch- führen, um festzustellen, ob diese Schnittstellen unzureichend geschützt und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sein können, oder wenn die entsprechen- den Einrichtungen darum ersuchen. Erlangt das Bundesamt dabei Informationen, die durch Artikel 10 des Grundgesetzes geschützt sind, darf es diese nur zum Zwecke der Übermittlung nach § 8 Absatz 6 und 7 verarbeiten. Sofern die Voraussetzungen des § 8 Absatz 6 und 7 nicht vorliegen, sind Informationen, die nach Artikel 10 des Grundgesetzes geschützt sind, Übermitt- lung nach § 8 Absatz 6 und 7 verarbeiten. Sofern die Voraussetzungen des § 8 Absatz 6 und 7 nicht vorliegen, sind Informationen, die nach Artikel 10 des Grundgeset- zes geschützt sind, unverzüglich zu löschen. Abfragen nach Satz 1 dürfen nur durch eine Bedienstete oder ei- nen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet wer- den.

- 30 - Bearbeitungsstand: 22.12.2023 09:58

(2) Wird durch Abfragen gemäß Absatz 1 eine Schwachstelle oder ein anderes Si- cherheitsrisiko einen Bediensteten des Bundesamtes mit der Befähigung zum Richter- amt angeordnet werden.

(2) Wird durch Abfragen gemäß Absatz 1 eine bekannte Schwachstelle oder ein an- deres Sicherheitsrisiko eines informationstechnischen Systems erkannt, sind die für das informati- onstechnische System Verantwortlichen unverzüglich darüber zu informieren. Das Bun- desamt informiert das Bundesamt darüber unverzüglich die für das informationstechnische System Verantwortli- chen. Gehört das informationstechnische System zu einer Einrichtung der Bundesverwal- tung, sind zugleich die Informationssicherheitsbeauftragten der betroffenen Einrichtung der Bundesverwaltung nach § 45 und des übergeordneten Ressorts nach § 46 zu informieren. Das Bundesamt soll dabei auf bestehende Abhilfemöglichkeiten hinweisen. Sind dem Bundesamt die Verantwortlichen nicht bekannt oder ist ihre Identifikation nur mit unverhältnismäßigem Bun- desamt die Verantwortlichen nicht bekannt oder ist ihre Identifikation nur mit unverhältnis- mäßigem Aufwand oder über eine Bestandsdatenabfrage nach § 12 möglich, ist hilfsweise der be- treibende betreibende Dienstleister des jeweiligen Netzes oder Systems unverzüglich zu benachrichti- gen, wenn überwiegende Sicherheitsinteressen nicht entgegenstehen. Das Bundesamt benach- richtigen, wenn überwiegende Sicherheitsinteressen nicht entgegenstehen. Das Bundes- amt unterrichtet die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit jeweils bis zum 30. Juni des Folgejahres über die Anzahl der gemäß Absatz 1 ergriffenen Abfragen.

- 30 - Bearbeitungsstand: 07.05.2024 10:19

(3) Das Bundesamt darf zur Erfüllung seiner Aufgaben Systeme und Verfahren ein- setzen, welche einem Angreifer einen erfolgreichen Angriff vortäuschen, um den Einsatz von Schadprogrammen oder andere Angriffsmethoden zu erheben und auszuwerten. Das Bundesamt darf dabei die zur Auswertung der Funktionsweise der Schadprogramme und Angriffsmethoden erforderlichen Daten verarbeiten.

§ 16

Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Tele- kommunikationsdiensten

(1) Zur Abwehr konkreter erheblicher Gefahren für die in Absatz 2 genannten Schutzgüter kann das Bundesamt anordnen, dass ein Anbieter von öffentlich zugängli- chen Telekommunikationsdiensten im Sinne des Telekommunikationsgesetzes (Anbieter von öffentlich Schutz- güter kann das Bundesamt anordnen, dass ein Anbieter von öffentlich zugänglichen Tele- kommunikationsdiensten im Sinne des Telekommunikationsgesetzes (Anbieter von öffent- lich zugänglichen Telekommunikationsdiensten) mit mehr als 100 000 Kunden

1. die in § 169 Absatz 6 und 7 des Telekommunikationsgesetzes bezeichneten Maßnah- men trifft oder

2. technische Befehle zur Bereinigung von einem konkret benannten Schadprogramm an betroffene informationstechnische Systeme verteilt,

sofern und soweit der Anbieter von öffentlich zugänglichen Telekommunikationsdiensten dazu technisch in der Lage und es ihm wirtschaftlich zumutbar ist. Vor der Anordnung der Maßnahmen nach Satz 1 Nummer 1 oder 2 durch das Bundesamt ist Einvernehmen mit der Bundesnetzagentur herzustellen. Vor der Anordnung der Maßnahme nach Satz 1 Nummer 2 durch das Bundesamt ist zusätzlich Einvernehmen mit der oder dem Bundes- beauftragten Bun- desbeauftragten für den Datenschutz und die Informationsfreiheit herzustellen. Die Daten, auf die mit der Maßnahme nach Satz 1 Nummer 2 zugegriffen werden soll, sind in der Anord- nung zu benennen. § 8 Absatz 8 Satz 2 bis 8 gilt entsprechend. Widerspruch und Anfech- tungsklage An- ordnung zu benennen. § 8 Absatz 8 Satz 2 bis 8 gilt entsprechend. Widerspruch und An- fechtungsklage gegen die Anordnungen nach Satz 1 haben keine aufschiebende Wirkung.

(2) Schutzgüter gemäß Absatz 1 Satz 1 sind die Verfügbarkeit, Integrität oder Ver- traulichkeit

Vertrau- lichkeit

1. der Kommunikationstechnik des Bundes, einer besonders wichtigen Einrichtung oder einer wichtigen Einrichtung,

2. von Informations- oder Kommunikationsdiensten oder

3. von Informationen, sofern deren Verfügbarkeit, Unversehrtheit oder Vertraulichkeit durch unerlaubte Zugriffe auf eine erhebliche Anzahl von telekommunikations- oder informationstechnischen Systemen von Nutzern eingeschränkt wird.

- 31 - Bearbeitungsstand: 22.12.2023 09:58

(3) Ordnet das Bundesamt eine Maßnahme nach Absatz 1 Satz 1 Nummer 1 an, so kann es gegenüber dem Anbieter von öffentlich zugänglichen Telekommunikationsdiens- ten auch anordnen, den Datenverkehr an eine vom Bundesamt benannte Anschlussken- nung Telekommunikationsdiensten auch anordnen, den Datenverkehr an eine vom Bundesamt benannte Anschlusskennung umzuleiten.

(4) Das Bundesamt darf Daten, die von einem Anbieter von öffentlich zugänglichen Telekommunikationsdiensten nach Absatz 1 Satz 1 Nummer 1 und Absatz 3 umgeleitet wurden, verarbeiten, um Informationen über Schadprogramme oder andere Sicherheitsri- Sicherheitsrisi- ken bei Einrichtungen der Bundesverwaltung, besonders wichtigen Einrichtungen oder wichtigen Einrichtungen Abfragen an den Schnittstellen öffentlich erreichbarer informati- onstechnischer in informationstechnischen Systemen zu erlangen. Die übermittelten Daten dürfen durch das Bundesamt so lange gespeichert werden, wie dies für die Erfüllung des in Satz 1 genannten Zwecks erforderlich ist, längstens jedoch für drei Monate. § 8 Absatz 8 Satz 2 bis 8 gilt entsprechend. Das Bundesamt unterrichtet die

Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit - 31 - Bearbeitungsstand: 07.05.2024 10:19

Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informati- onsfreiheit jeweils bis zum 30. Juni des Folgejahres über die Gesamtzahl der angeordneten Datenumleitungen.

§ 17

Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Tele- mediendiensten

Das Bundesamt kann in begründeten Einzelfällen zur Abwehr konkreter, erheblicher Gefahren für informationstechnische Systeme einer Vielzahl von Nutzern, die von Tele- medienangeboten von Anbietern von Telemedien nach § 2 Absatz 2 Nummer 1 des Tele- kommunikation-Telemedien-Datenschutz-Gesetzes Telemedienangeboten von Anbietern von Telemedien nach § 2 Absatz 2 Nummer 1 des Telekommunikation-Te- lemedien-Datenschutz-Gesetzes ausgehen, die durch ungenügende technische und organisatorische Vorkehrungen nach § 19 Absatz 4 des Telekommunikati- on-Telemedien-Datenschutz-Gesetzes orga- nisatorische Vorkehrungen nach § 19 Absatz 4 des Telekommunikation-Telemedien-Da- tenschutz-Gesetzes unzureichend gesichert sind und dadurch keinen hinreichenden Schutz bieten vor

1. unerlaubten Zugriffen auf die für diese Telemedienangebote genutzten technischen Einrichtungen oder

2. Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gegenüber dem jeweiligen Anbieter von Telemedien nach § 2 Absatz 2 Nummer 1 des Telekommunikation-Telemedien-Datenschutz-Gesetzes Te- lekommunikation-Telemedien-Datenschutz-Gesetzes anordnen, dass dieser die jeweils zur Herstellung des ordnungsgemäßen Zustands seiner Telemedienangebote erforderlichen technischen und organisatorischen Maßnahmen ergreift, um den ordnungsgemäßen Zu- stand seiner Telemedienangebote herzustellen. Die Zuständigkeit der Aufsichtsbehörden der Länder bleibt im Übrigen unberührt.

§ 18

Anordnungen von Maßnahmen des Bundesamtes gegenüber Herstellern von IKT- Produkten

Soweit erforderlich, kann das Bundesamt von einem Hersteller betroffener IKT-Pro- dukte die Mitwirkung an der Beseitigung oder Vermeidung erheblicher Sicherheitsvorfälle bei besonders wichtigen Einrichtungen und wichtigen Einrichtungen verlangen.

§ 19

Bereitstellung von IT-Sicherheitsprodukten

Die Bereitstellung von IT-Sicherheitsprodukten durch das Bundesamt nach § 3 Absatz 1 Satz 2 Nummer 15 erfolgt durch Eigenentwicklung oder nach Durchführung von Vergabeverfahren aufgrund einer entsprechenden Bedarfsfeststellung. IT-Sicherheitspro- dukte IT-Sicherheits- produkte können nur in begründeten Ausnahmefällen durch eine Eigenentwicklung des Bun- desamtes zur Verfügung gestellt werden. Die Vorschriften des Vergaberechts und der Haushaltsordnung bleiben unberührt. Wenn das Bundesamt IT-Sicherheitsprodukte be- reitstellt, Bundesamtes zur Verfügung gestellt werden. Die Vorschriften des Vergaberechts und der Bundeshaushaltsordnung bleiben unberührt. Wenn das Bundesamt IT-Sicherheitsprodukte bereitstellt, können die Einrichtungen der Bundesverwaltung oder von ihnen beauftragte Dritte diese Produkte beim Bundesamt abrufen.

- 32 - Bearbeitungsstand: 07.05.2024 10:19

Kapitel 2

Datenverarbeitung

§ 20

Verarbeitung personenbezogener Daten

(1) Die Verarbeitung personenbezogener Daten durch das Bundesamt ist zulässig, wenn die Verarbeitung zur Erfüllung seiner im öffentlichen Interesse liegenden Aufgaben erforderlich ist.

(2) Die Verarbeitung personenbezogener Daten durch das Bundesamt zu anderen Zwecken als demjenigen, zu dem die Daten ursprünglich erhoben wurden, ist unbescha- det von Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 in der jeweils geltenden Fas- sung unbeschadet von Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung und von § 23 des Bundesdatenschutzgesetzes zulässig, wenn

1. die Verarbeitung erforderlich ist

a) zur Sammlung, Auswertung oder Untersuchung von Informationen über Sicher- heitsrisiken oder Sicherheitsvorkehrungen für die Informationstechnik oder

b) zur Unterstützung, Beratung oder Warnung in Fragen der Sicherheit in der Infor- mationstechnik und

2. kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffe- nen betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

(3) Eine Verarbeitung von besonderen Kategorien personenbezogener Daten durch das Bundesamt ist abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 und unbeschadet des § 22 Absatz 1 des Bundesdatenschutzgesetzes zulässig, wenn

1. die Verarbeitung erforderlich ist zur Abwehr einer erheblichen Gefahr für die Netz-, Daten- oder Informationssicherheit,

2. ein Ausschluss dieser Daten von der Verarbeitung die Erfüllung der Aufgaben des Bundesamtes Da- ten- oder Informationssicherheit,

2. ein Ausschluss dieser Daten von der Verarbeitung die Erfüllung der Aufgaben des Bun- desamtes unmöglich machen oder diese erheblich gefährden würde und

3. kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffe- nen Person an dem Ausschluss dieser Daten von der Verarbeitung überwiegt.

- 33 - Bearbeitungsstand: 22.12.2023 09:58

betroffenen Person an dem Ausschluss dieser Daten von der Verarbeitung überwiegt.

(4) Das Bundesamt sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 des Bundesdaten- schutzgesetzes vor.

§ 21

Beschränkungen der Rechte der betroffenen Person

Für die Rechte der betroffenen Person gegenüber dem Bundesamt gelten ergänzend zu den in der Verordnung (EU) 2016/679 enthaltenen Ausnahmen die nachfolgenden Be- schränkungen. Soweit dieses Gesetz keine oder geringere Beschränkungen der Rechte der betroffenen Person enthält, gelten für die Beschränkungen im Übrigen die Regelungen des Bundesdatenschutzgesetzes ergänzend.

- 33 - Bearbeitungsstand: 07.05.2024 10:19

§ 22

Informationspflicht bei Erhebung von personenbezogenen Daten

(1) Die Pflicht zur Information gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 besteht ergänzend zu den in Artikel 13 Absatz 4 und Artikel 14 Absatz 5 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht, wenn

1. die Informationserteilung die ordnungsgemäße Erfüllung der in der Zuständigkeit des Bundesamtes liegenden Aufgaben gefährden würde oder

2. die Informationserteilung die öffentliche Sicherheit oder Ordnung oder die Ver- ordnung (EU) 2016/679 genannten Ausnahmen nicht, wenn

1. die Informationserteilung die ordnungsgemäße Erfüllung der in der Zuständigkeit des Bundesamtes liegenden Aufgaben gefährden würde oder

2. die Informationserteilung die öffentliche Sicherheit oder Ordnung oder die Gewährleis- tung der Netz- und Informationssicherheit auf sonstige Weise gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde

und deswegen das Interesse der betroffenen Person an der Informationserteilung zurück- treten muss.

(2) Unterbleibt eine Information der betroffenen Person nach Maßgabe des Absat- zes, Absatzes 1, ergreift das Bundesamt geeignete Maßnahmen zum Schutz der berechtigten Interes- sen der betroffenen Person, einschließlich der Bereitstellung der in Artikel 13 Absatz 1 und 2 und Artikel 14 Absatz 1 und 2 der Verordnung (EU) 2016/679 genannten Informatio- nen Interessen der betroffenen Person, einschließlich der Bereitstellung der in Artikel 13 Ab- satz 1 und 2 und Artikel 14 Absatz 1 und 2 der Verordnung (EU) 2016/679 genannten In- formationen für die Öffentlichkeit in präziser, transparenter, verständlicher und leicht zugänglicher zu- gänglicher Form in einer klaren und einfachen Sprache. Das Bundesamt hält schriftlich fest, aus wel- chen Gründen es von einer Information der betroffenen Person abgesehen hat.

§ 23

Auskunftsrecht der betroffenen Person

(1) Das Recht auf Auskunft gemäß Artikel 15 Absatz 1 und 2 der Verordnung (EU) 2016/679 besteht nicht, wenn und soweit

1. die Auskunftserteilung die ordnungsgemäße Erfüllung der Aufgaben gefährden wür- de, welchen Gründen es von einer Information der betroffenen Person abgesehen hat.

§ 23

Auskunftsrecht der betroffenen Person

(1) Das Recht auf Auskunft gemäß Artikel 15 Absatz 1 und 2 der Verordnung (EU) 2016/679 besteht nicht, wenn und soweit

1. die Auskunftserteilung die ordnungsgemäße Erfüllung der Aufgaben gefährden würde, die in der Zuständigkeit des Bundesamtes liegen,

2. die Auskunftserteilung

- 34 - Bearbeitungsstand: 22.12.2023 09:58

a) die öffentliche Sicherheit oder Ordnung oder die Gewährleistung der Netz- und Informationssicherheit a) die öffentliche Sicherheit oder die Gewährleistung der Netz- und Informationssi- cherheit gefährden würde oder

b) sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde oder

3. die Auskunftserteilung strafrechtliche Ermittlungen oder die Verfolgung von Straftaten gefährden würde

und deswegen das Interesse der betroffenen Person an der Auskunftserteilung zurücktre- ten muss.

(2) § 34 Absatz 2 bis 4 des Bundesdatenschutzgesetzes gilt entsprechend.

§ 24

Recht auf Berichtigung

(1) Das Recht der betroffenen Person auf Berichtigung und Vervollständigung ge- mäß Artikel 16 der Verordnung (EU) 2016/679 besteht nicht, wenn und soweit die Erfül- lung der Rechte der betroffenen Person die ordnungsgemäße Erfüllung der in der Zustän- digkeit des Bundesamtes liegenden Aufgaben gefährden würde und deswegen das Inter- esse der betroffenen - 34 - Bearbeitungsstand: 07.05.2024 10:19

§ 24

Recht auf Berichtigung

(1) Das Recht der betroffenen Person auf Berichtigung und Vervollständigung gemäß Artikel 16 der Verordnung (EU) 2016/679 besteht nicht, wenn und soweit die Erfüllung der Rechte der betroffenen Person die ordnungsgemäße Erfüllung der in der Zuständigkeit des Bundesamtes liegenden Aufgaben gefährden würde und deswegen das Interesse der be- troffenen Person an der Ausübung dieser Rechte zurücktreten muss.

(2) In den Fällen des Absatzes 1 hat die betroffene Person einen Anspruch darauf, den Daten für die Dauer der Verarbeitung eine Gegendarstellung beizufügen, sofern dies für eine faire und transparente Verarbeitung erforderlich ist.

§ 25

Recht auf Löschung

(1) Im Fall der nicht automatisierten Verarbeitung besteht die Pflicht des Bundesam- tes zur Löschung personenbezogener Daten gemäß Artikel 17 Absatz 1 und 2 der Verord- nung Bundesamtes zur Löschung personenbezogener Daten gemäß Artikel 17 Absatz 1 und 2 der Verordnung (EU) 2016/679 ergänzend zu den in Artikel 17 Absatz 3 genannten Ausnahmen nicht, wenn

1. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unver- hältnismäßig hohem Aufwand möglich ist und

2. das Interesse der betroffenen Person an der Löschung als gering anzusehen ist.

In diesem Fall tritt an die Stelle der Löschung eine Einschränkung der Verarbeitung ge- mäß gemäß Artikel 18 der Verordnung (EU) 2016/679. Die Sätze 1 und 2 sind nicht anzuwenden, wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden.

(2) Ist die Löschung lediglich für eine etwaige gerichtliche Überprüfung von Maßnah- men nach § 8 Absatz 4 zurückgestellt, dürfen die Daten ohne Einwilligung der betroffenen Person nur zu diesem Zweck verwendet werden. Sie sind für andere Zwecke in der Verar- beitung einzuschränken. § 8 Absatz 8 bleibt unberührt.

- 35 - Bearbeitungsstand: 22.12.2023 09:58

§ 26

Recht auf Einschränkung der Verarbeitung

Die Pflicht des Bundesamtes zur Einschränkung der Verarbeitung gemäß Artikel 18 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 besteht für die Dauer der Überprü- fung der Richtigkeit der personenbezogenen Daten nicht, wenn

1. die Verarbeitung oder Weiterverarbeitung durch dieses Gesetz ausdrücklich geregelt ist oder

2. die Einschränkung der Verarbeitung die Abwehr von Gefahren für die Sicherheit in der Informationstechnik gefährden würde.

§ 27

Widerspruchsrecht

Das Recht der betroffenen Person auf Widerspruch gemäß Artikel 21 Absatz 1 der Verordnung - 35 - Bearbeitungsstand: 07.05.2024 10:19

§ 27

Widerspruchsrecht

Das Recht der betroffenen Person auf Widerspruch gemäß Artikel 21 Absatz 1 der Ver- ordnung (EU) 2016/679 besteht nicht, wenn

1. an der Verarbeitung ein zwingendes öffentliches Interesse besteht, das die Interes- sen Interessen der betroffenen Person überwiegt, oder

2. eine Rechtsvorschrift das Bundesamt zur Verarbeitung verpflichtet.

Darüber hinaus darf das Bundesamt die personenbezogenen Daten ergänzend zu Arti- kel 21 Absatz 1 Satz 2 der Verordnung (EU) 2016/679 so lange verarbeiten, bis das Bun- desamt geprüft hat, ob zwingende schutzwürdige Gründe für die Verarbeitung bestehen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.

T e i l 3

S i c h e r h e i t i n d e r I n f o r m a t i o n s t e c h n i k
v o n E i n r i c h t u n g e n

Kapitel 1

Anwendungsbereich

§ 28

Besonders wichtige Einrichtungen und wichtige Einrichtungen

(1) Eine besonders wichtige Einrichtung ist

1. eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisa- tionseinheit einer Gebietskörperschaft, die anderen natürlichen oder juristischen Per- sonen entgeltlich Waren oder Dienstleistungen anbietet, die, einer der in Anlage 1 bestimmten Einrichtungsarten zuzuordnen ist und die

- 36 - Bearbeitungsstand: 22.12.2023 09:58

a) mindestens 250 Mitarbeiter beschäftigt, oder

b) einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanz- summe von über 43 Millionen Euro aufweist;

2. eine natürliche oder juristische Person, die, einer der in Anlage 1 bestimmten Einrich- tungsarten qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registry oder DNS-Diensteanbieter zuzuordnen ist,

3. ein Anbieter von Telekommunikationsdiensten oder öffentlich zugänglichen Telekom- munikationsnetzen , der

a) mindestens 50 Mitarbeiter beschäftigt oder

b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist.

4. ein Betreiber kritischer Anlagen .

Davon ausgenommen sind

1. Finanzunternehmen nach Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 und ein Unternehmen, für welches die Anforderungen der Verordnung (EU) 2022/2554 auf Grund von § 1a Absatz 2 Kreditwesengesetz oder § 293 Absatz 5 Versicherungsauf- sichtsgesetz gelten, und

2. die Gesellschaft für Telematik nach § 306 Absatz 1 Satz 3 des Fünften Buches Sozi- algesetzbuch, ein Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach § 311 Absatz 6 und § 325 des Fünften Buches Sozialgesetzbuch zugelasse- nen Dienste und ein Betreiber von Diensten, soweit dieser die Telematikinfrastruktur für nach § 327 Absatz 2 bis 5 des Fünften Buches Sozialgesetzbuch bestätigte An- wendungen nutzt.

(2) Eine wichtige Einrichtung ist

1. eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisa- tionseinheit einer Gebietskörperschaft, die anderen natürlichen oder juristischen Per- sonen entgeltlich Waren oder Dienstleistungen anbietet, die einer der in Anlagen 1 und 2 bestimmten Einrichtungsarten zuzuordnen ist und die

a) mindestens 50 Mitarbeiter beschäftigt oder

b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist; oder

2. ein Vertrauensdiensteanbieter.

Davon ausgenommen sind

1. besonders wichtige Einrichtungen,

2. Finanzunternehmen nach Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 und ein Unternehmen, für welche die Anforderungen der Verordnung (EU) 2022/2554 auf Grund von § 1a Absatz 2 Kreditwesengesetz oder § 293 Absatz 5 Versicherungsauf- sichtsgesetz gelten, und

- 37 - Bearbeitungsstand: 22.12.2023 09:58

3. die Gesellschaft für Telematik nach § 306 Absatz 1 Satz 3 des Fünften Buches Sozi- algesetzbuch, ein Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach § 311 Absatz 6 und § 325 des Fünften Buches Sozialgesetzbuch zugelasse- nen Dienste und ein Betreiber von Diensten, soweit dieser die Telematikinfrastruktur für nach § 327 Absatz 2 bis 5 des Fünften Buches Sozialgesetzbuch bestätigte An- wendungen nutzt.

(3) Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsum- me Als besonders wichtige Einrichtung gelten

1. Betreiber kritischer Anlagen,

2. qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS- Diensteanbieter

3. Anbieter öffentlich zugänglicher Telekommunikationsdienste oder öffentliche Telekom- munikationsnetze, die

a) mindestens 50 Mitarbeiter beschäftigen oder

b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen;

4. natürliche oder juristische Personen oder rechtlich unselbstständige Organisationsein- heiten einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbieten, die einer der in Anlage 1 bestimmten Einrichtungsarten zuzuordnen ist und die

a) mindestens 250 Mitarbeiter beschäftigt oder

- 36 - Bearbeitungsstand: 07.05.2024 10:19

b) einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanz- summe von über 43 Millionen Euro aufweisen.

Davon ausgenommen sind Einrichtungen der Bundesverwaltung, insofern sie nicht gleich- zeitig Betreiber kritischer Anlagen sind.

(2) Als wichtige Einrichtungen gelten

1. Vertrauensdiensteanbieter

2. Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die

a) weniger als 50 Beschäftigte haben und

b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger aufweisen.

3. eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisa- tionseinheit einer Gebietskörperschaft, die anderen natürlichen oder juristischen Per- sonen entgeltlich Waren oder Dienstleistungen anbietet, die einer der in Anlagen 1 und 2 bestimmten Einrichtungsarten zuzuordnen ist und die

a) mindestens 50 Mitarbeiter beschäftigt oder

b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist.

Davon ausgenommen sind besonders wichtige Einrichtungen und Einrichtungen der Bun- desverwaltung.

(3) Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanz- summe nach den Absätzen 1 und 2 ist auf die der Einrichtungsart zuzuordnende Geschäftstä- tigkeit Geschäfts- tätigkeit abzustellen und außer für rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft die Empfehlung 2003/361/EG mit Ausnahme von Artikel 3 Absatz 4 des Anhangs anzuwenden. Die Daten von Partner- oder verbundenen Unternehmen im Sinne der Empfehlung 2003/361/EG sind nicht hinzuzurechnen, wenn das Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Kom- ponenten und Prozesse, unabhängig von seinen Partner- oder verbundenen Unterneh- men Unternehmen ist.

(4) Die §§ 31, 32, 35 und 39 gelten nicht für:

1. Besonders wichtige Einrichtungen und wichtige Einrichtungen, soweit sie

a) ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste Te- lekommunikationsdienste erbringen, und

b) den Regelungen des Telekommunikationsgesetzes unterliegen;

2. Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energie- wirtschaftsgesetzes vom 7. Juli 2005 (BGBl. I S. 1970; 3621), das zuletzt durch Arti- kel 9 des Gesetzes vom 26. Juli 2023 (BGBl. 2023 I Nr. 202) geändert worden ist, soweit sie den Regelungen des § 5c des Energiewirtschaftsgesetzes unterliegen,

3. Finanzunternehmen nach Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 und Unternehmen, für welche die Anforderungen der Verordnung (EU) 2022/2554 auf Grund von § 1a Absatz 2 Kreditwesengesetz oder § 293 Absatz 5 Versicherungsauf- sichtsgesetz gelten,

(5) wirtschaftsgesetz vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 1 des Gesetzes vom 5. Februar 2024 (BGBl. 2024 I Nr. 32) geändert worden ist, soweit sie den Regelungen des § 5c des Energiewirtschaftsgesetzes unterliegen.

(5) Die §§ 30, 31, 32, 35, 36, 38 und 39 gelten gilt nicht für

- 37 - Bearbeitungsstand: 07.05.2024 10:19

1. Finanzunternehmen nach Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 und Un- ternehmen, für welche die Anforderungen der Verordnung (EU) 2022/2554 auf Grund von § 1a Absatz 2 Kreditwesengesetz oder § 293 Absatz 5 Versicherungsaufsichtsge- setz gelten,

2. die Gesellschaft für Telematik nach § 306 Absatz 1 Satz 3 des Fünften Buches Sozial- gesetzbuch, ein Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach § 311 Absatz 6 und § 325 des Fünften Buches Sozialgesetzbuch zugelassenen Dienste und ein Betreiber von Diensten, soweit dieser die Telematikinfrastruktur für nach § 327 Absatz 2 bis 5 des Fünften Buches Sozialgesetzbuch bestätigte Anwen- dungen nutzt.

(6) Ein Betreiber kritischer Anlagen ist eine natürliche oder juristische Person oder eine rechtlich unselbständige Organisationseinheit einer Gebietskörperschaft, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestim- menden Einfluss auf eine kritische Anlage Be- rücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine oder mehrere kritische Anlagen ausübt.

(6) Eine Anlage ist ab dem durch die Rechtsverordnung nach § 57 Absatz 4 festge- legten Stichtag eine kritische Anlage, wenn sie einer der durch Rechtsverordnung nach § 57 (7) Eine Anlage ist ab dem durch die Rechtsverordnung nach § 58 Absatz 4 festge- legten Stichtag erheblich nach § 2 Absatz 1 Nummer 21, wenn sie einer der durch Rechts- verordnung nach § 58 Absatz 4 festgelegten Anlagenarten in den Sektoren Energie, Transport Trans- port und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Wasser, Ernährung, Informations- technik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung zuzuordnen ist und diese die durch die Rechtsverordnung nach § 57 Absatz 4 festgelegten Schwellen- werte Ernäh- rung, Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsor- gung zuzuordnen ist und diese die durch die Rechtsverordnung nach § 58 Absatz 4 festge- legten Schwellenwerte überschreitet.

(7) Eine Anlage ist ab dem nächsten folgenden durch die Rechtsverordnung nach § 57 Absatz 4 als Stichtag festgelegten Tag keine kritische Anlage mehr, (8) Eine Anlage ist ab dem nächsten folgenden durch die Rechtsverordnung nach § 58 Absatz 4 als Stichtag festgelegten Tag nicht mehr erheblich nach § 2 Absatz 1 Nummer 21, wenn sie die durch die Verordnung festgelegten Schwellenwerte unterschreitet.

(8) Eine juristische Person oder eine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft ist keine wichtige oder besonders wichtige Einrichtung im Sinne dieses Gesetzes, wenn diese

- 38 - Bearbeitungsstand: 22.12.2023 09:58

(9) Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Vertrauensdiensteanbieter, Managed Service Provider und Managed Security Services Provider sind keine wichtigen oder besonders wichtigen Einrichtungen im Sinne dieses Ge- setzes, wenn diese

1. im ausschließlichen mittel- oder unmittelbaren Eigentum von Gebietskörperschaften, ausgenommen des Bundes, steht,

2. ausschließlich Waren oder Dienstleistungen für Gebietskörperschaften, ausgenom- men des Bundes, gegen Entgelt anbietet und

3. durch landesrechtliche Vorschriften unter Bezugnahme auf diesen Absatz reguliert wird.

§ 29

Einrichtungen der Bundesverwaltung

(1) Einrichtungen der Bundesverwaltung im Sinne dieses Gesetzes sind

1. Stellen des Bundes,

stehen,

2. keine Waren oder Dienstleistungen gegen Entgelt für Einrichtungen der Bundesverwal- tung anbieten und

3. durch landesrechtliche Vorschriften unter Bezugnahme auf diesen Absatz reguliert werden.

§ 29

Einrichtungen der Bundesverwaltung

(1) Einrichtungen der Bundesverwaltung im Sinne dieses Gesetzes sind

1. Stellen des Bundes, sowie

2. Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie ihre Vereini- gungen, ungeachtet ihrer Rechtsform, auf Bundesebene, sowie

3. öffentliche Unternehmen, die mehrheitlich im Eigentum des Bundes stehen und die IT-Dienstleistungen für die Bundesverwaltung erbringen,

die keine Institutionen der sozialen Sicherung sind.

(2) Für Einrichtungen der Bundesverwaltung finden die Regelungen für besonders wichtige Einrichtungen Anwendung. Davon ausgenommen sind die Regelungen in den §§ 38 und 64.

(3) Der Geschäftsbereich des Bundesministeriums der Verteidigung ist von den Re- gelungen der §§ 10, 13 Absatz 1 Nummer 1 Buchstabe e), 30, 33, 35, 38, 50 Absatz 3 und 64 ausgenommen.

Kapitel 2

Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten

§ 30

Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen

(1) Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbrin- gung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Dabei sind das Ausmaß der Risikoexposition die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu

- 39 - Bearbeitungsstand: 22.12.2023 09:58

berücksichtigen. Die Einhaltung Bundesebene;

- 38 - Bearbeitungsstand: 07.05.2024 10:19

hiervon ausgenommen sind Institutionen der Sozialen Sicherung, berufsständische Körper- schaften des öffentlichen Rechts sowie Industrie- und Handelskammern.

(2) Für Einrichtungen der Bundesverwaltung finden die Regelungen für besonders wichtige Einrichtungen Anwendung. Davon ausgenommen sind die Regelungen in den §§ 38, 40 Absatz 3 und § 61, 65.

(3) Die Geschäftsbereiche des Auswärtigen Amts und des Bundesministeriums der Verteidigung sowie der Bundesnachrichtendienst und das Bundesamt für Verfassungs- schutz sind zusätzlich von den Regelungen der §§ 10, 13 Absatz 1 Nummer 1 Buchstabe e, § 30, 33, 35 und 50 Absatz 3 ausgenommen. Das Auswärtige Amt erlässt im Einvernehmen mit dem Bundesministerium des Innern und für Heimat eine allgemeine Verwaltungsvorschrift, um die Ziele der NIS-2-Richtlinie im Ge- schäftsbereich mit nachgeordneten Behörden haben, ist auch für „ressort-unabhängige“ oberste Bundesbehörden die Rolle eines Ressort-ISB einzurichten. In obersten Bundes- behörden ohne Geschäftsbereich bzw. nachgeordnete Behörden werden die Rollen des Einrichtungs-ISB und des Ressort-ISB in Personalunion wahrgenommen. Weitere Rege- lungen in diesem des Auswärtigen Amtes durch ergebnisäquivalente Maßnahmen umzuset- zen.

Kapitel 2

Risikomanagement, Melde-, Registrierungs-, Nachweis-
und Unterrichtungspflichten

§ 30

Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen

(1) Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, ge- eignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informations- technischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu hal- ten. Dabei sind das Ausmaß der Risikoexposition die Größe der Einrichtung, die Umset- zungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen so- wie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen. Die Ein- haltung der Verpflichtung nach Satz 1 ist durch die Einrichtungen zu dokumentieren.

(2) Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlä- gigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. Die Maßnahmen müssen zumindest Folgendes umfassen:

1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informations- technik,

2. Bewältigung von Sicherheitsvorfällen,

3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,

4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehun- gen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,

5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstech- nischen - 39 - Bearbeitungsstand: 07.05.2024 10:19

5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechni- schen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,

6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagement- maßnahmen Of- fenlegung von Schwachstellen,

6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaß- nahmen im Bereich der Sicherheit in der Informationstechnik,

7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik,

8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,

9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,

10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebe- nenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

(3) Der von der Europäischen Kommission gemäß Artikel 21 Absatz 5 Unterabsatz 1 der NIS-2-Richtlinie erlassene Durchführungsrechtsakt zur Festlegung der technischen und methodischen Anforderungen an die in Absatz 1 genannten Maßnahmen in Bezug auf DNS-Diensteanbieter, Top Level Domain Name Registries, Cloud-Computing-Dienst- leister, Anbieter von Rechenzentrumsdiensten, Betreiber von Content Delivery Networks, Managed Service Provider, Managed Security Service Provider, Anbieter von Online- Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter hat für die vorgenannten Einrichtungsarten Vorrang.

(4) Soweit die Europäische Kommission einen Durchführungsrechtsakt gemäß Arti- kel 21 Absatz 5 Unterabsatz 2 der NIS-2-Richtlinie erlässt, in dem die technischen und methodischen Anforderungen sowie erforderlichenfalls die sektoralen Anforderungen der in Absatz 2 genannten Maßnahmen festgelegt werden, so gehen diese Anforderungen den in Absatz 2 genannten Maßnahmen vor.

Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Betreiber von Content Delivery Networks, Mana- ged Service Provider, Managed Security Service Provider, Anbieter von Online-Marktplät- zen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrau- ensdiensteanbieter hat für die vorgenannten Einrichtungsarten Vorrang.

(4) Soweit die Europäische Kommission einen Durchführungsrechtsakt gemäß Arti- kel 21 Absatz 5 Unterabsatz 2 der NIS-2-Richtlinie erlässt, in dem die technischen und me- thodischen Anforderungen sowie erforderlichenfalls die sektoralen Anforderungen der in Absatz 2 genannten Maßnahmen festgelegt werden, so gehen diese Anforderungen den in Absatz 2 genannten Maßnahmen vor, soweit sie entgegenstehen.

(5) Soweit die Durchführungsrechtsakte der Europäischen Kommission nach Arti- kel 21 Absatz 5 der NIS-2-Richtlinie keine abschließenden Bestimmungen über die techni- schen und methodischen Anforderungen sowie erforderlichenfalls die sektoralen Anforde- - 40 - Bearbeitungsstand: 22.12.2023 09:58

rungen an die in Absatz 2 genannten Maßnahmen in Bezug auf besonders wichtige Ein- richtungen und wichtige Einrichtungen enthalten, können diese Bestimmungen vom Bun- desministerium des Innern und Heimat im Benehmen mit den jeweils betroffenen Res- sorts durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, unter Berücksichtigung der möglichen Folgen unzureichender Maßnahmen sowie der Bedeu- tung bestimmter Einrichtungen präzisiert und erweitert werden.

(6) Besonders wichtige Einrichtungen und wichtige Einrichtung dürfen durch Rechts- verordnung nach § 57 Absatz 4 rungen an die in Absatz 2 genannten Maßnahmen in Bezug auf besonders wichtige Ein- richtungen und wichtige Einrichtungen enthalten, können diese Bestimmungen vom Bun- desministerium des Innern und Heimat im Benehmen mit den jeweils betroffenen Ressorts durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, unter Berück- sichtigung der möglichen Folgen unzureichender Maßnahmen sowie der Bedeutung be- stimmter Einrichtungen präzisiert und erweitert werden.

(6) Besonders wichtige Einrichtungen und wichtige Einrichtung dürfen durch Rechts- verordnung nach § 58 Absatz 3 bestimmte IKT-Produkte, IKT-Dienste und IKT-Prozesse nur verwenden, wenn diese über eine Cybersicherheitszertifizierung gemäß europäischer Schemata nach Artikel 49 der Verordnung (EU) 2019/881 verfügen.

(7) Besonders wichtige Einrichtungen sind ab dem [einsetzen: 1 Jahr nach Inkrafttre- ten] verpflichtet, am Informationsaustausch nach § 6 teilzunehmen.

(8) Unbeschadet der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Strafta- ten dürfen der Austausch von Informationen nach § 6 oder die freiwillige Meldung nach § 5 nicht dazu führen, dass der meldenden Einrichtung zusätzliche Verpflichtungen aufer- legt auferlegt werden, die nicht für sie gegolten hätten, wenn sie die Meldung nicht übermittelt hät- te.

(9) hätte.

(8) Besonders wichtige Einrichtungen und ihre Branchenverbände können branchen- spezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Diese vorgeschlagenen Sicherheitsstandards müssen Durchführungsrechts- akte der Europäischen Kommission so berücksichtigen, dass sie nicht im Widerspruch zu

- 40 - Bearbeitungsstand: 07.05.2024 10:19

den dort genannten Anforderungen stehen sowie darin enthaltende Vorgaben nicht unter- schritten werden. Das Bundesamt stellt auf Antrag fest, ob die vorgeschlagenen Sicher- heitsstandards branchenspezifisch und geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt:

1. im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe;

2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes.

(10) Betreiber kritischer Anlagen können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach § 39 Absatz 1 vorschlagen. Absatz 9 Sätze 2 bis 4 gelten entsprechend.

§ 31

Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen

(1) Für Betreiber kritischer Anlagen gelten für die informationstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Anlagen maßgeblich sind, im Vergleich anderen informationstechnischen Syste- men, Komponenten und Prozessen besonders wichtiger Einrichtungen auch aufwändige- re (9) Betreiber kritischer Anlagen können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach § 39 Absatz 1 vorschlagen. Absatz 8 Satz 2 bis 4 gelten entsprechend.

§ 31

Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen

(1) Für Betreiber kritischer Anlagen gelten für die informationstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kriti- schen Anlagen maßgeblich sind, im Vergleich zu anderen informationstechnischen Syste- men, Komponenten und Prozessen besonders wichtiger Einrichtungen auch aufwändigere Maßnahmen nach § 30 als verhältnismäßig, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der be- troffenen kritischen Anlage steht.

(2) Betreiber kritischer Anlagen sind verpflichtet, Systeme zur Angriffserkennung einzusetzen. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Para- meter betroffenen kritischen Anlage steht.

(2) Betreiber kritischer Anlagen sind verpflichtet, Systeme zur Angriffserkennung ein- zusetzen. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. aus- werten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizie-

- 41 - Bearbeitungsstand: 22.12.2023 09:58

ren identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnah- men vorzusehen. Dabei soll der Stand der Technik eingehalten werden. Der hierfür erfor- derliche Aufwand soll nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beseitigungsmaßnahmen vor- zusehen. Dabei soll der Stand der Technik eingehalten werden. Der hierfür erforderliche Aufwand soll nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchti- gung der betroffenen kritischen Anlage stehen.

§ 32

Meldepflichten

(1) Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, fol- gende Informationen an eine vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete gemeinsame Meldestelle zu melden:

1. unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkun- gen haben könnte;

2. unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Meldung über diesen Sicherheitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittie- rungsindikatoren angegeben werden;

- 41 - Bearbeitungsstand: 07.05.2024 10:19

3. auf Ersuchen des Bundesamtes eine Zwischenmeldung über relevante Statusaktuali- sierungen;

4. spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Nummer 2, vorbehaltlich Absatz 2, eine Abschlussmeldung, die Folgendes enthält:

a) eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen;

b) Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat;

c) Angaben zu den getroffenen und laufenden Abhilfemaßnahmen;

d) gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls;

Die Verpflichtung nach Satz 1 gilt frühestens ab Einrichtung des Meldewegs.

(2) Dauert der Sicherheitsvorfall zum im Absatz 1 Nummer 4 genannten Zeitpunkt noch an, legt die betreffende Einrichtung statt einer Abschlussmeldung zu diesem Zeit- punkt Zeitpunkt eine Fortschrittsmeldung vor.Die Abschlussmeldung ist dann innerhalb eines Mo- nats nach Abschluss der Bearbeitung des Sicherheitsvorfalls vorzulegen.

(3) Betreiber kritischer Anlagen sind zusätzlich verpflichtet, Angaben zur Art der be- troffenen Anlage und der kritischen Dienstleistung sowie zu den Auswirkungen des Monats nach Abschluss der Bearbeitung des Sicherheitsvorfalls vorzulegen.

(3) Betreiber kritischer Anlagen sind zusätzlich verpflichtet, Angaben zur Art der be- troffenen Anlage und der kritischen Dienstleistung sowie zu den Auswirkungen des Sicher- heitsvorfalls auf diese Dienstleistung zu übermitteln, wenn ein erheblicher Sicherheitsvorfall Auswirkungen auf die von ihnen betriebene kritische Anlage hat oder haben könnte.

(4) Das Bundesamt kann legt die Einzelheiten zur Ausgestaltung des Meldeverfahrens und zur Konkretisierung der Meldungsinhalte nach Anhörung der betroffenen Betreiber und der betroffenen Wirtschaftsverbände im Benehmen mit dem Bundesamt für Bevölke- rungsschutz und Katastrophenhilfe festlegen, soweit sie möglichen Durchführungsrechts- akten der Europäischen Einvernehmen mit dem Bundesamt für Bevölkerungs- schutz und Katastrophenhilfe eingerichtete gemeinsame Meldestelle zu melden sowie im Falle von Einrichtungen der Bundesverwaltung zusätzlich der jeweiligen Aufsichtsbehör- de:

1. unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidri- ge oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswir- kungen haben könnte;

2. unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Meldung über diesen Sicherheitsvor- fall, in der die in Nummer 1 genannten Informationen bestätigt oder aktualisiert wer- den und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich sei- nes Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromit- tierungsindikatoren angegeben werden;

3. auf Ersuchen des Bundesamtes eine Zwischenmeldung über relevante Statusaktuali- sierungen;

4. spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls ge- mäß Nummer 2, vorbehaltlich Absatz 2, eine Abschlussmeldung, die Folgendes ent- hält:

fest, soweit sie möglichen Durchführungsrechtsakten der Eu- ropäischen Kommission nicht widersprechen. Die Informationen nach Satz 1 werden durch das Bundesamt auf dessen Internetseite veröffentlicht.

§ 33

Registrierungspflicht

(1) Besonders wichtige Einrichtungen und wichtige Einrichtungen sowie (5) Das Bundesamt informiert die zuständigen Aufsichtsbehörden des Bundes unver- züglich über die bei ihm eingegangenen Meldungen.

§ 33

Registrierungspflicht

(1) Besonders wichtige Einrichtungen und wichtige Einrichtungen sowie Domain- Name-Registry-Diensteanbieter sind verpflichtet, spätestens drei Monate, nachdem sie erstmals oder erneut als eine der vorgenannten Einrichtungen gelten oder Domain-Name- Registry-Dienste anbieten, dem Bundesamt über eine gemeinsam vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Registrie- rungspflichten rungsmöglichkeit folgenden Angaben zu übermitteln:

1. Name der Einrichtung, einschließlich der Rechtsform und soweit einschlägig der Han- delsregisternummer;

2. Anschrift und aktuelle Kontaktdaten, einschließlich E-Mail-Adresse, öffentliche IP- Adressbereiche IP-Ad- ressbereiche und Telefonnummern;

3. relevanter in Anlage 1 oder 2 genannter Sektor oder soweit einschlägig Branche,

- 42 - Bearbeitungsstand: 07.05.2024 10:19

4. Auflistung derjenigen Mitgliedstaaten der Europäischen Union, in denen die Einrich- tung Dienste der in Anlage 1 oder 2 genannten Einrichtungsarten erbringen, und

5. die für die Tätigkeiten, aufgrund derer die Registrierung erfolgt, zuständigen Auf- sichtsbehörden des Bundes.

(2) Betreiber kritischer Anlagen übermitteln mit den Angaben nach Absatz 1 die kriti- sche Dienstleistung, die öffentlichen IP-Adressbereiche der von ihnen betriebenen Anla- gen sowie die für die von ihnen betriebenen kritischen Anlagen ermittelte Anlagenkatego- rie und ermittelte Versorgungskennzahlen gemäß der Rechtsverordnung nach § 54 Ab- satz 1 Einrichtung Dienste der in Anlage 1 oder 2 genannten Einrichtungsarten erbringen, und

5. die für die Tätigkeiten, aufgrund derer die Registrierung erfolgt, zuständigen Aufsichts- behörden des Bundes und der Länder.

(2) Betreiber kritischer Anlagen übermitteln mit den Angaben nach Absatz 1 die kriti- sche Dienstleistung, die öffentlichen IP-Adressbereiche der von ihnen betriebenen Anlagen sowie die für die von ihnen betriebenen kritischen Anlagen ermittelte Anlagenkategorie und ermittelte Versorgungskennzahlen gemäß der Rechtsverordnung nach § 58 Absatz 4 sowie den Standort der Anlagen und eine Kontaktstelle. Die Betreiber stellen si- cher, sicher, dass sie über ihre in Satz 1 genannte Kontaktstelle jederzeit erreichbar sind.

(3) Die Registrierung von besonders wichtigen Einrichtungen und wichtigen Einrich- tungen und Domain-Name-Registry-Diensteanbieter kann das Bundesamt im Einverneh- men mit den jeweils zuständigen Aufsichtsbehörden auch selbst vornehmen, wenn ihre Pflicht zur Registrierung nicht erfüllt wird.

(4) Rechtfertigen Tatsachen die Annahme, dass eine Einrichtung ihre Pflicht zur Re- gistrierung nach Absatz 1 oder 2 nicht erfüllt, so hat diese dem Bundesamt auf Verlangen die aus Sicht des Bundesamtes für die Bewertung erforderlichen Aufzeichnungen, Schrift- stücke und sonstigen Unterlagen in geeigneter Weise vorzulegen und Auskunft zu ertei- len, soweit nicht Geheimschutzinteressen oder überwiegende Sicherheitsinteressen erteilen, soweit nicht Geheimschutzinteressen oder überwiegende Sicherheitsinteressen entgegen- stehen.

(5) Bei Änderungen der nach Absatz 1 oder 2 zu übermittelnden Angaben sind dem Bundesamt geänderte Versorgungskennzahlen einmal jährlich zu übermitteln und alle an- deren Angaben unverzüglich, spätestens jedoch zwei Wochen ab dem Zeitpunkt, zu dem die Einrichtung Kenntnis von der Änderung erhalten hat, zu übermitteln.

(6) Das Bundesamt kann die Einzelheiten zur Ausgestaltung des Registrierungsver- fahrens im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe festlegen. Die Festlegung nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der In- ternetseite des Bundesamts.

§ 34

Besondere Registrierungspflicht für bestimmte Einrichtungsarten

(1) Eine Einrichtung der in § 63 legt die Einzelheiten zur Ausgestaltung des Registrierungsverfah- rens im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe fest. Die Festlegung nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der Internet- seite des Bundesamts.

§ 34

Besondere Registrierungspflicht für bestimmte Einrichtungsarten

(1) Eine Einrichtung der in § 64 Absatz 1 Satz 1 genannten Einrichtungsart ist ver- pflichtet, bis zum 17. Januar 2025 dem Bundesamt die folgenden Angaben zu übermitteln:

1. Name der Einrichtung;

2. einschlägiger Sektor, Branche und Einrichtungsart wie in Anlage 1 bestimmt;

3. Anschrift der Hauptniederlassung in der Europäischen Union nach § 60 64 Absatz 2 und ihrer sonstigen Niederlassungen in der Europäischen Union oder, falls er nicht in der Europäischen Union niedergelassen ist, Anschrift seines nach § 63 64 Absatz 3 benann- ten Vertreters;

4. aktuelle Kontaktdaten, einschließlich E-Mail-Adressen und Telefonnummern der Ein- richtung und soweit erforderlich, ihres nach § 63 Absatz 3 benannten Vertreters;

5. die Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste er- bringt, und

6. die öffentlichen IP-Adressbereiche der Einrichtung.

(2) Im Fall einer Änderung der gemäß Absatz 1 übermittelten Angaben unterrichten die Einrichtungen der in § 63 64 Absatz 3 benannten Vertreters;

5. die Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste erbringt, und

- 43 - Bearbeitungsstand: 07.05.2024 10:19

6. die öffentlichen IP-Adressbereiche der Einrichtung.

(2) Im Fall einer Änderung der gemäß Absatz 1 übermittelten Angaben unterrichten die Einrichtungen der in § 64 Absatz 1 Satz 1 genannten Einrichtungsart das Bundesamt unverzüglich über diese Änderung, jedoch spätestens innerhalb von drei Monaten ab dem Tag, an dem die Änderung eingetreten ist.

(3) Mit Ausnahme der in Absatz 1 Nummer 6 genannten Angaben leitet das Bundes- amt die nach diesem § 33 34 übermittelten Angaben an die ENISA weiter.

(4) Das Bundesamt kann für die Übermittlung der Angaben nach den Absätzen 1 und 2 einen geeigneten Meldeweg vorsehen.

§ 35

Unterrichtungspflichten

(1) Im Fall eines erheblichen Sicherheitsvorfalls kann das Bundesamt besonders wichtige Einrichtungen und wichtige Einrichtungen anweisen, die Empfänger ihrer Dienste unverzüglich über diesen erheblichen Sicherheitsvorfall zu unterrichten, der die Erbrin- gung Erbringung des jeweiligen Dienstes beeinträchtigen könnten. Das Bundesamt setzt die zuständi- ge Aufsichtsbehörde des Bundes über Anweisungen nach Satz 1 in Kenntnis. Die Unter- richtung nach Satz 1 kann, auch durch eine Veröffentlichung auf der Internetseite der Ein- richtung erfolgen.

- 44 - Bearbeitungsstand: 22.12.2023 09:58

(2) Einrichtungen nach Absatz 1 aus den Sektoren Finanz- und Versicherungswe- sen, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten und Digi- tale Dienste teilen den potenziell von einer erheblichen Cyberbedrohung betroffenen Empfängern ihrer Dienste und dem Bundesamt unverzüglich alle Maßnahmen oder Abhil- femaßnahmen für die Einrich- tung zuständige Aufsichtsbehörde des Bundes über Anweisungen nach Satz 1 in Kenntnis. Die Unterrichtung nach Satz 1 kann, auch durch eine Veröffentlichung auf der Internetseite der Einrichtung erfolgen.

(2) Einrichtungen nach Absatz 1 aus den Sektoren Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten und Digitale Dienste teilen den potenziell von einer erheblichen Cyberbedrohung betroffenen Empfän- gern ihrer Dienste und dem Bundesamt unverzüglich alle Maßnahmen oder Abhilfemaß- nahmen mit, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen kön- nen. Die Einrichtungen informieren diese Empfänger auch über die erhebliche Cyberbe- drohung können. Die Einrichtungen informieren diese Empfänger auch über die erhebliche Cyberbedrohung selbst. Die Unterrichtungspflicht gilt nur dann, wenn in Abwägung der Interessen der Einrichtung und des Empfängers die Interessen des Empfängers überwiegen.

§ 36

Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen

(1) Im Fall einer Meldung einer Einrichtung gemäß § 31 Ein- richtung und des Empfängers die Interessen des Empfängers überwiegen.

§ 36

Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen

(1) Im Fall einer Meldung einer Einrichtung gemäß § 32 übermittelt das Bundesamt dieser unverzüglich und nach Möglichkeit innerhalb von 24 Stunden eine Bestätigung über den Eingang der Meldung und, auf Ersuchen der Einrichtung, Orientierungshilfen oder operative ope- rative Beratung zu Abhilfemaßnahmen. Das Bundesamt kann auf Ersuchen der betreffenden betreffen- den Anlage als bedeutend im Sinne dieses Gesetzes gilt und damit die Anlage eine kriti- sche Einrichtung zusätzliche technische Unterstützung leisten.

(2) Ist eine Sensibilisierung der Öffentlichkeit erforderlich, um einen erheblichen Si- cherheitsvorfall zu verhindern oder zu bewältigen, oder liegt die Offenlegung des erhebli- chen Sicherheitsvorfalls anderweitig im öffentlichen Interesse, so kann das Bundesamt nach Anhörung der betreffenden Einrichtung die Öffentlichkeit über den erheblichen Si- cherheitsvorfall informieren oder die Einrichtung verpflichten, dies zu tun. Handelt es sich bei der betreffenden Einrichtung um eine Stelle des Bundes, gilt für die Information der Öffentlichkeit § 4 Absatz 3 entsprechend.

Sicher- heitsvorfall informieren oder die Einrichtung verpflichten, dies zu tun. Handelt es sich bei der betreffenden Einrichtung um eine Einrichtung der Bundesverwaltung, gilt für die Infor- mation der Öffentlichkeit § 4 Absatz 3 entsprechend.

- 44 - Bearbeitungsstand: 07.05.2024 10:19

§ 37

Ausnahmebescheid

(1) Das Bundesministerium des Innern und für Heimat kann auf Vorschlag des Bun- deskanzleramts, des Bundesministeriums der Justiz, des Bundesministeriums für Verteidi- gung, der Ministerien für Inneres und Justiz der Länder oder auf eigenes Betreiben beson- ders wichtige Einrichtungen oder wichtige Einrichtungen von Verpflichtungen nach diesem Gesetz nach Maßgabe des Absatzes 2 teilweise befreien des Bundesministeriums für Finanzen, der Ministerien für Inneres und Justiz der Län- der oder auf eigenes Betreiben besonders wichtige Einrichtungen oder wichtige Einrichtun- gen von Verpflichtungen nach diesem Gesetz nach Maßgabe des Absatzes 2 teilweise be- freien (einfacher Ausnahmebescheid) oder nach Maßgabe des Absatzes 3 insgesamt befreien be- freien (erweiterter Ausnahmebescheid), sofern die Einrichtung Vorgaben einhält, die den Verpflichtungen nach diesem Gesetz gleichwertig sind. Die Entscheidung nach Satz 1 erfolgt im Benehmen mit dem jeweils zuständigen Ministerium.

er- folgt mit dem jeweils zuständigen Ministerium im Einvernehmen, im Fall der Ministerien für Inneres und Justiz der Länder im Benehmen.

(2) Einrichtungen, die

1. in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Straf- verfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, (relevante Bereiche) tätig sind oder Dienste erbringen oder

2. ausschließlich für Behörden, die Aufgaben in relevanten Bereichen erfüllen, tätig sind oder Dienste erbringen,

können für diese Tätigkeiten oder Dienste von den Risikomanagementmaßnahmen nach § 30 und Meldepflichten nach § 32 befreit werden. Die Sicherheit in der Informationstech- nik dieser Einrichtungen muss in diesen Fällen anderweitig gewährleistet sein und beauf- sichtigt werden.

- 45 - Bearbeitungsstand: 22.12.2023 09:58

(3) Einrichtungen, die ausschließlich in relevanten Bereichen tätig sind oder Dienste erbringen, können insgesamt von den in Absatz 2 genannten Pflichten und von den Re- Informationstechnik dieser Einrichtungen muss in diesen Fällen anderweitig gewährleistet sein und beaufsichtigt werden.

(3) Einrichtungen, die ausschließlich in relevanten Bereichen tätig sind oder Dienste erbringen, können insgesamt von den in Absatz 2 genannten Pflichten und von den Regist- rierungspflichten nach § 33 und § 34 befreit werden. Absatz 2 Satz 2 gilt entsprechend.

(4) Die Absätze 1 bis 3 gelten nicht, wenn die betreffende Einrichtung ein Vertrauens- diensteanbieter ist.

(5) Ein Ausnahmebescheid nach diesem Gesetz ist zu widerrufen, wenn nachträglich Tatsachen eintreten, die zur Ablehnung einer Erteilung einer Ausnahme hätten führen müssen. müs- sen. Abweichend von Satz 1 kann im Falle eines vorübergehenden Wegfalls der Vor- aussetzungen des Absatzes 2 Satz 1 Nummer 1 oder Nummer 2 von einem Widerruf ab- gesehen Voraus- setzungen des Absatz 2 Nummer 1 oder 2 von einem Widerruf abgesehen werden.

§ 38

Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen beson- ders wichtiger Einrichtungen und wichtiger Einrichtungen

(1) Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtun- gen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikoma- nagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.

(2) Ein Verzicht der Einrichtung auf Ersatzansprüche aufgrund einer Verletzung der Pflichten nach Absatz 1 oder ein Vergleich der Einrichtung über diese Ansprüche ist un- wirksam. in einem groben Missverhältnis zu einer bestehenden Un- gewissheit über das Rechtsverhältnis stehender Vergleich der Einrichtung über diese An- sprüche ist unwirksam. Dies gilt nicht, wenn der Ersatzpflichtige zahlungsunfähig ist und

sich zur Ab- wendung - 45 - Bearbeitungsstand: 07.05.2024 10:19

sich zur Abwendung des Insolvenzverfahrens mit seinen Gläubigern vergleicht oder wenn die Ersatz- Ersatzpflicht in einem Insolvenzplan geregelt wird.

(3) Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrich- tungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementprakti- ken im Bereich der Sicherheit in der Informationstechnik und die Auswirkungen von Risi- ken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste zu erwerben.

§ 39

Nachweispflichten für Betreiber kritischer Anlagen

(1) Betreiber kritischer Anlagen haben die Erfüllung der Anforderungen nach § 30 Absatz 1 und § 31 zu einem vom Bundesamt im Benehmen mit dem Bundesamt für Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik und die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste zu er- werben.

§ 39

Nachweispflichten für Betreiber kritischer Anlagen

(1) Betreiber kritischer Anlagen haben die Erfüllung der Anforderungen nach § 30 Absatz 1 und § 31 zu einem vom Bundesamt im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe festgelegten Zeitpunkt frühestens drei Jahre nachdem sie erstmals oder erneut als ein Betreiber einer kritischen Anlage gelten und an- schließend alle drei Jahre dem Bundesamt auf geeignete Weise nachzuweisen. Der Nachweis Nach- weis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfun- gen Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln die Vorlage eines geeigneten Mängel- beseitigungsplanes und im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bun- des oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der

- 46 - Bearbeitungsstand: 22.12.2023 09:58

Sicherheitsmängel verlangen. Das Bundesamt kann die Vorlage eines geeigneten Nach- weises verlan- gen. Betreiber kritischer Anlagen sind befugt, dem Bundesamt auf Verlangen die zur Be- wältigung der Störung notwendigen Informationen einschließlich personenbezogener Da- ten zu übermitteln, soweit dies zur Bewältigung eines erheblichen Sicherheitsvorfalls er- forderlich ist.

(6) Soweit im Rahmen dieser Vorschrift personenbezogene Daten verarbeitet wer- den, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung zu anderen Zwecken unzulässig. § 8 Absatz 8 Satz 3 bis 9 ist entsprechend anzuwenden.

- 48 - Bearbeitungsstand: 22.12.2023 09:58

§ 41

Untersagung des Einsatzes kritischer Komponenten

(1) Ein Betreiber kritischer Anlagen hat den geplanten erstmaligen Einsatz einer kriti- schen Komponente gemäß § 2 Absatz 1 Nummer 20 Es kann bei Sicherheitsmängeln die Vorlage eines geeigneten Mängelbeseitigungs- planes und im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheits- mängel verlangen. Das Bundesamt kann die Vorlage eines geeigneten Nachweises über die erfolgte Mängelbeseitigung verlangen.

(2) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Prüfungen und Er- bringung der Nachweise nach Absatz 1 Anforderungen an die Art und Weise der Durch- führung, Durchfüh- rung, an die Geeignetheit der zu erbringenden Nachweise sowie nach Anhörung der betroffenen Betreiber und Einrichtungen und der betroffenen Wirtschaftsverbände fachli- che und organisatorische Anforderungen an die prüfenden Stellen festlegen. Die Festle- gung nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der Internetseite des Bun- desamtes.

be- troffenen Betreiber und Einrichtungen und der betroffenen Wirtschaftsverbände fachliche und organisatorische Anforderungen an die prüfenden Stellen im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe festlegen. Die Festlegung nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der Internetseite des Bundesamtes.

(3) Abweichend von Absatz 1 Satz 1 legt das Bundesamt für Betreiber kritischer An- lagen, die bis zum Inkrafttreten dieses Gesetzes Betreiber Kritischer Infrastrukturen nach § 2 Absatz 10 BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Arti- kel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert worden ist, waren, den Zeitpunkt der Nachweiserbringung auf frühestens drei Jahre nach Erbringung des letzten Nachweises nach § 8a Absatz 3 BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert wor- den Artikel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert worden ist, waren, den Zeitpunkt der Nachweiserbringung auf frühestens drei Jahre nach Erbringung des letzten Nachweises nach § 8a Absatz 3 BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert worden ist, fest.

§ 40

Nationale Verbindungsstelle sowie zentrale Melde- und Anlaufstelle für besonders wichtige und wichtige Einrichtungen

(1) Das Bundesamt ist die nationale Verbindungsstelle, sowie die zentrale Melde- und Anlaufstelle für die Aufsicht für besonders wichtige Einrichtungen und wichtige Ein- richtungen in der Sicherheit in der Informationstechnik.

Einrichtun- gen in der Sicherheit in der Informationstechnik.

- 46 - Bearbeitungsstand: 07.05.2024 10:19

(2) Zur Wahrnehmung seiner Aufgabe als nationale Verbindungsstelle koordiniert das Bundesamt

1. die grenzüberschreitende Zusammenarbeit der Länderbehörden, die die Länder als zuständige Behörden für die Aufsicht von Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene nach Artikel 2 Absatz 2 Buchstabe f Nummer ii der NIS-2-Richt- linie bestimmt haben, sowie der Bundesnetzagentur und der Bundesanstalt für Fi- nanzdienstleistungsaufsicht mit den für die Überwachung der Anwendung der NIS-2- Richtlinie zuständigen Behörden anderer Mitgliedstaaten und gegebenenfalls mit der Europäischen zu- ständige Behörden für die Aufsicht von Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene nach Artikel 2 Absatz 2 Buchstabe f Nummer ii der NIS-2-Richtlinie bestimmt haben, sowie der Bundesnetzagentur und der Bundesanstalt für Finanz- dienstleistungsaufsicht mit den für die Überwachung der Anwendung der NIS-2-Richt- linie zuständigen Behörden anderer Mitgliedstaaten und gegebenenfalls mit der Euro- päischen Kommission und der ENISA;

2. sowie die sektorübergreifende Zusammenarbeit der in Nummer 1 genannten Länder- behörden, des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe, der Bun- desnetzagentur und der Bundesanstalt für Finanzdienstleistungsaufsicht.

(3) Zur Wahrnehmung seiner Aufgabe als zentrale Meldestelle hat das Bundesamt

1. die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesent- lichen wesentli- chen Einrichtung oder einen Betreiber einer kritischen Anlage handelt, da in diesen Ein- richtungskategorien von Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Schwachstellen, zu Schadprogrammen und zu Angriffen,

2. die Relevanz dieser Informationen nach Nummer 1 für die Verfügbarkeit kritischer Dienstleistungen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu analysieren,

- 47 - Bearbeitungsstand: 22.12.2023 09:58

3. das Lagebild bezüglich der Sicherheit in der Informationstechnik von kritischen Anla- gen, besonders wichtigen Einrichtungen und wichtigen Einrichtungen kontinuierlich zu aktualisieren und

4. unverzüglich

a) die Betreiber kritischer Anlagen über sie betreffende Informationen nach den Nummern 1 bis 3 nach § 32 Absatz 1 Nummer 2 zu unterrichten und

b) die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 4 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben, zu unterrichten und

c) das Auswärtige Amt über nach § 32 Absatz 1 gemeldete erhebliche Sicherheits- vorfälle, die von besonderer außenpolitischer Bedeutung sind, 33 Absatz 1 Nummer 2 zu unterrichten und unter Berück- sichtigung der Interessen nationaler Sicherheit und Verteidigung

b) die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 5 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben, zu unterrichten und

c) das Auswärtige Amt über nach § 32 Absatz 1 gemeldete erhebliche Sicherheits- vorfälle mit internationalem Bezug, zu unterrichten und

5. im Rahmen vorab zwischen dem Bundesamt und den Empfängern abgestimmter Pro- zesse zur Weitergabe und Wahrung der notwendigen Vertraulichkeit den zuständigen Behörden des Bundes und der Länder Informationen zu besonders wichtigen Einrich- tungen zur Verfügung zu stellen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist.

(4) Zur Wahrnehmung seiner Aufgabe als zentrale Anlaufstelle hat das Bundesamt

1. Anfragen der in Absatz 1 genannten Stellen anzunehmen und an die zuständigen in Absatz 1 genannten Stellen weiterzuleiten,

2. Antworten auf die in Absatz 2 Nummer 2 genannten Anfragen zu erstellen und dabei die in Absatz 1 genannten Stellen zu beteiligen oder Antworten der in Absatz 1 ge- nannten Stellen an die in Absatz 1 genannten Stellen weiterzuleiten, nach § 31 einge- gangene Meldungen an zentrale Anlaufstellen der anderen betroffenen Mitgliedstaa- ten der Europäischen Union weiterzuleiten,

3. wenn ein erheblicher Sicherheitsvorfall zwei oder mehr Mitgliedstaaten der Europäi- schen Union betrifft, die anderen betroffenen Mitgliedstaaten und die ENISA über den erheblichen Sicherheitsvorfall zu unterrichten, wobei die Art der gemäß § 31 2 genannten Stellen anzunehmen und an die zuständigen in Absatz 2 genannten Stellen weiterzuleiten,

2. Antworten auf die in Absatz 2 Nummer 2 genannten Anfragen zu erstellen und dabei die in Absatz 1 genannten Stellen zu beteiligen oder Antworten der in Absatz 2 genann- ten Stellen an die in Absatz 2 genannten Stellen weiterzuleiten, nach § 32 eingegan- gene Meldungen an zentrale Anlaufstellen der anderen betroffenen Mitgliedstaaten der Europäischen Union weiterzuleiten,

- 47 - Bearbeitungsstand: 07.05.2024 10:19

3. wenn ein erheblicher Sicherheitsvorfall zwei oder mehr Mitgliedstaaten der Europäi- schen Union betrifft, die anderen betroffenen Mitgliedstaaten und die ENISA über den erheblichen Sicherheitsvorfall zu unterrichten, wobei die Art der gemäß § 32 Absatz 2 erhaltenen Informationen mitzuteilen und das wirtschaftliche Interesse der Einrich- tung Einrichtung sowie die Vertraulichkeit der bereitgestellten Informationen zu gewahren ist.

(5) Während eines erheblichen Sicherheitsvorfalls gemäß § 32 Absatz 1 kann das Bundesamt im Einvernehmen mit der jeweils zuständigen Aufsichtsbehörde des Bundes von den betroffenen Betreibern kritischer Anlagen die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen. Betreiber kritischer Anlagen sind befugt, dem Bundesamt auf Verlangen die zur Bewälti- gung der Störung notwendigen Informationen einschließlich personenbezogener Daten zu übermitteln, soweit dies zur Bewältigung eines erheblichen Sicherheitsvorfalls erforderlich ist.

(6) Soweit im Rahmen dieser Vorschrift personenbezogene Daten verarbeitet werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung zu anderen Zwecken unzulässig. § 8 Absatz 8 Satz 3 bis 9 ist entsprechend anzuwenden.

§ 41

Untersagung des Einsatzes kritischer Komponenten

(1) Ein Betreiber kritischer Anlagen hat den geplanten erstmaligen Einsatz einer kriti- schen Komponente gemäß § 2 Absatz 1 Nummer 22 dem Bundesministerium des Innern und für Heimat vor ihrem Einsatz anzuzeigen. In der Anzeige sind die kritische Kompo- nente Komponente und die geplante Art ihres Einsatzes anzugeben. Satz 1 gilt für einen Betreiber kriti- scher Anlagen nicht, wenn dieser den Einsatz einer anderen kritischen Komponente des- selben kritischer Anlagen nicht, wenn dieser den Einsatz einer anderen kritischen Komponente desselben Typs für dieselbe Art des Einsatzes bereits nach Satz 1 angezeigt hat und ihm dieser nicht untersagt wurde.

(2) Das Bundesministerium des Innern und für Heimat kann den geplanten erstmali- gen Einsatz einer kritischen Komponente gegenüber dem Betreiber kritischer Anlagen im Benehmen mit den in § 57 58 Absatz 4 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt bis zum Ablauf von zwei Monaten nach Eingang der Anzeige nach Ab- satz 1 untersagen oder Anordnungen erlassen, wenn der Einsatz die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt. Bei der Prüfung Prü- fungen oder Zertifizierungen von unabhängigen Stellen durchführen zu lassen. Auch ohne verpflichtend durchzuführende Audits, Prüfungen oder Zertifizierungen kann das Bundes- amt von einzelnen Einrichtungen Nachweise über die Erfüllung einzelner oder aller Anfor- derungen fung einer voraussichtlichen Beeinträchtigung der öffentlichen Ordnung oder Sicher- heit Sicherheit kann insbesondere berücksichtigt werden, ob

1. der Hersteller unmittelbar oder mittelbar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert wird,

2. der Hersteller bereits an Aktivitäten beteiligt war oder ist, die nachteilige Auswirkungen auf die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland oder eines anderen Mitgliedstaates der Europäischen Union, der Europäischen Freihan- delsassoziation Freihandelsasso- ziation oder des Nordatlantikvertrages oder auf deren Einrichtungen hatten, oder

3. der Einsatz der kritischen Komponente im Einklang mit den sicherheitspolitischen Zielen der Bundesrepublik Deutschland, der Europäischen Union oder des Nordatlan- tikvertrages Zie- len der Bundesrepublik Deutschland, der Europäischen Union oder des Nordatlantik- vertrages steht.

Vor Ablauf der Frist von zwei Monaten nach Anzeige nach Absatz 1 ist der Einsatz nicht gestattet. Das Bundesministerium des Innern und für Heimat kann die Frist gegenüber der Einrichtung um weitere zwei Monate verlängern, wenn die Prüfung besondere Schwierig- keiten tatsächlicher oder rechtlicher Art aufweist.

(3) Kritische Komponenten gemäß § 2 Absatz 1 Nummer 20 - 48 - Bearbeitungsstand: 07.05.2024 10:19

(3) Kritische Komponenten gemäß § 2 Absatz 1 Nummer 22 dürfen nur eingesetzt werden, wenn der Hersteller eine Erklärung über seine Vertrauenswürdigkeit (Garantieer- klärung) gegenüber dem Betreiber der kritischen Anlage abgeben hat. Die Garantieerklä- rung abgegeben hat. Die Garantieer- klärung ist der Anzeige nach Absatz 1 beizufügen. Aus der Garantieerklärung muss hervor- gehen, wie der Hersteller sicherstellt, dass die kritische Komponente nicht über techni- sche technische Eigenschaften verfügt, die spezifisch geeignet sind, missbräuchlich, insbesondere zum Zwecke von Sabotage, Spionage oder Terrorismus auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage einwirken zu kön- nen. Das Bundesministerium des Innern und für Heimat legt die Einzelheiten der Mindes- tanforderungen an die Garantieerklärung im Einvernehmen mit den in § 57 Absatz 4 auf- geführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt durch In- tegrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage einwirken zu können. Das Bundesministerium des Innern und für Heimat legt die Einzelheiten der Mindestanfor- derungen an die Garantieerklärung im Einvernehmen mit den in § 58 Absatz 4 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt durch Allgemeinverfügung fest, die im Bundesanzeiger bekannt zu machen ist. Die Einzelheiten der Mindestanforderungen an die Garantieerklärung müssen aus den Schutzzielen der Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage fol- gen und die Vermeidung von Gefahren für die öffentliche Sicherheit und Ordnung, insbe- sondere In- tegrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage folgen und die Vermei- dung von Gefahren für die öffentliche Sicherheit und Ordnung, insbesondere im Sinne von Absatz 2 Satz 2, adressieren, die aus der Sphäre des Herstellers der kritischen Komponente, Kompo- nente, insbesondere dessen Organisationsstruktur, stammen. Die Sätze 1 und 2 gelten erst ab der Bekanntmachung der Allgemeinverfügung nach Satz 5

- 49 - Bearbeitungsstand: 22.12.2023 09:58

und nicht für bereits vor diesem 4 und nicht für bereits vor die- sem Zeitpunkt eingesetzte kritische Komponenten. Soweit Änderungen der Allgemeinverfügung Allgemeinver- fügung fest, die im Bundesanzeiger bekannt zu machen ist. Die Einzelheiten der Mindes- tanforderungen erfolgen, sind diese für bereits nach diesem Absatz abgegebene Garantieerklärungen Garantieerklärun- gen unbeachtlich.

(4) Das Bundesministerium des Innern und für Heimat kann den weiteren Einsatz einer kritischen Komponente gegenüber dem Betreiber kritischer Anlagen im Einverneh- men mit den in § 57 Absatz 4 aufgeführten jeweils betroffenen Ressorts sowie dem Aus- wärtigen Amt untersagen oder Anordnungen erlassen, wenn der weitere Einsatz die ei- ner kritischen Komponente gegenüber dem Betreiber kritischer Anlagen im Einvernehmen mit den in § 58 Absatz 4 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt untersagen oder Anordnungen erlassen, wenn der weitere Einsatz die öffentliche Ord- nungswidrigkeit in den Fällen des Absatzes 2 Nummer 2 und 3 mit einer Geldbuße bis zu 7 Millionen Euro oder mit einem Höchstbetrag von mindestens 1,4 % des gesamten welt- weiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene angehört geahndet werden.

(7) Handelt es sich bei dem Betroffenen um eine besonders wichtige Einrichtung, kann die Ordnungswidrigkeit in den Fällen des Absatzes 2 Nummer 2 und 3 mit einer Geldbuße bis zu 10 Millionen Euro oder mit einem Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unter- nehmens, dem der Betroffene angehört, in den Fällen des Absatzes 1 und des Absatzes 2 Nummer 7 Variante 1 mit einer Geldbuße bis zu 10 Millionen Euro, in den Fällen des Ab- satzes 2 Nummer 12 mit einer Geldbuße bis zu fünfhunderttausend Euro und in den nung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt, ins- besondere, wenn der Hersteller der kritischen Komponente nicht vertrauenswürdig ist. Absatz 2 Satz 2 gilt entsprechend.

(5) Ein Hersteller einer kritischen Komponente kann insbesondere dann nicht vertrau- enswürdig sein, wenn hinreichende Anhaltspunkte dafür bestehen, dass

1. er gegen die in der Garantieerklärung eingegangen Verpflichtungen verstoßen hat,

2. in der Garantieerklärung angegebene Tatsachenbehauptungen unwahr sind,

3. er Sicherheitsüberprüfungen und Penetrationsanalysen an seinem Produkt und in der Produktionsumgebung nicht im erforderlichen Umfang in angemessener Weise unter- stützt,

4. Schwachstellen oder Manipulationen nicht unverzüglich, nachdem er davon Kenntnis erlangt, beseitigt und dem Betreiber kritischer Anlagen meldet,

5. die kritische Komponente auf Grund von Mängeln ein erhöhtes Gefährdungspotenzial aufweist oder aufgewiesen hat, missbräuchlich auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage einwirken zu können oder

6. die kritische Komponente über technische Eigenschaften verfügt oder verfügt hat, die spezifisch geeignet sind oder waren, missbräuchlich auf die Sicherheit, Vertraulich- keit, In- tegrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage einwirken zu kön- nen oder

6. die kritische Komponente über technische Eigenschaften verfügt oder verfügt hat, die spezifisch geeignet sind oder waren, missbräuchlich auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage einwirken zu können.

(6) Wurde nach Absatz 4 der weitere Einsatz einer kritischen Komponente untersagt, kann das Bundesministerium des Innern und für Heimat im Einvernehmen mit den in § 57 Absatz 4 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt

1. den geplanten Einsatz weiterer kritischer Komponenten desselben Typs und dessel- ben 58 Absatz 4 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt

- 49 - Bearbeitungsstand: 07.05.2024 10:19

1. den geplanten Einsatz weiterer kritischer Komponenten desselben Typs und desselben Herstellers untersagen und

2. den weiteren Einsatz kritischer Komponenten desselben Typs und desselben Herstel- lers unter Einräumung einer angemessenen Frist untersagen.

(7) Bei schwerwiegenden Fällen nicht vorliegender Vertrauenswürdigkeit nach Ab- satz 5 kann das Bundesministerium des Innern und für Heimat den Einsatz aller kritischen Komponenten des Herstellers im Einvernehmen mit den in § 57 Absatz 4 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt untersagen.

- 50 - Bearbeitungsstand: 22.12.2023 09:58

58 Absatz 4 aufgeführten je- weils betroffenen Ressorts sowie dem Auswärtigen Amt untersagen.

§ 42

Auskunftsverlangen

Zugang zu den Informationen und Akten in Angelegenheiten nach Teil 2 §§ 4 bis 10 und Teil 3 dieses Gesetzes wird nicht gewährt. Die Akteneinsichtsrechte von Verfahrens- beteiligten bleiben unberührt.

Kapitel 3

Informationssicherheit der Einrichtungen der Bundesverwaltung

§ 43

Informationssicherheitsmanagement

(1) Die Einrichtungsleitung ist dafür verantwortlich, unter Berücksichtigung der Be- lange des IT-Betriebs die Voraussetzungen zur Gewährleistung der Informationssicherheit zu schaffen. Hierfür sind angemessene [Hierfür sind bedarfsgerechte finanzielle, personelle und Sachmittel einzuset- zen.]

(2) Die Einrichtungsleitung nimmt regelmäßig an Schulungen teil, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit Manage- ment von Anlagen

10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinu- ierlichen mentpraktiken im Bereich der Informationssicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.

(3) Soweit mit Leistungen für Informationstechnik des Bundes privatrechtlich organi- sierte Stellen beauftragt werden, ist vertraglich sicherzustellen, dass diese sich zur Einhal- tung der Voraussetzungen zur Gewährleistung der Informationssicherheit verpflichten. Dies gilt auch für den Fall, dass Schnittstellen zur Kommunikationstechnik des Bundes eingerichtet werden. Die Pflichten der Einrichtungsleitung nach Absatz 1 bleiben hiervon unberührt.

(4) Die Registrierung von Einrichtungen der Bundesverwaltung nach § 32 einge- richtet werden. Die Pflichten der Einrichtungsleitung nach Absatz 1 bleiben hiervon unbe- rührt.

(4) Die Registrierung von Einrichtungen der Bundesverwaltung nach § 33 obliegt der Einrichtungsleitung. Abweichend von § 64 Die Einrichtungen der Bundesverwaltung weisen die Einrichtungen der Bundesverwal- tung die Erfüllung der Anforderungen nach Absatz 1 spätestens vier Jahre nach Inkrafttre- ten dieses Gesetzes und anschließend regelmäßig dem Bundesamt nach dessen Vorga- ben Erfüllung der An- forderungen nach Absatz 1 spätestens vier Jahre nach Inkrafttreten dieses Gesetzes und anschließend regelmäßig dem Bundesamt nach dessen Vorgaben nach.

(5) Werden, über die sich aus § 32 ergebenden Meldepflichten hinaus, Einrichtungen der Bundesverwaltung Informationen nach § 4 Absatz 2 Nummer 1 bekannt, die für die Erfüllung von Aufgaben oder die Sicherheit der Kommunikationstechnik des Bundes von Bedeutung sind, unterrichten diese das Bundesamt hierüber unverzüglich, soweit andere Vorschriften dem nicht entgegenstehen. Ausgenommen von den Pflichten nach Satz 1 sind Informationen, die aufgrund von Regelungen zum Geheimschutz oder Vereinbarun- gen mit Dritten nicht weitergegeben werden dürfen oder deren Weitergabe im Wider- spruch zu der verfassungsrechtlichen Stellung eines Abgeordneten des Bundestages oder eines Verfassungsorgans oder der gesetzlich geregelten Unabhängigkeit einzelner Stellen stünde. Die Einrichtungen der Bundesverwaltung melden dem Bundesamt kalen- derjährlich jeweils bis zum 31. Januar eines Jahres die Gesamtzahl der nach Satz 2 nicht übermittelten Informationen.

- 51 - Bearbeitungsstand: 22.12.2023 09:58

(6) Das Bundesministerium des Innern und für Heimat erlässt nach Zustimmung durch die Ressorts allgemeine Verwaltungsvorschriften zur Durchführung des Absatzes 5.

§ 44

Vorgaben des Bundesamtes

(1) Das Bundesamt legt durch den IT-Grundschutz und durch Mindeststandards für die Sicherheit in der Informationstechnik des Bundes die nach § 30 Er- füllung von Aufgaben oder die Sicherheit der Kommunikationstechnik des Bundes von Be- deutung sind, unterrichten diese das Bundesamt hierüber unverzüglich, soweit andere

- 50 - Bearbeitungsstand: 07.05.2024 10:19

Vorschriften dem nicht entgegenstehen. Ausgenommen von den Meldepflichten für Einrich- tungen der Bundesverwaltung nach § 32 sowie nach Satz 1 dieses Absatzes sind Informa- tionen, die aufgrund von Regelungen zum Geheimschutz oder Vereinbarungen mit Dritten nicht weitergegeben werden dürfen oder deren Weitergabe im Widerspruch zu der verfas- sungsrechtlichen Stellung eines Abgeordneten des Bundestages oder eines Verfassungs- organs oder der gesetzlich geregelten Unabhängigkeit einzelner Stellen stünde. Die Ein- richtungen der Bundesverwaltung melden dem Bundesamt kalenderjährlich jeweils bis zum 31. Januar eines Jahres die Gesamtzahl der nach Satz 2 nicht übermittelten Informationen.

(6) Das Bundesministerium des Innern und für Heimat erlässt im Einvernehmen mit den Ressorts allgemeine Verwaltungsvorschriften zur Durchführung des Absatzes 5.

§ 44

Vorgaben des Bundesamtes

(1) Das Bundesamt legt durch den IT-Grundschutz und durch Mindeststandards für die Sicherheit in der Informationstechnik des Bundes in der jeweils gültigen Fassung die Mindestanforderungen für Einrichtungen der Bundesverwaltung fest. Die Vorgaben nach Satz 1 werden durch das Bundesamt regelmäßig evaluiert und entsprechend dem Stand der Technik sowie unter Berücksichtigung der Erfahrungen aus der Praxis fortentwickelt. Die Mindeststandards legt das Bundesamt im Benehmen mit den Ressorts und weiteren obersten Bundesbehörden fest. Durch die Umsetzung der in Satz 1 genannten Anforderun- gen ist die Erfüllung der Vorgaben nach § 30 gewährleistet, soweit nicht die Europäische Kommission einen Durchführungsrechtsakt gemäß Artikel 21 Absatz 5 Unterabsatz 2 der NIS-2-Richtlinie erlässt, in dem die technischen und methodischen Anforderungen über die Anforderungen aus Satz 1 hinausgehen. Bei der Umsetzung muss berücksichtigt werden, ob Einrichtungen der Bundesverwaltung gleichzeitig Betreiber kritischer Anlagen sind. Das Bundesamt berät die Einrichtungen der Bundesverwaltung auf Ersuchen bei der Umset- zung und Einhaltung dieser Anforderungen, stellt Hilfsmittel zur Verfügung und unterstützt die Bereitstellung entsprechender Lösungen durch die IT-Dienstleister des Bundes über den gesamten Lebenszyklus. Insbesondere berücksichtigt es die Erfahrungen aus dieser Mitwirkung bei der Fortschreibung der Vorschriften nach Satz 1.

(2) Das Bundesamt stellt im Rahmen seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer Num- mer 10 technische Richtlinien und Referenzarchitekturen bereit, die von den Einrich- tungen des Einrichtungen der Bundesverwaltung als Rahmen für die Entwicklung sachgerechter Anforderun- gen Anforderungen an Auftragnehmer (Eignung) und IT-Produkte (Spezifikation) für die Durchführung von Vergabeverfahren berücksichtigt werden. Die Vorschriften des Vergaberechts und des Geheimschutzes bleiben unberührt.

(3) Für die Einrichtungen der Bundesverwaltung kann der Koordinator oder die Koor- dinatorin für Informationssicherheit im Einvernehmen mit den Ressorts festlegen, dass sie verpflichtet sind, nach § 19 bereitgestellte IT-Sicherheitsprodukte beim Bundesamt abzu- rufen. Verga- beverfahren berücksichtigt werden. Die Vorschriften des Vergaberechts und des Geheim- schutzes bleiben unberührt.

(3) Für die Einrichtungen der Bundesverwaltung kann der Koordinator oder die Koor- dinatorin für Informationssicherheit im Einvernehmen mit den Ressorts festlegen, dass sie verpflichtet sind, nach § 19 bereitgestellte IT-Sicherheitsprodukte beim Bundesamt abzuru- fen. Der Bericht enthält auch die Zahl der Meldungen und die Art der gemeldeten Sicher- Eigenbeschaffungen sind in diesem Fall nur zulässig, wenn das spezifische Anfor- derungsprofil Anforde- rungsprofil den Einsatz abweichender Produkte erfordert. Dies gilt nicht für die in § 2 Absatz 1 Nummer 18 genannten Gerichte und Verfassungsorgane sowie die Einschrän- kungen gemäß § 7 Absatz 6.

§ 45

Informationssicherheitsbeauftragte der Einrichtungen der Bundesverwaltung

(1) Die 20 genannten Gerichte und Verfassungsorgane sowie die Aus- landsinformations- und -kommunikationstechnik gemäß § 7 Absatz 5.

- 51 - Bearbeitungsstand: 07.05.2024 10:19

§ 45

Informationssicherheitsbeauftragte der Einrichtungen der Bundesverwaltung

(1) Die Leitungen von Einrichtungen der Bundesverwaltung bestellen jeweils eine In- formationssicherheitsbeauftragte des Ressorts regelmäßig sowie anlassbezogen über ihre Tätigkeit, über den Stand der Informationssicherheit innerhalb der Einrichtung, über die angemessene Mittel- und Personalausstattung nach § 43 Absatz 1 Satz 2 sowie über Sicherheitsvorfälle.

(4) Die Informationssicherheitsbeauftragten der Einrichtungen sind bei allen Maß- nahmen oder einen Informationssicherheitsbeauftragten sowie mindestens eine zur Vertretung berechtigte Person.

(2) [Für die Erfüllung ihrer Aufgaben sind bedarfsgerechte finanzielle, personelle und Sachmittel zur Verfügung zu stellen, die sie zur Erfüllung ihrer Aufgaben eigenständig ver- walten]. Die Informationssicherheitsbeauftragen der Einrichtungen müssen die zur Erfüllung ihrer Aufgaben erforderliche Fachkunde erwer- ben. Sie sowie ihre Vertreter unterstehen der Fachaufsicht des oder der jeweils zuständi- gen Erfül- lung ihrer Aufgaben erforderliche Fachkunde erwerben. Sie sowie ihre Vertreter unterste- hen der Fachaufsicht des oder der jeweils zuständigen Informationssicherheitsbeauftragten des Ressorts.

(3) Die Informationssicherheitsbeauftragten sind für den Aufbau und die Aufrechter- haltung des Informationssicherheitsprozesses der Einrichtung zuständig. Sie erstellen ein Informationssicherheitskonzept, welches mindestens die Vorgaben des Bundesamtes nach § 44 Absatz 1 erfüllt. Sie wirken auf die operative Umsetzung des Informationssi-

- 52 - Bearbeitungsstand: 22.12.2023 09:58

cherheitskonzepts Informationssicherheits- konzepts hin und kontrollieren diese innerhalb der Einrichtung. Die Informations- sicherheitsbeauftragen beraten die Einrichtungsleitung in allen Fragen der Informationssi- cherheit und unterrichten die Einrichtungsleitung sowie den oder die jeweils zuständige Informationssicherheits- beauftragen beraten die Einrichtungsleitung in allen Fragen der Informationssicherheit und unterrichten die Einrichtungsleitung sowie den oder die jeweils zuständige Informationssi- cherheitsbeauftragte des Ressorts muss die zur Erfüllung seiner oder ihrer Aufgaben regelmäßig sowie anlassbezogen über ihre Tätigkeit, über den Stand der Informationssicherheit innerhalb der Einrichtung, über die angemes- sene Mittel- und Personalausstattung sowie über Sicherheitsvorfälle.

(4) Die Informationssicherheitsbeauftragten der Einrichtungen sind bei allen Maßnah- men zu beteiligen, die die Informationssicherheit der Einrichtung betreffen. Sie haben ein unmittelbares Vortragsrecht bei der jeweiligen Einrichtungsleitung sowie bei dem oder der Informationssicherheitsbeauftragten des jeweils zuständigen Ressorts.

§ 46

Informationssicherheitsbeauftragte der Ressorts

(1) Die Ressortleitungen sowie weitere oberste Bundesbehörden bestellen jeweils eine Informationssicherheitsbeauftragte oder einen Informationssicherheitsbeauftragten des Ressorts, der oder dem unter Berücksichtigung der Belange des IT-Betriebs die Steu- erung und Überwachung des Informationssicherheitsmanagements innerhalb des Res- sorts die Leitungen weiterer oberster Bundesbehörden mit Geschäftsbereich bestellen jeweils eine Informationssicherheitsbeauftragte oder einen In- formationssicherheitsbeauftragten des Ressorts, der oder dem unter Berücksichtigung der Belange des IT-Betriebs die Steuerung und Überwachung des Informationssicherheitsma- nagements innerhalb des Ressorts bzw. innerhalb der obersten Bundesbehörde und ihres Geschäftsbereichs obliegt, sowie mindestens eine zur Vertretung berechtigte Person. Er oder sie wirkt auf eine angemessene Umsetzung der Informationssicherheit in ihrem oder seinem Ressort hin.

(2) [Für die Erfüllung seiner oder ihrer Aufgaben sind bedarfsgerechte finanzielle, per- sonelle und Sachmittel zur Verfügung zu stellen, die der oder die Informationssicherheits- beauftragte des Ressorts zur Erfüllung seiner oder ihrer Aufgaben eigenständig verwaltet.] Der oder die Informationssicherheitsbeauftragte des Ressorts muss die zur Erfüllung seiner oder ihrer Aufgaben erforderliche Fachkunde besitzen.

(3) Der oder die Informationssicherheitsbeauftragte koordiniert jeweils die Fortschrei- bung von Informationssicherheitsleitlinien für sein oder ihr Ressort. Er oder sie unterrichtet die Ressortleitung über seine oder ihre Tätigkeit und über den Stand der Informationssi- cherheit innerhalb des Ressorts, über die angemessene Mittel- und Personalausstattung nach § 43 Absatz 1 Satz 2 sowie über Sicherheitsvorfälle. In begründeten Einzelfällen kann der Informationssicherheitsbeauftragte des Ressorts im Benehmen mit dem oder der jeweiligen IT-Beauftragten des Ressorts den Einsatz bestimmter IT-Produkte in Einrich- tungen der Bundesverwaltung innerhalb des jeweiligen Ressorts ganz oder teilweise un- tersagen. Über eine Untersagung ist der Koordinator oder die Koordinatorin für Informati- onssicherheit zu unterrichten. Im Falle des § 29 Absatz 1 Nummer 3 ist der oder die Infor- mationssicherheitsbeauftragte des für das Bundesunternehmen beteiligungsführenden Ressorts für die Erteilung des Ausnahmebescheides zuständig.

(4) Der oder die Informationssicherheitsbeauftragte des Ressorts kann im Beneh- men mit dem Koordinator oder der Koordinatorin für Informationssicherheit Einrichtungen der Bundesverwaltung innerhalb des Ressorts, soweit diese nicht besonders wichtige Einrichtungen oder wichtige Einrichtungen nach § 28 sind, von Verpflichtungen nach die- sem sowie über Sicherheitsvorfälle. In begründeten Einzelfällen kann der Informationssicher- heitsbeauftragte des Ressorts im Benehmen mit dem oder der jeweiligen IT-Beauftragten

- 52 - Bearbeitungsstand: 07.05.2024 10:19

des Ressorts den Einsatz bestimmter IT-Produkte in Einrichtungen der Bundesverwaltung innerhalb des jeweiligen Ressorts ganz oder teilweise untersagen. Über eine Untersagung ist der Koordinator oder die Koordinatorin für Informationssicherheit zu unterrichten.

(4) Der oder die Informationssicherheitsbeauftragte des Ressorts kann im Benehmen mit dem Koordinator oder der Koordinatorin für Informationssicherheit Einrichtungen der Bundesverwaltung innerhalb des Ressorts von Verpflichtungen nach diesem Teil teilweise oder insgesamt durch Erteilung eines Ausnahmebescheides befreien. Voraussetzung hierfür ist, dass sachliche Gründe für die Erteilung einer Ausnahme vorlie- gen hier- für ist, dass sachliche Gründe für die Erteilung einer Ausnahme vorliegen und durch die Befreiung keine nachteiligen Auswirkungen für die Informationssicher- heit Informationssicherheit des Bundes zu befürchten sind. Über erteilte Ausnahmebescheide ist das Bundesamt zu unterrichten, hierbei gilt § 43 Absatz 4 Satz 2 entsprechend.

- 53 - Bearbeitungsstand: 22.12.2023 09:58

unterrichten. Satz 1 gilt nicht, wenn die jeweilige Einrichtung der Bundesverwaltung die Voraussetzungen des § 28 Absatz 1 Satz 1 oder § 28 Absatz 2 Satz 1 erfüllt.

(5) Der oder die Informationssicherheitsbeauftragte des Ressorts ist bei allen Geset- zes-, Verordnungs- und sonstigen wichtigen Vorhaben innerhalb des Ressorts zu beteili- gen, soweit diese Fragen der Informationssicherheit berühren. Er oder sie hat ein unmit- telbares Vortragsrecht bei der jeweiligen Ressortleitung sowie bei dem Koordinator oder der Koordinatorin für Informationssicherheit.

§ 47

Wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes

(1) Für die Planung und Umsetzung von wesentlichen Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes sind eigene Informationssicherheitsbeauftrag- te unmittel- bares Vortragsrecht bei der jeweiligen Ressortleitung sowie bei dem Koordinator oder der Koordinatorin für Informationssicherheit.

§ 47

Wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes

(1) Für die Planung und Umsetzung von wesentlichen Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes sind eigene Informationssicherheitsbeauf- tragte oder den Informationssicherheitsbeauftragten für wesentliche nach § 45 zu bestellen. Digitalisierungsvorhaben oder Kommunikationsinfrastrukturen Kommunikationsinfrastruktu- ren. Im Benehmen mit den jeweiligen Betreibern legt es hierzu Informationssicherheitsan- forderungen ren des Bundes sind insbesondere dann wesentlich, wenn dabei Kommunikationstechnik des Bundes ressortübergreifend betrieben wird oder der ressortübergreifenden Kommunikati- on Kommuni- kation oder dem ressortübergreifenden Datenaustausch dient. Soweit bei ressortübergreifen- den Digitalisierungsvorhaben oder Kommunikationsinfrastrukturen eine Bestellung durch Einrichtungen in verschiedenen beteiligten Ressorts und weiteren obersten Bundesbehör- den ressortübergrei- fenden Digitalisierungsvorhaben oder Kommunikationsinfrastrukturen eine Bestellung durch Einrichtungen in verschiedenen beteiligten Ressorts und weiteren obersten Bundes- behörden in Betracht kommt und Einvernehmen darüber nicht innerhalb einer angemessenen angemesse- nen Frist hergestellt werden kann, entscheidet der Koordinator oder die Koordinatorin für Infor- mationssicherheit, durch welche Einrichtung die Bestellung erfolgt. Die Informationssi- cherheitsbeauftragten nach Satz 1 unterstehen in einer obersten Bundesbehörde der Ein- richtungsleitung und in einer nachgeordneten Behörde der Fachaufsicht des oder der je- weils zuständigen Informationssicherheitsbeauftragten des Ressorts.

(2) Zur Gewährleistung der Informationssicherheit bei der Planung und Umsetzung von wesentlichen Digitalisierungsvorhaben sind angemessene Mittel für die Informations- sicherheit einzusetzen. Informationssicherheit, durch welche Einrichtung die Bestellung erfolgt. Die Informationssi- cherheitsbeauftragten nach Satz 1 unterstehen in einer obersten Bundesbehörde der Ein- richtungsleitung und in einer nachgeordneten Behörde der Fachaufsicht des oder der je- weils zuständigen Informationssicherheitsbeauftragten des Ressorts.

(2) [Zur Gewährleistung der Informationssicherheit bei der Planung und Umsetzung von wesentlichen Digitalisierungsvorhaben sind bedarfsgerechte Mittel für die Informations- sicherheit einzusetzen.] Die jeweils verantwortliche Einrichtung soll das Bundesamt früh- zeitig beteiligen und dem Bundesamt Gelegenheit zur Stellungnahme geben.

§ 48

Amt des Koordinators für Informationssicherheit

(1) Die Bundesregierung bestellt eine Koordinatorin oder einen Koordinator für Die Bundesregierung bestellt eine Koordinatorin oder einen Koordinator für Informati- onssicherheit.

- 53 - Bearbeitungsstand: 07.05.2024 10:19

§ 49

Aufgaben des Koordinators

Dem Koordinator oder der Koordinatorin für Informationssicherheit obliegt die zentrale Koordinierung des Informationssicherheitsmanagements des Bundes. Zu diesem Zweck erhält er unter Berücksichtigung der Ergebnisse der Kontrollen nach § 7 einen Überblick über die Informationssicherheitslage in der Bundesverwaltung. Er oder sie koordiniert die Erstellung und Aktualisierung von Informationssicherheitsleitlinien des Bundes und unter- stützt die Ressorts bei der Umsetzung der Vorgaben zur Informationssicherheit. Dabei wirkt er oder sie auf ein angemessenes Verhältnis zwischen dem Einsatz von Informati- onstechnik und Informationssicherheit hin. Er oder sie koordiniert die Erstellung und Aktu- alisierung von Informationssicherheitsleitlinien des Bundes und unterstützt die Ressorts bei der Umsetzung der Vorgaben zur Informationssicherheit. Er oder sie überwacht die angemessene Mittelverwendung nach § 43 Absatz 1 Satz 2 und unterrichtet hierüber ka-

- 54 - Bearbeitungsstand: 22.12.2023 09:58

lenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Haus- haltsausschuss des Deutschen Bundestages.

§ 50

Befugnisse des Koordinators

(1) Zur Wahrnehmung der Aufgaben nach § 49 beteiligen Informationstech- nik und Informationssicherheit hin. Bei der Fortschreibung der Informationssicherheitsleitli- nien des Bundes berücksichtigt er oder sie die Erfahrungen aus der Unterstützung der Res- sorts.

§ 50

Befugnisse des Koordinators

(1) Zur Wahrnehmung der Aufgaben nach § 49 informieren die Ressorts den Koordi- nator oder die Koordinatorin für Informationssicherheit bei allen über alle Gesetzes-, Verordnungs- und sonstigen wichtigen Vorhaben, soweit sie Fragen der Informationssicherheit berüh- ren. berühren. Er oder sie kann der Bundesregierung Vorschläge machen und Stellungnahmen zu- leiten. zuleiten. Die Ressorts unterstützen den Koordinator oder die Koordinatorin bei der Erfüllung seiner oder ihrer Aufgaben.

(2) Zur Wahrnehmung seiner oder ihrer Aufgaben hat der Koordinator oder die Koor- dinatorin ein direktes Vortragsrecht vor dem Ausschuss für Inneres und Heimat und dem Haushaltsausschuss des Deutschen Bundestages zu allen Themen der Informationssi- cherheit Informationssicher- heit in Einrichtungen der Bundesverwaltung.

(3) Der Koordinator oder die Koordinatorin kann im Benehmen mit dem oder der In- formationssicherheitsbeauftragten des jeweils zuständigen Ressorts Einrichtungen anwei- sen, innerhalb von drei Monaten nach der Vorlage der Ergebnisse von Kontrollen gemäß § 7 ein Sofortprogramm vorzulegen, welches die Einhaltung der Anforderungen innerhalb einer angemessenen Umsetzungsfrist sichert.

T e i l 4

D a t e n b a n k e n d e r D o m a i n - N a m e - R e g i s t r i e r u n g s d a - t e n

§ 51

Pflicht zum Führen einer Datenbank

(1) Um einen Beitrag zur Sicherheit, Stabilität und Resilienz des Domain Name Sys- tems zu leisten, sind Top Level Domain Name Registries und Domain-Name-Registry- Dienstleister verpflichtet, genaue und vollständige Domain-Namen-Registrierungsdaten in einer eigenen Datenbank im Einklang mit dem Datenschutzrecht in Bezug auf personen- personenbe- zogenen Daten zu übermitteln. Die Betreiber von Übertragungs- und Fernleitungsnet- zen sind befugt, die ihnen nach Satz 5 zum dort genannten Zweck übermittelten per- sonenbezogenen Daten zu erheben, zu speichern und zu verwenden. Nach Erstel- lung der Bewertung sind die hierzu verwendeten personenbezogenen Daten von der Bundesnetzagentur und den Betreibern von Übertragungs- und Fernleitungsnetzen unverzüglich zu löschen. Das Bundesamt für Sicherheit in der Informationstechnik berücksichtigt die Bewertung der Bundesnetzagentur bei der Erfüllung der Aufgaben nach § 40 Absatz 2 Nummer 2 des BSI-Gesetzes. Das Bundesamt für Sicherheit in der Informationstechnik und die Bundesnetzagentur zogene Daten mit der gebotenen Sorgfalt zu sammeln und zu pflegen.

(2) Die Datenbank hat die erforderlichen Angaben zu enthalten, anhand derer die Inhaber - 54 - Bearbeitungsstand: 07.05.2024 10:19

(2) Die Datenbank hat die erforderlichen Angaben zu enthalten, anhand derer die In- haber der Domain-Namen und die Kontaktstellen, die die Domain-Namen im Rahmen der TLD verwalten, identifiziert und kontaktiert werden können. Diese Angaben müssen Folgendes Fol- gen fehlender gendes umfassen:

1. den Domain-Namen;

2. das Datum der Registrierung;

3. den Namen des Domain-Inhabers, seine E-Mail-Adresse und Telefonnummer;

- 55 - Bearbeitungsstand: 22.12.2023 09:58

4. die Kontakt-E-Mail-Adresse und die Telefonnummer der Anlaufstelle, die den Do- main-Namen Domain- Namen verwaltet, falls diese sich von denen des Domain-Inhabers unterscheiden.

(3) Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister sind verpflichtet, Vorgaben und Verfahren, einschließlich Überprüfungsverfahren, vorzu- halten, mit denen sichergestellt wird, dass die Datenbank genaue und vollständige Anga- ben enthält. vorzuhalten, mit denen sichergestellt wird, dass die Datenbank genaue und vollständige Angaben ent- hält. Diese Vorgaben und Verfahren sind öffentlich zugänglich zu machen.

(4) Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister sind verpflichtet, unverzüglich nach der Registrierung eines Domain-Namens die nicht personenbezogenen Domain-Namen-Registrierungsdaten öffentlich zugänglich zu ma- chen.

perso- nenbezogenen Domain-Namen-Registrierungsdaten öffentlich zugänglich zu machen.

§ 52

Verpflichtung zur Zugangsgewährung

(1) Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister sind verpflichtet,

1. einem berechtigten Zugangsnachfrager auf rechtmäßigen und hinreichend begründe- ten Antrag im Einklang mit dem Datenschutzrecht Zugang zu bestimmten Domain- Namen-Registrierungsdaten Domain-Na- me-Registry-Diensteanbieter sind verpflichtet, spätestens drei Monate, nachdem sie erst- mals oder erneut als eine der vorgenannten Einrichtungen gelten oder Domain-Name-Re- gistry-Dienste anbieten, dem Bundesamt über eine gemeinsam vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Registrierungs- möglichkeit men-Registrierungsdaten zu gewähren und

2. alle Anträge auf Zugang unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Eingang eines Antrags auf Zugang zu beantworten.

(2) Die in Absatz 1 genannten Vorgaben und Verfahren im Hinblick auf die Offenle- gung der Domain-Namen-Registrierungsdaten sind öffentlich zugänglich zu machen. Das Auskunftsverfahren bei Bestandsdaten gemäß § 22 des Telekommunikation-Telemedien- Datenschutz-Gesetzes bleibt unberührt.

§ 53

Kooperationspflicht

Um zu vermeiden, dass die Einhaltung der in § 51 und § 52 festgelegten Verpflichtun- gen zu einer doppelten Erhebung von Domain-Namen-Registrierungsdaten führt, sind Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister insoweit zur Kooperation verpflichtet.

- 56 - Bearbeitungsstand: 22.12.2023 09:58

Ko- operation verpflichtet.

- 55 - Bearbeitungsstand: 07.05.2024 10:19

T e i l 5

Z e r t i f i z i e r u n g u n d K e n n z e i c h e n

§ 54

Zertifizierung

(1) Das Bundesamt ist nationale Zertifizierungsstelle der Bundesverwaltung für IT-Si- cherheit.

(2) Für bestimmte Produkte oder Leistungen kann beim Bundesamt eine Sicherheits- oder Personenzertifizierung oder eine Zertifizierung als IT-Sicherheitsdienstleister bean- tragt werden. Die Anträge werden in der zeitlichen Reihenfolge ihres Eingangs bearbeitet; hiervon kann abgewichen werden, wenn das Bundesamt wegen der Anzahl und des Um- fangs anhängiger Prüfungsverfahren eine Prüfung in angemessener Zeit nicht durchführen kann und an der Erteilung eines Zertifikats ein öffentliches Interesse besteht. Der Antrag- steller hat dem Bundesamt die Unterlagen vorzulegen und die Auskünfte zu erteilen, deren Kenntnis für die Prüfung und Bewertung des Systems oder der Komponente oder der Eig- nung der Person sowie für die Erteilung des Zertifikats erforderlich ist.

(3) Die Prüfung und Bewertung können durch vom Bundesamt anerkannte sachver- ständige Stellen erfolgen.

(4) Das Sicherheitszertifikat wird erteilt, wenn

1. informationstechnische Systeme, Komponenten, Produkte oder Schutzprofile den vom Bundesamt festgelegten Kriterien entsprechen und

2. das Bundesministerium des Innern und für Heimat die Erteilung des Zertifikats nicht nach Absatz 5 untersagt hat.

Vor Erteilung des Sicherheitszertifikats legt das Bundesamt den Vorgang dem Bundesmi- nisterium des Innern und für Heimat zur Prüfung nach Absatz 5 vor.

(5) Das Bundesministerium des Innern und für Heimat kann eine Zertifikatserteilung nach Absatz 4 im Einzelfall untersagen, wenn überwiegende öffentliche Interessen, insbe- sondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung entgegenstehen.

ent- gegenstehen.

(5) Bei Änderungen der nach Absatz 1 oder 2 zu übermittelnden Angaben sind dem Bundesamt geänderte Versorgungskennzahlen einmal jährlich zu übermitteln und alle

- 43 - Bearbeitungsstand: 22.12.2023 09:58

anderen (6) Für die Zertifizierung von Personen und IT-Sicherheitsdienstleistern gilt Absatz 4 entsprechend.

(7) Eine Anerkennung nach Absatz 3 wird erteilt, wenn

1. die sachliche und personelle Ausstattung sowie die fachliche Qualifikation und Zuver- lässigkeit der Konformitätsbewertungsstelle den vom Bundesamt festgelegten Kriteri- en entsprechen und

2. das Bundesministerium des Innern und für Heimat festgestellt hat, dass überwiegen- de öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesre- publik Kriterien entsprechen und

2. das Bundesministerium des Innern und für Heimat festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.

Das Bundesamt stellt durch die notwendigen Maßnahmen sicher, dass das Fortbestehen der Voraussetzungen nach Satz 1 regelmäßig überprüft wird.

• 57 - Bearbeitungsstand: 22.12.2023 09:58

56 - Bearbeitungsstand: 07.05.2024 10:19

(8) Sicherheitszertifikate anderer anerkannter Zertifizierungsstellen aus dem Bereich der Europäischen Union werden vom Bundesamt anerkannt, soweit sie eine den Sicher- heitszertifikaten des Bundesamtes gleichwertige Sicherheit ausweisen und die Gleichwer- tigkeit vom Bundesamt festgestellt worden ist.

§ 55

Nationale Behörde für die Cybersicherheitszertifizierung

(1) Das Bundesamt ist die nationale Behörde für die Cybersicherheitszertifizierung nach Artikel 58 Absatz 1 der Verordnung (EU) 2019/881.

(2) Das Bundesamt kann auf Antrag Konformitätsbewertungsstellen, die im Anwen- dungsbereich der Verordnung (EU) 2019/881 sowie des § 54 dieses Gesetzes tätig wer- den, eine Befugnis erteilen, als solche tätig zu werden, wenn die Voraussetzungen des maßgeblichen europäischen Schemas für die Cybersicherheitszertifizierung nach Arti- kel 54 der Verordnung (EU) 2019/881 oder des § 54 dieses Gesetzes Konformitätsbewertung und Konformitätserklärung

(1) Das Bundesamt kann für die vom Bundesamt in einer Technischen Richtlinie fest- gelegten Anforderungen und Vorgaben die Durchführung einer Selbstbewertung der Kon- formität unter der alleinigen Verantwortung des Herstellers oder Anbieters von IKT-Produk- ten, -Diensten und -Prozessen, einer Person oder einem IT-Sicherheitsdienstleisters, die keine Verbraucherprodukte nach § 57 sind, zulassen. Der Hersteller oder Anbieter von IKT- Produkten, -Diensten und -Prozessen, die Person oder der IT-Sicherheitsdienstleister kann unter den Voraussetzungen von Satz 1 eine Konformitätserklärung ausstellen, die bestätigt, dass die Erfüllung der in der Technischen Richtlinie festgelegten Anforderungen nachge- wiesen wurde. Durch die Ausstellung einer solchen Erklärung übernimmt der Hersteller o- der Anbieter der IKT-Produkte, -Dienste und -Prozesse, die Person oder der IT-Sicherheits- dienstleister (Aussteller) die Verantwortung dafür, dass das IKT-Produkt, der IKT-Dienst, der IKT-Prozess, die Person oder die IT-Sicherheitsdienstleistung der Technischen Richtli- nie festgelegten Anforderungen entspricht.

(2) Die Technische Richtlinie nach Absatz 1 kann insbesondere Vorgaben enthalten, über

1. den Inhalt und das Format der Konformitätserklärung,

2. Nachweise und Verfahren, die die Angaben der Konformitätserklärung belegen,

3. die Bedingungen für die Aufrechterhaltung, Fortführung und Verlängerung der Konfor- mitätserklärung,

4. die Verwendung eines vom Bundesamt bereitgestellten Kennzeichens und Siegel so- wie die Bedingungen für dessen Verwendung,

5. die Meldung und Behandlung erkannter Cybersicherheitslücken des IKT-Produktes, - Dienstes oder -Prozesses oder der IT-Sicherheitsdienstleistung,

6. die Bereitstellung von Informationen auf der Internetseite des Bundesamtes über die Konformitätserklärung, dessen Aussteller und das IKT-Produkt, den -Dienst, den -Pro- zess, die Person oder die IT-Sicherheitsdienstleistung oder

7. die Befristung der Konformitätserklärung.

(3) Wird in den Vorgaben nach Absatz 2 festgelegt, dass die Angaben der Konformi- tätserklärung nur durch eine akkreditierte Konformitätsbewertungsstelle belegt werden kann, so kann das Bundesamt auf Antrag Konformitätsbewertungsstellen, die im Anwen- dungsbereich dieses Paragraphen tätig werden, eine Befugnis erteilen, als solche tätig zu werden, wenn die maßgeblichen Voraussetzungen der Technischen Richtlinie erfüllt sind. Ohne eine Befugniserteilung durch das Bundesamt dürfen Konformitätsbewertungsstellen im Anwendungsbereich dieses Paragraphen nicht tätig werden.

(4) Der Aussteller hält die Konformitätserklärung, die technische Dokumentation und alle weiteren einschlägigen Informationen in Bezug auf die Konformität der IKT-Produkte, - Dienste, der Person oder der IT-Sicherheitsdienstleistung mit den festgelegten Kriterien

- 57 - Bearbeitungsstand: 07.05.2024 10:19

während eines Zeitraums, der vom Bundesamt in der Technischen Richtlinie nach Absatz 1 festgelegt wurde, für das Bundesamt bereit. Eine Kopie der Konformitätserklärung ist dem Bundesamt vorzulegen.

(5) Das Bundesamt kann geeignete Maßnahmen ergreifen, um sicherzustellen, dass die Aussteller von Konformitätserklärungen den Anforderungen des Schemas und den Vor- gaben dieses Paragraphen genügen und insbesondere

1. Aussteller von Konformitätserklärungen auffordern, ihm sämtliche Auskünfte zu ertei- len, die es für die Erfüllung ihrer Aufgaben benötigt,

2. Untersuchungen in Form von Testkäufen oder Audits bei den Ausstellern von Konfor- mitätserklärungen durchführen, um deren Einhaltung der in der Technischen Richtlinie festgelegten Anforderungen und Vorgaben nach Absatz 1 zu überprüfen und

3. Konformitätserklärungen nach Absatz 1 für ungültig erklären.

(4) Die Benennung eines Vertreters durch eine Einrichtung der in Absatz 1 Satz 1 genannten (6) Für Maßnahmen nach Absatz 4 kann das Bundesamt Gebühren erheben, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen der Technischen Richtlinie oder dieses Paragraphen begründeten.

§ 56

Nationale Behörde für die Cybersicherheitszertifizierung

(1) Das Bundesamt ist die nationale Behörde für die Cybersicherheitszertifizierung nach Artikel 58 Absatz 1 der Verordnung (EU) 2019/881.

(2) Das Bundesamt kann auf Antrag Konformitätsbewertungsstellen, die im Anwen- dungsbereich der Verordnung (EU) 2019/881 sowie des § 54 dieses Gesetzes tätig werden, eine Befugnis erteilen, als solche tätig zu werden, wenn die Voraussetzungen des maßgeb- lichen europäischen Schemas für die Cybersicherheitszertifizierung nach Artikel 54 der Ver- ordnung (EU) 2019/881 oder des § 54 dieses Gesetzes erfüllt sind. Ohne eine Befugniser- teilung durch das Bundesamt dürfen Konformitätsbewertungsstellen im Anwendungsbe- reich der Verordnung (EU) 2019/881 nicht tätig werden.

(3) Soweit dies zur Erfüllung seiner Aufgaben nach Artikel 58 Absatz 7 der Verord- nung (EU) 2019/881 und nach § 54 dieses Gesetzes erforderlich ist, kann das Bundesamt von Konformitätsbewertungsstellen, denen eine Befugnis nach Absatz 2 erteilt wurde, von Inhabern europäischer Cybersicherheitszertifikate und von Ausstellern von EU-Konformi- tätserklärungen im Sinne von Artikel 56 Absatz 8 der Verordnung (EU) 2019/881 die erfor- derlichen Auskünfte und sonstige Unterstützung, insbesondere die Vorlage von Unterlagen oder Mustern, verlangen. § 3 Absatz 1 Satz 1 und 3 des Akkreditierungsstellengeset- zes Akkreditierungsstellengesetzes gilt entsprechend.

(4) Das Bundesamt kann Untersuchungen in Form von Auditierungen nach Artikel 58 Absatz 8 Buchstabe b der Verordnung (EU) 2019/881 bei Konformitätsbewertungsstellen, denen eine Befugnis nach Absatz 2 erteilt wurde, bei Inhabern europäischer Cybersicher- heitszertifikate und bei Ausstellern von EU-Konformitätserklärungen im Sinne von Arti- kel 56 Absatz 8 der Verordnung (EU) 2019/881 durchführen, um die Einhaltung der Be- Artikel 56 Absatz 8 der Verordnung (EU) 2019/881 durchführen, um die Einhaltung der Bestimmun- gen des Titels III der Verordnung (EU) 2019/881 zu überprüfen. § 3 Absatz 1 Satz 1 bis 3 des Akkreditierungsstellengesetzes gilt entsprechend.

(5) Das Bundesamt ist befugt, Betriebsstätten, Geschäfts- und Betriebsräume von Konformitätsbewertungsstellen, denen eine Befugnis nach Absatz 2 erteilt wurde, und von

Inhabern europäischer Cybersicherheitszertifikate im Sinne von Artikel 56 Absatz 8 der Verordnung (EU) 2019/881 in den Zeiten, zu denen die Räume normalerweise für die je- weilige - 58 - Bearbeitungsstand: 07.05.2024 10:19

Inhabern europäischer Cybersicherheitszertifikate im Sinne von Artikel 56 Absatz 8 der Ver- ordnung (EU) 2019/881 in den Zeiten, zu denen die Räume normalerweise für die jeweilige geschäftliche oder betriebliche Nutzung zur Verfügung stehen, zu betreten, zu besichtigen und zu prüfen, soweit dies zur Erfüllung seiner Aufgaben nach Artikel 58 Ab- satz 7 der Verordnung Absatz 7 der Ver- ordnung (EU) 2019/881 sowie nach § 54 dieses Gesetzes erforderlich ist. § 3 Absatz 1 Satz 1 bis 3 des Akkreditierungsstellengesetzes gilt entsprechend.

(6) Das Bundesamt kann von ihm ausgestellte Cybersicherheitszertifikate oder durch eine Konformitätsbewertungsstelle, der eine Befugnis nach Absatz 2 erteilt wurde, nach Artikel 56 Absatz 6 der Verordnung (EU) 2019/881 ausgestellte Cybersicherheitszertifika- te Ar- tikel 56 Absatz 6 der Verordnung (EU) 2019/881 ausgestellte Cybersicherheitszertifikate widerrufen oder EU-Konformitätserklärungen im Sinne der Verordnung (EU) 2019/881 für ungültig erklären,

1. sofern diese Zertifikate oder EU-Konformitätserklärungen die Anforderungen nach der Verordnung (EU) 2019/881 oder eines europäischen Schemas für die Cybersicher- heitszertifizierung nach Artikel 54 der Verordnung (EU) 2019/881 nicht erfüllen oder

- 58 - Bearbeitungsstand: 22.12.2023 09:58

2. wenn das Bundesamt die Erfüllung nach Nummer 1 nicht feststellen kann, weil der Inhaber des europäischen Cybersicherheitszertifikats oder der Aussteller der EU- Konformitätserklärung seinen Mitwirkungspflichten nach Absatz 3 nicht nachgekom- men ist oder 2. wenn das Bundesamt die Erfüllung nach Nummer 1 nicht feststellen kann, weil der In- haber des europäischen Cybersicherheitszertifikats oder der Aussteller der EU-Konfor- mitätserklärung seinen Mitwirkungspflichten nach Absatz 3 nicht nachgekommen ist o- der weil dieser das Bundesamt bei der Wahrnehmung seiner Befugnisse nach Absatz 4 oder im Falle eines Inhabers eines europäischen Cybersicherheitszer- tifikats Cybersicherheitszertifikats auch nach Absatz 5 behindert hat.

(7) Das Bundesamt kann von ihm erteilte Befugnisse nach Absatz 2 widerrufen,

1. sofern die Voraussetzungen des maßgeblichen europäischen Schemas für die Cyber- sicherheitszertifizierung nach Artikel 54 Verordnung (EU) 2019/881 oder des § 54 dieses Gesetzes nicht erfüllt sind oder

2. wenn das Bundesamt die Erfüllung dieser Voraussetzungen nicht feststellen kann, weil die Konformitätsbewertungsstelle ihren Mitwirkungspflichten nach Absatz 3 nicht nachgekommen ist oder weil diese das Bundesamt bei der Wahrnehmung seiner Be- fugnisse nach den Absätzen 4 und 5 behindert hat.

§ 56

die- ses Gesetzes nicht erfüllt sind oder

2. wenn das Bundesamt die Erfüllung dieser Voraussetzungen nicht feststellen kann, weil die Konformitätsbewertungsstelle ihren Mitwirkungspflichten nach Absatz 3 nicht nach- gekommen ist oder weil diese das Bundesamt bei der Wahrnehmung seiner Befug- nisse nach den Absätzen 4 und 5 behindert hat.

§ 57

Freiwilliges IT-Sicherheitskennzeichen

(1) Das Bundesamt führt zur Information von Verbrauchern über die IT-Sicherheit von Produkten bestimmter vom Bundesamt festgelegter Produktkategorien ein einheitli- einheitliches IT- Sicherheitskennzeichen ein. Das IT-Sicherheitskennzeichen trifft keine Aussage über die den Datenschutz betreffenden Eigenschaften eines Produktes.

(2) Das IT-Sicherheitskennzeichen besteht aus

1. einer Zusicherung des Herstellers oder Diensteanbieters, dass das Produkt für eine festgelegte Dauer bestimmte IT-Sicherheitsanforderungen erfüllt (Herstellererklä- rung), (Herstellererklärung), und

2. einer Information des Bundesamtes über sicherheitsrelevante IT-Eigenschaften des Produktes (Sicherheitsinformation).

(3) Die IT-Sicherheitsanforderungen, auf die sich die Herstellererklärung bezieht, ergeben sich aus einer Norm oder einem Standard oder aus einer branchenabgestimmten IT-Sicherheitsvorgabe, die die jeweilige Produktkategorie umfasst, sofern das Bundesamt in einem Verfahren, das durch Rechtsverordnung nach § 57 Absatz 3 geregelt wird, fest- gestellt er- geben sich aus einer Norm oder einem Standard oder aus einer branchenabgestimmten IT- Sicherheitsvorgabe, die die jeweilige Produktkategorie umfasst, sofern das Bundesamt in

- 59 - Bearbeitungsstand: 07.05.2024 10:19

einem Verfahren, das durch Rechtsverordnung nach § 58 Absatz 2 geregelt wird, festge- stellt hat, dass die Norm oder der Standard oder die branchenabgestimmte IT-Sicher- heitsvorgabe geeignet ist, ausreichende IT-Sicherheitsanforderungen für die Produktkate- gorie IT-Sicherheits- vorgabe geeignet ist, ausreichende IT-Sicherheitsanforderungen für die Produktkategorie abzubilden. Ein Anspruch auf diese Feststellung besteht nicht. Liegt keine Feststel- lung nach Satz 1 vor, ergeben sich die IT-Sicherheitsvorgaben aus einer vom Bundesamt veröffentlichten Technischen Richtlinie, die die jeweilige Produktkategorie umfasst, sofern das Bundesamt eine solche Richtlinie bereits veröffentlicht hat. Wird ein Produkt von mehr als einer oder einem bestehenden, als geeignet festgestellten Norm, Standard, branchen- abgestimmten IT-Sicherheitsvorgabe oder Technischen Richtlinie umfasst, richten sich die Anforderungen Feststellung nach Satz 1 vor, ergeben sich die IT-Sicherheitsvorgaben aus einer vom Bundesamt veröf- fentlichten Technischen Richtlinie, die die jeweilige Produktkategorie umfasst, sofern das Bundesamt eine solche Richtlinie bereits veröffentlicht hat. Wird ein Produkt von mehr als einer oder einem bestehenden, als geeignet festgestellten Norm, Standard, branchenabge- stimmten Frist vorgesehen wird.

Zu Absatz 6

Mit § 60 Absatz 6 wurde ein Bußgeldtatbestand für die Einrichtungskategorie der wichti- gen Einrichtungen geschaffen. Eine Separierung erfolgte zur besseren Übersichtlichkeit und angesichts der Änderungen in der Stufung aufgrund der Anforderungen der NIS 2 Richtlinie. Die Stufen stellen sich wie folgt dar: Es wird ein Wert von 7 Millionen Euro oder 1,4 Prozent des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Um- satzes des Unternehmens angesetzt.

Dies bestimmt Artikel 34 Absatz 4 der NIS 2 Richtlinie, der eine derartige Bußgeldhöhe bei Verstößen gegen Risikomanagementmaßnahmen und Meldepflichten (hier IT-Sicherheitsvorgabe oder Technischen Richtlinie umfasst, richten sich die An- forderungen nach der oder dem jeweils spezielleren bestehenden, als geeignet festge- stellten festgestell- ten Norm, Standard, branchenabgestimmten IT-Sicherheitsvorgabe oder Technischen Richtlinie.

(4) Das IT-Sicherheitskennzeichen darf nur dann für ein Produkt verwendet werden, wenn das Bundesamt das IT-Sicherheitskennzeichen für dieses Produkt freigegeben hat. Das Bundesamt prüft die Freigabe des IT-Sicherheitskennzeichens für ein Produkt auf - 59 - Bearbeitungsstand: 22.12.2023 09:58

Antrag An- trag des Herstellers oder Diensteanbieters. Dem Antrag sind die Herstellererklärung zu dem Produkt sowie alle Unterlagen beizufügen, die die Angaben in der Herstellererklä- rung belegen. Das Bundesamt bestätigt den Eingang des Antrags und prüft die Plausibili- tät Herstellererklärung be- legen. Das Bundesamt bestätigt den Eingang des Antrags und prüft die Plausibilität der Herstellererklärung anhand der beigefügten Unterlagen. Die Plausibilitätsprüfung kann auch durch einen vom Bundesamt beauftragten qualifizierten Dritten erfolgen. Für die Antragsbearbeitung kann das Bundesamt eine Verwaltungsgebühr erheben.

(5) Das Bundesamt erteilt die Freigabe des IT-Sicherheitskennzeichens für das je- weilige Produkt, wenn

1. das Produkt zu einer der Produktkategorien gehört, die das Bundesamt durch im Bundesanzeiger An- tragsbearbeitung kann das Bundesamt eine Verwaltungsgebühr erheben.

(5) Das Bundesamt erteilt die Freigabe des IT-Sicherheitskennzeichens für das jewei- lige Produkt, wenn

1. das Produkt zu einer der Produktkategorien gehört, die das Bundesamt durch im Bun- desanzeiger veröffentlichte Allgemeinverfügung bekannt gegeben hat,

2. die Herstellererklärung plausibel und durch die beigefügten Unterlagen ausreichend belegt ist und

3. die gegebenenfalls erhobene Verwaltungsgebühr beglichen wurde.

Die Erteilung der Freigabe erfolgt schriftlich und innerhalb einer angemessenen Frist, die in der Rechtsverordnung nach § 57 Absatz 3 58 Absatz 2 bestimmt wird. Den genauen Ablauf des Antragsverfahrens und die beizufügenden Unterlagen regelt die Rechtsverordnung nach § 57 Absatz 3.

An- tragsverfahrens und die beizufügenden Unterlagen regelt die Rechtsverordnung nach § 58 Absatz 2.

(6) Hat das Bundesamt die Freigabe erteilt, ist das Etikett des IT-Sicherheitskennzei- chens auf dem jeweiligen Produkt oder auf dessen Umverpackung anzubringen, sofern dies nach der Beschaffenheit des Produktes möglich ist. Das IT-Sicherheitskennzeichen kann auch elektronisch veröffentlicht werden. Wenn nach der Beschaffenheit des Produk- tes Produktes das Anbringen nicht möglich ist, muss die Veröffentlichung des IT-Sicherheitskennzei- chens elektronisch erfolgen. Das Etikett des IT-Sicherheitskennzeichens verweist auf eine Internetseite des Bundesamtes, auf der die Herstellererklärung und die Sicherheitsinfor- mationen IT-Sicherheitskennzeichens elektronisch erfolgen. Das Etikett des IT-Sicherheitskennzeichens verweist auf eine Inter- netseite des Bundesamtes, auf der die Herstellererklärung und die Sicherheitsinformatio- nen abrufbar sind. Das genaue Verfahren und die Gestaltung des Verweises sind in der Rechtsverordnung nach § 57 Absatz 3 58 Absatz 2 festzulegen.

(7) Nach Ablauf der festgelegten Dauer, für die der Hersteller oder Diensteanbieter die Erfüllung der IT-Sicherheitsanforderungen zusichert, oder nach Rücknahmeerklärung des Herstellers oder Diensteanbieters gegenüber dem Bundesamt erlischt die Freigabe. Das Bundesamt nimmt einen Hinweis auf das Erlöschen der Freigabe in die Sicherheitsin- formation auf.

(8) Das Bundesamt kann prüfen, ob die Anforderungen an die Freigabe des IT-Si- cherheitskennzeichens für ein Produkt eingehalten werden. Werden bei der Prüfung Ab- weichungen IT-Sicher- heitskennzeichens für ein Produkt eingehalten werden. Werden bei der Prüfung Abwei- chungen von der abgegebenen Herstellererklärung oder Schwachstellen festgestellt, kann

- 60 - Bearbeitungsstand: 07.05.2024 10:19

das Bundesamt die geeigneten Maßnahmen zum Schutz des Vertrauens der Verbraucher in das IT-Sicherheitskennzeichen treffen, insbesondere

1. Informationen über die Abweichungen oder Schwachstellen in geeigneter Weise in der Sicherheitsinformation veröffentlichen oder

2. die Freigabe des IT-Sicherheitskennzeichens widerrufen.

Absatz 7 Satz 2 gilt entsprechend.

(9) Bevor das Bundesamt eine Maßnahme nach Absatz 8 trifft, räumt es dem Her- Herstel- ler oder Diensteanbieter die Gelegenheit ein, die festgestellten Abweichungen oder Schwachstellen innerhalb eines angemessenen Zeitraumes zu beseitigen, es sei denn, gewichtige ge- wichtige Gründe der Sicherheit der Produkte erfordern eine sofortige Maßnahme. Die Befugnis des Bundesamtes zur Warnung nach § 13 bleibt davon unberührt.

- 60 - Bearbeitungsstand: 22.12.2023 09:58

T e i l 6

V e r o r d n u n g s e r m ä c h t i g u n g e n , G r u n d r e c h t s e i n - s c h r ä n k u n g e n u n d B e r i c h t s p f l i c h t e n

§ 57

Be- fugnis des Bundesamtes zur Warnung nach § 13 bleibt davon unberührt.

T e i l 6

V e r o r d n u n g s e r m ä c h t i g u n g e n , G r u n d r e c h t s e i n - s c h r ä n k u n g e n u n d B e r i c h t s p f l i c h t e n

§ 58

Ermächtigung zum Erlass von Rechtsverordnungen

(1) Das Bundesministerium des Innern und für Heimat bestimmt nach Anhörung der betroffenen Wirtschaftsverbände und im Einvernehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz durch Rechtsverordnung, die nicht der Zustimmung des Bun- desrates bedarf, das Nähere über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen nach § 54 und deren Inhalt.

(2) Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord- nung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz Digitales und Ver- kehr und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Ver- braucherschutz die Einzelheiten der Gestaltung, des Inhalts und der Verwendung des IT-Sicherheitskennzeichens IT- Sicherheitskennzeichens nach § 52, um eine einheitliche Gestaltung des Kennzei- chens Kennzeichens und eine eindeutige Erkennbarkeit der gekennzeichneten informationstechnischen Produkte zu gewährleisten, sowie die Einzelheiten des Verfahrens zur Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben und des Antragsverfahrens auf Freigabe Pro- dukte zu gewährleisten, sowie die Einzelheiten des Verfahrens zur Feststellung der Eig- nung branchenabgestimmter IT-Sicherheitsvorgaben und des Antragsverfahrens auf Frei- gabe einschließlich der diesbezüglichen Fristen und der beizufügenden Unterlagen sowie das Verfahren und die Gestaltung des Verweises auf Sicherheitsinformationen.

(3) Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord- nung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Einrichtungen und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz, dem Bun- desministerium der Finanzen, dem Bundesministerium der Justiz, dem Bundesministeri- um für Arbeit und Soziales, dem Bundesministerium der Verteidigung, dem Bundesminis- terium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Digitales und Verkehr und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz, welche durch eine besonders wichtige Einrichtung oder eine wichtige Einrichtung eingesetzten Produkte, Dienste oder Prozesse gemäß § 30 Absatz 6 über eine Cybersicherheitszertifizierung verfügen müs- sen, da sie für die Erbringung der Dienste der Einrichtung maßgeblich sind und Art und Ausmaß der Risikoexposition der Einrichtung einen verpflichtenden Einsatz von zertifizier- ten Produkten, Diensten oder Prozessen in diesem Bereich erforderlich machen.

(4) Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord- nung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz, dem Bundesministerium der Finanzen, dem Bundesministerium der Justiz, dem Bundesministerium für Arbeit und Bundesministerium für Arbeit und Soziales, dem Bundesministerium der Verteidigung, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundes- ministerium für Digitales und Verkehr, dem Bundesministerium für Bildung und Forschung und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbrau- cherschutz, welche durch eine besonders wichtige Einrichtung oder eine wichtige Einrich- tung eingesetzten Produkte, Dienste oder Prozesse gemäß § 30 Absatz 6 über eine

- 61 - Bearbeitungsstand: 07.05.2024 10:19

Cybersicherheitszertifizierung verfügen müssen, da sie für die Erbringung der Dienste der Einrichtung maßgeblich sind und Art und Ausmaß der Risikoexposition der Einrichtung ei- nen verpflichtenden Einsatz von zertifizierten Produkten, Diensten oder Prozessen in die- sem Bereich erforderlich machen.

(4) Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord- nung, die nicht der Zustimmung des Bundesrates bedarf, im Einvernehmen mit dem Bun- desministerium für Wirtschaft und Klimaschutz, dem Bundesministerium der Finanzen, dem Bundesministerium der Justiz, dem Bundesministerium für Arbeit und Soziales, dem Bun- desministerium der Verteidigung, dem Bundesministerium für Ernährung und Landwirt- schaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Digitales und Verkehr und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Ver- braucherschutz unter Festlegung der in § 28 Absatz 7 genannten Sektoren wegen ihrer Be- deutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehen- den Versorgungsgrads, welche Anlagen als kritische Anlagen im Sinne dieses Gesetzes gelten. Der als bedeutend anzusehende Versorgungsgrad ist anhand branchen-

- 61 - Bearbeitungsstand: 22.12.2023 09:58

spezifischer branchenspezifischer Schwellenwerte für jede als kritisch anzusehende Dienstleistung zu bestim- men. bestimmen. Zugang zu Akten, die die Erstellung oder Änderung dieser Verordnung betreffen, wird nicht gewährt.

§ 58

59

Einschränkung von Grundrechten

Das Fernmeldegeheimnis (Artikel 10 des Grundgesetzes) wird durch die §§ 7, 8, 9, 11, 12, 15 und 16 eingeschränkt.

§ 59

60

Berichtspflichten des Bundesamtes

(1) Das Bundesamt unterrichtet das Bundesministerium des Innern und für Heimat über seine Tätigkeit.

(2) Die Unterrichtung nach Absatz 1 dient auch der Aufklärung der Öffentlichkeit durch das Bundesministerium des Innern und für Heimat über Gefahren für die Sicherheit in der Informationstechnik, die mindestens einmal jährlich in einem zusammenfassenden Bericht erfolgt. § 13 Absatz 2 ist entsprechend anzuwenden.

(3) Das Bundesministerium des Innern und für Heimat unterrichtet kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Ausschuss für Inne- res je- weils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Ausschuss für Inneres und Heimat des Deutschen Bundestages über die Anwendung dieses Gesetzes. Es geht dabei auch auf die Fortentwicklung des maßgeblichen Unionsrechts ein.

(4) Das Bundesamt übermittelt bis zum 9. November 2018 und danach alle zwei Jahre bis zum 17. Oktober 2024 die folgenden Informationen an die Europäische Kom- mission:

Kommission:

1. die nationalen Maßnahmen zur Ermittlung der Betreiber kritischer Anlagen;

2. eine Aufstellung der im in Anhang II der Richtlinie (EU) 2016/1148 genannten Sekto- ren, die in der Rechtsverordnung nach § 57 Absatz 4 wegen ihrer Bedeutung als Sektoren, die in der Rechtsverordnung nach § 58 Absatz 4 wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versor- gungsgrad;

- 62 - Bearbeitungsstand: 07.05.2024 10:19

3. eine zahlenmäßige Aufstellung der Einrichtungen der in Nummer 2 genannten Sekto- ren, die in den in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren ermit- ermittelt werden, einschließlich eines Hinweises auf ihre Bedeutung für den jeweiligen Sektor.

Die Übermittlung darf keine Informationen enthalten, die zu einer Identifizierung einzelner Betreiber führen können. Das Bundesamt übermittelt die nach Satz 1 übermittelten Infor- mationen unverzüglich dem Bundesministerium des Innern und für Heimat, dem Bundes- kanzleramt, dem Bundesministerium für Wirtschaft und Klimaschutz, dem Bundesministe- rium der Finanzen, dem Bundesministerium der Justiz, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium der Verteidigung, dem Bundesministerium für Er- nährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesminis- terium Bundesministe- rium für Digitales und Verkehr und dem Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit und Verbraucherschutz.

- 62 - Bearbeitungsstand: 22.12.2023 09:58

(5) Sobald bekannt wird, dass eine Einrichtung oder Anlage nach § 2 Absatz 1 Num- mer 19 oder Teile einer Einrichtung oder Anlage eine wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistung in einem der in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren in einem anderen Mitgliedstaat der Europäischen Union bereitstellt, nimmt das Bundesamt zum Zweck der gemeinsamen Ermittlung der Einrichtungen, die kritische Dienstleistungen in den in Anhang II der Richtlinie (EU) 2016/1148 genannten Nummer 21 oder Teile einer Einrichtung oder Anlage eine wegen ihrer Bedeu- tung als kritisch anzusehenden Dienstleistung in einem der in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren in einem anderen Mitgliedstaat der Europäischen Union bereitstellt, nimmt das Bundesamt zum Zweck der gemeinsamen Ermittlung der Einrichtun- gen, die kritische Dienstleistungen in den in Anhang II der Richtlinie (EU) 2016/1148 ge- nannten Teilsektoren erbringen, mit der zuständigen Behörde dieses Mitgliedstaats Konsultationen Kon- sultationen auf.

(6) Das Bundesamt übermittelt bis zum 9. August 2018 und danach jährlich bis zum Berichtszeitraum Kalenderjahr 2023 an die Kooperationsgruppe nach Artikel 11 der Richt- linie (EU) 2016/1148 einen zusammenfassenden Bericht zu den Meldungen, die die in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren oder digitale Dienste betref- An- hang II der Richtlinie (EU) 2016/1148 genannten Sektoren oder digitale Dienste betreffen. Der Bericht enthält auch die Zahl der Meldungen und die Art der gemeldeten Sicherheits- vorfälle sowie die ergriffenen Maßnahmen. Der Bericht darf keine Informationen ent- halten, die zu einer Identifizierung einzelner Meldungen oder einzelner Einrichtungen füh- ren können.

enthalten, die zu einer Identifizierung einzelner Meldungen oder einzelner Einrichtungen führen kön- nen.

(7) Das Bundesamt legt der ENISA erstmalig zum 18. Januar 2025 und in der Folge alle drei Monate einen zusammenfassenden Bericht vor, der anonymisierte und aggre- gierte Daten zu erheblichen Sicherheitsvorfällen, erheblichen Cyberbedrohungen und Beinahevorfällen enthält, die gemäß § 31 und § 5 Absatz 2 gemeldet wurden. Der erstma- lige Bericht aggregierte Daten zu erheblichen Sicherheitsvorfällen, erheblichen Cyberbedrohungen und Beinahe- vorfällen enthält, die gemäß § 32 und § 5 Absatz 2 gemeldet wurden. Der erstmalige Be- richt nach Satz 1 enthält auch die Daten, die für das Jahr 2024 gemäß Absatz 6 übermitteln zu gewesen wären.

(8) Das Bundesamt übermittelt erstmalig zum 17. April 2025 und in der Folge alle zwei Jahre

1. der Europäischen Kommission und der Kooperationsgruppe nach Artikel 14 der NIS- 2-Richtlinie für jeden Sektor und Teilsektor gemäß Anhang I oder II der NIS-2-Richtli- nie die Anzahl der besonders wichtigen Einrichtungen und wichtigen Einrichtungen, die gemäß § 32 NIS-2- Richtlinie für jeden Sektor und Teilsektor gemäß Anhang I oder II der NIS-2-Richtlinie die Anzahl der besonders wichtigen Einrichtungen und wichtigen Einrichtungen, die gemäß § 33 Absatz 1 registriert wurden, und

2. der Europäischen Kommission sachdienliche Informationen über die Anzahl der kriti- schen Anlagen, über den Sektor und den Teilsektor gemäß Anhang I oder II der NIS- 2-Richtlinie, zu dem sie gehören, über die Art der von ihnen erbrachten Dienste und über die Bestimmungen, auf deren Grundlage sie ermittelt wurden.

T e i l 7

S a n k t i o n s v o r s c h r i f t e n u n d A u f s i c h t

§ 60

Bußgeldvorschriften

(1) Ordnungswidrig handelt, wer entgegen § 39 Absatz 1 Satz 1 in Verbindung mit der Rechtsverordnung nach § 57 Absatz 4 Satz 1 einen Nachweis nicht richtig oder nicht vollständig - 63 - Bearbeitungsstand: 07.05.2024 10:19

T e i l 7

S a n k t i o n s v o r s c h r i f t e n u n d A u f s i c h t

§ 61

Bußgeldvorschriften

(1) Ordnungswidrig handelt, wer entgegen § 39 Absatz 1 Satz 1 in Verbindung mit der Rechtsverordnung nach § 58 Absatz 4 Satz 1 einen Nachweis nicht richtig oder nicht voll- ständig erbringt.

(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1. einer vollziehbaren Anordnung nach

- 63 - Bearbeitungsstand: 22.12.2023 09:58

a) § 11 Absatz 6, § 16 Absatz 1 Satz 1, auch in Verbindung mit § 16 Absatz 3, § 17 Satz 1, oder § 34 Absatz 1 Satz 6,

b) § 14 Absatz 2 Satz 1 oder § 64 Absatz 8 Satz 1 und 2 oder Absatz 9 Satz 1 oder in Verbindung mit § 65

c) § 18 oder § 64 Absatz 6 Satz 1 und 2 oder in Verbindung mit § 65

d) § 40 Absatz 4 Satz 1

a) § 11 Absatz 6, § 16 Absatz 1 Satz 1, auch in Verbindung mit § 16 Absatz 3, § 17 Satz 1, oder § 39 Absatz 1 Satz 6,

b) § 14 Absatz 2 Satz 1 oder § 65 Absatz 8 oder in Verbindung mit § 66,

c) § 18 oder § 65 Absatz 6 Satz 1 und 2 oder in Verbindung mit § 66,

d) § 40 Absatz 4 Satz 1,

e) § 65 Absatz 3 Satz 1 oder in Verbindung mit § 66,

f) § 65 Absatz 7 Satz 2 oder in Verbindung mit § 66,

zuwiderhandelt,

2. entgegen § 30 Absatz 1 in Verbindung mit einer Rechtsverordnung nach § 57 Absatz 4 Satz 1 eine dort genannte Maßnahme nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig ergreift,

3. entgegen § 32 Absatz 1 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt,

4. entgegen § 33 Absatz 1 oder Absatz 5 jeweils in Verbindung mit einer Rechtsverord- nung nach § 57 Absatz 4 Satz 1 oder entgegen § 34 Absatz 1 eine Angabe oder 58 Absatz 4 Satz 1 eine dort genannte Maßnahme nicht, nicht richtig, nicht vollstän- dig oder nicht rechtzeitig ergreift,

3. entgegen § 32 Absatz 1 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt,

4. entgegen § 33 Absatz 1 oder 2, jeweils in Verbindung mit einer Rechtsverordnung nach § 58 Absatz 4 Satz 1, oder entgegen § 34 Absatz 1 eine Angabe oder Änderung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt,

5. entgegen § 33 Absatz 2 Satz 2 nicht sicherstellt, dass er erreichbar ist,

6. entgegen § 34 Absatz 2 das Bundesamt nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet,

7. entgegen § 39 Absatz 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 57 Absatz 4 Satz 1 oder § 64 Absatz 3 Satz 1 oder in Verbindung mit § 65, einen Nach- weis 58 Absatz 4 Satz 1 einen Nachweis nicht oder nicht rechtzeitig erbringt,

8. entgegen § 51 Absatz 1 gegenüber dem Bundesamt nicht vorweisen kann, dass er eine vollständige Datenbank vorhält oder entgegen § 52 Satz Absatz 1 auf Anträge nicht oder nicht rechtzeitig antwortet oder den Zugang gewährt oder entgegen § 51 Absatz 3 und 4, § 52 Satz 2 die erforderlichen Angaben nicht öffentlich macht,

9. vorgibt, Inhaber einer Zertifizierung nach § 54 Absatz 2 zu sein, ohne dass diese be- steht,

10. entgegen § 55 Absatz 2 Satz 2 als Konformitätsbewertungsstelle tätig wird,

11. entgegen § 56 Absatz 4 Satz 1 das IT-Sicherheitskennzeichen verwendet,

12. entgegen § 64 Absatz 5 Satz 3 das Betreten eines dort genannten Raums nicht ge- stattet, eine dort genannte Unterlage nicht oder nicht rechtzeitig vorlegt, eine Aus- kunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstüt- zung Absatz 2 Satz 1 die erforderlichen Angaben nicht öffentlich macht,

- 64 - Bearbeitungsstand: 07.05.2024 10:19

9. vorgibt, Inhaber einer Zertifizierung nach § 54 Absatz 2 zu sein, ohne dass diese be- steht,

10. vorgibt Aussteller einer Konformitätserklärung nach § 55 Absatz 1 zu sein, obwohl diese nicht besteht, widerrufen oder für ungültig erklärt wurde,

11. entgegen § 55 Absatz 3 Satz 2 als Konformitätsbewertungsstelle tätig wird,

12. entgegen § 56 Absatz 2 Satz 2 als Konformitätsbewertungsstelle tätig wird,

13. entgegen § 57 Absatz 4 Satz 1 das IT-Sicherheitskennzeichen verwendet,

14. entgegen § 65 Absatz 5 Satz 3 das Betreten eines dort genannten Raums nicht gestat- tet, eine dort genannte Unterlage nicht oder nicht rechtzeitig vorlegt, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung nicht oder nicht rechtzeitig gewährt.

(3) Ordnungswidrig handelt, wer eine in Absatz 1 bezeichnete Handlung fahrlässig begeht.

(4) Ordnungswidrig handelt, wer gegen die Verordnung (EU) 2019/881 des Europäi- schen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Euro-

- 64 - Bearbeitungsstand: 22.12.2023 09:58

päischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- Europä- ischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Infor- mations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl. L 151 vom 7.6.2019, S. 15) verstößt, indem er vorsätzlich oder fahrlässig

1. entgegen Artikel 55 Absatz 1 eine dort genannte Angabe nicht, nicht richtig, nicht voll- ständig oder nicht binnen eines Monats nach Ausstellung zugänglich macht oder

2. entgegen Artikel 56 Absatz 8 Satz 1 eine Information nicht, nicht richtig, nicht voll- ständig oder nicht unverzüglich nach Feststellung einer Schwachstelle oder Unregel- mäßigkeit gibt.

3. vorgibt, Inhaber eines europäischen Cybersicherheitszertifikats gemäß Artikel 56 oder Aussteller einer EU-Konformitätserklärung gemäß Artikel 53 Absatz 2 zu sein, obwohl diese nicht besteht, widerrufen oder für ungültig erklärt wurde.

(5) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 2 Nummer 1 Buchsta- be mit einer Geldbuße bis zu zwei Millionen Euro, wobei § 30 Absatz 2 Satz 3 des Geset- zes über Ordnungswidrigkeiten anzuwenden ist, sowie in den Fällen des Absatzes 2 Nummer 1 Buchstabe c, Nummern 4, 6, 7 Variante 2 und 3, 8, 9, 10 und 11 und des Ab- satzes 4 mit einer Geldbuße bis zu fünfhunderttausend Euro und in den Fällen des Absat- zes 2 Nummer 1 Buchstabe b , der Nummer 13 und des Absatzes 3 mit einer Geldbuße bis zu einhunderttausend Euro geahndet werden.

(6) Handelt es sich bei dem Betroffenen um eine wichtige Einrichtung kann die vollstän- dig oder nicht unverzüglich nach Feststellung einer Schwachstelle oder Unregelmäßig- keit gibt.

3. vorgibt, Inhaber eines europäischen Cybersicherheitszertifikats gemäß Artikel 56 oder Aussteller einer EU-Konformitätserklärung gemäß Artikel 53 Absatz 2 zu sein, obwohl diese nicht besteht, widerrufen oder für ungültig erklärt wurde.

(5) Die Ordnungswidrigkeit kann geahndet werden:

a) spezielle Strukturen oder Gruppen von Strukturen für die zentrale 1. in den Fällen des Absatzes 1 und Absatzes 2 Nummer 7 Variante 1 mit einer Geldbuße bis zu zehn Millionen Euro,

2. in den Fällen des Absatzes 2 Nummer 2 und 3

a) bei besonders wichtigen Einrichtungen nach § 28 Absatz 1 Satz 1 mit einer Geld- buße bis zu zehn Millionen Euro,

b) bei wichtigen Einrichtungen im Sinne des § 28 Absatz 2 Satz 1 mit einer Geldbuße bis zu sieben Millionen Euro,

3. in den Fällen des Absatzes 2 Nummer 1 Buchstabe a mit einer Geldbuße bis zu zwei Millionen Euro,

4. in den Fällen des Absatzes 2 Nummer 1 Buchstabe c, e, Nummern 4, 6,7 Variante 2, Nummern 8, 9, 10, 11 oder des Absatzes 4 mit einer Geldbuße bis zu fünfhunderttau- send Euro und

- 65 - Bearbeitungsstand: 07.05.2024 10:19

5. in den Fällen des Absatzes 2 Nummer 1 Buchstabe b, d, f, Nummer 5, 12 oder des Ab- satzes 3 mit einer Geldbuße bis zu einhunderttausend Euro.

In den Fällen des Satzes 1 Nummer 3 ist § 30 Absatz 2 Satz 3 des Gesetzes über Ordnungswidrigkeiten anzuwenden.

(6) Bei einer besonders wichtigen Einrichtung im Sinne des § 28 Absatz 1 Satz 1 mit einem Jahresumsatz von mehr als 500 Millionen Euro kann abweichend von Absatz 5 Satz 1 Nummer 2 Buchstabe a eine Ordnungswidrigkeit in den Fällen des Absatzes 2 Nummer 2 und 3 mit einer Geldbuße bis zu 2 Prozent des Jahresumsatzes ge- ahndet werden.

(7) Bei einer wichtigen Einrichtung im Sinne des § 28 Absatz 2 Satz 1 mit einem Jah- resumsatz von mehr als 500 Millionen Euro kann abweichend von Absatz 5 Nummer 2 Buchstabe b eine Ordnungswidrigkeit in den Fällen des Absatzes 2 Nummer 2 und 3 mit einer Geldbuße bis zu 1,4 Prozent des Jahresumsatzes geahndet werden.

(8) Der Jahresumsatz im Sinne der Absätze 6 und 7 ist der gesamte weltweit getätigte Umsatz des Unternehmens, dem die besonders wichtige Einrichtung oder die wichtige Ein- richtung angehört, der in dem Geschäftsjahr erzielt wurde, das dem Verstoß vorangeht.

(9) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist das Bundesamt.

(9) (10) Verhängen die in Artikel 55 oder 56 der Verordnung (EU) 2016/679 genannten Aufsichtsbehörden gemäß Artikel 58 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679 eine Geldbuße, so darf ein weiteres Bußgeld eine weitere Geldbuße für einen Verstoß nach diesem Gesetz, der sich aus demselben Verhalten ergibt wie jener Verstoß, nicht verhängt werden.

§ 61

Zuwiderhandlungen durch Institutionen der sozialen Sicherung

Bei Zuwiderhandlungen gegen eine in § 60 der Gegenstand der Geldbuße nach Artikel 58 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679 war, wie die Annahme eines ungeschützten Sys- tems als Voraussetzung. Dabei war eine Einschränkung auf bloße Portscans auch deswe- gen nicht angezeigt, da die Detektion von Sicherheitslücken nicht verhängt werden.

§ 62

Zuwiderhandlungen durch Institutionen der sozialen Sicherung

Bei Zuwiderhandlungen gegen eine in § 61 Absatz 1 bis 4 genannte Vorschrift, die von Institutionen der Sozialen Sicherung begangen werden, finden die Sätze 2 bis 4 Anwen- dung. Bei einer in Satz 1 genannten Zuwiderhandlung von Institutionen der Sozialen Si- cherung in Trägerschaft des Bundes stellt das Bundesamt das Einvernehmen über die zu ergreifenden Maßnahmen mit der für die Institution der Sozialen Sicherung zuständigen Aufsichtsbehörde her. Bei einer in Satz 1 genannten Zuwiderhandlung von Institutionen der Sozialen Sicherung in Trägerschaft der Länder informiert das Bundesamt die zustän- dige Siche- rung in Trägerschaft des Bundes stellt das Bundesamt das Einvernehmen über die zu er- greifenden Maßnahmen mit der für die Institution der Sozialen Sicherung zuständigen Auf- sichtsbehörde her. Bei einer in Satz 1 genannten Zuwiderhandlung von Institutionen der Sozialen Sicherung in Trägerschaft der Länder informiert das Bundesamt die zuständige Aufsichtsbehörde und schlägt geeignete Maßnahmen vor. Die jeweils zuständige Aufsichtsbehörde Aufsichts- behörde informiert das Bundesamt über die Einleitung und Umsetzung von Auf- sichtsmitteln Aufsichtsmitteln und sorgt für deren Durchsetzung.

§ 62

Zuständigkeit des Bundesamtes

Das Bundesamt ist zuständige Aufsichtsbehörde für die Einhaltung der Vorschriften in Teil 3

1. durch wichtige und besonders wichtige Einrichtungen, die in der Bundesrepublik Deutschland niedergelassen sind,

2. durch Betreiber kritischer Anlagen, deren kritische Anlagen sich auf dem Hoheitsge- biet 63

Zuständigkeit des Bundesamtes

Das Bundesamt ist zuständige Aufsichtsbehörde für die Einhaltung der Vorschriften in Teil 3

- 66 - Bearbeitungsstand: 07.05.2024 10:19

1. durch wichtige und besonders wichtige Einrichtungen, die in der Bundesrepublik Deutschland niedergelassen sind, mit Ausnahme der in § 28 Absatz 4 und 5 genann- ten Einrichtungen,

2. durch Betreiber kritischer Anlagen, deren kritische Anlagen sich auf dem Hoheitsgebiet der Bundesrepublik Deutschland befinden, und

3. durch Einrichtungen der Bundesverwaltung.

§ 63

Zentrale Zuständigkeit in der Europäischen Union für bestimmte Einrichtungsarten

(1) Abweichend von § 62 ist das Bundesamt für DNS-Diensteanbieter, Top Level Domain mit Ausnahme der in § 28 Absatz 4 und 5 genannten Betreiber, und

3. durch Einrichtungen der Bundesverwaltung.

§ 64

Zentrale Zuständigkeit in der Europäischen Union für bestimmte Einrichtungsarten

(1) Abweichend von § 63 ist das Bundesamt für DNS-Diensteanbieter, Top Level Do- main Name Registries, Domain-Name-Registry-Dienstleister, Anbieter von Cloud-Com- puting-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Content Delivery Networks, Cloud-Compu- ting-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Content Delivery Net- works, Managed Service Provider, Managed Security Service Provider sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke Netz- werke nur dann zuständig, wenn diese ihre Hauptniederlassung in der Europäischen Union in der Bundesrepublik Deutschland hat. Ist dies der Fall, so ist das Bundesamt für die Einrichtung in der gesamten Europäischen Union zentral zuständig.

(2) Als Hauptniederlassung in der Europäischen Union im Sinne von Absatz 1 gilt derjenige Mitgliedstaat der Europäischen Union, in dem die Entscheidungen der Einrich- tung im Zusammenhang mit den Maßnahmen zum Cybersicherheitsrisikomanagement vorwiegend getroffen werden. Kann ein solcher Mitgliedstaat nicht bestimmt werden oder werden solche Entscheidungen nicht in der Europäischen Union getroffen, so gilt als Hauptniederlassung der Mitgliedstaat, in dem die Cybersicherheitsmaßnahmen Ein- richtung in der gesamten Europäischen Union zentral zuständig.

(2) Als Hauptniederlassung in der Europäischen Union im Sinne von Absatz 1 gilt der- jenige Mitgliedstaat der Europäischen Union, in dem die Entscheidungen der Einrichtung im Zusammenhang mit den Maßnahmen zum Cybersicherheitsrisikomanagement vorwie- gend an den Nummer 9 aus dem getroffen werden. Kann ein solcher Mitgliedstaat nicht bestimmt werden oder werden solche Entscheidungen nicht in der Europäischen Union getroffen, so gilt als Hauptnieder- lassung der Mitgliedstaat, in dem die Cybersicherheitsmaßnahmen durchgeführt werden. Kann ein solcher Mitgliedstaat nicht bestimmt werden, so gilt als Hauptniederlassung der Mitgliedstaat, in dem die betreffende Einrichtung die Niederlassung mit der höchsten Beschäftigtenzahl Be- schäftigtenzahl in der Europäischen Union hat.

(3) Hat eine Einrichtung der in Absatz 1 Satz 1 genannten Einrichtungsart keine Nie- derlassung in der Europäischen Union, bietet aber Dienste innerhalb der Europäischen Union an, ist sie verpflichtet, einen Vertreter zu benennen. Der Vertreter muss in einem Mitgliedstaat der Europäischen Union niedergelassen sein, in der die Einrichtung die Dienste anbietet. Ist der Vertreter in der Bundesrepublik Deutschland niedergelassen, ist - 66 - Bearbeitungsstand: 22.12.2023 09:58

das Bundesamt für die Einrichtung zuständig. Hat eine Einrichtung der in Absatz 1 Satz 1 genannten Einrichtungsart in der Europäischen Union keinen Vertreter im Sinne dieses Absatzes benannt, kann das Bundesamt sich für die betreffende Einrichtung zuständig das Bundesamt für die Einrichtung zuständig. Hat eine Einrichtung der in Absatz 1 Satz 1 genannten Einrichtungsart in der Europäischen Union keinen Vertreter im Sinne dieses Ab- satzes benannt, kann das Bundesamt sich für die betreffende Einrichtung zuständig erklä- ren.

(4) Die Benennung eines Vertreters durch eine Einrichtung der in Absatz 1 Satz 1 ge- nannten Einrichtungsart lässt rechtliche Schritte, die gegen die Einrichtung selbst ein- geleitet eingelei- tet werden könnten, unberührt.

(5) Hat das Bundesamt ein Amtshilfeersuchen eines anderen Mitgliedsstaats der Europäischen Union zu einer Einrichtung der in Absatz 1 Satz 1 genannten Eu- ropäischen Union zu einer Einrichtung der in Absatz 1 Satz 1 genannten Einrichtungsart erhalten, so ist das Bundesamt befugt, innerhalb der Grenzen dieses Ersuchens ge- eignete Aufsichts- und Durchsetzungsmaßnahmen in Bezug auf die betreffende Einrich- tung zu ergreifen, die in der Bundesrepublik Deutschland Dienste anbietet oder eine infor- mationstechnisches System, Komponente oder Prozess betreibt. Satz 1 gilt entsprechend bei Amtshilfeersuchen eines anderen Mitgliedsstaats der Europäischen Union, der für eine Einrichtung in der gesamten Europäischen Union zuständig ist, wenn die Einrichtung in der geeignete Aufsichts- und Durchsetzungsmaßnahmen in Bezug auf die betreffende Einrichtung zu er- greifen, die in der Bundesrepublik Deutschland Dienste anbietet oder eine informations- technisches System, Komponente oder Prozess betreibt. Satz 1 gilt entsprechend bei Amts- hilfe für zuständige Aufsichtsbehörden in anderen Mitgliedsstaaten der Europäischen Uni- on, hilfeersuchen eines anderen Mitgliedsstaats der Europäischen Union, der für eine Einrich- tung in der gesamten Europäischen Union zuständig ist, wenn die Einrichtung in der

- 67 - Bearbeitungsstand: 07.05.2024 10:19

Bundesrepublik Deutschland Dienste anbietet oder ein informationstechnisches System, eine Komponente oder einen Prozess betreibt.

§ 64

Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen

(1) Das Bundesamt kann einzelne besonders wichtige Einrichtungen verpflichten, Audits, Prüfungen oder Zertifizierungen von unabhängigen Stellen zur Prüfung der Erfül- lung der Anforderungen nach den §§ 30, 31 und 32 durchführen zu lassen.

(2) Das Bundesamt kann nach Anhörung der betroffenen Einrichtungen und Wirt- schaftsverbände fachliche und organisatorische Anforderungen für die prüfenden Stellen festlegen. Die Festlegung nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der In- ternetseite des Bundesamtes.

(3) Das Bundesamt kann, neben der nach § 39 für Betreiber einer kritischen Anlage bestimmten Frist, auch gegenüber anderen besonders wichtigen Einrichtungen frühestens drei Jahre nach Inkrafttreten dieses Gesetzes die Vorlage von Nachweisen über die Erfül- lung einzelner oder aller Anforderungen nach den §§ 30, 31 und 32anordnen. Soweit das Bundesamt von seinem Recht nach Absatz 1 Gebrauch gemacht hat, kann es hierbei auch die Übermittlung der Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifi- zierungen einschließlich der dabei aufgedeckten Sicherheitsmängel sowie die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei 65

Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen

(1) Das Bundesamt kann einzelne besonders wichtige Einrichtungen verpflichten, Au- dits, Prüfungen oder Zertifizierungen von unabhängigen Stellen zur Prüfung der Erfüllung der Anforderungen nach den §§ 30, 31 und 32 durchführen zu lassen.

(2) Das Bundesamt kann nach Anhörung der betroffenen Einrichtungen und Wirt- schaftsverbände fachliche und organisatorische Anforderungen für die prüfenden Stellen festlegen. Die Festlegung nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der Inter- netseite des Bundesamtes.

(3) Das Bundesamt kann, neben der nach § 39 für Betreiber einer kritischen Anlage bestimmten Frist, auch gegenüber anderen besonders wichtigen Einrichtungen frühestens drei Jahre nach Inkrafttreten dieses Gesetzes die Vorlage von Nachweisen über die Erfül- lung einzelner oder aller Anforderungen nach den §§ 30, 31 und 32 anordnen. Soweit das Bundesamt von seinem Recht nach Absatz 1 Gebrauch gemacht hat, kann es hierbei auch die Übermittlung der Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierun- gen einschließlich der dabei aufgedeckten Sicherheitsmängel sowie die Vorlage der Doku- mentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheits- mängeln die Vorlage eines geeigneten Mängelbeseitigungsplans im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder der sonst zuständigen Aufsichtsbehörde verlangen. Das Bundesamt kann die Vorlage eines geeigneten Nachweises über die er- folgte Mängelbeseitigung verlangen.

(4) Bei der Auswahl, von welchen Einrichtungen das Bundesamt nach Absatz 3 Nachweise Nach- weise anfordert, berücksichtigt das Bundesamt das Ausmaß der Risikoexposition, die Größe der Einrichtung sowie die Eintrittswahrscheinlichkeit und Schwere von mögli- chen Sicherheitsvorfällen sowie ihre möglichen gesellschaftlichen und wirtschaftlichen Auswirkungen.

möglichen Sicherheitsvorfällen sowie ihre möglichen gesellschaftlichen und wirtschaftlichen Auswir- kungen.

(5) Das Bundesamt kann bei besonders wichtigen Einrichtungen die Einhaltung der Anforderungen nach diesem Gesetz überprüfen. Es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. Die besonders wichtige - 67 - Bearbeitungsstand: 22.12.2023 09:58

Einrichtung hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Auf- zeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprü- fung erhebt das Bundesamt Gebühren und Auslagen bei der jeweiligen besonders wichti- gen Einrichtung nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen nach § 30 Absatz 1 be- gründeten.

(6) Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen Maßnah- men anordnen, die zur Verhütung oder Behebung eines Sicherheitsvorfalls oder eines Mangels erforderlich sind. Ferner kann das Bundesamt die Berichterstattung zu den nach Satz 1 angeordneten Maßnahmen verlangen.

(7) Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen verbindliche Anordnungen zur Umsetzung der Verpflichtungen nach diesem Gesetz erlassen. Es kann die Umsetzung von im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen Einrichtung hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der übli- chen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeich- nungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei der jeweiligen besonders wichtigen Einrich- tung nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die be- rechtigte Zweifel an der Einhaltung der Anforderungen nach § 30 Absatz 1 begründeten.

(6) Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen im Beneh- men mit der zuständigen Aufsichtsbehörde Maßnahmen anordnen, die zur Verhütung oder Behebung eines Sicherheitsvorfalls oder eines Mangels erforderlich sind. Ein Benehmen mit der zuständigen Aufsichtsbehörde kann entfallen, sofern Gefahr im Verzug besteht. Ferner kann das Bundesamt die Berichterstattung zu den nach Satz 1 angeordneten Maß- nahmen verlangen.

(7) Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen im Beneh- men mit der zuständigen Aufsichtsbehörde Anordnungen zur Umsetzung der

- 68 - Bearbeitungsstand: 07.05.2024 10:19

Verpflichtungen nach diesem Gesetz erlassen. Ein Benehmen mit der zuständigen Auf- sichtsbehörde kann entfallen, sofern Gefahr im Verzug besteht. Es kann die Umsetzung von im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen innerhalb einer ange- messenen Frist anordnen.

(8) Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen anordnen,

1. die natürlichen oder juristischen Personen, für die sie Dienste erbringen oder Tätigkei- ten ausüben und die potenziell von einer erheblichen Cyberbedrohung betroffen sind, über die Art der Bedrohung und mögliche Abwehr- oder Abhilfemaßnahmen zu unter- richten, die diese Personen als Reaktion auf die Bedrohung ergreifen können, und

2. Informationen zu Verstößen gegen Verpflichtungen nach diesem Gesetz nach durch das Bundesamt bestimmten Vorgaben öffentlich bekannt zu machen.

(9) Sofern besonders wichtige Einrichtungen den Anordnungen des Bundesamtes nach diesem Gesetz trotz Fristsetzung nicht nachkommen, kann das Bundesamt dies der jeweils zuständigen Aufsichtsbehörde mitteilen. 1. Die Genehmigung für einen Teil oder alle Dienste oder Tätigkeiten dieser Einrichtung ist vorübergehend auszusetzen und

2. den natürlichen Personen, die als Geschäftsführung oder gesetzliche Vertreter für Leitungsaufgaben in der besonders wichtigen Einrichtung zuständig sind, ist die Wahrnehmung der Leitungsaufgaben vorübergehend zu untersagen.

Die Aussetzung nach Ziffer 1 und die Untersagung nach Ziffer 2 sind nur solange zuläs- sig, bis die besonders wichtige Einrichtung den Anordnungen des Bundesamtes nach- kommt, In diesem Fall kann die zuständige Auf- sichtsbehörde

1. die Genehmigung für einen Teil oder alle Dienste oder Tätigkeiten dieser Einrichtung vorübergehend aussetzen und

2. natürlichen Personen die Ausübung von Leitungsaufgaben auf Geschäftsführungs- o- der Vorstandsebene oder Ebene des rechtlichen Vertreters untersagen.

Die Aussetzung nach Satz 2 Nummer 1 und die Untersagung nach Satz 2 Nummer 2 sind nur solange zulässig, bis die besonders wichtige Einrichtung den Anordnungen des Bun- desamtes nachkommt, wegen deren Nichtbefolgung sie ausgesprochen wurden.

(11) Soweit das Bundesamt Aufsichtsmaßnahmen gegenüber besonders wichtigen Einrichtungen (10) Soweit das Bundesamt Maßnahmen gegenüber besonders wichtigen Einrichtun- gen durchführt, die gleichzeitig Betreiber kritischer Anlagen sind, informiert es die zuständige Aufsichtsbehörde des Bundes darüber. Die In- formation hat unverzüglich zu erfolgen, wenn es sich um Maßnahmen nach Absatz 6 oder 7 handelt, die wegen Gefahr im Verzug ohne Benehmen der zuständigen Aufsichtsbehörde ergangen sind.

(11) Stellt das Bundesamt im Zuge der Beaufsichtigung einer Einrichtung oder Durch- setzung einer Maßnahme fest, dass der Verstoß einer besonders wichtigen Einrichtung

- 68 - Bearbeitungsstand: 22.12.2023 09:58

gegen Verpflichtungen aus § 30 oder 31 eine Verletzung des Schutzes personenbezoge- ner Daten im Sinne von Artikel 4 Nummer 12 der Verordnung (EU) 2016/679 zur Folge haben kann, die gemäß Artikel 33 der vorgenannten Verordnung zu melden ist, unterrich- tet das Bundesamt unverzüglich die in Artikel 55 oder 56 der Verordnung (EU) 2016/679 genannten Aufsichtsbehörden.

(13) Bei Einrichtungen, die in anderen Mitgliedsstaaten der Europäischen Union Dienste erbringen, kann das Bundesamt auch auf Ersuchen der jeweils zuständigen Auf- sichtsbehörden des Mitgliedsstaats Maßnahmen nach den Absätzen 1 bis 12 ergreifen.

§ 65

Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen

Rechtfertigen Tatsachen die Annahme, dass eine wichtige Einrichtung die Anforde- rungen aus den §§ 30, 31 und 32 nicht oder nicht richtig umsetzt, so kann das Bundesamt die Einhaltung der Anforderungen nach den §§ 30, 31 und 32 überprüfen und Maßnah- men nach § 64 treffen.

§ 66

Verwaltungszwang

(1) ein Verstoß gegen die Verpflichtungen dieses Geset- zes eine offensichtliche Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4 Nummer 12 der Verordnung (EU) 2016/679 zur Folge hat, die gemäß Artikel 33 dieser Verordnung zu melden ist, unterrichtet es unverzüglich die zuständigen Aufsichtsbe- hörden.

(12) Bei Einrichtungen, die in anderen Mitgliedsstaaten der Europäischen Union Dienste erbringen, kann das Bundesamt auch auf Ersuchen der jeweils zuständigen Auf- sichtsbehörden des Mitgliedsstaats Maßnahmen nach den Absätzen 1 bis 11 ergreifen.

§ 66

Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen

Rechtfertigen Tatsachen die Annahme, dass eine wichtige Einrichtung die Anforderun- gen aus den §§ 30, 31 und 32 nicht oder nicht richtig umsetzt, so kann das Bundesamt die Einhaltung der Anforderungen nach den §§ 30, 31 und 32 überprüfen und Maßnahmen nach § 65 treffen.

- 69 - Bearbeitungsstand: 07.05.2024 10:19

§ 67

Verwaltungszwang

Soweit das Bundesamt Zwangsgelder verhängt, beträgt deren Höhe abweichend von § 11 Absatz 3 des Verwaltungsvollstreckungsgesetzes bis zu 100.000 Euro.

• 69 - Bearbeitungsstand: 22.12.2023 09:58

70 - Bearbeitungsstand: 07.05.2024 10:19

Anlage 1

Sektoren besonders wichtiger und wichtiger Einrichtungen

Spalte A Spalte B Spalte C Spalte D

Nr. Sektor Branche Einrichtungsart

1 Energie

1.1 Stromversorgung

1.1.1 Stromlieferanten gemäß § 3 Nr. 31a EnWG

1.1.2 Betreiber von Elektrizitätsverteilernetzen gemäß ge- mäß §3 Nr. 3 EnWG

1.1.3 Betreiber von Übertragungsnetzen gemäß § 3 Nr. 10 EnWG

1.1.4 Betreiber von Erzeugungsanlagen gemäß § 3 Nr. 18d EnWG

1.1.5 Nominierte Strommarktbetreiber nach Arti- kel 2 Nummer 8 der Verordnung (EU) 2019/943 des Europäischen Parlaments und des Rates

1.1.6 Aggregatoren gemäß § 3 Nr. 1a EnWG

1.1.7 Betreiber von Energiespeicheranlagen ge- mäß § 3 Nr. 15d EnWG

1.1.8 Anbieter von Ausgleichsleistungen im Sinne von § 3 Nr. 1b EnWG

1.1.9 Ladepunktbetreiber gemäß § 2 Nr. 8 LSV

1.2 Fernwärme und -kälte-
versorgung

1.2.1 Betreiber von Fernwärme- bzw. Fernkälte- versorgung im Sinne § 3 Nr. 19 und 20 GEG

1.3 Kraftstoff- und Heizöl-
versorgung

1.3.1 Betreiber von Erdöl-Fernleitungen

1.3.2 Betreiber von Anlagen zur Produktion, Raffi- nation und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern und Erdöl-Fernlei- tungen

1.3.3 Zentrale Bevorratungsstellen nach Artikel 2 Buchstabe f der Richtlinie 2009/119/EG des Rates

1.4 Gasversorgung

1.4.1 Betreiber von Gasverteilnetzen gemäß § 3 Nr. 8 EnWG

1.4.2 Betreiber von Fernleitungsnetzen gemäß § 3 Nr. 5 EnWG

1.4.3 Betreiber von Gasspeicheranlagen gemäß § 3 Nr. 6 EnWG

1.4.4 Betreiber von LNG-Anlagen gemäß § 3 Nr. 9 EnWG

1.4.5 Gaslieferanten gemäß § 3 Nr. 19b EnWG

• 70 - Bearbeitungsstand: 22.12.2023 09:58

71 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

Spalte A Spalte B Spalte C Spalte D

Nr. Sektor Branche Einrichtungsart

1.4.6 Betreiber von Anlagen zur Gewinnung von Erdgas

1.4.7 Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas

1.4.8 Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung

2 Transport und Verkehr

2.1 Luftverkehr

2.1.1 Luftfahrtunternehmen nach Artikel 3 Num- mer 4 der Verordnung (EG) Nr. 300/2008, die für gewerbliche Zwecke genutzt werden

2.1.2 Flughafenleitungsorgane nach Artikel 2 Nummer 2 der Richtlinie 2009/12/EG des Europäischen Parlaments und des Rates, Flughäfen nach Artikel 2 Nummer 1 jener Richtlinie, einschließlich der in Anhang II Abschnitt 2 der Verordnung (EU) Nr. 1315/2013 des Europäischen Parlaments und des Rates aufgeführten Flughäfen des Kernnetzes, und Einrichtungen, die inner- halb von Flughäfen befindliche zugehörige Einrichtungen betreiben

2.1.3 Flugverkehrskontrolldienste Anbieter von Flugsicherungsdiensten im Sinne von § 27c Abs. 2 Nr. 1 lit. a) und Nr. 2-6 LuftVG

2.2 Schienenverkehr

2.2.1 Eisenbahninfrastrukturbetreiber nach § 2 Nummer 6 und 6a des Allgemeinen Eisen- bahngesetz (AEG) einschließlich zentraler Einrichtungen, die den Zugbetrieb voraus- schauend und bei unerwartet eintretenden Ereignissen disponiert

2.2.2 Eisenbahnverkehrsunternehmen nach § 2 Nummer 3 AEG, einschließlich Betreiber einer ei- ner Serviceeinrichtung nach § 2 Num- mer Nummer 9 AEG

2.3 Schifffahrt

2.3.1 Passagier- und Frachtbeförderungsunter- nehmen der Binnen-, See- und Küsten- schifffahrt, wie sie in Anhang I der Verord- nung (EG) Nr. 725/2004 des Europäischen Parlaments und des Rates für die Schifffahrt definiert sind, ausschließlich der einzelnen von diesen Unternehmen betriebenen Schif- fe.

Schiffe.

2.3.2 Leitungsorgane von Häfen nach Artikel 3 Nummer 1 der Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates, einschließlich ihrer Hafenanlagen nach Artikel Arti- kel 2 Nummer 11 der Verordnung (EG) Nr. 725/2004, sowie Einrichtungen, die innerhalb inner- halb von Häfen befindliche Anlagen und Ausrüstung betreiben

2.3.3 Betreiber einer Anlage oder eines Systems zum sicheren Betrieb einer Wasserstraße nach § 1 Absatz 6 Nummer 1 des Bundes- wasserstraßengesetzes.

- Bun- deswasserstraßengesetzes.

- 72 - Bearbeitungsstand: 07.05.2024 10:19

Spalte A Spalte B Spalte C Spalte D

Nr. Sektor Branche Einrichtungsart

2.4 Straßenverkehr

2.4.1 Betreiber einer Anlage oder eines System zur Verkehrsbeeinflussung im Straßenver- kehr einschließlich der in § 1 Absatz 4 Num- mer 1, 3 und 4 des Bundesfernstraßenge- setzes genannten Einrichtungen, zum Bei- spiel Verkehrs-, Betriebs- und Tunnelleit- zentralen, Entwässerungsanlagen, intelli- gente Verkehrssysteme und Fachstellen für Informationstechnik und -sicherheit im Stra- ßenbau, sowie der Telekommunikationsnet- ze Telekommunikations- netze - 73 - Bearbeitungsstand: 22.12.2023 09:58

der Bundesautobahnen.

2.4.2 Betreiber eines intelligentes Verkehrssys- tem nach § 2 Nummer 1 des Intelligente Verkehrssysteme Gesetz.

3 Finanz- und Versiche-
rungswesen

3.1 Bankwesen

3.1.1 Kreditinstitute: Einrichtungen deren Tätigkeit darin besteht, Einlagen oder andere rück- zahlbare Gelder des Publikums entgegen- zunehmen und Kredite für eigene Rechnung zu gewähren

3.2 Finanzmarktinfrastruktu-
ren

3.2.1 Handelsplätze im Sinne von § 2 Abs. 22 WpHG

3.2.2 Zentrale Gegenparteien, die zwischen die Gegenparteien der auf einem oder mehre- ren Märkten gehandelten Kontrakte tritt und somit als Käufer für jeden Verkäufer bzw. als Verkäufer für jeden Käufer fungiert

4 Gesundheit

4.1.1 Erbringer von Gesundheitsdienstleistungen im Sinne der Richtlinie (EU) 2011/24 des Europäischen Parlaments und des Rates

4.1.2 EU-Referenzlaboratorien nach Artikel 15 der Verordnung (EU) 2022/2371 des Europäi- schen Parlaments und des Rates

4.1.3 Unternehmen, die Forschungs- und Ent- wicklungstätigkeiten in Bezug auf Arzneimit- tel nach § 2 AMG ausüben.

4.1.4 Unternehmen, die pharmazeutische Erzeug- nisse nach Abschnitt C Abteilung 21 der Statistischen Systematik der Wirtschafts- zweige in der Europäischen Gemeinschaft (NACE Rev. 2) herstellen

4.1.5 Unternehmen, die Medizinprodukte herstel- len, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch nach Artikel 22 der Verordnung (EU) 2022/123 des Europäischen Parlaments und des Rates („Liste kritischer Medizinprodukte für Notlagen im Bereich der öffentlichen Ge- sundheit“) eingestuft werden

5 Wasser Ra- tes („Liste kritischer Medizinprodukte für Notlagen im Bereich der öffentlichen Ge- sundheit“) eingestuft werden

5 Wasser

- 73 - Bearbeitungsstand: 07.05.2024 10:19

Spalte A Spalte B Spalte C Spalte D

Nr. Sektor Branche Einrichtungsart

5.1 Trinkwasserversorgung

- 72 - Bearbeitungsstand: 22.12.2023 09:58

Spalte A Spalte B Spalte C Spalte D Nr. Sektor Branche Einrichtungsart

5.1.1 Betreiber von Wasserversorgunsanlagen nach § 2 Nr. 3 TrinkwV, jedoch unter Aus- schluss der Lieferanten, für die die Liefe- rung von Wasser für den menschlichen Gebrauch ein nicht wesentlicher Teil ihrer allgemeinen Ge- brauch ein nicht wesentlicher Teil ihrer all- gemeinen Tätigkeit der Lieferung anderer Rohstoffe und Güter ist.

5.2 Abwasserbeseitigung

5.2.1 Unternehmen, die Abwasser nach § 2 Abs. 1 AbwAG sammeln, entsorgen oder behan- deln, jedoch unter Ausschluss der Unter- nehmen, für die das Sammeln, die Entsor- gung oder die Behandlung solchen Abwas- sers ein nicht wesentlicher Teil ihrer allge- meinen Tätigkeit ist.

6 Informationstechnik
und Telekommunikati- on

Telekommunika- tionsnetze tion

6.1.1 Betreiber von Internet Exchange Points

6.1.2 DNS-Dienstanbieter, ausgenommen Betrei- ber von Root-Nameservern

6.1.3 Top Level Domain Name Registry

6.1.4 Anbieter von Cloud-Computing-Diensten

6.1.5 Anbieter von Rechenzentrumsdiensten

6.1.6 Betreiber von Content Delivery Networks

6.1.7 Vertrauensdienstanbieter

6.1.8 Anbieter öffentlicher elektronischer Kommu- nikationsnetze

6.1.9 Anbieter öffentlich zugänglicher elektronsi- cher Kommunikationsdienste

6.1.10 Managed Services Provider

6.1.11 Managed Security Services Provider

7 Weltraum

7.1.1 Betreiber von Bodeninfrastrukturen, die sich im Eigentum von Mitgliedstaaten oder priva- ten Parteien befinden und von diesen ver- waltet und betrieben werden und die Erbrin- gung von weltraumgestützten Diensten unterstützen, ausgenommen Anbieter öf- fentlicher elektronischer Kommunikations- un- terstützen, ausgenommen Anbieter öffentli- cher elektronischer Kommunikationsnetze

- 74 - Bearbeitungsstand: 07.05.2024 10:19

Anlage 2

Sektoren wichtiger Einrichtungen

Spalte A Spalte B Spalte C Spalte D

Nr. Sektor Branche Einrichtungsart

1 Transport und Verkehr

1.1 Post- und Kurierdienste

1.1.1 Anbieter von Postdienstleistungen nach § 4 Nr. 1 PostG, einschließlich Anbieter von Kurierdiensten

Ku- rierdiensten

2 Abfallbewirtschaftung

2.1.1 Unternehmen der Abfallbewirtschaftung nach § 3 Abs. 14 KrWG, ausgenommen Unternehmen, Un- ternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist.

3 Produktion, Herstel-
lung und Handel mit chemischen Stoffen

3.1.1 Unternehmen nach Artikel 3 Nummern 9 und 14 11 der Verordnung (EG) Nr. 1907/2006 des Europäischen Parlaments und des Rates , die Stoffe herstellen und mit Stoffen oder Gemischen handeln, und Unterneh- men, die Erzeugnisse nach Artikel 3 Num- mer 3 der genannten Verordnung aus Stof- fen oder Gemischen produzieren

Ra- tes von chemischen Stoffen und Gemischen im Sinne des Artikels 3 Nummer 1 und 2 der genannten Verordnung, sofern diese in Ka- tegorie 20 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Ge- meinschaft (NACE Rev. 2) fallen

4 Produktion, Verarbei-
tung und Vertrieb von Lebensmitteln

4.1.1 Lebensmittelunternehmen nach Artikel 3 Nummer 2 der Verordnung (EG) Nr. 178/2002 des Europäischen Parlaments und des Rates, die im Großhandel sowie in der industriellen Produktion und Verarbei- tung tätig sind

5 Verarbeitendes Gewer- be/Herstellung von Waren

5.1.1 Unternehmen, die Medizinprodukte nach Artikel Ge-
werbe/Herstellung von Waren

5.1 Herstellung von Medizin-
- 74 - Bearbeitungsstand: 22.12.2023 09:58

Spalte A Spalte B Spalte C Spalte D Nr. Sektor Branche Einrichtungsart

produkten und In-vitro- Diagnostika

5.1.1 Unternehmen, die Medizinprodukte nach Ar- tikel 2 Nummer 1 der Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates(4)herstellen, und Unterneh- men, die In-vitro-Diagnostika nach Artikel 2 Nummer 2 der Verordnung (EU) 2017/746 des Europäischen Parlaments und des Rates(5)herstellen, mit Ausnahme von Un- ternehmen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch nach Artikel 22 der Verordnung (EU) 2022/123 des Europäischen Parlaments und des Rates („Liste kritischer Medizinprodukte für Notlagen im Bereich der öffentlichen Ge- sundheit“) eingestuft werden

5.2 Ra- tes(5)herstellen, mit Ausnahme von Unter- nehmen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öf- fentlichen Gesundheit als kritisch nach Arti- kel 22 der Verordnung (EU) 2022/123 des Europäischen Parlaments und des Rates („Liste kritischer Medizinprodukte für

- 75 - Bearbeitungsstand: 07.05.2024 10:19

Spalte A Spalte B Spalte C Spalte D

Nr. Sektor Branche Einrichtungsart

Notlagen im Bereich der öffentlichen Ge- sundheit“) eingestuft werden

5.2 Herstellung von Daten-
verarbeitungsgeräten, elektronischen und opti- schen Erzeugnissen

5.2.1 Unternehmen, die eine der Wirtschaftstätig- keiten nach Abschnitt C Abteilung 26 der Statistischen Systematik der Wirtschafts- zweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben

5.3 Herstellung von elektri-
schen Ausrüstungen

5.3.1 Unternehmen, die eine der Wirtschaftstätig- keiten im Sinne des Abschnitts C Abteilung 27 der Statistischen Systematik der Wirt- schaftszweige in der Europäischen Gemein- schaft (NACE Rev. 2) ausüben

5.4 Maschinenbau

5.4.1 Unternehmen, die eine der Wirtschaftstätig- keiten nach Abschnitt C Abteilung 28 der Statistischen Systematik der Wirtschafts- zweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben

5.5 Herstellung von Kraftwa-
gen und Kraftwagentei- len

5.5.1 Unternehmen, die eine der Wirtschaftstätig- keiten nach Abschnitt C Abteilung 29 der Statistischen Systematik der Wirtschafts- zweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben

5.6 Sonstiger Fahrzeugbau

5.6.1 Unternehmen, die eine der Wirtschaftstätig- keiten nach Abschnitt C Abteilung 30 der Statistischen Systematik der Wirtschafts- zweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben

6 Anbieter digitaler
Dienste

6.1.1 Anbieter von Online-Marktplätzen

6.1.2 Anbieter von Online-Suchmaschinen

6.1.3 Anbieter von Plattformen für Dienste sozia- ler Netzwerke

7 Forschung

7.1.1 Forschungseinrichtungen

• 75 - Bearbeitungsstand: 22.12.2023 09:58

Artikel 2

Änderung des BSI-Gesetzes (FNA 206-2)

76 - Bearbeitungsstand: 07.05.2024 10:19

Artikel 2

Änderung des BSI-Gesetzes (FNA 206-2) und des Telekommuni- kationsgesetzes (FNA 900-17)

(1) Das BSI-Gesetz, das zuletzt durch Artikel 1 dieses Gesetzes geändert worden ist, wird wie folgt geändert:

1. § 2 Absatz 1 Nummer 18 wird wie folgt neu gefasst:

18. „ „kritische Anlage“ eine Anlage im Sinne von § 2 Nummer 3 des Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer An- lagen“.

2. In § 28 werden die Absätze 5 bis 8 gestrichen.

3. § 54 Absatz 4 wird gestrichen.

Artikel 3

Änderung des BND-Gesetzes (FNA 12-6)

In § 24 des BND-Gesetzes 21 wird wie folgt neu gefasst:

„ 21. „kritische Anlage“ eine Anlage im Sinne von § 2 Nummer 3 des Dachgesetzes zur Stärkung der physischen Resilienz -von Betreibern kritischer Anlagen (KRITIS- Dachgesetz);“.

2. § 2 Absatz 1 Nummer 23, § 28 Absatz 6, 7 und 8 und § 58 Absatz 4 werden gestri- chen.

3. In § 2 Absatz 1 Nummer 22 und § 12 Absatz 1 Satz 2 wird jeweils die Angabe „§ 28 Absatz 7“ ersetzt durch die Angabe „§ 4 Absatz 1 des KRITIS-Dachgesetzes“.

4. In § 33 Absatz 2 wird die Angabe „§ 58 Absatz 4“ ersetzt durch die Angabe „§ 4 Absatz 4 des KRITIS-Dachgesetzes“.

5. In § 61 Absatz 1, 2 Nummer 2, 4 und 7 wird die Angabe „§ 58 Absatz 4 Satz 1“ jeweils ersetzt durch die Angabe „§ 4 Absatz 4 des KRITIS-Dachgesetzes“.

6. In § 41 Absatz 2 Satz 1, Absatz 3 Satz 4, Absatz 4 Satz 1, Absatz 6, 7 wird jeweils die Angabe „§ 58 Absatz 4“ durch die Angabe „§ 4 Absatz 5 des KRITIS-Dachgesetzes“ ersetzt.

7. [alte Berichtspflicht nach NIS1-RL] § 60 Absatz 4 bis 6 werden gestrichen.

(2) In § 174 Absatz 3 und 5 des Telekommunikationsgesetzes vom 23. Juni 2021 (BGBl. I S. 1858), das zuletzt durch Artikel 23 dieses Gesetzes geändert worden ist, wird die Angabe „§ 28 Absatz 7 des BSI-Gesetzes“ durch die Angabe „§ 4 Absatz 1 des KRITIS- Dachgesetzes“ ersetzt.

Artikel 3

Änderung des BND-Gesetzes (FNA 12-6)

In § 24 des BND-Gesetz vom 20. Dezember 1990 (BGBl. I S. 2954, 2979), das zuletzt durch Artikel 3 des Gesetzes vom 5. Juli 2021 (BGBl. I S. 2274) geändert worden ist, wird die Angabe „§ 5 Absatz 7 Satz 2 bis 8 des BSI-Gesetzes“ durch die Angabe „§ 8 Absatz 8 Satz 2 bis 8 des BSI-Gesetzes“ ersetzt.

1 des Gesetzes vom 22. Dezember 2023 (BGBl. 2023 I Nr. 410) geändert worden ist, wird die Angabe „§ 5 Absatz 7 Satz 2 bis 8 des BSI-Gesetzes“ durch die Angabe „§ 8 Absatz 8 Satz 2 bis 8 des BSI-Gesetzes“ ersetzt.

• 77 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

Artikel 4

Änderung der Sicherheitsüberprüfungsfeststellungsverordnung (FNA 12-10-3)

In § 1 Nummer 8 der Sicherheitsüberprüfungsfeststellungsverordnung vom 6. Februar 2023 (BGBl. 2023 I Nr. 33), wird die Angabe „§ 3 Absatz 1 Satz 2 Nummer 1, Nummer 13 Satz 1 Buchstabe b und c, Nummer 15 und Nummer 18 des BSI-Gesetzes“ durch die An- gabe „§ 3 Absatz 1 Satz 2 Nummer 1, Nummer 18 Buchstabe b und c, Nummer 22 und Nummer 25 des BSI-Gesetzes“ 18 Buchstabe b und c, Nummer 22 und 25 des BSI- Gesetzes“ ersetzt.

Artikel 5

Änderung des Telekommunikation-Telemedien-Datenschutz-Ge- setzes (FNA 204-5)

In § 19 des Telekommunikation-Telemedien-Datenschutz-Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982; 2022 I S. 1045), das zuletzt durch Artikel 4 des Gesetzes vom 12. - 76 - Bearbeitungsstand: 22.12.2023 09:58

August 2021 (BGBl. I S. 3544; 2022 I 1045) geändert worden ist, wird die Angabe „§ 7d Satz 1 BSI-Gesetz“ BSI- Gesetz“ durch die Angabe „§ 17 Satz 1 des BSI-Gesetzes“ ersetzt.

Artikel 6

Änderung der Gleichstellungsbeauftragtenwahlverordnung (FNA 205-3-1)

In § 19 Absatz 9 der Gleichstellungsbeauftragtenwahlverordnung vom 17. Dezember 2015 (BGBl. I S. 2274), die durch Artikel 3 des Gesetzes vom 7. August 2021 geändert worden ist, wird die Angabe „§ 9 des BSI-Gesetzes“ durch die Angabe „§ 54 des BSI-Ge- setzes“ ersetzt.

Artikel 7

Änderung des Zweiten Gesetzes zur Erhöhung der Sicherheit in- formationstechnischer Systeme (FNA 206-2)

Artikel 6 Absatz 1 des Zweiten Gesetzes zur Erhöhung der Sicherheit informations- technischer informationstech- nischer Systeme vom 18. Mai 2021 (BGBl. I S. 1122; 4304), wird wie folgt geändert:

1. Die Nummerbezeichnung „1.“ wird gestrichen und das Wort „und“, das nach der An- gabe „(Artikel 1)“ folgt, wird durch einen Punkt „.“ ersetzt.

2. Nummer 2 wird aufgehoben.

- 78 - Bearbeitungsstand: 07.05.2024 10:19

Artikel 8

Änderung der BSI-Zertifizierungs- und Anerkennungsverordnung (FNA 206-2-1)

Die BSI-Zertifizierungs- und -Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231), die zuletzt durch Artikel 74 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist, wird wie folgt geändert:

1. Die Eingangsformel wird wie folgt neu gefasst:

„Auf Grund des § 57 Absatz 2 des BSI-Gesetzes in der Fassung der Bekanntma- chung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bundesge- setzblatt]) verordnet das Bundesministerium des Innern und für Heimat nach Anhö- rung der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministe- rium 58 Absatz 1 des BSI-Gesetzes in der Fassung der Bekanntma- chung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bundesge- setzblatt]) verordnet das Bundesministerium des Innern und für Heimat nach Anhörung der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz:“.

2. In § 1 wird die Angabe „§ 9 des BSI-Gesetzes“ durch die Angabe „§ 54 des BSI-Ge- setzes“ ersetzt.

3. In § 12 Absatz 1 wird die Angabe „§ 9 Absatz 4 des BSI-Gesetzes“ durch die Angabe „§ 54 Absatz 4 BSI-Geset- zes“ ersetzt.

3. In § 12 Absatz 1 wird die Angabe „§ 9 Absatz 4 des BSI-Gesetzes“ durch die Angabe „§ 54 Absatz 4 des BSI-Gesetzes“ ersetzt.

4. In § 15 Absatz 1 und § 18 Absatz 1 wird die Angabe „§ 9 Absatz 5 des BSI-Gesetzes“ durch die Angabe „§ 54 Absatz 6 des BSI-Gesetzes“ und die Angabe „§ 9 Absatz 4 Nummer 2 des BSI-Gesetzes“ durch die Angabe „§ 54 Absatz 4 Nummer 2 des BSI- Gesetzes“ ersetzt.

5. § 21 wird wie folgt geändert:

a) In Absatz 1 wird die Angabe „§ 9 Absatz 6 des BSI-Gesetzes“ durch die Angabe „§ 54 Absatz 7 des BSI-Gesetzes“ ersetzt.

b) In Absatz 1 Nummer 2 wird die Angabe „§ 9 Absatz 6 Nummer 2 des BSI-Geset- zes“ durch die Angabe „§ 54 Absatz 7 Satz 1 Nummer 2 des BSI-Gesetzes“ er- setzt.

c) In Absatz 4 Satz 1 wird die Angabe „§ 9 Absatz 6 Satz 2 des BSI-Gesetzes“ durch die Angabe „§ 54 Absatz 7 Satz 2 des BSI-Gesetzes“ ersetzt.

Artikel 9

Änderung der BSI IT-Sicherheitskennzeichenverordnung (FNA 206-2-3)

Die BSI-IT-Sicherheitskennzeichenverordnung vom 24. November 2021 (BGBl. I S. 4978), wird wie folgt geändert:

1. Die Eingangsformel wird wie folgt neu gefasst:

„Auf Grund des § 57 Absatz 3 des BSI-Gesetzes in der Fassung der Bekanntma- chung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bundesge- setzblatt]) verordnet das Bundesministerium des Innern und für Heimat im Einverneh- men mit dem Bundesministerium für Wirtschaft und Klimaschutz und dem Bundesmi- nisterium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz:“.

2. In § 2 Nummer 4 wird die Angabe „§ 9c Absatz 3 Satz 1 des BSI-Gesetzes“ durch die Angabe „§ 56 Absatz 3 Satz 1 des BSI-Gesetzes“ ersetzt.

3. In § 3 Absatz 1 Satz 1 wird die Angabe „§ 9c Absatz 2 des BSI-Gesetzes“ durch die Angabe „§ 56 58 Absatz 2 des BSI-Gesetzes in der Fassung der Bekanntma- chung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bundesge- setzblatt]) verordnet das Bundesministerium des Innern und für Heimat im

- 79 - Bearbeitungsstand: 07.05.2024 10:19

Einvernehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucher- schutz schutz:“.

2. In § 2 Nummer 4 wird die Angabe „§ 9c Absatz 3 Satz 1 des BSI-Gesetzes“ durch die Angabe „§ 57 Absatz 3 Satz 1 des BSI-Gesetzes“ ersetzt.

3. In § 3 Absatz 1 Satz 1 wird die Angabe „§ 9c Absatz 2 des BSI-Gesetzes“ durch die Angabe „§ 57 Absatz 2 des BSI-Gesetzes“ ersetzt.

4. In § 5 wird wie folgt geändert:

a) In Absatz 4 wird die Angabe „§ 9c Absatz 5 BSIG“ durch die Angabe „§ 56 Ab- satz 5 des BSI-Gesetzes“ ersetzt.

b) In Absatz 5 Satz 1 wird die Angabe „§§ 7 oder 7a des BSI-Gesetzes“ durch die Angabe „§ 13 oder 14 des BSI-Gesetzes“ und die Angabe „§ 9c Absatz 8 des BSI-Gesetzes“ durch die Angabe „§ 56 Absatz 8 des BSI-Gesetzes“ ersetzt.

5. In § 6 Absatz 1 wird die Angabe „§ 9 des BSI-Gesetzes“ durch die Angabe „§ 54 des BSI-Gesetzes“ ersetzt.

6. In § 7 Absatz 3 und § 9 Absatz 1 Satz 1 wird die Angabe „§ 9c des BSI-Gesetzes“ durch die Angabe „§ 56 des BSI-Gesetzes“ ersetzt.

- 78 - Bearbeitungsstand: 22.12.2023 09:58

7. § 13 wird wie folgt geändert:

a) In Satz 1 wird die Angabe „§ 9c Absatz 2 des BSI-Gesetzes“ durch die Angabe „§ 56 Absatz 2 des BSI-Gesetzes“ ersetzt.

b) In Satz 2 wird die Angabe „§§ 7 oder 7a des BSI-Gesetzes“ durch die Angabe „§ 13 oder 14 des BSI-Gesetzes“ ersetzt.

8. In § 14 wird die Angabe „§ 10 Absatz 3 Satz 1 des BSI-Gesetzes“ durch die Angabe „§ 57 Absatz 3 Satz 1 57 Absatz 5 des BSI-Gesetzes“ ersetzt.

b) In Absatz 5 Satz 1 wird die Angabe „§§ 7 oder 7a des BSI-Gesetzes“ durch die Angabe „§ 13 oder 14 des BSI-Gesetzes“ und die Angabe „§ 9c Absatz 8 des BSI- Gesetzes“ durch die Angabe „§ 57 Absatz 8 des BSI-Gesetzes“ ersetzt.

5. In § 6 Absatz 1 wird die Angabe „§ 9 des BSI-Gesetzes“ durch die Angabe „§ 54 des BSI-Gesetzes“ ersetzt.

6. In § 7 Absatz 3 und § 9 Absatz 1 Satz 1 wird die Angabe „§ 9c des BSI-Gesetzes“ durch die Angabe „§ 57 des BSI-Gesetzes“ ersetzt.

7. § 13 wird wie folgt geändert:

a) In Satz 1 wird die Angabe „§ 9c Absatz 2 des BSI-Gesetzes“ durch die Angabe „§ 56 Absatz 2 des BSI-Gesetzes“ ersetzt.

b) In Satz 2 wird die Angabe „§§ 7 oder 7a des BSI-Gesetzes“ durch die Angabe „§ 13 oder 14 des BSI-Gesetzes“ ersetzt.

8. In § 14 wird die Angabe „§ 10 Absatz 3 Satz 1 des BSI-Gesetzes“ durch die Angabe „§ 58 Absatz 2 des BSI-Gesetzes“ ersetzt.

Artikel 10

Änderung des De-Mail-Gesetzes (FNA 206-4)

In § 18 Absatz 3 Nummer 3 des De-Mail-Gesetzes vom 28. April 2011 (BGBl. I S. 666), das zuletzt durch Artikel 7 des Gesetzes vom 10. August 2021 (BGBl. I S. 3436) geändert worden ist, werden wie Wörter „§ 9 Absatz 2 Satz 1 des Gesetzes über das Bun- desamt für Sicherheit in der Informationstechnik“ durch die Wörter „§ 54 Absatz 2 Satz 1 des BSI-Gesetzes“ ersetzt.

Bundesamt für Sicherheit in der Informationstechnik“ durch die Wörter „§ 54 Absatz 2 Satz 1 des BSI-Ge- setzes“ ersetzt.

- 80 - Bearbeitungsstand: 07.05.2024 10:19

Artikel 11

Änderung des E-Government-Gesetz (FNA 206-6)

In § 10 des E-Government-Gesetz vom 25. Juli 2013 (BGBl. I S. 2749), das zuletzt durch Artikel 1 des Gesetzes vom 16. Juli 2021 (BGBl. I S. 2941) geändert worden ist, wird Satz 2 gestrichen.

Artikel 12

Änderung der Passdatenerfassungs- und Übermittlungsverord- nung (FNA 210-5-11)

In § 4 der Passdatenerfassungs- und Übermittlungsverordnung vom 9. Oktober 2007 (BGBl. I S. 2312), die zuletzt durch Artikel 79 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist, werden die Wörter „§ 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821)“ durch die Angabe „§ 54 des BSI-Gesetzes in der Fassung der Bekanntmachung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bun- desgesetzblatt])“ ersetzt.

- 79 - Bearbeitungsstand: 22.12.2023 09:58

Be- kanntmachung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bundes- gesetzblatt])“ ersetzt.

Artikel 13

Änderung der Personalausweisverordnung (FNA 210-6-1)

In § 3 der Personalausweisverordnung vom 1. November 2010 (BGBl. I S. 1460), die zuletzt durch Artikel 3 der Verordnung vom 20. August 2021 (BGBl. I S. 3682) geändert worden ist, wird die Angabe „§ 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) ge- ändert geändert worden ist,“ durch die Angabe „§ 54 des BSI-Gesetzes in der Fassung der Be- kanntmachung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bun- desgesetzblatt])“ Bekanntma- chung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bundesgesetz- blatt])“ ersetzt.

Artikel 14

Änderung der Kassensicherungsverordnung (FNA 610-1-26)

In § 11 Absatz 1 der Kassensicherungsverordnung vom 26. September 2017 (BGBl. I S. 3515), die durch Artikel 2 des Gesetzes vom 30. Juli 2021 (BGBl. I S. 3295) geändert worden ist, wird die Angabe „§ 9 des BSI-Gesetzes“ durch die Angabe „§ 54 des BSI-Ge- setzes“ ersetzt.

Artikel 15

Änderung des Atomgesetzes (FNA 751-1)

In § 44b des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das zuletzt durch Artikel 1 des Gesetzes vom 4. Dezember 2022 (BGBl. I S. 2153) geändert worden ist, wird die Angabe „§ 8b Absatz 1, 2 Nummer 1 bis 3, Nummer 4 Buchstabe a bis c und Absatz 7 des BSI-Gesetzes“ durch die Angabe „§ 40 Absatz 1, 2 Nummer 1 bis 3, Nummer 4 Buchstabe a, Nummer 5 und Absatz 5 des BSI- Gesetzes“ ersetzt.

- 81 - Bearbeitungsstand: 07.05.2024 10:19

Artikel 15

Änderung des Atomgesetzes (FNA 751-1)

In § 44b des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das zuletzt durch Artikel 1 des Gesetzes vom 4. Dezember 2022 (BGBl. I S. 2153) geändert worden ist, wird die Angabe „§ 8b Absatz 1, 2 Nummer 1 bis 3, Num- mer 4 Buchstabe a bis c und Absatz 7 des BSI-Gesetzes“ durch die Angabe „§ 40 Ab- satz 1, 3 Nummer 1 bis 3, 4 Buchstabe a, Nummer 5 und Absatz 6 des BSI-Gesetzes“ er- setzt.

Artikel 16

Änderung des Energiewirtschaftsgesetzes (FNA 752-6)

Das Energiewirtschaftsgesetz vom 7. Juli 2005 (BGBl. I S. 1970; 3621), das zuletzt durch Artikel 2 des Gesetzes vom 12. Juli 2023 (BGBl. 2023 I Nr. 184) 1970, 3621), das zuletzt durch Artikel 1 des Gesetzes vom 5. Februar 2024 (BGBl. 2024 I Nr. 32) geändert worden ist, wird wie folgt geändert:

1. In der Inhaltsübersicht wird nach der Angabe zu § 5b folgende Angabe zu § 5c einge- fügt:

„5c IT-Sicherheit im Anlagen- und Netzbetrieb“.

2. Nach § 5b wird folgender § 5c eingefügt:

- 80 - Bearbeitungsstand: 22.12.2023 09:58

㤠5c

IT-Sicherheit im Anlagen und Netzbetrieb

(1) Betreiber von Energieversorgungsnetzen haben einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverar- beitungssysteme, die für den sicheren Netzbetrieb notwendig sind, zu gewährleisten. Der angemessene Schutz nach Satz 1 ist auch durch Berücksichtigung erforderlicher Anforderungen bei der Beschaffung von Anlagengütern und Dienstleistungen sicher- zustellen. Die Bundesnetzagentur bestimmt im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Festlegung nach § 29 Absatz 1 in einem Katalog von Sicherheitsanforderungen (IT-Sicherheitskatalog) die Anforderungen an den angemessenen Schutz. Dabei beteiligt die Bundesnetzagentur die Betreiber von Energieversorgungsnetzen und deren Branchenverbände. Die Bundesnetzagentur überprüft den IT-Sicherheitskatalog alle zwei Jahre und aktualisiert ihn bei Bedarf. Ein angemessener Schutz nach Satz 1 liegt vor, wenn der IT-Sicherheitskatalog einge- halten und dies vom Betreiber dokumentiert worden ist

(2) Betreiber von Energieanlagen, die besonders wichtige Einrichtungen nach § 28 Absatz 6 des Gesetzes über das Bundesamt für Sicherheit in der Informations- technik und über die Sicherheit in der Informationstechnik von kritischen Anlagen und Einrichtungen (BSI-Gesetz) vom […] oder wichtige Einrichtungen nach § 28 Absatz 7 „§ 5c

IT-Sicherheit im Anlagen- und Netzbetrieb

(1) Betreiber von Energieversorgungsnetzen haben einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungs- systeme, die für den sicheren Netzbetrieb notwendig sind, zu gewährleisten. Der an- gemessene Mittel sicherzustellen. Schutz nach Satz 1 ist auch durch Berücksichtigung erforderlicher Anfor- derungen bei der Beschaffung von Anlagengütern und Dienstleistungen sicherzustel- len. Die Bundesnetzagentur bestimmt im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Festlegung nach § 29 Absatz 1 in einem Katalog von Sicherheitsanforderungen (IT-Sicherheitskatalog) die Anforderungen an den angemes- senen Schutz. Dabei beteiligt die Bundesnetzagentur die Betreiber von Energieversor- gungssicherheit notwendigen Informationen, einschließlich personenbezogener Da- ten, verlangen und ist deshalb befugt, zur Bewertung der Auswirkungen des Sicher- heitsvorfalls auf die Energieversorgungssicherheit erforderliche personenbezogene

- 83 - Bearbeitungsstand: 22.12.2023 09:58

Daten zu erheben, zu speichern und zu verwenden. Das betroffene Unternehmen hat der Bundesnetzagentur die zur Bewertung der Auswirkungen des Sicherheitsvorfalls auf die Energieversorgungssicherheit notwendigen Informationen, einschließlich per- sonenbezogener Daten, zu übermitteln. Die Bundesnetzagentur kann bei der Durch- führung der Bewertung nach Satz 2 die Betreiber von Übertragungs- und Fernlei- tungsnetzen gungsnetzen und deren Branchenverbände. Die Bundesnetzagentur überprüft den IT- Sicherheitskatalog alle zwei Jahre und aktualisiert ihn bei Bedarf. Ein angemessener Schutz nach Satz 1 liegt vor, wenn der IT-Sicherheitskatalog eingehalten und dies vom Betreiber dokumentiert worden ist

(2) Betreiber von Energieanlagen, die besonders wichtige Einrichtungen nach § 28 Absatz 1 Satz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informa- tionstechnik und über die Sicherheit in der Informationstechnik von kritischen Anlagen und Einrichtungen (BSI-Gesetz) vom […] oder wichtige Einrichtungen nach § 28 Absatz 2 Satz 1 des BSI-Gesetzes sind und an ein Energieversorgungsnetz angeschlossen sind, ha- ben einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme zu gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind.. Der angemessene Schutz nach Satz 1 ist auch durch Berücksichtigung erforderlicher An-forderungen bei der Beschaffung von Anla- gengütern und Dienstleistungen sicherzustellen. Die Bundesnetzagentur bestimmt im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Fest- legung nach § 29 Absatz 1 in einem Katalog von Sicherheitsanforderungen (IT-Si- cherheitskatalog) die Anforderungen an den angemessenen Schutz. Dabei beteiligt die Bundesnetzagentur die Betreiber nach Satz 1 und deren Branchenverbände. Die Bundesnetzagentur überprüft den IT-Sicherheitskatalog alle zwei Jahre und aktuali- siert ihn bei Bedarf. Für Telekommunikations- und elektronische Datenverarbeitungs- an- geschlossen sind, haben einen angemessenen Schutz gegen Bedrohungen für Tele- kommunikations- und elektronische Datenverarbeitungssysteme zu gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind.. Der angemessene Schutz nach

- 82 - Bearbeitungsstand: 22.12.2023 09:58

tig umsetzt, so kann sie Maßnahmen nach Absatz 4 durchführen. Die Bundesnetz- agentur 07.05.2024 10:19

Satz 1 ist auch durch Berücksichtigung erforderlicher Anforderungen bei der Beschaf- fung von Anlagengütern und Dienstleistungen sicherzustellen. Die Bundesnetzagentur bestimmt im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Festlegung nach § 29 Absatz 1 in einem Katalog von Sicherheitsanforderungen (IT-Sicherheitskatalog) die Anforderungen an den angemessenen Schutz. Dabei betei- ligt die Bundesnetzagentur die Betreiber nach Satz 1 und deren Branchenverbände. Die Bundesnetzagentur überprüft den IT-Sicherheitskatalog alle zwei Jahre und aktu- alisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenen- falls die Kompromittierungsindikatoren angegeben werden;

3. auf Ersuchen des Bundesamtes für Sicherheit in der Informationstechnik eine Zwischenmeldung ihn bei Bedarf. Für Telekommunikations- und elektronische Datenverarbei- tungssysteme von Anlagen nach § 7 Absatz 1 des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das zuletzt durch Artikel 1 des Gesetzes vom 4. Dezember 2022 (BGBl. I S. 2153) geändert worden ist, haben Vor- gaben auf Grund des Atomgesetzes Vorrang vor den Anforderungen des Katalogs nach Satz 1. Die für die nukleare Sicherheit zuständigen Genehmigungs- und Auf- sichtsbehörden des Bundes und der Länder sind bei der Erarbeitung des Katalogs von Sicherheitsanforderungen zu beteiligen. Ein angemessener Schutz nach Satz 1 liegt vor, wenn der IT-Sicherheitskatalog eingehalten und dies vom Betreiber doku- mentiert worden ist.

(3) Die IT-Sicherheitskataloge nach den Absätzen 1 und 2 sollen den Stand der Technik einhalten und unter Berücksichtigung der einschlägigen europäischen und internationalen Normen sowie der Umsetzungskosten ein Sicherheitsniveau der infor- mationstechnischen Systeme, Komponenten und Prozesse gewährleisten, das dem bestehenden Risiko angemessen ist. Bei der Bewertung, ob Maßnahmen dem beste- henden Risiko angemessen sind, sind das Ausmaß der Risikoexposition und die Grö- ße des Betreibers sowie die Eintrittswahrscheinlichkeit und Schwere von Sicherheits- vorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen, zu berück- sichtigen. dokumentiert worden ist.

(3) Die IT-Sicherheitskataloge nach den Absätzen 1 und 2 sollen den Stand der Technik einhalten und unter Berücksichtigung der einschlägigen europäischen und in- ternationalen Normen sowie der Umsetzungskosten ein Sicherheitsniveau der informa- tionstechnischen Systeme, Komponenten und Prozesse gewährleisten, das dem be- stehenden Risiko angemessen ist. Bei der Bewertung, ob Maßnahmen dem bestehen- den Risiko angemessen sind, sind das Ausmaß der Risikoexposition und die Größe des Betreibers sowie die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvor- fällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen, zu berücksich- tigen. Die IT-Sicherheitskataloge nach den Absätzen 1 und 2 umfassen zumindest:

1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme

2. Bewältigung von Sicherheitsvorfällen,

3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,

4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Bezie- hungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,

5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen,

6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagement- maßnahmen im Bereich der Cybersicherheit,

7. Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Be- reich In- formationssystemen, einschließlich Management und Offenlegung von Schwach- stellen,

6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagement- maßnahmen im Bereich der Cybersicherheit,

7. Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,

8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,

9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,

10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierli- chen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhelb der Einrich- tung,

11. Einsatz von Systemen zur Angriffserkennung nach § 2 Absatz 1 Nummer 38 - 83 - Bearbeitungsstand: 07.05.2024 10:19

11. Einsatz von Systemen zur Angriffserkennung nach § 2 Absatz 1 Nummer 40 des BSI-Gesetzes.

Die Bundesnetzagentur kann in den IT-Sicherheitskatalogen nach den Absätzen 1 und 2 nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation sowie Behebung der Sicherheitsmängel treffen. Die Sicherheitskataloge nach den Absätzen 1 und 2 enthalten auch Regelungen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen.

(4) Betreiber von Energieversorgungsnetzen und solche Betreiber von Energie- anlagen, die kritische Anlagen nach § 2 Absatz 1 Nummer 19 28 Absatz 6 des BSI- Gesetzes sind, übermitteln der Bundesnetzagentur die Dokumentation nach Absatz 3 Satz 4. Bei Bedarf kann die Bundesnetzagentur die Vorlage des Mängelbeseitigungs- plans anfordern. Die Bundesnetzagentur kann bei Sicherheitsmängeln aus dem Män- gelbeseitigungsplan die Beseitigung dieser innerhalb einer durch die Bundesnetz- agentur 21 des BSI-Gesetzes sind, übermitteln der Bundesnetzagentur die Dokumentation nach Absatz 3 Satz 4. Bei Be- darf kann die Bundesnetzagentur die Vorlage des Mängelbeseitigungsplans anfordern. Die Bundesnetzagentur kann bei Sicherheitsmängeln aus dem Mängelbeseitigungs- plan die Beseitigung dieser innerhalb einer durch die Bundesnetzagentur gesetzten Frist verlangen. Die Betreiber nach Satz 1 haben der Bundesnetz- agentur und den in deren Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schrift- stücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu ertei- len und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt die Bundesnetzagentur Gebühren und Auslagen nur, sofern die Bundesnetzagentur auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhal- tung der in den Absätzen Bundesnetzagentur und den in deren Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonsti- gen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforder- liche Unterstützung zu gewähren. Für die Überprüfung erhebt die Bundesnetzagentur Gebühren und Auslagen nur, sofern die Bundesnetzagentur auf Grund von Anhalts- punkte punkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der in den Absät- zen 2 Nummern 2 und 3) vorsieht.

.

Zu Absatz 7

Mit § 60 Absatz 7 wurde ein separater Bußgeldtatbestand für die Kategorie des Betreibers kritischer Anlagen und besonders wichtige Einrichtungen geschaffen. Erwägungen waren auch hier eine Übersichtlichkeit angesichts der unterschiedlichen Bußgeldhöhen zu schaf- fen und den Anforderungen nach der Verhängung eines von an den Einrichtungskategori- en angelehnten abgestuften Systems gerecht zu werden.

Eine Unterscheidung zwischen den beiden Kategorien der besonders wichtigen Einrich- tung und dem Betreiber kritischer Anlagen, in der Bußgeldhöhe wurde hier nicht vorge- nommen wegen marginaler Differenzen im Pflichtenkatalog. Eine entsprechende Differen- 1 und 2 genannten Anforderungen begründen.

(5) Erlangt die Bundesnetzagentur Kenntnis über Hinweise oder Informationen, wonach ein Betreiber von Energieanlagen, der eine wichtige Einrichtung nach § 28 Absatz 7 des BSI-Gesetzes ist, die Anforderungen aus Absatz 2 nicht oder nicht rich-

2 Satz 1 des BSI-Gesetzes ist, die Anforderungen aus Absatz 2 nicht oder nicht richtig umsetzt, so kann sie Maßnahmen nach Absatz 4 durchführen. Die Bun- desnetzagentur kann Informationen anfordern, um die Einhaltung der Sicherheitsanforderun- gen nach Absatz 2 zu überprüfen.

(6) Betreiber von Energieversorgungsnetzen und solche Betreiber von Energie- anlagen, die besonders wichtige Einrichtungen nach § 28 Absatz 6 des BSI-Gesetzes oder wichtige Einrichtungen nach § 28 Absatz 7 des BSI-Gesetzes sind, übermitteln an das Bundesamt für Sicherheit in der Informationstechnik über eine vom Bundes- amt für Sicherheit in der Informationstechnik im Einvernehmen mit dem Bundesamt Sicherheitsan- forderungen nach Absatz 2 zu überprüfen.

(6) Betreiber von Energieversorgungsnetzen und solche Betreiber von Energie- anlagen, die besonders wichtige Einrichtungen nach § 28 Absatz 1 Satz 1 des BSI-Ge- setzes oder wichtige Einrichtungen nach § 28 Absatz 2 Satz 1 des BSI-Gesetzes sind, übermitteln an das Bundesamt für Sicherheit in der Informationstechnik über eine vom Bundesamt für Sicherheit in der Informationstechnik im Einvernehmen mit dem Bun- desamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Meldemöglichkeit:

1. Unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlan- gung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der angegeben an- gegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüber- schreitende Auswirkungen haben könnte;

2. Unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlan- gung von einem erheblichen Sicherheitsvorfall, eine Meldung über den Sicher- heitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktua- lisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, ein- schließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden;

3. auf Ersuchen des Bundesamtes für Sicherheit in der Informationstechnik eine Zwi- schenmeldung über relevante Statusaktualisierungen;

4. spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Nummer 2 eine Abschlussmeldung, die Folgendes enthält:

• 84 - Bearbeitungsstand: 22.12.2023 09:58

dem Katalog ist eine davon abweichende Umsetzungsfrist festgelegt worden. Der Katalog wird mit den IT-Sicherheitskatalogen nach Absätzen 1 und 2 verbunden.

(10) Betreiber von Energieversorgungsnetzen und Betreiber von Energieanlagen, die besonders wichtige Einrichtungen nach § 28 Absatz 6 des BSI-Gesetzes sind, sind ab dem [einsetzen: 1 Jahr nach Inkrafttreten] verpflichtet, am Informationsaus- 07.05.2024 10:19

a) eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen;

b) Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursa- che, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat;

c) Angaben zu den getroffenen und laufenden Abhilfemaßnahmen;

d) Gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheits- vorfalls.

§§ 2 Absatz 1 Nummer 10 und 31 Absatz 2 bis 5 des BSI-Gesetzes gelten ent- sprechend.

(7) Das Bundesamt für Sicherheit in der Informationstechnik hat die Meldungen nach Absatz 6 und solche Meldungen über Sicherheitsvorfälle nach § 31 des BSI-Ge- setzes, bei welchen das Bundesamt für Sicherheit in der Informationstechnik Kennt- nis § 2 Absatz 1 Nummer 10, § 32 Absatz 2 bis 5 des BSI-Gesetzes gelten entspre- chend.

(7) Das Bundesamt für Sicherheit in der Informationstechnik hat die Meldungen nach Absatz 6 und solche Meldungen über Sicherheitsvorfälle nach § 32 des BSI-Ge- setzes, bei welchen das Bundesamt für Sicherheit in der Informationstechnik Kenntnis von einer Relevanz für die Energieversorgungssicherheit und Erfüllung der Ziele nach § 1 erlangt, unverzüglich an die Bundesnetzagentur weiterzuleiten. Die Bundes- netzagentur führt unverzüglich eine Bewertung der Auswirkungen des nach Satz 1 übermittelten Sicherheitsvorfalls auf die Energieversorgungssicherheit durch und übermittelt ihre Ergebnisse an das Bundesamt für Sicherheit in der Informationstech- nik. Die Bundesnetzagentur kann von dem betroffenen Unternehmen die Herausgabe der zur Bewertung der Auswirkungen des Sicherheitsvorfalls auf die Bundesnetza- gentur führt unverzüglich eine Bewertung der Auswirkungen des nach Satz 1 übermit- telten Meldungen über Sicherheitsvorfälle und deren Auswirkungen und legt ihn dem Bundesministerium Sicherheitsvorfalls auf die Energieversorgungssicherheit durch und übermittelt ihre Ergebnisse an das Bundesamt für Sicherheit in der Informationstechnik. Die Bun- desnetzagentur kann von dem betroffenen Unternehmen die Herausgabe der zur Be- wertung der Auswirkungen des Sicherheitsvorfalls auf die Energieversorgungssicher- heit notwendigen Informationen, einschließlich personenbezogener Daten, verlangen und ist deshalb befugt, zur Bewertung der Auswirkungen des Sicherheitsvorfalls auf die Energieversorgungssicherheit erforderliche personenbezogene Daten zu erheben, zu speichern und zu verwenden. Das betroffene Unternehmen hat der Bundesnetza- gentur die zur Bewertung der Auswirkungen des Sicherheitsvorfalls auf die Energiever- sorgungssicherheit notwendigen Informationen, einschließlich personenbezogener Da- ten, zu übermitteln. Die Bundesnetzagentur kann bei der Durchführung der Bewertung nach Satz 2 die Betreiber von Übertragungs- und Fernleitungsnetzen einbeziehen und ist befugt, ihnen die hierzu erforderlichen personenbezogenen Daten zu übermitteln. Die Betreiber von Übertragungs- und Fernleitungsnetzen sind befugt, die ihnen nach Satz 5 zum dort genannten Zweck übermittelten personenbezogenen Daten zu erhe- ben, zu speichern und zu verwenden. Nach Erstellung der Bewertung sind die hierzu verwendeten personenbezogenen Daten von der Bundesnetzagentur und den Betrei- bern von Übertragungs- und Fernleitungsnetzen unverzüglich zu löschen. Das Bun- desamt für Sicherheit in der Informationstechnik berücksichtigt die Bewertung der Bun- desnetzagentur bei der Erfüllung der Aufgaben nach § 40 Absatz 3 Nummer 2 des BSI- Gesetzes. Das Bundesamt für Sicherheit in der Informationstechnik und die Bundes- netzagentur haben sicherzustellen, dass die unbefugte Offenbarung der ihnen nach Satz 1 zur Kenntnis gelangten Angaben aus- geschlossen wird. Zugang zu den Akten des Bundesamtes für Sicherheit in der Infor- mationstechnik sowie zu den Akten der Bundesnetzagentur in Angelegenheiten nach § 5c Absatz 1 bis Absatz 7 wird nicht gewährt. § 29 des Verwaltungsverfahrensgeset- zes bleibt unberührt.

(8) Betreiber von Energieversorgungsnetzen und solche Betreiber von Energie- anlagen, die besonders wichtige Einrichtungen nach § 28 Absatz 6 des BSI-Gesetzes oder wichtige Einrichtungen nach § 28 Absatz 7 des BSI-Gesetzes sind, sind ver- pflichtet, ausgeschlossen wird. Zugang zu den Akten des Bundesamtes für Sicherheit in der Informationstechnik sowie zu den Akten der Bundesnetzagentur in Angelegenheiten nach § 5c Absatz 1 bis Absatz 7 wird nicht gewährt. § 29 des Verwaltungsverfahrensgesetzes bleibt unberührt.

(8) Betreiber von Energieversorgungsnetzen und solche Betreiber von Energie- anlagen, die besonders wichtige Einrichtungen nach § 28 Absatz 1 Satz 1 des BSI-Ge- setzes oder wichtige Einrichtungen nach § 28 Absatz 2 Satz 1 des BSI-Gesetzes sind, sind verpflichtet, spätestens bis zum 1. April, erstmalig oder erneut, sich beim Bundesamt Bundes- amt für Sicherheit in der Informationstechnik zu registrieren. Dabei sind Angaben nach § 32 Absatz 1 Nummer 1 – 4 des BSI-Gesetzes zu übermitteln. Für Betreiber von Energie- versorgungsnetzen und Betreiber von Energieanlagen, die kritische Anlagen nach § 28 Absatz 3 des BSI-Gesetzes sind, gilt § 32 Absatz 3 des BSI-Gesetzes entspre- chend. Das Bundesamt für Sicherheit in der Informationstechnik übermittelt die Re- gistrierungen 33 Absatz 1 Nummer 1 bis 4 des BSI-Gesetzes zu übermitteln. Für Betreiber von Energieversorgungsnetzen und Betreiber von Energieanlagen, die kritische Anlagen nach § 2 Absatz 1 Nummer 21 des BSI-Gesetzes sind, gilt § 33 Absatz 2 des BSI-Ge- setzes entsprechend. Das Bundesamt für Sicherheit in der Informationstechnik über- mittelt die Registrierungen einschließlich der damit verbundenen Kontaktdaten an die

Bundesnetz- agentur. Die Registrierungen nach Satz 1 und Satz 3, kann das Bundesamt für Si- cherheit - 85 - Bearbeitungsstand: 07.05.2024 10:19

Bundesnetzagentur. Die Registrierungen nach Satz 1 und Satz 3, kann das Bundesamt für Sicherheit in der Informationstechnik auch selbst vornehmen und eine Kontaktstelle benennen, wenn der Betreiber seine Pflicht zur Registrierung nicht erfüllt. Nimmt das Bundesamt für Sicherheit in der Informationstechnik eine solche Registrierung selbst vor, informiert es die Bundesnetzagentur darüber und übermittelt die damit verbunde- nen Kontaktdaten. Die Betreiber haben sicherzustellen, dass sie über die benannte oder durch das Bundesamt für Sicherheit in der Informationstechnik festgelegte Kon- taktstelle jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt für Sicherheit in der Informationstechnik nach § 40 Absatz 2 Nummer 4 Buchstabe a des BSI-Gesetzes erfolgt an diese Kontaktstelle.

(9) Die Bundesnetzagentur legt bis zum 22. Mai 2023 im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Allgemeinverfügung im Wege einer Festlegung nach § 29 Absatz 1 in einem Katalog von Sicherheitsanforde- rungen für das Betreiben von Energieversorgungsnetzen und Energieanlagen fest,

1. welche Komponenten kritische Komponenten nach § 2 Absatz 1 Nummer 20 Buchstabe c Ziffer Bun- desamt für Sicherheit in der Informationstechnik nach § 40 Absatz 3 Nummer 4 Buchstabe a des BSI-Gesetzes erfolgt an diese Kontakt- stelle.

(9) Die Bundesnetzagentur legt im Einvernehmen mit dem Bundesamt für Sicher- heit in der Informationstechnik durch Allgemeinverfügung im Wege einer Festlegung nach § 29 Absatz 1 in einem Katalog von Sicherheitsanforderungen für das Betreiben von Energieversorgungsnetzen und Energieanlagen fest,

1. welche Komponenten kritische Komponenten nach § 2 Absatz 1 Nummer 22 Buchstabe c Doppelbuchstabe aa des BSI-Gesetzes sind oder

2. welche Funktionen kritisch bestimmte Funktionen nach § 2 Absatz 1 Nummer 20 Buchstabe c Ziffer bb des BSI-Gesetzes sind.

Die Betreiber von Energieversorgungsnetzen und Energieanlagen, die kritische Anlagen nach § 28 Absatz 3 des BSI-Gesetzes sind, haben die Vorgaben des Kata- logs spätestens sechs Monate nach dessen Inkrafttreten zu erfüllen, es sei denn, in

22 Buchstabe c Doppelbuchstabe bb des BSI-Gesetzes sind.

Die Betreiber von Energieversorgungsnetzen und Energieanlagen, die kritische Anlagen nach § 2 Absatz 1 Nummer 21 des BSI-Gesetzes sind, haben die Vorgaben des Katalogs spätestens sechs Monate nach dessen Inkrafttreten zu erfüllen, es sei denn, in dem Katalog ist eine davon abweichende Umsetzungsfrist festgelegt worden. Der Katalog wird mit den IT-Sicherheitskatalogen nach Absätzen 1 und 2 verbunden.

(10) Die Bundesnetzagentur erstellt im Benehmen mit dem Bundesamt für Sicher- heit in der Informationstechnik bis zum 1. Juni jeden Jahres einen zusammenfassen- den Bericht über die im vergangenen Kalenderjahr an sie nach Absatz 6 übermittelten Meldungen über Sicherheitsvorfälle und deren Auswirkungen und legt ihn dem Bun- desministerium für Wirtschaft und Klimaschutz vor.“

3. In § 11 werden die Absätze 1a bis 1g aufgehoben.

4. In § 91 Absatz 1 Nummer 4 wird der Angabe „7c“ die Angabe „5c Absatz 4“ vorange- stellt.

5. § 95 wird wie folgt geändert:

a) Absatz 1 wird wie folgt geändert:

a%6%) In Nummer 2a wird die Angabe „§ 11 Absatz 1a oder 1b den Kata- log von Sicherheitsanforderungen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig einhält“ durch „§ 5c Absatz 1 oder 2 den Sicherheitskatalog nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig einhält“ ersetzt.

b%6%) aa) In Nummer 2a wird die Angabe „§ 11 Absatz 1a oder 1b den Katalog von Si- cherheitsanforderungen nicht, nicht richtig, nicht vollständig oder nicht recht- zeitig einhält“ durch „§ 5c Absatz 1 oder 2 den Sicherheitskatalog nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig einhält“ ersetzt.

bb) In Nummer 2b wird die Angabe „§ 11 Absatz 1 c“ durch die Angabe „§ 5c Absatz 6“ ersetzt.

b) Nach Absatz 2 wird folgender Absatz 2a eingefügt:

„(2a) Die Ordnungswidrigkeit kann in Fällen des Absatzes 1 Nummer 2a und Nummer 2b mit einer Geldbuße bis zu einer Million Euro geahndet werden. Han- delt es sich bei dem Betroffenen um eine wichtige Einrichtung nach § 28 Absatz 7 des BSI-Gesetzes kann die Ordnungswidrigkeit mit einer Geldbuße bis zu 7 Millionen Euro oder mit einem Höchstbetrag von mindestens 1,4 % des gesam- ten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Un- ternehmens, dem der Betroffene angehört geahndet werden. Handelt es sich bei dem Betroffenen um eine besonders wichtige Einrichtung nach § 28 Absatz 7 Handelt

- 86 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

es sich bei dem Betroffenen um eine wichtige Einrichtung nach § 28 Absatz 2 Satz 1 des BSI-Gesetzes kann die Ordnungswidrigkeit mit einer Geldbuße bis zu 7 Millionen Euro oder mit einem Höchstbetrag von mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene angehört geahndet werden. Handelt es sich bei dem Betroffenen um eine besonders wichtige Einrichtung nach § 28 Absatz 1 Satz 1 des BSI-Gesetzes, kann die Ordnungswidrigkeit mit einer Geldbuße bis zu 10 Millio- nen Euro oder mit einem Höchstbetrag von mindestens 2 % des gesamten welt- weiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unterneh- mens, dem der Betroffene angehört, geahndet werden. Die Höhe des Gesamt- umsatzes Millionen Euro oder mit einem Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Um- satzes des Unternehmens, dem der Betroffene angehört, geahndet werden. Die Höhe des Gesamtumsatzes kann geschätzt werden.“

- 85 - Bearbeitungsstand: 22.12.2023 09:58

Artikel 17

Änderung des Messstellenbetriebsgesetzes (FNA 752-10)

In § 24 des Messstellenbetriebsgesetz vom 29. August 2016 (BGBl. I S. 2034), das zuletzt durch Artikel 11 des Gesetzes vom 20. Juli 2022 (BGBl. I S. 1237) geändert wor- den ist, wird die Angabe „§ 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821)“ durch die Angabe „§ 54 des BSI-Gesetzes in der Fassung der Bekanntmachung vom [ein- fügen: worden ist, wird die Angabe „§ 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821)“ durch die Angabe „§ 54 des BSI-Gesetzes in der Fassung der Bekanntmachung vom [einfügen: Verkündungsdatum] (BGBl. I S. [einfügen: Seite im Bundesgesetzblatt])“ ersetzt.

Artikel 18

Änderung des Energiesicherungsgesetzes (FNA 754-3)

Das Energiesicherungsgesetz vom 20. Dezember 1974 (BGBl. I S. 3681), das zuletzt durch Artikel 7 des Gesetzes vom 20. Dezember 2022 (BGBl. I S. 2560) geändert worden ist, wird wie folgt geändert:

1. In den §§ 17 Absatz 1, 18 Absatz 2 Satz 1 Nummer 1 und 29 Absatz 1 werden die Wörter „Kritische Infrastrukturen“ durch die Wörter „kritische Anlagen“ und die Anga- be „§ 2 Absatz 10 des BSI-Gesetzes“ durch die Angabe „§ 2 Absatz 1 Nummer 19 des BSI-Gesetzes“ ersetzt.

2. § 10 Absatz 1 Satz 3 wird wie folgt gefasst:

„Die zuständigen Behörden, der Marktgebietsverantwortliche und die Betreiber von Elektrizitätsversorgungsnetzen übermitteln die nach den Sätzen 1 und 2 sowie nach § 2b Absatz 1 erlangten Daten einschließlich personenbezogener Daten und Be- triebs- und Geschäftsgeheimnisse

1. an andere Behörden, den Marktgebietsverantwortlichen und die Betreiber von Elektrizitätsversorgungsnetzen, soweit dies für die Vorbereitung und Wahrneh- mung der Aufgaben nach diesem Gesetz sowie aufgrund dieses Gesetzes erlas- senen Rechtsverordnungen erforderlich ist, sowie

2. auf deren Ersuchen an die Bundesanstalt für Finanzdienstleistungsaufsicht, so- weit dies für die Erfüllung ihrer Aufgaben erforderlich ist. Die Wör- ter „Kritische Infrastrukturen“ durch die Wörter „kritische Anlagen“ und die Angabe „§ 2 Absatz 10 des BSI-Gesetzes“ durch die Angabe „§ 2 Absatz 1 Nummer 21 des BSI- Gesetzes“ ersetzt.

2. § 10 Absatz 1 Satz 3 werden folgende Sätze angefügt:

„Soweit Daten im Sinne des Satzes 3 für Maßnahmen nach § 1 der Gassicherungsver- ordnung und für Solidaritätsmaßnahmen nach § 2a von der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen erlangt werden, übermit- telt diese die Daten auf deren Ersuchen und soweit dies für die Erfüllung deren Aufga- ben erforderlich ist, an die Bundesanstalt für Finanzdienstleistungsaufsicht. Die Ver- wendung der Daten durch die Bundesanstalt für Finanzdienstleistungsaufsicht hat die Gründe für ihr Ersuchen zu dokumentieren. Die Verwendung der Daten ist nach Maßgabe der allgemeinen datenschutzrecht- lichen Vorschriften vorzunehmen und auf das zur Erfüllung der Aufgaben dieser Stellen jeweils ist nach Maßgabe der allgemeinen datenschutzrechtlichen Vorschriften vorzunehmen und auf das zur Erfüllung der Aufgaben dieser Stelle erforderliche Maß zu beschränken.“

[Anm. BMI CI 3 für BMWK – Zum vorstehenden Satz: Der erste Satzteil erscheint nur de- klaratorisch und sollte besser in die Begründung passen. Der zweite Satzteil ist eine Wie- derholung von „soweit dies für die Erfüllung ihrer Aufgaben erforderlich ist“. Ich bitte um Bestätigung, dass der markierte Teil gestrichen werden kann und bitte zudem um eine Formulierung für die Gesetzesbegründung.]

- 87 - Bearbeitungsstand: 07.05.2024 10:19

Artikel 19

Änderung des Fünften Buches Sozialgesetzbuch (FNA 860-5)

Das Fünfte Buch Sozialgesetzbuch – Gesetzliche Krankenversicherung – (Artikel 1 des Gesetzes vom 20. Dezember 1988, BGBl. I S. 2477, 2482), das zuletzt durch Arti- kel Artikel 1b des Gesetzes vom 20. Dezember 2022 (BGBl. I S. 2793) geändert worden ist, wird wie folgt geändert:

1. In § 75b Absatz 4 wird die Angabe „§ 8a Absatz 1 des BSI-Gesetzes“ durch die Anga- be Angabe „§ 39 Absatz 1 des BSI-Gesetzes“ ersetzt.

2. § 75c wird wie folgt geändert:

a) In Absatz 2 wird die Angabe „§ 8a Absatz 2 des BSI-Gesetzes“ durch die Angabe „§ 30 Absatz 12 8 des BSI-Gesetzes“ ersetzt.

b) In Absatz 3 werden die Wörter „Kritische Infrastrukturen“ durch die Wörter „kriti- scher Anlagen“ und die Angabe „§ 8a des BSI-Gesetzes“ durch die Angabe „§§ 30 und 39 des BSI-Gesetzes“ ersetzt.

Artikel 20

Änderung der Digitale Gesundheitsanwendungen-Verordnung (FNA 860-5-55)

In der Tabellenzelle in der Spalte Anforderung und der Zeile Nummer 5 der Über- schrift Überschrift „Datensicherheit“, der Unterüberschift „Basisanforderungen, die für alle digitalen Gesundheitsanwendungen Gesund- heitsanwendungen gelten“ der Tabelle in Anlage 1 (Fragebogen gemäß § 4 Ab- satz Absatz 6) der Digitale Gesundheitsanwendungen-Verordnung vom 8. April 2020 (BGBl. I S. 768), die zuletzt durch Artikel 3 des Gesetzes vom 20. Dezember 2022 (BGBl. I S. 2793) geändert worden ist, wird die Angabe „§ 8 Absatz 1 Satz 1 des BSI-Gesetzes“ durch die Angabe „§ 44 Absatz 1 Satz 1 des BSI-Gesetzes“ ersetzt.

Artikel 21

Änderung des Sechsten Buches Sozialgesetzbuch (FNA 860-6)

[Anm. BMI CI 1 – Ergänzungsbitte BMAS]

§ 138 Absatz 1 Satz 2 des Sechsten Buches Sozialgesetzbuch – Gesetzliche Ren- tenversicherung zu- letzt durch Artikel 3 des Gesetzes vom 20. Dezember 2022 (BGBl. I S. 2793) geändert worden ist, wird die Angabe „§ 8 Absatz 1 Satz 1 des BSI-Gesetzes“ durch die Angabe „§ 44 Absatz 1 Satz 1 des BSI-Gesetzes“ ersetzt.

Artikel 21

Änderung des Sechsten Buches Sozialgesetzbuch (FNA 860-6)

§ 138 Absatz 1 des Sechsten Buches Sozialgesetzbuch – Gesetzliche Rentenversi- cherung – in der Fassung der Bekanntmachung vom 19. Februar 2002 (BGBl. I S. 754, 1404, 3384), das zuletzt durch Artikel 13 des Gesetzes vom 2. März 2023 (BGBl. 2023 I Nr. 56) geändert worden ist, wird wie folgt geändert:

1. 6 des Gesetzes vom 27. März 2024 (BGBl. 2024 I Nr. 107) geändert worden ist, wird wie folgt geändert:

1. Satz 2 wird wie folgt geändert:

a) In Nummer 15 wird das Wort „und“ durch ein Komma ersetzt.

2. In Nummer 16 wird der Punkt am Ende durch das Wort „und“ ersetzt.

3. Folgende Nummer 17 wird angefügt:

- 87 - Bearbeitungsstand: 22.12.2023 09:58

17. „ Koordinierung einer an den Zielen von Wirtschaftlichkeit und Sicherheit ausgerichteten Informationstechnik der Rentenversicherung, insbesondere durch

a) die Festlegung von einheitlichen Grundsätzen für die Informationstechnik und Informationssicherheit der Rentenversicherung,

b) den Betrieb der informationstechnischen Infrastruktur und des Netzwerkes der Rentenversicherung,

c) die Entwicklung rentenversicherungsbezogener Anwendungen und

d) die Festlegung b) In Nummer 16 wird der Punkt am Ende durch das Wort „und“ ersetzt.

c) Folgende Nummer 17 wird angefügt:

- 88 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

„ 17. Organisation der Sicherheit und Wirtschaftlichkeit der Informationstechnik der Rentenversicherung, insbesondere durch

a) die Festlegung von einheitlichen Grundsätzen für die Informationstechnik und Informationssicherheit der Rentenversicherung,

b) den Betrieb der informationstechnischen Infrastruktur und des Netzwerkes der Rentenversicherung,

c) die Entwicklung der für die Aufgaben und Erbringung der Leistungen der Ren- tenversicherung eingesetzten Anwendungen und Dienste sowie

d) die Festlegung und Umsetzung eines Beschaffungskonzepts.“

2. Folgender Satz wird angefügt:

„Satz 2 Nummer 17 gilt im Verhältnis zur Deutschen Rentenversicherung Knappschaft- Bahn-See mit der Maßgabe, dass notwendige Abweichungen wegen der dieser über- tragenen weiteren gesetzlichen Aufgaben und ihrer spezifischen Leistungen zulässig sind.“

Artikel 22

Änderung der Verordnung zum Barrierefreiheitsstärkungsgesetz (FNA 860-9-4-1)

In § 2 Nummer 3 der Verordnung zum Barrierefreiheitsstärkungsgesetz vom 15. Juni 2022 (BGBl. I S. 928) werden die Wörter „§ 2 Absatz 2 Satz 4 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert worden ist“ durch die Wörter „§ 2 Absatz 1 Nummer 36 38 des BSI-Gesetzes in der Fassung der Bekanntmachung vom [einfügen: Verkündungsda- tum] (BGBl. I S. [einfügen: Seite im Bundesgesetzblatt])“.

Artikel 23

Änderung des Telekommunikationsgesetzes (FNA 900-17)

Das Telekommunikationsgesetz vom 23. Juni 2021 (BGBl. I S. 1858), das zuletzt durch Artikel 5 des Gesetzes vom 14. März 2023 (BGBl. 2023 I Nr. 71) geändert worden ist, wird wie folgt geändert:

1. § 3 wird wie folgt geändert:

a) Nummer 53 wird wie folgt gefasst:

„ 53. „„Sicherheitsvorfall“ ein Ereignis, das die Verfügbarkeit, Authentizität, „Sicherheitsvorfall“ ein Ereignis, das die Verfügbarkeit, Integrität oder Ver- traulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über informationstechnische Systeme, Komponenten und Pro- zesse angeboten werden oder zugänglich sind, beeinträchtigt;“.

b) In Nummer 79 wird der „.“ durch ein „;“ ersetzt.

c) Es wird folgende Nummer 80 eingefügt:

Punkt durch ein Semikolon ersetzt.

- 89 - Bearbeitungsstand: 07.05.2024 10:19

c) Es wird folgende Nummer 80 eingefügt:

„ 80. „„Netz- und Informationssystem“

a) Ein Telekommunikationsnetz im Sinne von Nummer 65,

„Netz- und Informationssystem“

a) Ein Telekommunikationsnetz im Sinne von Nummer 65,

b) ein Gerät oder eine Gruppe miteinander verbundener oder zusammen- hängender Geräte, die einzeln oder zu mehreren auf der Grundlage eines ei- nes Programms die automatische Verarbeitung digitaler Daten durch- führen, durchfüh- ren kann und an der Erteilung eines Zertifikats ein öffentliches Interesse besteht. Der An- tragsteller hat dem Bundesamt die Unterlagen vorzulegen und die Auskünfte zu erteilen, deren Kenntnis für die Prüfung und Bewertung des Systems oder der Komponente oder der Eignung ren, oder

c) digitale Daten, die von den in den Buchstaben a und b genannten Ele- menten zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen wer- den.“

2. § 165 wird wie folgt geändert:

a) Absatz 2 Satz 3 wird gestrichen.

b) In Absatz 2 wird der Satz „Bei diesen Maßnahmen ist der Stand der Technik zu berücksichtigen“ gestrichen und stattdessen folgender Satz angefügt:

„Diese Maßnahmen sollen den Stand der Technik einhalten und unter Berück- sichtigung der einschlägigen europäischen und internationalen Normen sowie der Umsetzungskosten ein Sicherheitsniveau Netz- und Informationssysteme ge- währleisten, dem bestehenden Risiko angemessen ist. Bei der Bewertung, ob Maßnahmen dem bestehenden Risiko angemessen sind, sind das Ausmaß der Risikoexposition und die Größe des Betreibers oder des Anbieters sowie die Ein- trittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesell- schaftlichen Berücksich- tigung der einschlägigen europäischen und internationalen Normen sowie der Um- setzungskosten ein Sicherheitsniveau der Netz- und Informationssysteme gewähr- leisten, das dem bestehenden Risiko angemessen ist. Bei der Bewertung, ob Maß- nahmen dem bestehenden Risiko angemessen sind, sind das Ausmaß der Risi- koexposition und die Größe des Betreibers oder des Anbieters sowie die Eintritts- wahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaft- lichen und wirtschaftlichen Auswirkungen zu berücksichtigen.“

c) Nach Absatz 2 wird folgender Absatz 2a eingefügt:

„(2a) Maßnahmen nach Absatz 2 von Betreibern öffentlicher Telekommunikati- onsnetze und Anbietern öffentlich zugänglicher Telekommunikationsdienste, die besonders wichtige Einrichtungen im Sinne von § 28 Absatz 6 des BSI-Gesetzes oder wichtige Einrichtungen im Sinne von § 28 Absatz 7 des BSI-Gesetzes 1 Satz 1 des BSI-Ge- setzes oder wichtige Einrichtungen im Sinne von § 28 Absatz 2 Satz 1 des BSI- Gesetzes sind, müssen auf einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser die- ser Systeme vor Sicherheitsvorfällen zu schützen, und zumindest Folgendes umfassen:

um- fassen:

1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssys- teme,

2. Bewältigung von Sicherheitsvorfällen,

3. Aufrechterhaltung des Betriebs, wie Backup-Management und Widerherstel- lung nach einem Notfall, und Krisenmanagement,

4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,

5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen,

6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen nach Absatz 2 im Bereich der Sicherheit von Netzen und Diensten,

7. Grundlegende Verfahren und Schulungen im Bereich der Sicherheit von Net- zen und Diensten,

- 89 - Bearbeitungsstand: 22.12.2023 09:58

Be- ziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren An- bietern oder Diensteanbietern,

5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen,

- 90 - Bearbeitungsstand: 22.12.2023 09:58

3. auf Ersuchen der Bundesnetzagentur oder dem Bundesamt für Sicherheit in der Informationstechnik eine Zwischenmeldung über relevante Statusaktuali- sierungen;

4. spätestens einen Monat nach Übermittlung der Meldung des erheblichen Sicherheitsvorfalls gemäß Nummer 2, vorbehaltlich Absatz 2, eine Ab- schlussmeldung, 07.05.2024 10:19

6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen nach Absatz 2 im Bereich der Sicherheit von Netzen und Diensten,

7. Grundlegende Verfahren und Schulungen im Bereich der Sicherheit von Net- zen und Diensten,

8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsse- lung

9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen

10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuier- lichen Authentifizierung, gesicherte Sprach, Video- und Textkommunikati- on sowie gegebenenfalls gesicherte Notfallkommunikationssysteme inner- halb Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.“

d) In Absatz 3 wird die Angabe „§ 2 Absatz 9b„ durch die Angabe „§ 2 Absatz 1 Nummer 38„ ersetzt.

e) In Absatz 4 wird Angabe „§ 2 Absatz 13“ durch die Angabe „§ 2 Absatz 1 Num- mer 20“ ersetzt.

f) In Absatz 11 wird die Angabe „Artikel 9 der Richtlinie (EU) 2016/1148 des Euro- päischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen 9b des BSI-Gesetzes“ durch die Angabe „§ 2 Absatz 1 Nummer 40 des BSI-Gesetzes“ ersetzt.

e) In Absatz 4 wird Angabe „§ 2 Absatz 13 des BSI-Gesetzes“ durch die Angabe „§ 2 Absatz 1 Nummer 22 des BSI-Gesetzes“ ersetzt.

f) In Absatz 11 wird die Angabe „Artikel 9 der Richtlinie (EU) 2016/1148 des Europä- ischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewähr- leistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informati- onssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1; L33 vom 7.2.2018, S.5)“ durch die Angabe „Artikel 10 der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnah- men für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Ände- rung der Verordnung Maßnahmen für ein ho- hes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27. Dezember 2022, S. 80, im Folgenden NIS-2-Richtli- nie) in der gesamten Europäischen Verord- nung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (ABl. L 333 vom 27.12.2022, S. 80)“ ersetzt.

3. § 167 Absatz 1 Nummer 2 wird wie folgt geändert:

a) Die Angabe „§ 2 Absatz 13 Satz 1 Nummer 3 Buchstabe b“ wird durch die Anga- be „§ 2 Absatz 1 Nummer 20 Buchstabe c Doppelbuchstabe bb“ ersetzt.

b) Die Angabe „§ 2 Absatz 13“ wird durch die Angabe „§ 2 Absatz 1 Nummer 20“ ersetzt.

4. § 168 wird wie folgt geändert:

a) Absätze 1 bis 3 werden wie folgt gefasst:

(1) „ b des BSI-Gesetzes“ wird durch die Angabe „§ 2 Absatz 1 Nummer 22 Buchstabe c Doppelbuchstabe bb des BSI-Gesetzes“ ersetzt.

b) Die Angabe „§ 2 Absatz 13 des BSI-Gesetzes“ wird durch die Angabe „§ 2 Ab- satz 1 Nummer 22 des BSI-Gesetzes“ ersetzt.

4. § 168 wird wie folgt geändert:

a) Absätze 1 bis 3 werden wie folgt gefasst:

„ (1) Wer ein öffentliches Telekommunikationsnetz betreibt oder öffent- lich zugängliche Telekommunikationsdienste erbringt, übermittelt der Bundes- netzagentur öffentlich zu- gängliche Telekommunikationsdienste erbringt, übermittelt der Bundesnetzagen- tur und dem Bundesamt für Sicherheit in der Informationstechnik:

1. unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniser- langung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicher- heitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte;

2. unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniser- langung von einem erheblichen Sicherheitsvorfall, eine Meldung über den Sicherheitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicher- heitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden;

- 91 - Bearbeitungsstand: 07.05.2024 10:19

2. unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniser- langung von einem erheblichen Sicherheitsvorfall, eine Meldung über den Si- cherheitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt o- der aktualisiert werden und eine erste Bewertung des erheblichen Sicherheits- vorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden;

3. auf Ersuchen der Bundesnetzagentur oder dem Bundesamt für Sicherheit in der Informationstechnik eine Zwischenmeldung über relevante Statusaktuali- sierungen;

4. spätestens einen Monat nach Übermittlung der Meldung des erheblichen Si- cherheitsvorfalls auf diese Dienstleistung zu übermitteln, wenn ein erheblicher Sicher-

- 42 - Bearbeitungsstand: 22.12.2023 09:58

heitsvorfall gemäß Nummer 2, vorbehaltlich Absatz 2, eine Abschluss- meldung, die Folgendes enthält:

a) eine ausführliche Beschreibung des erheblichen Sicherheitsvorfalls, ein- schließlich seines Schwergrads und siener seiner Auswirkungen;

b) Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat;

c) Angaben zu den getroffenen und laufenden Abhilfemaßnahmen;

d) Gegebenenfalls die grenzüberschreitenden Auswirkungen des erhebli- chen Sicherheitsvorfalls.

(2) Dauert der erhebliche Sicherheitsvorfall im Zeitpunkt des Absatz 1 Num- mer 4 noch an, legt der Betroffene statt einer Abschlussmeldung zu diesem Zeit- punkt eine Fortschrittsmeldung und eine Abschlussmeldung innerhalb eines Mo- nats nach Abschluss der Bearbeitung des erheblichen Sicherheitsvorfalls vor.

(3) Ein Sicherheitsvorfall gilt als erheblich wenn,

1. er schwerwiegende Betriebsstörungen oder finanzielle Verluste für den be- treffenden Betreiber öffentlicher Telekommunikationsnetze oder Anbieter öffentlich zugänglicher Telekommunikationsdienste verursacht hat oder ver- ursachen kann, oder

2. er andere natürliche oder juristische Personen durch erhebliche materielle oder erheblich, wenn

1. er schwerwiegende Betriebsstörungen oder finanzielle Verluste für den betref- fenden Betreiber öffentlicher Telekommunikationsnetze oder Anbieter öffent- lich zugänglicher Telekommunikationsdienste verursacht hat oder verursa- chen Cyberangriffe für Unternehmen kann, oder

2. er andere natürliche oder juristische Personen durch erhebliche materielle o- der immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.“

b) Absatz 6 wird die Angabe „§ 8e“ durch die Angabe „§ 42“ ersetzt.

5. In § 174 Absatz 3 und 5 wird die Angabe „§ 2 Absatz 10 Satz 1 Nummer 1“ durch die Angabe „§ 57 Absatz 4 Nummer 1“ 8e des BSI-Gesetzes“ durch die Angabe „§ 42 des BSI-Gesetzes“ ersetzt.

5. In § 174 Absatz 3 und 5 werden die Wörter „Bereichen des § 2 Absatz 10 Satz 1 Num- mer 1 des BSI-Gesetzes“ durch die Wörter „Sektoren des § 28 Absatz 7 des BSI-Ge- setzes“ ersetzt.

6. In § 214 Absatz 3 werden die Wörter „Kritische Infrastrukturen“ durch die Wörter „kriti- sche Anlagen“ und die Angabe „§ 2 Absatz 10“ durch die Angabe „§ 2 Absatz 1 Num- mer 19“ ersetzt.

10 des BSI-Gesetzes“ durch die Angabe „§ 2 Absatz 1 Nummer 21“ ersetzt.

- 92 - Bearbeitungsstand: 07.05.2024 10:19

Artikel 24

Änderung der Krankenhausstrukturfonds-Verordnung (FNA 2126- 9-19)

In § 11 Absatz 1 Nummer 4 Buchstabe a und § 14 Absatz 2 Nummer 8 der Kranken- hausstrukturfonds-Verordnung vom 17. Dezember 2015 (BGBl. I S. 2350), die zuletzt durch Artikel 6 des Gesetzes vom 20. Dezember 2022 (BGBl. I S. 2793) geändert worden ist, wird wird die Angabe „§ 8a des BSI-Gesetzes“ durch die Angabe „§ 39 des BSI-Geset- zes“ ersetzt.

- 91 - Bearbeitungsstand: 22.12.2023 09:58

die Angabe „§ 8a des BSI-Gesetzes“ durch die Angabe „§ 39 des BSI-Gesetzes“ ersetzt.

Artikel 25

Änderung der Mess- und Eichverordnung (FNA 7141-8-1)

In § 40 Absatz 4 Nummer 2 der Mess- und Eichverordnung vom 11. Dezember 2014 (BGBl. I S. 2010, 2011), die zuletzt durch Artikel 1 der Verordnung vom 26. Oktober 2021 (BGBl. I S. 4742) geändert worden ist, werden die Wörter „§ 3 Absatz 1 Nummer 5 des BSI-Gesetzes BSI- Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 3 Absatz 7 des Gesetzes vom 7. August 2013 (BGBl. I S. 3154) geändert worden ist, in der jeweils geltenden gelten- den Fassung“ durch die Angabe „§ 3 Absatz 1 Satz 2 Nummer 8 des BSI-Gesetzes in der Fassung der Bekanntmachung vom [einfügen: Verkündungsdatum] (BGBl. I S. [ein- fügen: [einfügen: Seite im Bundesgesetzblatt])“ ersetzt.

Artikel 26

Änderung der Außenwirtschaftsverordnung (FNA 7400-4-1)

In § 55a der Außenwirtschaftsverordnung vom 2. August 2013 (BGBl. I S. 2865; 2021 I S. 4304), die zuletzt durch Artikel 10 des Gesetzes vom 19. Dezember 2022 (BGBl. I S. 2632) geändert worden ist, wird wie folgt geändert:

1. In Absatz 1 Nummer 1 werden die Wörter „Kritischen Infrastruktur“ durch die Wörter „kritischen Anlage“ ersetzt.

2. In Absatz 1 Nummer 2 wird die Angabe „§ 2 Absatz 13 des BSI-Gesetzes“ durch die Angabe „§ 2 Absatz 1 Nummer 19 des BSI-Gesetzes“ und die Wörter „Kritischen In- frastrukturen“ 22 des BSI-Gesetzes“ und die Wörter „Kritischen Infra- strukturen“ durch die Wörter „kritischen Anlagen“ ersetzt.

Artikel 27

Änderung des Vertrauensdienstegesetzes (FNA 9020-13)

In § 2 des Vertrauensdienstegesetzes vom 18. Juli 2017 (BGBl. I S. 2745), das durch Artikel 2 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2745) geändert worden ist, wird Ab- satz 3 gestrichen.

- 93 - Bearbeitungsstand: 07.05.2024 10:19

Artikel 28

Evaluierung

Das Bundesministerium des Innern und für Heimat berichtet dem Deutschen Bundes- tag unter Einbeziehung von wissenschaftlichem Sachverstand über die Wirksamkeit der in diesem Gesetz nach Artikel 1 enthaltenen Maßnahmen für die Erreichung der mit diesem Gesetz verfolgten Ziele bis zum [einsetzen: Datum des ersten Tages des achtundvierzigs- ten auf die Verkündung folgenden Kalendermonats] hinsichtlich Artikel 1 Teil 2 Kapitel 1, Teil 3 Kapitel 3 sowie Teil 5 dieses Gesetzes.

- 92 - Bearbeitungsstand: 22.12.2023 09:58

Artikel 29

Inkrafttreten, Außerkrafttreten

(1) Dieses Gesetz tritt vorbehaltlich der Absätze 2 und 3 am 1. Oktober 2024 in Kraft. Gleichzeitig tritt das BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821) außer Kraft.

(2) Artikel 2 tritt an dem Tag in Kraft, an dem das Gesetz zur Umsetzung der CER- Richtlinie und zur Stärkung der Resilienz kritischer Anlagen vom [einsetzen] die Rechtsverordnung nach § 4 Absatz 4 des Dachgesetzes zur Stärkung der physischen Resilienz von Betreibern kritischer Anlagen (KRITIS-Dachgesetz) in Kraft tritt, aber nicht vor dem Inkrafttretenstermin nach Absatz 1. Das Bundesministerium des Innern und für Heimat gibt den Tag des Inkrafttretens im Bundesgesetzblatt bekannt.

(3) Artikel 27 tritt am 18. Oktober 2024 in Kraft.

- 93 - Bearbeitungsstand: 22.12.2023 09:58

Bun- desgesetzblatt bekannt.

(3) Artikel 27 tritt am 18. Oktober 2024 in Kraft.

- 94 - Bearbeitungsstand: 07.05.2024 10:19

Begründung

A. Allgemeiner Teil

I. Zielsetzung und Notwendigkeit der Regelungen

Die moderne Wirtschaft Deutschlands ist für ihr Funktionieren, die Generierung von Wohl- stand und Wachstum und auch für ihre Adaptionsfähigkeit auf geänderte wirtschaftspoliti- sche und geopolitische Rahmenbedingungen angewiesen auf funktionierende und resili- ente Infrastrukturen, sowohl im physischen als auch im digitalen Bereich. Diese Faktoren haben in den vergangenen Jahren erheblich an Bedeutung gewonnen. Unternehmen se- hen sich nicht nur in ihrem wirtschaftlichen Tun, sondern auch in dessen praktischer Absi- cherung vor einer Vielzahl von Herausforderungen. Europaweit und global vernetzte Pro- zesse führen ebenso wie die zunehmende Digitalisierung aller Lebens- und somit auch Wirtschaftsbereiche zu einer höheren Anfälligkeit durch externe, vielfach nicht steuerbare Faktoren. Informationstechnik in kritischen Anlagen sowie in bestimmten Unternehmen spielt dabei eine zentrale Rolle. Ihre Sicherheit und Resilienz bilden die Grundlage für die Versorgungssicherheit, von der Versorgung mit Strom und Wasser bis hin zu Siedlungs- abfällen. Gleiches gilt für das Funktionieren der Marktwirtschaft in Deutschland und dem Binnenmarkt der Europäischen Union. Die Vernetzung und enge Verzahnung der Wirt- schaft innerhalb Deutschlands und der Europäischen Union resultieren in Interdependen- zen bei der Cybersicherheit. Die vor diesem Hintergrund erforderlichen Cybersicherheits- anforderungen an juristische und natürliche Personen, die wesentliche Dienste erbringen oder Tätigkeiten ausüben, werden mit der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes ge- meinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie sehen sich nicht nur in ihrem wirtschaftlichen Tun, sondern auch in dessen praktischer Absiche- rung vor einer Vielzahl von Herausforderungen. Europaweit und global vernetzte Prozesse führen ebenso wie die zunehmende Digitalisierung aller Lebens- und somit auch Wirt- schaftsbereiche zu einer höheren Anfälligkeit durch externe, vielfach nicht steuerbare Fak- toren. Informationstechnik in kritischen Anlagen sowie in bestimmten Unternehmen spielt dabei eine zentrale Rolle. Ihre Sicherheit und Resilienz bilden die Grundlage für die Versor- gungssicherheit, von der Versorgung mit Strom und Wasser bis hin zu Siedlungsabfällen. Gleiches gilt für das Funktionieren der Marktwirtschaft in Deutschland und dem Binnen- markt der Europäischen Union. Die Vernetzung und enge Verzahnung der Wirtschaft inner- halb Deutschlands und der Europäischen Union resultieren in Interdependenzen bei der Cybersicherheit. Die vor diesem Hintergrund erforderlichen Cybersicherheitsanforderungen an juristische und natürliche Personen, die wesentliche Dienste erbringen oder Tätigkeiten ausüben, werden mit der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicher- heitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtli- nie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27. Dezember 2022, S. 80, im Folgenden NIS-2-Richtlinie) in der gesamten Europäischen Union weiter angeglichen.

Mit der NIS-2-Richtlinie wurden Maßnahmen festgelegt, mit denen in der gesamten Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll, um so das Funktionieren des Binnenmarkts zu verbessern. Zu diesem Zweck wird in der NIS-2- Richtlinie die Pflicht für alle Mitgliedstaaten festgelegt, nationale Cybersicherheitsstrategi- en NIS-2-Richt- linie die Pflicht für alle Mitgliedstaaten festgelegt, nationale Cybersicherheitsstrategien zu verabschieden sowie zuständige nationale Behörden, Behörden für das Cyberkri- senmanagement, Cyberkrisenma- nagement, zentrale Anlaufstellen für Cybersicherheit (zentrale Anlaufstellen) und Computer-Notfallteams Compu- ter-Notfallteams (CSIRT) zu benennen oder einzurichten. Ferner werden Pflichten in Bezug auf das Cybersicherheitsrisikomanagement sowie Berichtspflichten für Einrich- tungen der in den Anhang I oder II der NIS-2-Richtlinie aufgeführten Arten sowie für Einrichtungen der in den Anhang I oder II der NIS-2-Richtlinie aufgeführten Arten sowie für Einrichtungen, die nach Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft wur- den wurden festgelegt. Des Weiteren sieht die NIS-2-Richtlinie Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen sowie Aufsichts- und Durchsetzungspflich- ten für die Mitgliedstaaten Cy- bersicherheitsinformationen sowie Aufsichts- und Durchsetzungspflichten für die Mitglied- staaten vor.

Die Vorgaben der NIS-2-Richtlinie sind gestützt auf Artikel 114 AEUV und dienen der Har- monisierung des Binnenmarkts der Europäischen Union. Die Umsetzung der Vorgaben erfolgt er- folgt mithin – neben weiteren im Vorblatt des Gesetzesentwurfs dargestellten Erwägun- gen – insbesondere auch um Verzerrungen im Binnenmarkt zu beseitigen und zu vermei- den. Denn die Cybersicherheitsanforderungen würden sich sonst von Mitgliedstaat zu Mitgliedstaat erheblich unterscheiden. Solche Unterschiede hinsichtlich Cybersicherheits- anforderungen Mit- gliedstaat erheblich unterscheiden. Solche Unterschiede hinsichtlich Cybersicherheitsan- forderungen und Aufsicht würden zusätzliche Kosten bei den Wirtschaftsteilnehmern verursachen verur- sachen und negative Auswirkungen auf das grenzüberschreitende Angebot von Wa- ren oder Dienstleistungen haben.

- 94 - Bearbeitungsstand: 22.12.2023 09:58

In Folge des russischen Angriffskriegs auf die Ukraine hat sich nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Bericht zur Lage der IT-Si- cherheit Waren o- der Dienstleistungen haben.

- 95 - Bearbeitungsstand: 07.05.2024 10:19

In Folge des russischen Angriffskriegs auf die Ukraine hat sich nach Einschätzung des Bun- desamtes für Sicherheit in der Informationstechnik (BSI) im Bericht zur Lage der IT-Sicher- heit in Deutschland 2022 die IT-Sicherheitslage insgesamt zugespitzt. Im Bereich der Wirtschaft zählen hierbei Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in diesem Wirt- schaft zählen hierbei Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in die- sem Zusammenhang auch insbesondere sogenannte Supply-Chain-Angriffe zu den größten Bedrohungen. Zusätzlich zu den bereits bekannten Bedrohungen entstanden in Folge des russischen Angriffskriegs auf die Ukraine und der damit einhergehenden „Zei- tenwende“ auch neue Bedrohungen oder die Einschätzungen zu bereits bekannten Be- drohungen mussten aufgrund veränderter Rahmenbedingungen geändert werden. größ- ten Bedrohungen. Zusätzlich zu den bereits bekannten Bedrohungen entstanden in Folge des russischen Angriffskriegs auf die Ukraine und der damit einhergehenden „Zeitenwende“ auch neue Bedrohungen oder die Einschätzungen zu bereits bekannten Bedrohungen mussten aufgrund veränderter Rahmenbedingungen geändert werden. Beispiele hierfür be- stehen beispielsweise im Bereich Hacktivismus, insbesondere mittels Distributed-Denial- of-Service (DDoS)-Angriffen oder auch durch in Deutschland erfolgte Kollateralschäden in Folge von Cyber-Sabotage-Angriffen im Rahmen des Krieges. Zudem haben auch Störun- gen und Angriffe im Bereich der Lieferketten sowohl aus den tz 4 Cybercrime als auch im Rahmen des Krieges zuletzt zugenommen. Diese Phänomene treten nicht mehr nur ver- einzelt auf, sondern sind insgesamt Teil des unternehmerischen Alltags. Eine Erhöhung der Resilienz der Wirtschaft gegenüber diesen neuen Bedrohungen ist daher eine zentrale Auf- gabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, um den Wirtschafts- standort Deutschland robust und leistungsfähig zu halten.

Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich die bis- herigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausrei- chend effektiv erwiesen, um eine flächendeckende wirksame Steigerung des Sicherheits- niveaus zu erreichen. Dies haben insbesondere Sachstandserhebungen zum Umsetzungs- plan Bund sowie Prüfungen des BRH bestätigt. Vor dem Hintergrund der durch aktuelle geopolitische Entwicklungen („Zeitenwende“) abermals verschärften Bedrohungslage hat sich das Risiko für staatliche Einrichtungen zudem weiter erhöht, durch Gefährdungen aus dem Cyberraum in ihrer Handlungsfähigkeit eingeschränkt zu werden.

Entsprechend der unionsrechtlichen Vorgaben wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I 2015 S. 1324) und dem Zweiten Gesetz zur Erhöhung der Sicherheit informations- technischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstär- kungsgesetz für den Bereich kritischer Anlagen und bestimmter Unternehmen erweitert, zusätzlich werden entsprechende Vorgaben für die Bundesverwaltung eingeführt. Aufgrund des großen Umfangs des Vorhabens, wird es mit einer Novellierung des BSI-Gesetzes verbunden. In diesem Zusammenhang wird auch der Auftrag aus dem Koa- litionsvertrag ver- bunden. In diesem Zusammenhang wird auch der Auftrag aus dem Koalitionsvertrag für die 20. Legislaturperiode, Zeile 438, aufgriffen, das IT-Sicherheitsrecht weiterzuentwickeln.

Dieser Entwurf steht im Kontext der gefährdeten rechtzeitigen Erreichung der Ziele der Resolution der Generalversammlung der Vereinten Nationen vom 25. September 2015 „Transformation unserer Welt: die UN-Agenda 2030 für nachhaltige Entwicklung“. Der Entwurf soll insbesondere zur Erreichung des Nachhaltigkeitsziels 9 der UN-Agenda 2030 beitragen, eine hochwertige, verlässliche und widerstandsfähige Infrastruktur aufzubau- en.“

Re- solution der Generalversammlung der Vereinten Nationen vom 25. September 2015 „Trans- formation unserer Welt: die UN-Agenda 2030 für nachhaltige Entwicklung“. Der Entwurf soll insbesondere zur Erreichung des Nachhaltigkeitsziels 9 der UN-Agenda 2030 beitragen, eine hochwertige, verlässliche und widerstandsfähige Infrastruktur aufzubauen.“

II. Wesentlicher Inhalt des Entwurfs

Die unionsrechtlichen Vorgaben der NIS-2-Richtlinie werden im Rahmen einer Novellie- rung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI- Gesetz) Novellierung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) sowie einzelner Fachgesetze umgesetzt. Des Weiteren wird das Informationssi- cherheitsmanagement Informationssicherheits- management in der Bundesverwaltung gestärkt. Die Neuregelung hinsichtlich der im Anwendungsbereich erfassten Unternehmen erfolgt insbesondere zur Stärkung der

- 95 - Bearbeitungsstand: 22.12.2023 09:58

An- wendungsbereich erfassten Unternehmen erfolgt insbesondere zur Stärkung der Resilienz der Wirtschaft, welche vor dem Hintergrund der gesteigerten Cyberbedrohungs- lage Cyberbedrohungslage und den Implikationen der „Zeitenwende“ notwendig geworden ist. Im Einzelnen

– Einführung der vorgegebenen Einrichtungskategorien besonders wichtige und wichti- ge - 96 - Bearbeitungsstand: 07.05.2024 10:19

– Einführung der vorgegebenen Einrichtungskategorien besonders wichtige und wichtige Einrichtungen, die eine signifikante Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentli- chen Inf- rastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs, vorsieht.

– Weiterführung der Einrichtungskategorie KRITIS als zusätzliche Kategorie für Unter- nehmen, die besonders schützenswert sind, mit entsprechenden Anforderungen.

– Der Katalog der Mindestsicherheitsanforderungen des Artikel 21 Absatz 2 NIS-2- Richtlinie wird in das BSIG übernommen, wobei in der Intensität der jeweiligen Maß- nahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdifferen- ziert wird.

– Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informati- onssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten.

NIS-2-Richt- linie wird in das BSIG übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdifferenziert wird.

– Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informations- sicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Ver- antwortlichkeiten.

– Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nati- onalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhab- bares Regelungsregime zu gewährleisten.

– Einführung eines dreistufigen Melderegimes, wodurch der bürokratische Aufwand für die Einrichtungen im Rahmen des Umsetzungsspielraums minimiert und mögliche Synergien Sy- nergien mit weiteren Meldepflichten – insbesondere zum Störungs-Monitoring des geplanten KRITIS-Dachgesetzes ge- planten Dachgesetzes zur Stärkung der physischen Resilienz von Betreibern kritischer Anlagen (KRITIS-Dachgesetz) – gesucht und genutzt werden.

– Ergänzung des Instrumentariums des BSI bei der Aufsicht: Es wird ein der EU-Daten- schutz-Grundverordnung nachempfundener Bußgeldrahmen umgesetzt, der einer- seits einerseits zwischen KRITIS und besonders wichtigen Einrichtungen sowie andererseits wichtigen Einrichtungen unterscheidet.

– Umsetzung einer Ausschlussklausel für Unternehmen, die einen besonderen Bezug zum Sicherheits- und Verteidigungsbereich aufweisen. Für solche Einrichtungen gel- ten dann die jeweils einschlägigen Vorgaben für den Sicherheits- bzw. Verteidigungs- bereich.

– Etablierung eines CISO Bund als zentralem Koordinator für Maßnahmen zur Informa- tionssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanage- ment.

gelten dann die jeweils einschlägigen Vorgaben für den Sicherheits- bzw. Verteidigungsbe- reich.

– Etablierung eines CISO Bund als zentralem Koordinator für Maßnahmen zur Informa- tionssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Res- sorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.

– Weiterentwicklung der BSI-KritisV, sodass eine Erfassung von Einrichtungen unter- halb unterhalb der Size-Cap-Rule, für die die NIS-2-Richtlinie als Sonderfall eine Identifizierung anhand an- hand von Kritikalitätskriterien vorsieht, erfolgen kann.

III. Alternativen

Keine.

- 96 - Bearbeitungsstand: 22.12.2023 09:58

IV. Gesetzgebungskompetenz

Für die Novellierung des BSIG in Artikel 1, die Änderung des BSIG in Artikel 2, die Ände- rung BSI-Gesetzes in Artikel 1, die Änderung des BSIG in Artikel 2, die Änderung des IT-Sicherheitsgesetzes 2.0 in Artikel 7,die Änderung des EnWG in Artikel 16, die Änderung des Energiesicherungsgesetzes in Artikel 18 und die Änderung des Telekom- munikationsgesetzes in Artikel 23, die den rein technischen Schutz der Informationstech- nik von und für kritische Anlagen und besonders wichtige Einrichtungen und wichtige Ein- richtungen betreffen, folgt die Gesetzgebungskompetenz des Bundes aus Artikel 73 Ab- satz 1 Informationstechnik von und für kritische Anlagen und besonders wichtige Einrichtungen und wichtige Einrich- tungen betreffen, folgt die Gesetzgebungskompetenz des Bundes aus Artikel 73 Absatz 1

- 97 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

Nummer 7 (Telekommunikation) Grundgesetz (GG) sowie aus Artikel 74 Absatz 1 Nummer Num- mer 11 GG (Recht der Wirtschaft, einschließlich gefahrenabwehrrechtlicher Annex- kompetenz) Annexkompe- tenz) in Verbindung mit Artikel 72 Absatz 2 GG.

Eine bundesgesetzliche Regelung dieser Materie ist zur Wahrung der Wirtschaftseinheit im Bundesgebiet im gesamtstaatlichen Interesse erforderlich. Eine Regelung durch den Landesgesetzgeber Lan- desgesetzgeber würde zu erheblichen Nachteilen für die Gesamtwirtschaft führen, die sowohl so- wohl im Interesse des Bundes als auch der Länder nicht hingenommen werden können. Insbesondere wäre zu befürchten, dass unterschiedliche landesrechtliche Behandlungen gleicher Lebenssachverhalte, z. B. unterschiedliche Voraussetzungen für die Vergabe von Sicherheitszertifikaten, erhebliche Wettbewerbsverzerrungen und störende Schranken für die länderübergreifende Wirtschaftstätigkeit zur Folge hätten. Internationale Abkommen zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten und zum Austausch über eine zentrale Anlaufstelle gemäß Artikel 8 Absatz 3 der NIS-2-Richtlinie erfordern eine bundesgesetzliche Regelung. Die Voraussetzungen des Artikel 72 Absatz 2 GG sind auch im Hinblick auf die neuen Regelungen für die KRITIS-Betreiber erfüllt. Betreiber kritischer Anlagen sowie besonders wichtige Einrichtungen und wichtige Einrichtungen stellen bundes- rechtliche Entsprechung in §§ 30 und 34 in Verbindung mit § 28 BSIG-E. Der Vorschlag gesetzliche Regelung. Die Voraussetzungen des Artikel 72 Absatz 2 GG sind auch im Hin- blick auf die neuen Regelungen für die KRITIS-Betreiber erfüllt. Betreiber kritischer Anlagen sowie besonders wichtige Einrichtungen und wichtige Einrichtungen stellen wesentliche Teile der Wirtschaft in Deutschland dar, deren Cybersicherheitsniveau vor dem Hintergrund der gestiegenen Bedrohungslage („Zeitenwende“) es anzuheben gilt. Die Anhebung des Cybersicherheitsniveaus wesentlicher Teile der Wirtschaft in Deutschland in Form einer bundesgesetzlichen Regelung ist auch zur Herstellung zur Wahrung der Wirtschaftseinheit im Bundesgebiet im gesamtstaatlichen Interesse erforderlich. Regiona- le Unterschiede im Cybersicherheitsniveau der Unternehmen hätten erhebliche Wettbe- werbsverzerrungen und störende Schranken für die länderübergreifende Wirtschaftstätig- keit Regionale Unterschiede im Cybersicherheitsniveau der Unternehmen hätten erhebliche Wettbewerbsverzerrungen und störende Schranken für die länderübergreifende Wirtschaftstätigkeit zur Folge.

FürRegelungen in Artikel 1 und 2 zum Für Regelungen in Artikel 1 und 2 zum Schutz der Bundesverwaltung steht dem Bund eine Gesetzgebungskompetenz kraft Natur der Sache zu.

Die Zuständigkeit des Bundes für Regelungen zur bundesweiten Information einschließ- lich einschließlich eventueller Empfehlungen und Warnungen von Verbraucherinnen und Verbrauchern auf dem Gebiet der Informationssicherheit folgt mit Blick auf die gesamtstaatliche Verant- wortung Verantwor- tung der Bundesregierung ebenfalls aus der Natur der Sache (Staatsleitung), denn Fragen zur Sicherheit in der Informationstechnik haben bei stetig zunehmender Digitalisie- rung Digitalisierung und Vernetzung aller Lebensbereiche regelmäßig überregionale Auswirkungen.

Der Bund hat darüber hinaus die ausschließliche Gesetzgebungskompetenz nach Arti- kel 73 Absatz 1 Nummer 8 GG für die Rechtsverhältnisse der im Dienst des Bundes und der bundesunmittelbaren Körperschaften des öffentlichen Rechts stehenden Personen.

Die Gesetzgebungskompetenz des Bundes für die Regelungen der Bußgeldvorschriften und Ordnungswidrigkeiten im Artikel 1 folgt aus Artikel 74 Absatz 1 Nummer 1 GG (Straf- recht).

Die Gesetzgebungskompetenz des Bundes für die Änderung des Sechsten Buches Sozi- algesetzbuch Sozial- gesetzbuch im Artikel 21 ergibt sich aus Artikel 74 Absatz 1 Nummer 12 GG.

Die Gesetzgebungskompetenzen des Bundes für die Folgeänderungen zum BSIG ent- sprechen denjenigen für Artikel 1.

entspre- chen denjenigen für Artikel 1.

V. Vereinbarkeit mit dem Recht der Europäischen Union und völkerrechtlichen Verträgen

Der Gesetzentwurf ist mit dem Recht der Europäischen Union vereinbar. Er dient in wei- ten Teilen der Umsetzung der NIS-2-Richtlinie, zur Novellierung des BSI-Gesetzes (Arti- kel) weiten Teilen der Umsetzung der NIS-2-Richtlinie, zur Novellierung des BSI-Gesetzes (Artikel 1) im Einzelnen:

• 98 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

– Bei der Beibehaltung der Identifizierung von kritischen Anlagen (ehemals Kritische Infrastrukturen) und der Regulierung ihrer Betreiber wird eine bestehende Regelung beibehalten, Inf- rastrukturen) und der Regulierung ihrer Betreiber wird eine bestehende Regelung bei- behalten, die nicht von der Vorgabe der NIS-2-Richtlinie umfasst ist.

– Die von der NIS-2-Richtlinie vorgegebenen Einrichtungskategorien wesentliche und wichtige Einrichtungen werden mit den neu eingeführten Einrichtungskategorien der besonders wichtigen und wichtigen Einrichtungen umgesetzt.

– Bei der Regulierung der Einrichtungen der Bundesverwaltung (Teil 2 Kapitel 3) handelt es sich insoweit um Regelungen zur Umsetzung der NIS-2-Richtlinie, als eine Einrich- tung der Bundesverwaltung Teil der Zentralregierung im Sinne von Artikel 2 Absatz 2 Buchstabe f Ziffer i der NIS-2-Richtlinie ist. Unter den Begriff Zentralregierung im Sinne der NIS-2-Richtlinie werden in Deutschland für die Zwecke der Umsetzung der NIS-2- Richtlinie – in Anlehnung an die deutsche Definition von „zentrale Regierungsbehör- den“ in der Richtlinie 2014/24/EU – grundsätzlich die Bundesministerien und das Bun- deskanzleramt, jeweils ohne nachgeordneten Bereich, gefasst. Zudem handelt es sich um Regelungen, die für die Einrichtungen der Bundesverwaltung abweichend zu den Regelungen für (besonders) wichtige Einrichtungen getroffen werden, als auch um be- stehende Regelungen des BSI-Gesetzes sowie ergänzende nationale Regelungen.

Der Gesetzentwurf ist mit völkerrechtlichen Verträgen, die die Bundesrepublik Deutsch- land Deutschland abgeschlossen hat, vereinbar.

VI. Gesetzesfolgen

1. Rechts- und Verwaltungsvereinfachung

Der Gesetzesentwurf trägt zur Rechtsvereinfachung bei, indem er das bestehende BSI- Gesetz novelliert. Das BSI-Gesetz wird neu geordnet und gegliedert, wodurch dem Rechtsanwender die Arbeit erleichtert wird. Des Weiteren trägt der Gesetzesentwurf zur Verwaltungsvereinfachung bei, indem er die Rechte und Pflichten des Bundesamtes ins- besondere Rechts- anwender die Arbeit erleichtert wird. Des Weiteren trägt der Gesetzesentwurf zur Verwal- tungsvereinfachung bei, indem er die Rechte und Pflichten des Bundesamtes insbesondere gegenüber anderen Aufsichtsbehörden schärft und somit die Verantwortlich- keiten Verantwortlichkeiten weiter konkretisiert. Durch ein gemeinsames Meldeportal mit anderen Aufsichtsbehörden sollen Synergien bei den Meldepflichten der erfassten Betreiber und Einrichtungen genutzt und der Bürokratieaufwand minimiert werden. Schließlich wird durch die gesetzli- che Verankerung gesetzliche Veranke- rung bisheriger untergesetzlicher Regelungen des Informationssicherheits- managements Informationssicherheitsmanagements die IT-Sicherheit der öffentlichen Bundesverwaltung weiter gestärkt wer- den.

werden.

2. Nachhaltigkeitsaspekte

Der Gesetzentwurf steht im Einklang mit dem Leitgedanken der Bundesregierung zur nachhaltigen nach- haltigen Entwicklung im Sinne der Deutschen Nachhaltigkeitsstrategie, die der Um- setzung der UN-Agenda 2030 für nachhaltige Entwicklung der Vereinten Nationen dient. Indem der Entwurf in weiten Teilen die NIS-2-Richtlinie umsetzt, welche die erforderlichen Cybersicherheitsanforderungen an juristische und natürliche Personen regelt, die wesent- liche Umsetzung der UN-Agenda 2030 für nachhaltige Entwicklung der Vereinten Nationen dient. Indem der Entwurf in weiten Teilen die NIS-2-Richtlinie umsetzt, welche die erforderlichen Cybersi- cherheitsanforderungen an juristische und natürliche Personen regelt, die wesentliche Dienste oder Tätigkeiten erbringen, leistet er einen Beitrag zur Verwirklichung von Nach- haltigkeitsziel 9 „Eine widerstandsfähige Infrastruktur aufbauen, inklusive und nach- haltige nachhaltige Industrialisierung fördern und Innovationen unterstützen“. Dieses Nachhaltigkeits- ziel verlangt Nachhaltigkeitsziel ver- langt mit seiner Zielvorgabe 9.1, eine hochwertige, verlässliche, nachhaltige und widerstandsfähige wider- standsfähige Infrastruktur aufzubauen, einschließlich regionaler und grenzüber- schreitender grenzüberschreitender Infrastruktur, um die wirtschaftliche Entwicklung und das menschliche Wohl- ergehen zu unterstützen. Wohlergehen zu un- terstützen. Der Entwurf fördert die Erreichung dieser Zielvorgabe, indem er die Sicherheit in der Informationstechnik bei kritischen Anlagen verbessert, die insbeson- dere der Versorgung insbesondere der Versor- gung der Bevölkerung mit lebens-wichtigem Wasser und Energie dienen.

Im Sinne des systemischen Zusammendenkens der Nachhaltigkeitsziele leistet der Ent- wurf gleichzeitig einen Beitrag zur Erreichung von Ziel 16, welches in seiner Zielvorgabe

• 99 - Bearbeitungsstand: 22.12.2023 09:58

Bereits heute sind Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste ver- pflichtet, ein Mindestniveau an IT-Sicherheit zu gewährleisten (vgl. §§ 8a und 8c BSIG, § 11 07.05.2024 10:19

16.6 verlangt, leistungsfähige, rechenschaftspflichtige und transparente Institutionen auf allen al- ten len Ebenen aufzubauen. Der Entwurf fördert die Erreichung dieser Zielvorgabe, indem er insbesondere das Informationssicherheitsmanagement in der Bundesverwaltung stärkt und die Bedeutung des Bundesamts für Sicherheit in der Informationstechnik stärkt.

Der Entwurf trägt damit gleichzeitig zur Erreichung weiterer Nachhaltigkeitsziele der UN- Agenda 2030 bei, nämlich

Ziel 3: „Ein gesundes Leben für alle Menschen jeden Alters gewährleisten und ihr Wohler- gehen fördern“, indem er die Lebensqualität durch die Schaffung eines hohen Niveaus an Cyber-Sicherheit stärkt und die Versorgungssicherheit für die Bürgerinnen und Bürger zu gewährleistet,

Ziel 8: „Dauerhaftes, inklusives und nachhaltiges Wirtschaftswachstum, produktive Vollbe- schäftigung und menschenwürdige Arbeit für alle fördern“ und

Ziel 11: „Städte und Siedlungen inklusiv, sicher, widerstandsfähig und nachhaltig gestal- ten“.

Damit berücksichtigt der Entwurf die Querverbindungen zwischen den Zielen für nachhal- tige Entwicklung und deren integrierenden Charakter, der für die Erfüllung von Ziel und Zweck der UN-Agenda 2030 von ausschlaggebender Bedeutung ist. Der Entwurf folgt den Nachhaltigkeitsprinzipien der DNS „(1.) Nachhaltige Entwicklung als Leitprinzip konse- quent konsequent in allen Bereichen und bei allen Entscheidungen anwenden“, „(2.) Global Verant- wortung Verantwortung wahrnehmen“, „(4.) Nachhaltiges Wirtschaften stärken“, „(5.) Sozialen Zusam- menhalt in einer Zusammenhalt in ei- ner offenen Gesellschaft wahren und verbessern“.

Haushaltsausgaben ohne Erfüllungsaufwand

Keine.

3. Erfüllungsaufwand

a. Erfüllungsaufwand für die Bürgerinnen und Bürger

Für die Bürgerinnen und Bürger entsteht kein Erfüllungsaufwand.

b. Erfüllungsaufwand für die Wirtschaft

Für die Wirtschaft erhöht sich der jährliche Erfüllungsaufwand um rund 2,3 Milliarden Euro. . Insgesamt entsteht einmaliger Aufwand von rund zwei Milliarden Euro. Dieser ist fast ausschließlich der Kategorie Einführung oder Anpassung digitaler Prozessabläufe zu- zuordnen.

Davon entfallen rund 121 3. Haushaltsausgaben ohne Erfüllungsaufwand

a. Gesamtaufstellung

Zusätzliche Haushaltsausgaben ohne Erfüllungsaufwand infolge des Gesetzes sind für Länder und Gemeinden nicht zu erwarten. Die zusätzlichen Haushaltsausgaben ohne Er- füllungsaufwand infolge des Gesetzes für den Bund insgesamt ergeben sich wie folgt.

Gesamtaufstellung Vollzugsaufwand:

Haushaltsausgaben in TEUR

Haushaltsjahr 2025 2026 2027 2028

Summe pro Haushaltsjahr [259.349] [346.332] [357.107] [372.906]

Gesamtsumme im Finanz- [1.335.694]

planzeitraum

Gesamtaufstellung Planstellen und Stellen:

Planstellen und Stellen

Haushaltsjahr 2025 2026 2027 2028

Höherer Dienst (hD) [581] [589] [676] [789]

Gehobener Dienst (gD) [932] [1.206] [1.284] [1.348]

Mittlerer Dienst (mD) [82] [111] [132] [149]

- 100 - Bearbeitungsstand: 07.05.2024 10:19

Gesamtsumme Planstellen und Stellen im mehrjähri- [2.286] gen Finanzplan

b. Vollzugsaufwand nach Einzelplänen

Der unter A.VI.3.a. genannte Gesamtvollzugsaufwand entfällt wie folgt auf die Einzelpläne als Vollzugsaufwand:

Vollzugsaufwand Haushaltsausgaben in TEUR in Summe pro Haus- Gesamtsumme haltsjahr im Finanzplan-

zeitraum in TEUR

EPl. / Haushaltsjahr 2025 2026 2027 2028

Gesamtdarstellung 76.796 108.322 129.573 157.634 472.325

04 (Bundeskanzleramt)

06 (Bundesministerium des
Innern und für Heimat)

14 (Bundesministerium der
Verteidigung)

davon einmalige Ausgaben: 18.199 11.073 2.511 5 31.788

davon jährliche Ausgaben: 58.597 97.249 127.062 157.629 440.537

04 (Presse- und Informations- 3.457 3.841 3.841 3.841 14.980 amt der Bundesregierung)

davon einmalige Ausgaben: […] […] […] […] […]

davon jährliche Ausgaben: […] […] […] […] […]

09 (Bundesministerium für 9.835 17.777 18.185 14.937 60.736 Wirtschaft und Klimaschutz)

davon einmalige Ausgaben: […] […] […] […] […]

davon jährliche Ausgaben: […] […] […] […] […]

08 (Bundesministerium der 63.716 104.085 96.785 87.385 351.971 Finanzen)

davon einmalige Ausgaben: 25.620 25.620

davon jährliche Ausgaben: 38.096 104.085 96.785 87.385 326.351

05 (Auswärtiges Amt) 19.527 28.086 26.530 26.530 100.673

davon einmalige Ausgaben: […] […] […] […] […]

- 101 - Bearbeitungsstand: 07.05.2024 10:19

Vollzugsaufwand Haushaltsausgaben in TEUR in Summe pro Haus- Gesamtsumme haltsjahr im Finanzplan-

zeitraum in TEUR

EPl. / Haushaltsjahr 2025 2026 2027 2028

davon jährliche Ausgaben: […] […] […] […] […]

07 (Bundesministerium der 2.956 1.171 1.171 1.171 6.469 Justiz)

davon einmalige Ausgaben: 1.785 1.785

davon jährliche Ausgaben: 1.171 1.171 1.171 1.171 4.684

11 (Bundesministerium für 5.396 5.396 5.396 5.396 21.584 Arbeit und Soziales)

davon einmalige Ausgaben: […] […] […] […] […]

davon jährliche Ausgaben: […] […] […] […] […]

Sozialversicherungsträger 14.782 14.782 14.782 14.782 59.128

davon einmalige Ausgaben: […] […] […] […] […]

davon jährliche Ausgaben: […] […] […] […] […]

10 (Bundesministerium für 1.483 983 983 983 4.432 Ernährung und Landwirt-
schaft)

davon einmalige Ausgaben: […] […] […] […] […]

davon jährliche Ausgaben: […] […] […] […] […]

17 (Bundesministerium für 3.806 3.746 3.746 3.746 15.044 Familie, Senioren, Frauen
und Jugend)

davon einmalige Ausgaben: […] […] […] […] […]

davon jährliche Ausgaben: […] […] […] […] […]

15 (Bundesministerium für 13.539 13.539 13.539 13.539 54.156 Gesundheit)

davon einmalige Ausgaben: […] […] […] […] […]

- 102 - Bearbeitungsstand: 22.12.2023 09:58

2 BSIG ist derzeit lediglich eine Meldung vorgesehen, weswegen davon auszugehen ist, dass der Aufwand pro gemeldetem Sicherheitsvorfall künftig höher sein wird. Hierfür 07.05.2024 10:19

Vollzugsaufwand Haushaltsausgaben in TEUR in Summe pro Haus- Gesamtsumme haltsjahr im Finanzplan-

zeitraum in TEUR

EPl. / Haushaltsjahr 2025 2026 2027 2028

davon jährliche Ausgaben: […] […] […] […] […]

12 (Bundesministerium für Di- […] […] […] […] […] gitales und Verkehr)

davon einmalige Ausgaben: […] […] […] […] […]

davon jährliche Ausgaben: […] […] […] […] […]

16 (Bundesministerium für 11.736 11.021 11.021 11.021 44.798 Umwelt, Naturschutz, nukle-
are Sicherheit und Verbrau-
cherschutz)

davon einmalige Ausgaben: […] […] […] […] […]

davon jährliche Ausgaben: […] […] […] […] […]

30 (Bundesministerium für 18.599 15.542 13.662 13.882 61.685 Bildung und Forschung)

davon einmalige Ausgaben: […] […] […] […] […]

davon jährliche Ausgaben: […] […] […] […] […]

23 (Bundesministerium für 2.008 3.709 3.401 3.401 12.519 wirtschaftliche Zusammenar-
beit und Entwicklung)

davon einmalige Ausgaben: […] […] […] […] […]

davon jährliche Ausgaben: […] […] […] […] […]

25 (Bundesministerium für 301 337 337 337 1.312 Wohnen, Stadtentwicklung
und Bauwesen)

davon einmalige Ausgaben: […] […] […] […] […]

davon jährliche Ausgaben: […] […] […] […] […]

21 (Bundesbeauftragter für 1140 1140 1140 1140 4.560 den Datenschutz und die In-
formationsfreiheit)

- 103 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

Vollzugsaufwand Haushaltsausgaben in TEUR in Summe pro Haus- Gesamtsumme haltsjahr im Finanzplan-

zeitraum in TEUR

EPl. / Haushaltsjahr 2025 2026 2027 2028

davon einmalige Ausgaben: […] […] […] […] […]

davon jährliche Ausgaben: […] […] […] […] […]

c. Planstellen und Stellen nach Einzelplänen

Die Planstellen und Stellen in der unter A.VI.3.a. genannten Gesamtaufstellung Planstellen und Stellen entfallen wie folgt auf die Einzelpläne:

Planstellen und Stellen

Einzelplan Haushaltsjahr 2025 2026 2027 2028

Gesammelt: 1.028,75 Plan- 435,64 675,35 858,15 1028,75 stellen / Stellen

04 (Bundeskanzleramt)

06 (Bundesministerium des Innern und für Heimat)

14 (Bundesministerium der Verteidigung)

hD 173,22 283,5 369,5 453,5

gD 234,5 340,25 416,25 486,25

mD 30,92 58,6 79,4 64

04 (Presse- und Informations- 9 Planstellen / 9 9 9 9 amt der Bundesregierung) Stellen

hD 2 2 2 2

gD 6 6 6 6

mD 1 1 1 1

09 (Bundesministerium für 105,7 Planstellen 69,6 97,2 98,7 91,9 Wirtschaft und Klimaschutz) / Stellen

hD 16 25,5 25,5 24,525

gD 45,1 61,1 62,6 56,8

mD 8,5 10,625 10,5 10,5

08 (Bundesministerium der 344 Planstellen / 341 344 344 344 Finanzen) Stellen

hD 44 45 45 45

- 104 - Bearbeitungsstand: 07.05.2024 10:19

Planstellen und Stellen

Einzelplan Haushaltsjahr 2025 2026 2027 2028

gD 295 297 297 297

mD 2 2 2 2

05 (Auswärtiges Amt) 148 Planstellen / 148 148 148 148 Stellen

hD 37 37 37 37

gD 106 106 106 106

mD 5 5 5 5

07 (Bundesministerium der 33 Planstellen / 33 33 33 33 Justiz) Stellen

hD 8 8 8 8

gD 20 20 20 20

mD 5 5 5 5

11 (Bundesministerium für 31 Planstellen / 31 31 31 31 Arbeit und Soziales) Stellen

hD 6 6 6 6

gD 25 25 25 25

mD 0 0 0 0

Sozialversicherungsträger 34,35 Planstellen 34,35 34,35 34,35 34,35

hD 14,5 14,5 14,5 14,5

gD 19,85 19,85 19,85 19,85

mD 0 0 0 0

10 (Bundesministerium für 6 Planstellen / 6 6 6 6 Ernährung und Landwirt- Stellen schaft)

hD 1 1 1 1

gD 5 5 5 5

mD 0 0 0 0

17 (Bundesministerium für 25,45 Planstellen 25,45 25,45 25,45 25,45 Familie, Senioren, Frauen / Stellen und Jugend)

- 105 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

Planstellen und Stellen

Einzelplan Haushaltsjahr 2025 2026 2027 2028

hD 8,7 8,7 8,7 8,7

gD 15,5 15,5 15,5 15,5

mD 1,25 1,25 1,25 1,25

15 (Bundesministerium für 46 Planstellen / 46 46 46 46 Gesundheit) Stellen

hD 18 18 18 18

gD 22 22 22 22

mD 6 6 6 6

12 (Bundesministerium für Di- […] Planstellen / […] […] […] […] gitales und Verkehr) Stellen

hD […] […] […] […]

gD […] […] […] […]

mD […] […] […] […]

16 (Bundesministerium für 53 Planstellen / 53 53 53 53 Umwelt, Naturschutz, nukle- Stellen are Sicherheit und Verbrau- cherschutz)

hD 18 18 18 18

gD 32 32 32 32

mD 3 3 3 3

30 (Bundesministerium für 36,26 Planstellen 36,26 36,26 36,26 36,26 Bildung und Forschung) / Stellen

hD 3,00 3,00 3,00 3,00

gD 19,69 19,69 19,69 19,69

mD 13,57 13,570 13,57 13,57

23 (Bundesministerium für 12 Planstellen / 12 12 12 12 wirtschaftliche Zusammenar- Stellen beit und Entwicklung)

hD 2 2 3 3

gD 3 4 5 5

mD 4 4 4 4

- 106 - Bearbeitungsstand: 07.05.2024 10:19

Planstellen und Stellen

Einzelplan Haushaltsjahr 2025 2026 2027 2028

25 (Bundesministerium für 343 Planstellen / 307 343 343 343 Wohnen, Stadtentwicklung Stellen und Bauwesen)

hD 226 113 113 113

gD 80 229 229 229

mD 1 1 1 1

21 (Bundesbeauftragter für 6 Planstellen / 6 6 6 6 den Datenschutz und die In- Stellen formationsfreiheit)

hD 3 3 3 3

gD 3 3 3 3

mD 0 0 0 0

[Die Gegenfinanzierung der aus diesem Vorhaben resultierenden Mehrbedarfe ist Ge- gegstand der weiteren Verhandlungen. Über jeweils ressortspezifische Einzelheiten ist im Rahmen künftiger Haushaltsaufstellungsverfahren zu entscheiden.]

4. Erfüllungsaufwand

a. Erfüllungsaufwand für die Bürgerinnen und Bürger

Für die Bürgerinnen und Bürger entsteht kein Erfüllungsaufwand.

b. Erfüllungsaufwand für die Wirtschaft

Für die Wirtschaft erhöht sich der jährliche Erfüllungsaufwand um rund 2,2 Milliarden Euro. Insgesamt entsteht einmaliger Aufwand von rund 2,1 Milliarden Euro. Dieser ist fast aus- schließlich der Kategorie Einführung oder Anpassung digitaler Prozessabläufe zuzuordnen.

Davon entfallen rund 1,9 Millionen Euro auf Bürokratiekosten aus Informationspflichten.

Die Belastungen sind nicht im Rahmen der One in, one out-Regel der Bundesregierung zu kompensieren, da diese Änderungen aus einer 1:1-Umsetzung der verbindlichen Min- destvorgaben Mindest- standards. vorgaben der Richtlinie (EU) 2022/2555 resultieren.

Vorgabe 4.2.1 (Weitere Vorgabe): Einhaltung eines Mindestniveaus an IT-Sicherheit (Besonders wichtige und wichtige Einrichtungen); §§ 30 und 38 Absatz 1 in Verbin- dung mit § 28 BSIG-E

a. Wesentliche Rechtsänderungen

Vorgabe 4.2.1 (Weitere Vorgabe): Einhaltung eines Mindestniveaus an IT-Sicherheit (Besonders wichtige und wichtige Einrichtungen); §§ 30, 31 und 38 Absatz 1 in Ver- bindung mit § 28 BSIG-E, § 5c Absätze 1 und 2 EnWG-E , § 165 Absätze 2 und 2a TKG

Veränderung des jährlichen Erfüllungsaufwands:

Fallzahl Zeitaufwand Lohnsatz pro Sachkosten pro Personalkosten Sachkosten pro Fall (in Stunde (in Fall (in Euro) (in Tsd. Euro) (in Tsd. Euro) Stunden) Euro)

2 950 2 752 52,30 60 000 424 592 177 000

- 107 - Bearbeitungsstand: 22.12.2023 09:58

entsprechende 07.05.2024 10:19

17 900 1 100 52,30 24 000 1 029 787 429 600

Änderung des Erfüllungsaufwands (in Tsd. Euro) 2 060 979

Einmaliger Erfüllungsaufwand: 2,1 Milliarden Euro

Bereits heute sind Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste ver- pflichtet, ein Mindestniveau an IT-Sicherheit zu gewährleisten (vgl. §§ 8a und 8c BSIG, § 11 Absätze 1a ff. EnWG und § 165 TKG). Der Regelungsentwurf führt mit §§ 30 und 38 Absatz 1 in Verbindung mit § 28 BSIG-E eine vergleichbare Norm ein, in deren Anwendungsbereich deutlich mehr Unternehmen fallen werden. Demnach sollen künftig alle besonders wichti- gen und wichtigen Einrichtungen geeignete und verhältnismäßige technische und organi- satorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der für die erbrachten Dienste notwendigen Netz- und Informationssysteme zu beherrschen (§ 30 Absatz 1 BSIG-E). Hinsichtlich der Verhältnismäßigkeit benennt § 30 Absatz 2 BSIG-E als 30, 31 und 38 Absatz 1 in Verbindung mit § 28 BSIG-E sowie mit § 5c Absätze 1 und 2 EnWG und mit § 165 Absätze 2 und 2a TKG vergleichbare Normen fort, in deren Anwendungsbereich deutlich mehr Unternehmen fallen werden. Demnach sollen künftig alle besonders wichti- gen und wichtigen Einrichtungen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um für ihre Diensteerbringung relevante IT- bezogene Störungen zu vermeiden (§ 30 Absatz 1 BSIG-E). Hinsichtlich der Verhältnismä- ßigkeit wird in der Gesetzesbegründung zum § 30 BSIG-E, in § 5c Absatz 3 EnWG-E oder in § 165 Absatz 2 TKG-E auf die Bewertungskriterien etablierte IT-Standards, Umsetzungskosten und bestehende Risiken. Letz- tere werden bestimmt durch die Risikoexposition, die Größe der Einrichtung bzw. des Betreibers sowie der Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen. Folglich werden erfor- derliche Maßnahmen zum Risikomanagement, die besonders wichtige Einrichtungen er- greifen Umsetzungs- kosten und bestehende Risiken verwiesen. Letztere werden bestimmt durch die Risikoex- position, die Größe der Einrichtung bzw. des Betreibers sowie der Eintrittswahrscheinlich- keit und die Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaft- lichen Auswirkungen. Folglich werden erforderliche Maßnahmen zum Risikomanagement, die besonders wichtige Einrichtungen ergreifen müssen, umfangreicher sein als Maßnahmen, die wesentliche Einrichtungen er- greifen Maßnah- men, die wesentliche Einrichtungen ergreifen müssen. Geschäftsleiter sind verpflichtet die Risikomaßnahmen zu billigen und zu überwachen (vgl. § 38 Absatz 1 BSIG-E).

Auf Basis von Angaben des BMWK und Daten des Unternehmensregisters des StBA kann angenommen werden, dass in Deutschland künftig rund 8 100 Unternehmen als besonders wichtige und rund 20 900 Unternehmen als wichtige Einrichtungen zu klassifi- zieren 250 Unternehmen als besonders wichtige und rund 21 600 Unternehmen als wichtige Einrichtungen zu klassifizieren sind, die dem Normadressat der Wirtschaft zuzurechnen sind – darunter auch kom- munale Eigenbetriebe kommunale Ei- genbetriebe oder Landesbetriebe sowie juristische Personen des öffentlichen Rechts, die nicht in dem Sektor „öffentliche Verwaltung“ tätig sind (vgl. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates, Anhang 1). Unter den besonders wichtigen Einrichtungen sind 4 693 Anbieter digitaler Dienste und Betreiber kritischer Infrastrukturen, die bereits heute nach geltender Rechtslage entspre- chende Maßnahmen implementiert haben Ein- richtungen sind 4 693 Anbieter digitaler Dienste und Betreiber kritischer Anlagen, die bereits heute nach geltender Rechtslage entsprechende Maßnahmen implementieren müssen (vgl. Online-Datenbank des Erfüllungsaufwands des StBA (OnDEA), ID 2015030909595401, 2017052913283301, 2020093009264301 und 2020093009264401). Folglich konstituiert die Rechtsänderung nur für die übrigen rund 3 400 besonders wichtigen Einrichtungen – und für die wichtigen Einrichtungen – vollständig neue rechtliche Verpflichtungen. 550 (≈8 250 - 4 693) besonders wichtige Einrichtungen ausgelöst, die bis- her noch nicht in den Anwendungsbereich vergleichbarer nationaler Regelungen fallen (vgl. Vorgabe 4.2.1).

Laut besonders wichti- gen Einrichtungen – und für die wichtigen Einrichtungen – vollständig neue rechtliche Ver- pflichtungen. Zu beachten ist, dass auch von diesen poten- ziell betroffenen Unternehmen bereits heute ein Teil die geforderten Sicherheitsmaßnah- men potenziell betroffenen Unternehmen bereits heute ein Teil die geforderten Sicherheitsmaßnahmen ergreift. Mangels amtlicher Statistiken kann dieser Anteil nur anhand von sonstigen öffentlich zu-gänglichen Informationen geschätzt werden. So zeigt eine empirische Studie, dass rund 21 Prozent der vom IT-Sicherheitsgesetz 2.0 betroffenen Betreiber kritischer Infrastruktur bereits zum Inkrafttreten des Gesetzes die gesetzlich vorgegebenen Syste- me der Angriffserkennung eingesetzt hatten (vgl. Hayvali (2023), https://www.secu- net.com/ueber-uns/news-events/artikel/kritis-studie-cybersecurity-bedrohung-fuer-unter- nehmen-waechst). Laut einer anderen Laut einer Studie sahen sich im Jahr 2023 17 Prozent der befragten Unternehmen (auch aus dem nicht kritischen Infrastrukturbereich) als sehr gut gegen Cyberangriffe Cy- berangriffe verursachten aufgestellt (s. (vgl. eco – Verband der Internetwirtschaft e. V. (2023),: https://www.eco.de/presse/eco-it-sicherheitsumfrage-2023-viele-unternehmen-unters- chaetzen-noch-immer-bedrohungslage/). Angesichts dieser Erkenntnisse wird angenom- men, dass rund 17 Prozent der potenziell betroffenen Unternehmen bereits heute im Grundsatz ausreichende Maßnahmen (2023): https://www.eco.de/presse/eco-it-sicherheitsumfrage-2023-viele-unternehmen-unter- schaetzen-noch-immer-bedrohungslage/). Mangels anderer Daten wird auf Basis dieser Studie angenommen, dass rund 17 Prozent der betroffenen Unternehmen bereits heute ausreichende Maßnahmen im Sinne des Umsetzungsgesetzes treffen. Folglich geht die nachfolgende Kalkulation davon aus, dass rund 2 950 (= 0,83 * 3 550) besonders wichtigen Einrichtungen und rund 17 900 (= 0,83 * 21 600) wichtigen Einrichtungen Erfüllungsaufwand entsteht.

Laut OnDEA (vgl. ID 2015030909595401 und 2017052913283301) beträgt der Personal- aufwand der Betreiber kritischer Infrastrukturen für die Einhaltung eines Mindestniveau an IT-Sicherheit nach geltender Rechtslage Erfüllungsauf- wand entsteht.

Für die unternehmensbezogenen Personal- und Sachkosten werden Daten des StBA her- angezogen, die im Rahmen der Nachmessung des Erfüllungsaufwands des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme und des Gesetzes zur Umset- zung der Richtlinie (EU) 2016/1148 mittels einer Befragung von Betreibern kritischer Infra- strukturen Ende des Jahres 2020 ermittelt wurden. Demnach beträgt der auf diese Gesetze zurückzuführende zusätzliche Personalaufwand der Betreiber kritischer Infrastrukturen für die Einhaltung eines Mindestniveaus an IT-Sicherheit durchschnittlich 2 752 Stunden und

60 000 Euro Sachkosten. Die Daten wurden vom StBA im Rahmen der Nachmessung des Erfüllungs- aufwands des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme und des Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 mittels einer Befragung von Betreibern kritischer Infrastrukturen Ende des Jahres 2020 erhoben und für die Ver-

- 100 - Bearbeitungsstand: 22.12.2023 09:58

wendung in der vorliegenden Schätzung an die Inflation der letzten drei Jahre angepasst. - 108 - Bearbeitungsstand: 07.05.2024 10:19

60 000 Euro Sachkosten (vgl. OnDEA, ID 2015030909595401 und 2017052913283301). Mit Blick auf die Implementierung verhältnismäßiger Maßnahmen wird dieser Aufwand auch für die betroffenen besonders wichtigen Einrichtungen angenommen. Für wichtige Einrichtungen fällt entsprechend den Bewertungskriterien der Verhältnismäßigkeit und aufgrund der entfallenden ex ante Nachweisverfahren Einrich- tungen fällt entsprechend den Bewertungskriterien der Verhältnismäßigkeit ein geringerer Aufwand an. Man- gels verfügbarer Daten wird angenommen, dass dieser Aufwand im Durchschnitt 60 Pro- zent Mangels verfügbarer Daten wird angenommen, dass dieser Aufwand im Durchschnitt 60 Prozent geringer ist, also einem Personaleinsatz von rund 1 100 Stunden und Sachkosten in Höhe von 24 000 Euroentspricht. Da anhand der Daten des BMWK und des StBA abge- schätzt Euro entspricht. Da anhand der Daten des BMWK und des StBA abgeschätzt werden kann, dass 13 Prozent der wichtigen Einrichtungen auf große und 87 Pro- zent Prozent auf mittlere Unternehmen entfallen, entspricht der gemittelte Aufwand in Höhe von 1 100 Stunden und 24 000 Euro einer Konstellation, in der der Aufwand großer Unterneh- men mit wichtigen Einrichtungen 70 Prozent der Aufwände der besonders wichtigen Ein- richtungen und der Aufwand mittlerer Unternehmen mit wichtigen Einrichtungen 35 Pro- zent wichtiger Einrichtungen 70 Prozent der Aufwände der besonders wichtigen Einrichtungen und der Aufwand mittlerer wichtiger Einrichtungen 35 Prozent der Aufwände der besonders wichtigen Einrichtungen entspricht.

Werden die oben dargestellten Parameter angewendet, lässt sich bei einem mittleren Lohnsatz von Lohn- satz von 36,30 Euro pro Stunde (vgl. Leitfaden, Anhang 7, Gesamtwirtschaft A-S ohne O; mittleres Qualifikationsniveau) entsteht einmaliger Erfüllungsaufwand der Kategorie ein- malige In-formationspflicht 52,30 pro Stunde (vgl. Leitfaden zur Ermittlung und Darstellung des Erfül- lungsaufwands Erfüllungsauf- wands notwendig sind, offen. (nachfolgend: Leitfaden), Abschnitt 7, Gesamtwirtschaft A-S ohne O; mitt- leres Qualifikationsniveau mit 25 Prozent, hohes Qualifikationsniveau mit 75 Prozent; so- wie mittleres Qua- lifikationsniveau mit 25 Prozent, hohes Qualifikationsniveau mit 75 Prozent; sowie OnDEA ID 2015030909595401 und 2017052913283301) schätzen, dass den beson- ders wichtigen Einrichtungen jährliche Personalkosten in der Höhe von rund 288 Millionen Euro (= 2 000 Unternehmen * 2 752 Stunden * 52,30 Euro) und jährliche Sachkosten in der Höhe 104 Millionen Euro entstehen (= 2 000 Unternehmen * 52 000 Euro pro Unter- nehmen). Für die wichtigen Einrichtungen entstehen jährliche Personalkosten von 720 Millionen Euro (= 12 500 Unternehmen * 1 101 Stunden * 52,30 Euro). Die jährlichen Sachkosten belaufen sich auf knapp 263 Millionen Euro (= 12 500 Unternehmen * 21 000 Euro/Unternehmen). Insgesamt erhöht sich der jährliche Erfüllungsaufwand um über zwei Milliarden Euro.

Hinsichtlich des einmaligen Aufwands liegen keine Anhaltspunkte für eine Schätzung vor. Nach einer freien Annahme wird davon ausgegangen, dass für die Implementierung neuer bzw. für die Anpassung besonders wichtigen Einrichtungen bzw. den wichtigen Einrichtungen ein jährlicher Erfüllungsaufwand von rund 600 Millionen Euro bzw. 1,5 Milliarden Euro entsteht.

Hinsichtlich des einmaligen Aufwands liegen keine Anhaltspunkte für eine Schätzung vor. Es wird vereinfachend angenommen, dass für die Implementierung neuer bzw. für die An- passung der bestehenden IT-Infrastruktur zur Einhaltung des geforderten Mindestniveaus an IT-Sicherheit zusätzlich einmaliger Aufwand anfällt, welcher der Höhe des jährlichen Aufwands eines Jahres entspricht. Die umfassende Befragung der Bundesverwaltung ergab in etwa ein ähnliches Größenverhältnis zwischen dem jährlichen und dem einmaligen Aufwand (vgl. Vorgabe 4.3.1). Insofern ist von einem einmaligen Erfüllungsaufwand der Kostenkategorie der Einführung und Anpassung digitaler „Einführung und Anpassung digitaler Prozessabläufe“ von knapp 2,1 Milli- arden Euro auszugehen.

Da der Regelungsentwurf der Umsetzung der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und Rates dient, ist der nationalen Ausgestaltung zur Erhöhung der Sicherheit informationstechnischer Systeme enge Grenzen gesetzt. Der Zielsetzung des Konzepts ist zum jetzigen Zeitpunkt aber „Konzepts zur Erhöhung der Transparenz über den Umstellungsaufwand für die Wirtschaft und zu dessen wirksamer und verhältnismäßiger Begrenzung ist der einma- lige Begrenzung“ ist insofern Rechnung getragen, als dass das Um- setzungsgesetz Umsetzungsgesetz nicht über den Regelungsgehalt der Richtlinie hinausgeht. Aber bereits bei der Ausarbeitung der EU-Richtlinie hat sich auch die Bundesregierung im Sinne des Konzepts erfolgreich im Rahmen der Trilogverhandlungen für aufwandsärmere Lösungen eingesetzt. So sah der Richtlinienvorschlag der Europäischen Kommission (EU-KOM) (EU- KOM) – anders als die nun geltende Richtlinie – keine differenzierten Regelungen für besonders wichtigen und wichtigen Einrichtungen vor. Im Zuge den nun in Artikel 21 und dem Erwä- gungsgrund 15 vorgesehenen Bewertungskriterien bezüglich der Angemessenheit der zu treffenden Maßnahmen ist eine solche Unterscheidung möglich – sie findet ihre be- sonders wichtigen und wichtigen Einrichtungen vor. Im Sinne des Artikels 21 und des Er- wägungsgrunds 15 wird mit Blick auf die zu ergreifenden Maßnahmen nun im Umsetzungs- gesetz der Ansatz der Verhältnismäßigkeit normiert, wodurch wichtige Einrichtungen mo- netär weniger stark belastet werden wie die besonders wichtigen Einrichtungen. Der Vor- schlag der EU-KOM sah zudem vor, dass bei einer hinreichenden öffentlichen Beteiligung an einer Einrichtung, selbige auch dann in den Anwendungsbereich fällt, wenn es sich um ein kleines oder Kleinstunternehmen handelt. Da das Kriterium der öffentlichen Beteili-

- 101 - Bearbeitungsstand: 22.12.2023 09:58

gung Beteiligung keine Relevanz mehr hat, fallen diese (mit wenigen Ausnahmen durch die Konkreti- sierungen Konkretisierun- gen in Artikel 2) nun nicht mehr in den Anwendungsbereich. Schließlich wurde im Vergleich zu dem Richtlinienvorschlag in der geltenden EU-Richtlinie der Anwendungsbe- reich in einige Anwendungsbereich in ei- nige Sektoren enger gefasst – insbesondere für Lebensmittelunternehmen.

Zu- sammenfassend kann festgehalten werden, dass im Vergleich zum Richtlinienvorschlag der einmalige Erfüllungsaufwand der geltenden EU-Richtlinie aufgrund der beschriebenen Änderungen um geschätzt rund 1,1 Milliarden Euro niedriger ausfallen wird.

Vorgabe 4.2.2 (Informationspflicht): Nachweis der Einhaltung eines Mindestniveaus an IT-Sicherheit (Besonders wichtige Einrichtungen); § 34 BSIG-E in Verbindung mit §§ 28 und 30 BSIG-E

Besonders wichtige Einrichtungen haben die Einhaltung der Anforderungen an das Risi- komanagement dem BSI auf geeignete Weise nachzuweisen; wichtige Einrichtungen un- terliegen dieser Nachweispflicht nicht (vgl. § 34 BSIG-E). Bereits heute gibt es nationale Regelungen, durch welche ein Teil der betroffenen Einrichtungen vergleichbaren Doku- mentations- und Nachweispflichten unterliegt (vgl. 11 Absatz 1b EnWG, §§ 8a Absatz 3 und 8c Absatz 4 sowie § 8f Absatz 1 BSIG). Nennenswerter Mehraufwand wird insofern nur für rund 3 Vorgabe 4.2.2 (Informationspflicht): Sicherheitsvorfälle (Meldung-, Unterrichtungs- und Auskunftspflichten); §§ 32, 35 und 40 Absatz 5 in Verbindung mit § 28 BSIG-E, § 5c Absätze 6 und 7 EnWG-E, § 168 Absätze 1 bis 3 TKG-E

- 109 - Bearbeitungsstand: 07.05.2024 10:19

Veränderung des jährlichen Erfüllungsaufwands:

Fallzahl Zeitaufwand Lohnsatz pro Sachkosten pro Personalkosten Sachkosten pro Fall (in Stunde (in Fall (in Euro) (in Tsd. Euro) (in Tsd. Euro) Stunden) Euro)

2 400 6,75 58,40 0 946 000 Euro.

Vorgabe 0

450 2,25 58,40 0 59 0

2 85 1,00 58,40 0 17 0

Änderung des Erfüllungsaufwands (in Tsd. Euro) 1 022

Der Regelungsentwurf sieht im Zusammenhang mit Sicherheitsvorfällen Meldepflichten be- sonders wichtiger und wichtiger Einrichtungen gegenüber einer Meldestelle, in bestimmten Fällen eine Unterrichtungspflicht und auf Verlangen eine Auskunftspflicht vor (vgl. §§ 32, 35 und 40 Absatz 5 BSIG-E, § 5c Absätze 6 und 7 EnWG-E, § 168 Absätze 1 bis 3 TKG- E). Bereits heute existiert für Betreiber kritischer Infrastrukturen (vgl. § 8b Absatz 4 BSIG, § 44b AtG), Unternehmen im besonderen öffentlichen Interesse (vgl. § 8f Absatz 7 und 8 BSIG), Anbieter digitaler Dienste (vgl. § 8c Absatz 3 BSIG) und für Unternehmen der Sek- toren Telekommunikation und Energie (vgl. § 11 Absatz 1c EnWG, § 169 168 TKG) eine Mel- depflicht von Sicherheitsvorfällen. Erfüllungsaufwand entsteht, da (a) mehr Unternehmen melde- pflichtigen Unter-nehmen ergibt dies je Unternehmen ca. 0,0963 Meldungen pro Jahr. und auskunftspflichtig werden, (b) die Meldepflicht an sich aufgrund des künftig mehrstufigen Verfahrens auch für bereits meldepflichtige Unternehmen aufwendiger wird und (c) die Unterrichtungspflicht neu eingeführt werden.

Die Anzahl der gemeldeten Sicherheitsvorfälle betrug im Zeitraum 1. Juni 2021 bis 31. Mai 2022 laut BSI insgesamt 452 Berichtsjahr 2021/2022 rund 450 (vgl. BSI, Die Lage der IT-Sicherheit in Deutschland 2022, S. 68, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/La- geberichte/Lagebericht2022.pdf?__blob=publicationFile&v=8). Bei bisher 4 693 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/La- gebericht2022.pdf?__blob=publicationFile&v=8). Geht man von einer ähnlich strengen Meldepflicht der geplanten Rechtsänderungen aus, werden die neu hin-zukommenden 25 157 (= 29 850 - 4 693) meldepflichtigen Unterneh- men pro Jahr zusätz-lich rund 2 400 erhebliche Sicherheitsvorfälle melden.

einem ähnlichen Meldeauf- kommen der neu hinzukommenden 25 157 (= 29 850 - 4 693) meldepflichtigen Unterneh- men pro Jahr aus, ist mit zusätzlichen 2 400 gemeldeten Sicherheitsvorfälle zu rechnen.

Der fallbezogene Zeitaufwand beträgt rund 4,5 Stunden für Meldungen nach geltender Rechtslage (vgl. OnDEA, ID 2017052913283701 und 2015030909595201). Der Rege- lungsentwurf sieht ein mehrstufiges Meldeverfahren vor (vgl. § 31 Abs. 1 BSIG-E). Dieses umfasst unter anderem eine obligatorische Kurzmeldung innerhalb von 24 Stunden und eine obligatorische Vorfallmeldung innerhalb von 72 Stunden. Gemäß § 8b Absatz 4 Satz

Aufgrund des mehrstufiges Meldeverfahren wird vereinfacht ein Aufschlag von 50 Prozent angesetzt, so dass von einer Gesamtdauer von 6,75 Stunden je Sicherheitsvorfall ausgegangen wird.

Bei einem Lohnsatz von 58,40 Euro je Stunde (vgl. Leitfaden, Anhang 7, bzw. 16 200 Stunden (=6,75*2 400) für die neuen meldepflichtigen Unternehmen insgesamt ausgegangen wird. Für die bisher meldepflichtigen Unternehmen erhöht sich der Zeitaufwand um 2,25 Stunden pro Meldung bzw. zusammen rund 1 000 zusätzliche Stunden. Für die Unterrichtungs- und Auskunftspflicht wird vereinfacht angenommen, dass in nicht mehr als 10 Prozent aller rund 2 850 gemeldeten Sicherheitsvorfälle ein zusätzlicher Zeitaufwand von rund einer Stunde anfällt, also zusammen maximal 285 Stunden.

Bei einem gesamten zeitlichen Aufwand von rund 17 500 Stunden und einem Lohnsatz von 58,40 Euro je Stunde (vgl. Leitfaden, Anhang 7, Gesamtwirtschaft (A-S ohne O), hohes Qualifikationsniveau) beträgt der jährliche Erfüllungsaufwand insgesamt rund einer Million Euro.

Vorgabe 4.2.3 (Informationspflicht): Registrierungspflichten für besonders wichtige und wichtige Einrichtungen sowie bestimmte Einrichtungsarten; §§ 33 und 34 in Ver- bindung mit § 28 BSIG-E, § 5c Absatz 8 EnWG-E

Veränderung des jährlichen Erfüllungsaufwands: 48 000 Euro

Einmaliger Erfüllungsaufwand: 361 000 Euro

Durch den Regelungsentwurf wird die bestehende Registrierungspflicht (vgl. §§ 8b und 8f BSIG) auf alle besonders wichtigen und wichtigen Einrichtungen sowie für bestimmte

- 110 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

Einrichtungsarten ausgeweitet. Durch die erstmalige Übermittlung der Informationen ent- steht einmaliger Erfüllungsaufwand. Jährlicher Erfüllungsaufwand entsteht aus der Pflicht, Änderungen der registerpflichtigen Angaben melden zu müssen (vgl. §§ 32 und 33 in Ver- bindung mit § 28 BSIG-E).

33 und 34 in Ver- bindung mit § 28 BSIG-E sowie § 5c Absatz 8 EnWG).

Unter der Annahme, dass heute bereits insgesamt rund 6 000 Betreiber kritischer Infra- strukturen und Unternehmen im besonderen öffentlichen Interesse registriert sind, werden in Deutschland künftig zusätzlich rund 23 850 besonders wichtige und wichtige Einrichtun- gen in den Anwendungsbereich der Rechtsänderungen fallen. Für das erstmalige Zusam- menstellen sowie die Übermittlung der Informationen wird gemäß Anhang 5 des Leitfa- dens Leitfadens ein Zeitaufwand von einmalig 25 Minuten angenommen (Standardaktivitäten 1, 2 und 3 in mittlerer Komplexität sowie 5, 7 und 8 in einfacher Komplexität). Bei einem Lohnsatz von 36,30 Euro pro Stunde (vgl. Leitfaden, Anhang 7, Gesamtwirtschaft A-S ohne O; mittleres Qualifikationsniveau) entsteht einmaliger Erfüllungsaufwand der Kategorie einmalige Infor- mationspflicht in Höhe von rund 361 000 Euro. Unter der Annahme, dass das BSI eine elektronisches Registrierungsverfahren implementiert, entstehen keine weiteren Sachkos-ten Sachkos- ten aus der Datenübermittlung.

Die wichtigen und wesentlichen Einrichtungen haben die zuständige Behörde über etwai- ge Änderungen zu informieren (vgl. §§ 32 Absatz 6, 33 Absatz 2 BSIG-E). Es wird davon ausgegangen, (besonders) wichtigen Einrichtungen haben die zuständige Behörde über etwaige Än- derung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt,,

derungen zu informieren (vgl. §§ 33 Absatz 5, 34 Absatz 2 BSIG-E). Es wird davon ausge- gangen, dass sich pro Jahr in einem Drittel der Einrichtungen mindestens eine An- gabe Angabe ändert (= rund 7 950 Fälle). Bei einem fallbezogenen Zeitaufwand von 10 Minuten (vgl. Leitfaden, Anhang 5, Standardaktivitäten 2, 3, 5, 7 und 8 in einfacher Komplexität) und einem Lohnsatz von 36,30 Euro je Stunde entsteht jährlicher Erfüllungsaufwand von rund 48 000 Euro.

Vorgabe 4.2.4 (Informationspflicht): Registrierungspflichten (Besonders wichtige und wichtige Einrichtungen sowie bestimmte Einrichtungsarten); §§ 32 und 33 in Verbindung mit § 28 BSIG-E

Durch den Regelungsentwurf wird die bestehende Registrierungspflicht (vgl. §§ 8b und 8f BSIG) auf alle besonders wichtigen und wichtigen Einrichtungen sowie für bestimmte (Weitere Vorgabe): Regelmäßige Schulungen (Besonders wichtige und wichtige Einrichtungen); § 38 Absatz 3 in Verbindung mit § 28 BSIG-E

Veränderung des jährlichen Erfüllungsaufwands:

Fallzahl Zeitaufwand Lohnsatz pro Sachkosten pro Personalkosten Sachkosten pro Fall (in Stunde (in Fall (in Euro) (in Tsd. Euro) (in Tsd. Euro) Stunden) Euro)

150 000 4 58,40 100 35 040 15 000

3 000 000 1 36,30 0 108 900

Änderung des Erfüllungsaufwands (in Tsd. Euro) 158 940

Die Regelungsentwurf sieht vor, dass Geschäftsleiter aller adressierten Einrichtungen re- gelmäßig Cybersicherheitsschulungen absolvieren müssen; die übrigen Mitarbeitenden sollen regelmäßig an solchen Schulungen teilnehmen (vgl. § 38 Absatz 4 BISG-E).

Der Regelungsentwurf lässt wesentliche Angaben, die zur Herleitung des sol- len regelmäßig an solchen Schulungen teilnehmen (vgl. § 38 Absatz 3 BISG-E).

Das Umsetzungsgesetz (vgl. Gesetzesbegründung) und die NIS-2-Richtlinie (vgl. Artikel 20 Absatz 2) machen hier nur allgemeine Forderungen von Schulungen zum Erwerb allgemei- ner Kenntnisse und Fähigkeiten, um unter anderem Risiken im Bereich der Cybersicherheit zu erkennen und zu bewerten. So sollen die Schulungen zwar regelmäßig absolviert wer- den, eine konkrete Periodizität wird allerdings nicht vorgegeben. Zusätzlich ist unklar, wer im Unternehmen konkret zu den Geschäftsleitern zählt. Schließlich ist nicht zu erkennen, wie umfangreich die speziellen Cybersicherheitsschulungen sein müssen. Theoretisch können kön- nen das Kurzschulungen von wenigen Stunden sein, oder aufgrund der komplexen Thematik Thema- tik mehrtägige Seminare.

Es wird geschätzt, dass jährlich rund 298 500 Geschäftsleiter Schulungen absolvieren werden müssen. absolvieren. Dies liegt der freien Annahme zu Grunde, dass einmal im Jahr zehn Be- schäftigte je Unternehmen an einer solchen Schulung teilnehmen müssen leitende Beschäftigte je Unternehmen an einer solchen Schulung teilnehmen (29 850 Unter- nehmen Unternehmen * 10). Es ist jedoch davon auszugehen, dass Unternehmen aus eigenem Interes- se Interesse zum Teil bereits heute ihren führenden Mitarbeitenden Cybersicherheitsschulungen anbie-ten. Es wird frei anbieten. Es wird daher

- 111 - Bearbeitungsstand: 07.05.2024 10:19

angenommen, dass dies für 50 Prozent der Unternehmen zutrifft, sodass davon auszugehen ist, dass sich für rund 150 000 Mitglieder der Leitungsorgane eine Ver-änderung auszuge- hen ist, dass sich für rund 150 000 leitende Beschäftigte eine Veränderung des Status Quos ergibt.

Des Weiteren wird frei angenommen, dass es sich im Durchschnitt um eine halbtägige Schulung handelt (4 Stunden). Bei einem Lohnsatz von 58,40 Euro je Stunde (vgl. Leitfa- den, Anhang 7, Gesamtwirtschaft (A-S ohne O), hohes Qualifikationsniveau) betragen die jährlichen Personalkosten knapp 35 Millionen Euro (= 150 000 * 4 Stunden * 58,40 Euro). Euro. Werden je teilnehmender Person zusätzliche zu- sätzliche Schulungskosten in Höhe von 100 Euro an- genommen, fallen zusätzlich jährliche Sachkosten in Höhe von 15 Millionen Euro an (= 150 000 * 100 Euro Schulungskosten).

für von externen Dozenten durchgeführte Schulungen in Höhe von 100 Euro angenommen, fallen zusätzlich jährliche Sachkosten in Höhe von 15 Millionen Euro an. Es sei darauf hingewiesen, dass es bereits kostenlose Online-Schulungen zum Thema IT-Sicherheit gibt. Sollten diese für die gesetzlichen Anforderungen an Geschäfts- leiter hinreichend sein, würden die Sachkosten entsprechend bedeutend geringer ausfallen.

Fachkunde ist nicht Voraus- setzung Hinsichtlich der Schulung der Mitarbeitenden wird angenommen, dass Schulungen für alle bzw. einen Großteil der in den als besonders wichtig und wichtig klassifizierten Einrichtun- gen angestellten Personen angeboten werden sollen. Anhand von Daten des StBA wurde errechnet, dass die durchschnittliche Zahl der Beschäftigten in großen und mittleren Un- ternehmen Unter- nehmen bei über 200 liegt. Es wird vereinfacht davon ausgegangen, dass in jedem der rund 29 850 Einrichtungen im Mittel 200 Beschäftigte eine Cybersicherheitsschulung ab- solvieren werden (= insgesamt knapp 6 Millionen Beschäftigte). Wie bei den Geschäftslei- tern wird davon ausgegangen, dass rund 50 Prozent der Unternehmen ihren Mitarbeiten- den bereits heute die Teilnahme an entsprechenden Cybersicherheitsschulungen ermögli- chen (= knapp 3 Millionen Beschäftigte). absolvie- ren. Wie bei den Geschäftsleitern wird davon ausgegangen, dass rund 50 Prozent der Un- ternehmen ihren Mitarbeitenden bereits heute die Teilnahme an entsprechenden Cybersi- cherheitsschulungen ermöglichen, so dass schließlich von rund drei Millionen zu schulen- den Personen auszugehen ist. Zudem wird angenommen, dass die Schulungen weniger zeitaufwändig sind als die, welche durch die Mitglieder der Leitungsorgane absol- viert werden. absolviert wer- den. In diesem Szenario wird davon ausgegangen, dass pro Jahr im Durchschnitt eine einstündige ein- stündige Schulung oder Selbstlerneinheit absolviert wird und dass überwiegend auf kostenfreie kos- tenfreie Angebote, die es bereits heute gibt, zurückgegriffen wird (vgl. BSI, IT- Grundschutz-Schulungen, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Orga- nisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicher- heit/IT-Grundschutzschulung/it-grundschutzschulung_node.html). Unter den dargestellten IT-Grundschutz- Schulungen, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisatio- nen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/IT- Grundschutzschulung/it-grundschutzschulung_node.html). Unter den dargestellten Annah- me men entsteht bei einem Lohnsatz von 36,30 Euro je Stunde (Lohnkosten der Gesamtwirt- schaft (A-S ohne O), hohes Qualifikationsniveau) beträgt der jährliche Erfüllungsaufwand insge-samt rund A-S ohne O; durchschnittliches Qualifikationsniveau) zusätz-licher jährli- cher Erfüllungsaufwand zusätzlicher jährlicher Erfül- lungsaufwand von rund zwei Milliarden Euro auszugehen.

Gemäß dem Konzept in der Höhe von rund 109 Millionen Euro.

Insgesamt summiert sich der jährliche Erfüllungsaufwand für Schulungen von Geschäfts- leitern und Mitarbeitenden auf rund 159 Millionen Euro.

KMU-Test

Ein KMU-Test ist für den Gesetzentwurf durchgeführt worden. Das Regelungsvorhaben betrifft kleine und mittlere Unternehmen, da diese unter § 28 Abs. 2 BSIG E fallen können. Es ist damit zu rechnen, dass voraussichtlich rund 20 900 Unternehmen als wichtige Ein- richtungen Vorgabe 4.2.5 (Weitere Vorgabe): Regelmäßige Schulungen (Besonders wichtige und wichtige Einrichtungen); § 38 Absatz 4 in Verbindung mit § 28 BSIG-E

(Informationspflicht): Nachweis über Erfüllung von Anforderungen zur IT-Sicherheit (Besonders wichtige und wichtige Einrichtungen); § 64 Absätze 3 und 4 sowie § 65 in Verbindung mit § 28 BSIG-E

Veränderung des jährlichen Erfüllungsaufwands:

Fallzahl Zeitaufwand Lohnsatz pro Sachkosten pro Personalkosten Sachkosten pro Fall (in Stunde (in Fall (in Euro) (in Tsd. Euro) (in Tsd. Euro) Stunden) Euro)

24 282 56,94 19 300 385 463

Änderung des Erfüllungsaufwands (in Tsd. Euro) 849

Das BSI kann von einer Auswahl besonders wichtiger Einrichtungen Nachweise zur Einhal- tung von Anforderungen zur IT-Sicherheit anfordern. Zur Bestimmung nachweispflichtiger Einrichtungen soll es bestimmte Kriterien wie das Ausmaß der Risikoexposition heranzie- hen (vgl. § 64 Absätze 3 und 4 BSIG-E). Von wichtigen Einrichtungen kann das BSI eben- falls Nachweise verlangen, sofern Annahmen entsteht bei einem Lohnsatz von 36,30 Euro je Stunde (Lohn-kosten der Ge- samtwirtschaft die Tatsache rechtfertigen, dass diese die gesetzlichen Anforderungen zur IT-Sicherheit nicht oder nicht richtig umsetzen. Für

- 112 - Bearbeitungsstand: 22.12.2023 09:58

Zu Nummer 20

Nummer 20 07.05.2024 10:19

Betreiber kritischer Anlagen wird eine bereits bestehende obligatorische Nachweispflicht in den § 39 BSIG-E überführt.

Auf Basis der bisherigen Vollzugspraxis schätzt das Bundesministerium des Innern und für Heimat (BMI), dass das BSI pro Jahr von rund 24 (besonders) wichtigen Einrichtungen Nachweise verlangen wird. Die bestehende Nachweispflicht für Betreiber kritischer Anlagen verursacht laut OnDEA (ID 2015030909595501 und 2020093009264402) beträgt der durchschnittli- che Zeitaufwand zur Erbringung der Nachweispflicht inklusive notwendiger Dokumentatio- nen und Prüfungen im Mittel 282 Stunden und die Sachkosten im Mittel 19 300 Euro. Bei einem mittleren Lohnsatz von 56,90 einen durch- schnittlichen Zeitaufwand von im Mittel 282 Stunden und Sachkosten von 19 300 Euro. Bei einem mittleren Lohnsatz von 56,94 Euro je Stunde (vgl. Leitfaden, Abschnitt 7, Gesamt- wirtschaft A-S ohne O; mittleres Qualifikationsniveau mit 6 Prozent, hohes Qualifikations- Qualifikationsni- veau mit 94 Prozent; sowie OnDEA ID 2015030909595501 und 2020093009264402) ergibt sich für die geschätzt 24 nachweispflichtigen Einrichtungen ein jährlicher Erfüllungsauf- wand von rund 849 000 Euro.

b. Weitere Rechtsänderungen

Der Regelungsentwurf umfasst zahlreiche Rechtsänderungen ohne bzw. ohne wesentliche Auswirkungen auf den Erfüllungsaufwand (vgl. Tabelle, „formelle Änderung“ bzw. „gering- fügig“). Zum einen werden bestehende Vorgaben in den künftigen Fassungen des BSIG, des EnWG und des TKG fortgesetzt, so dass keine Entlastungen aufgrund wegfallender Vorgaben zu verzeichnen sind. Zum anderen kann es bei diesen Vorgaben nach der künf- tigen Rechtslage zu geringfügigen Erhöhungen der Aufwände kommen, da der Geltungs- bereich des BSIG ausgeweitet wird. Solche geringfügigen Erhöhungen resultieren zum Bei- spiel aus den §§ 7, 12, 17 und 41 BSIG-E (Begründung zur Geringfügigkeit siehe BR-Drs. 16/21, S. 34), § 64 Absatz 5 BSIG-E (bei der Nachmessung des Erfüllungsaufwands des IT-Sicherheitsgesetzes und des Gesetzes zur Umsetzung der NIS-Richtlinie gab das BSI an, nur wenige Prüfungen durchgeführt zu haben) oder § 33 Absatz 3 BSIG-E (laut BSI ist die Angabe einer Funktionspostfachs ausreichend, vgl. https://www.bsi.bund.de/DE/The- men/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Allgemeine-Infos-zu- KRITIS/Kontaktstelle-benennen/kontaktstelle-benennen_node.html). Rechtsänderungen mit Erfüllungsaufwänden sind im vorherigen Abschnitt erörtert (vgl. Tabelle, Vorgabe 4.2.X).

Paragraf Erfüllungsauf-

Bezeichnung der Vorgabe ID des StBA bisher künftig wand

BSIG (Artikel 1)

Bereitstellung von Unterlagen und Datenträgern § 4a § 7 Absatz 1 2021012507333201 geringfügig

Bestandsdatenauskunft § 5c § 12 2021012507393701 geringfügig

Auskunftspflicht (Hersteller von informationstech- § 7a Ab- § 14 Absatz 2 2021011810433601 formelle Ände- nischen Produkten und Systemen) ermöglicht, gegenüber satz 2 rung dem Bundesamt Maßnahmen (Anbieter von Telekommunikations- § 7c § 16 2021011810483101 formelle Ände- diensten) im Zusammenhang mit den Anordnun- rung gen des Bundesamtes zur Abwehr konkreter er- heblicher Gefahren Aufwand im Zusammenhang mit Anordnungen § 7d § 17 2021012507494901 geringfügig des Bundesamtes (BSI) gegenüber Anbietern von Telemediendiensten Einhaltung eines Mindestniveaus an IT-Sicherheit § 8a i. V. § 31 Absatz 1 2015030909595401 s. Vorgabe 4.2.1 (Kritische Infrastrukturen) m. § 8c Einhaltung eines Mindestniveaus an IT-Sicherheit § 8c Ab- § 31 Absatz 1 2017052913283301 s. Vorgabe 4.2.1 (Anbieter digitaler Dienste) satz 1 Verpflichtender Einsatz von Systemen zur An- § 8a Ab- § 31 Absatz 2 2021011810531701 s. Vorgabe 4.2.1 griffserkennung bei Betreibern kritischer Infra- satz 1a strukturen Meldung erheblicher IT-Sicherheitsvorfälle an das § 8b Ab- § 32 2015030909595201 s. Vorgabe 4.2.2 BSI (Kritische Infrastrukturen) satz 4 Meldung erheblicher IT-Sicherheitsvorfälle an das § 8c Ab- § 32 2017052913283701 s. Vorgabe 4.2.2 BSI (Anbieter digitaler Dienste) satz 3 Pflicht von Unternehmen im besonderen öffentli- § 8f Ab- § 32 2021012507215301 s. Vorgabe 4.2.2 chen Interesse bestimmte Störungen ihrer infor- sätze 7 mationstechnischen Systeme, Komponenten und und 8 Prozesse unverzüglich dem BSI zu melden

- 113 - Bearbeitungsstand: 07.05.2024 10:19

Registrierung der Kritischen Infrastruktur und Be- § 8b Ab- § 33 Absatz 1 2015030909595901 s. Vorgabe 4.2.3 nennung müssen die Aufgaben des Überwachungsbeauftragten genau festgelegt sein.

(10) einer Kontaktstelle satz 3
Betreiben einer Kontaktstelle § 8b Ab- § 33 Absatz 3 2015030909595701 geringfügig

satz 3
Nachweis der Erfüllung der Mindestanforderun- § 8a Ab- § 39 Absatz 1 2015030909595501 formelle Ände- gen durch Sicherheitsaudits (Kritische Infrastruk- satz 3 rung turen) Nachweis über Maßnahmen zur Wahrung der Si- § 8c Ab- § 39 Absatz 1 2020093009355901 formelle Ände- cherheit von Netz- und Informationssystemen satz 4 rung (Anbieter digitaler Dienste) Pflicht von Unternehmen im besonderen öffentli- § 8f Ab- § 39 Absatz 1 2021012506571401 formelle Ände- chen Interesse zur Vorlage einer Selbsterklärung satz 1 rung zur IT-Sicherheit gegenüber dem BSI Bereitstellung von Information im Rahmen der § 8f Ab- § 39 Absatz 1 2021012507544601 formelle Ände- amtlichen Prüfung satz 9 und § 64 Ab- rung

satz 5 Übermittlungspflicht an BSI von KRITIS und UBI § 8b Ab- § 40 Absatz 5 2021012506532301 s. Vorgabe 4.2.2 zur Bewältigung von erheblichen IT-Störungen satz 4a

Anzeige des Einsatzes kritischer Komponenten § 9b Ab- § 41 Absatz 1 2021012507595001 geringfügig für die eine gesetzliche Zertifizierungspflicht be- satz 1 steht gegenüber dem BMI

Garantieerklärung des Herstellers gegenüber § 9b Ab- § 41 Absatz 2 2021012508035801 geringfügig dem Betreiber der Kritischen Infrastruktur satz 3 Informationen zu Sicherheitslücken, Schadpro- § 4b Ab- § 5 Absatz 4 2021012507365101 formelle Ände- grammen, erfolgten oder versuchten Angriffen auf satz 2 rung die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweisen Antrag auf Erteilung eines Sicherheitszertifikats § 9 Absatz § 54 Absatz 2 200609271412501x formelle Ände-

2 rung Antrag der Konformitätsbewertungsstellen auf Er- § 9a Ab- § 55 Absatz 2 2021012507302801 formelle Ände- teilung einer Befugnis, als solche tätig zu werden satz 2 rung

Vor-Ort-Begleitung bei Prüfungen des BSI § 8a Ab- §§ 64 und 65 2017052913282901 geringfügig satz 4

EnWG (Artikel 16)

Einhaltung eines Mindestniveaus an IT-Sicherheit § 11 Ab- § 5c Absätze 2020093009264301 s. Vorgabe 4.2.1 (Energie) sätze 1a 1 und 2

und b Dokumentation der Einhaltung der Sicherheitsan- § 11 Ab- § 5c Absätze 2020093009264402 formelle Ände- forderungen an die IT-Sicherheit (Energie) satz 1b 1 und 2 rung Meldung erheblicher IT-Sicherheitsvorfälle an das § 11 Ab- § 5c Absätze 2020093009264501 s. Vorgabe 4.2.2 BSI (Energie) satz 1c 6 und 7

TKG (Artikel 23)

Einhaltung eines Mindestniveaus an IT-Sicherheit § 165 Ab- § 165 Absätze 2020093009264401 s. Vorgabe 4.2.1 (Telekommunikation) satz 2 2 und 2a Meldung erheblicher IT-Sicherheitsvorfälle an das § 168 Ab- § 168 Absätze 2011101812110109 s. Vorgabe 4.2.2 BSI (Telekommunikation) sätze 1 - 3 1 bis 3

KMU-Test

Ein KMU-Test ist für den Gesetzentwurf durchgeführt worden. Das Regelungsvorhaben be- trifft kleine und mittlere Unternehmen, da diese unter § 28 Abs. 2 BSIG E fallen können. Es ist damit zu rechnen, dass voraussichtlich rund 20 900 Unternehmen als wichtige Einrich- tungen erfasst werden. Belastungen für mittlere Unternehmen könnten sich aus einer anfänglich an- fänglich fehlenden Routine bei der Umsetzung obengenannter Vorschriften ergeben. Weiterhin Wei- terhin ist damit zu rechnen, dass unter Umständen fachspezifische Expertise bei klei- neren kleineren Unternehmen noch im Aufbau sein wird.

Der Regelungsentwurf dient der Umsetzung der Richtlinie (EU) 2022/2555 des Europäi- schen Parlaments und Rates, weshalb Abweichungen bei der nationalen Ausgestaltung lediglich eng begrenzt möglich sind. Jedoch ist zu bedenken, dass Differenzierungen im Rahmen der Angemessenheit der Maßnahmen gesetzlich Niederschlag gefunden haben (s. vorgenannte Ausführungen). Das Regelungsvorhaben gleicht auferlegte Belastungen - 104 - Bearbeitungsstand: 22.12.2023 09:58

durch die Häufigkeit, der einer Pflicht nachgekommen werden muss, variierend nach der Einrichtungsart aus.

c. Erfüllungsaufwand für die Verwaltung

[Anm. BMI CI1 – Für die formal korrekte Darstellung unter D. sind noch weitere Angaben erforderlich, die im Rahmen der laufenden Ressortabstimmung abgefragt werden. Eine Darstellung erfolgt in der nächsten Fassung des Referentenentwurfs.]

Der Bedarf an Sach- und Personalmitteln sowie Planstellen und Stellen wird finanziell und stellenmäßig im Gesamthaushalt ausgeglichen.

4. Weitere Kosten

Keine.

5. Weitere Gesetzesfolgen

Durch den Gesetzesentwurf wird die Versorgungssicherheit für Verbraucherinnen und - 114 - Bearbeitungsstand: 07.05.2024 10:19

c. Erfüllungsaufwand für die Verwaltung

Der Bundesverwaltung entsteht Erfüllungsaufwand als Adressat von Vorgaben des Rege- lungsentwurfs zur Wahrung der Sicherheit in der Informationstechnik (vgl. Vorgaben 4.3.1 bis 4.3.5). Zudem entsteht einigen Behörden weiterer Erfüllungsaufwand, da ihnen durch mehrere Vorgaben neue Aufgaben im Verwaltungsvollzug zugewiesen werden (vgl. Vorga- ben 4.3.6 bis 4.3.12).

Um den Erfüllungsaufwand des Bundes abschätzen zu können, hat das BMI zusammen mit dem StBA eine schriftliche Befragung der Bundesverwaltung durchgeführt. Teilweise erhielt das StBA aggregierte Schätzungen von Ressorts zum gesamten Geschäftsbereich, teilweise erhielt es Einzelschätzungen zu einzelnen Behörden.

Wenige oberste Bundesbehörden (i.e. BBk, BPrA, BRH, Verwaltung des BT und BKM) und die Bundesgerichten werden erst bei der weiteren Abstimmung noch bis zur Kabinettsbe- fassung zum Erfüllungsaufwand befragt – für diese Einrichtungen wurde der Aufwand auf Basis vorliegender Informationen anderer Stellen geschätzt.

Die nachfolgende Schätzung des Erfüllungsaufwands der Bundesverwaltung ist nahezu vollständig. Es kann davon ausgegangen werden, dass die vereinzelt fehlenden Rückmel- dung die Höhe des bezifferten Erfüllungsaufwands nicht spürbar beeinflussen.

Aufgrund des prognostischen Charakters betonen viele beteiligte Stellen, dass die Angaben mit zum Teil großen Unsicherheiten behaftet sind.

Im Folgenden wird die Schätzung des Erfüllungsaufwands (des großen Teils) der Bundes- verwaltung für die einzelnen Vorgaben dargestellt. Die Darstellung ist stark aggregiert, da Einzeldaten zur notwendigen Aufrüstung der IT-Sicherheit von Einrichtungen der Bundes- verwaltung als sensibel einzustufen sind. Die qualitative Beschreibung ist eine stark ver- kürzte aber sinngemäße Synthese der entsprechenden Erläuterungen zu § 43 Absatz 1); im Einzelfall bei z.B. IT-Dienstleistern kann diese Quote höher der beteiligten Stel- len.

a. Wesentliche Rechtsänderungen

aa. Vorgaben für Einrichtungen der Bundesverwaltung zur Wahrung der IT-Sicherheit

Mit Abstand am aufwendigsten schätzen die Einrichtungen der Bundesverwaltung den Auf- wand für Maßnahmen zur Gewährleistung der Informationssicherheit (Vorgabe 4.3.1). Deutlich geringer – aber immer noch bedeutend hoch – schätzen sie den Aufwand aus der Vorgabe zum Umgang mit erheblichen Sicherheitsvorfällen (Vorgabe 4.3.2) und aus der Vorgabe zur Gewährleistung der Informationssicherheit wesentlicher Digitalisierungsvorha- ben und Kommunikationsinfrastrukturen des Bundes gem. § 47. (Vorgabe 4.3.5).

Die Behörden schätzen ihren dauerhaften Personalbedarf aus den Vorgaben (4.3.1 bis 4.3.5) zur Wahrung der IT-Sicherheit auf zusammen rund 1 396 Stellen, wodurch Personal- kosten in Höhe von rund 116 Millionen Euro entstehen werden. Die jährlichen Sachkosten schätzen sie auf zusammen rund 93 Millionen Euro. Den einmaligen Erfüllungsaufwand beziffern sie auf insgesamt 286 Millionen Euro.

Vorgabe 4.3.1: Maßnahmen zur Gewährleistung der Informationssicherheit; § 43 Ab- sätze 1, 3 und 4 Satz 2, §§ 44 bis 46 und 50 in Verbindung mit §§ 29 und 37 Absatz 1 sowie § 46 Absatz 4 BSIG-E

Veränderung des jährlichen Erfüllungsaufwands des Bundes:

Fallzahl* Zeitaufwand Lohnsatz pro Sachkosten pro Personalkosten Sachkosten pro Fall (in Stunde (in Fall (in Euro) (in Tsd. Euro) (in Tsd. Euro) Stunden) Euro)

- 115 - Bearbeitungsstand: 22.12.2023 09:58

reichs erfolgt zum Zweck des Schutzes der gesamten Kommunikationstechnik des Bun- des.

Zu Absatz 2

Absatz 2 führt den bisherigen § 5 Absatz 2 fort.

Zu Absatz 3

Absatz 3 führt den bisherigen § 5 Absatz 2a fort.

Zu Absatz 4

Absatz 4 führt den bisherigen § 5 Absatz 3 fort.

Zu Absatz 5

Absatz 5 führt den bisherigen § 5 Absatz 4 fort.

Zu Absatz 6

Absatz 6 führt den bisherigen § 5 Absatz 5 fort.

07.05.2024 10:19

98,6 (mD) 1 600 33,80 0 5 332 0

694,9 (gD) 1 600 46,50 0 51 701 0

309,5 (hD) 1 600 70,50 0 34 912 0

1 0 0 76 166 983 0 76 167

Änderung des Erfüllungsaufwands (in Tsd. Euro) 168 111

* mD ~ mittlerer Dienst, gD ~ gehobener Dienst, hD ~ höherer Dienst

Einmaliger Erfüllungsaufwand des Bundes:

Fallzahl Zeitaufwand Lohnsatz pro Sachkosten pro Personalkosten Sachkosten pro Fall (in Stunde (in Fall (in Euro) (in Tsd. Euro) (in Tsd. Euro) Stunden) Euro)

46,8 (mD) 1 600 33,80 0 2 531 0

446,4 (gD) 1 600 46,50 0 33 212 0

216,4 (hD) 1 600 70,50 0 24 410 0

1 0 0 225 017 314 0 225 017

Erfüllungsaufwand (in Tsd. Euro) 285 170

Einrichtungen der Bundesverwaltung im Sinne des § 29 BSIG-E müssen hinsichtlich des IT-Betriebs künftig gemäß § 43 Absatz 1 BSIG-E die Voraussetzungen zur Gewährleistung der Informationssicherheit schaffen. Hierzu soll das BSI durch den IT-Grundschutz und durch Mindeststandards für die Sicherheit in der Informationstechnik des Bundes die zu erfüllenden Anfor- derungen für Einrichtungen der Bundesverwaltung fest. Dabei berücksichtigt es, ob Ein- richtungen der Bundesverwaltung gleichzeitig Betreiber kritischer Anlagen sind. Die Min- deststandards legt das Bundesamt im Benehmen mit den Ressorts fest. Durch die Umset- zung der in Satz 1 genannten Anforderungen ist die Erfüllung der Vorgaben nach § 30 gewährleistet. Das Bundesamt berät die Einrichtungen der Bundesverwaltung auf Ersu- chen bei der Umsetzung und Einhaltung dieser Anforderungen, stellt Handreichungen zur Verfügung und unterstützt die Bereitstellung entsprechender Lösungen durch die IT- Dienstleister Anforderungen festlegen (vgl. § 44 BSIG-E). Eine grundsätzliche Pflicht zur Umsetzung von Mindeststandards für die Sicherheit der Informationstechnik existiert bereits nach geltendem Recht (vgl. § 8 BSIG) und wurde zuletzt auf IT-Dienstleister, soweit sie IT- Dienstleistungen für die Kommunikationstechnik des Bundes erbringen, ausgeweitet (vgl. BT-Drs. 19/26106, S. 78 und OnDEA unter anderem ID 2021012607002101).

Die Einrichtungen der Bundesverwaltungen schätzen den gesamten Personalbedarf dau- erhaft auf zusammen 1103 Stellen und einmalig auf 710 Stellen, wodurch jährliche Perso- nalkosten von rund 92 Millionen Euro und einmalig von 60 Millionen Euro entstehen.

Der Personalaufwand entsteht unter anderem aus folgenden Tätigkeiten: Etablierung und Durchführung eines Risikomanagements in der Informationssicherheit, Erstellung und stän- dige Aktualisierung von Sicherheitskonzepten, Sicherheitsvorfallmanagement, Sicherstel- lung der Einhaltung der Vorgaben der Informationssicherheit bei Dienstleistern sowie bei der Beschaffung, Entwicklung und Wartung von IT-Systemen, erweitertes Reporting, Aus- bau und Wahrnehmung der Fachaufsicht.

Jährliche und einmalige Sachkosten werden von den Einrichtungen der Bundesverwaltung auf rund 76 Millionen Euro und 225 Millionen Euro geschätzt. Neben einzelnen Positionen wie dem Aufwand zum Erwerb und dem Aufrechterhalten der Fachkunde des Informations- sicherheitsbeauftragten und dessen Vertretung entstehen Sachkosten vor allem für den Ausbau und den Betrieb der zusätzlich notwendigen IT-Infrastruktur sowie die Beanspru- chung von Dienstleitungen Dritter.

Bedeutsame Positionen der Infrastrukturkosten umfassen: Zusätzliche Hardware, Support und Wartung von Hardware sowie Software und Infra- strukturkomponenten Lizenzen, Ertüchtigung und Dauerbetrieb paralleler Infrastrukturen und redundanter Betriebsumgebungen sowie Kommunikations- strukturen.

Teilweise signifikanten Aufwand für Beratungsleistungen schätzen Behörden mit dem Ver- weis auf den allgemeinen Fachkräftemangel und den vergleichsweisen attraktiven

- 116 - Bearbeitungsstand: 07.05.2024 10:19

Gehältern der Privatwirtschaft. Allgemein sollen entsprechend der Anforderungen des Um- setzungsgesetzes Aufträge und Dienstleistungen in verschiedenen Bereichen der Informa- tionstechnik erbracht werden. Im Einzelnen sollen zum Beispiel BSI zertifizierte externe Be- raterinnen und Berater beauftragt werden, die unter anderem für IS-Penetrationstets (und Bewertung der Mängel) und für die besondere Expertise bei der Sicherheitsberatung zu kritischen Geschäftsprozessen sowie IT-Verfahren zum Einsatz kommen. Ebenso sollen Coachings, Unterstützungsleistungen unter anderem für die Erstellung des Sicherheitskon- zeptes und für die Überprüfung von IT-Dienstleistern und Unterstützungsleistung von Drit- ten für das Notfallmanagement eingekauft werden.

Der Erfüllungsaufwand beträgt jährlich 170 Millionen Euro und einmalig 286 Millionen Euro.

Vorgabe 4.3.2: Sicherheitsvorfälle (Meldung; Gegenmaßnahmen; Unterrichtungs- pflichten); §§ 10, 32, 35 und 36 in Verbindung mit §§ 29, 37, 43 Absätze 5 und 6 sowie § 46 Absatz 4 BSIG-E

Veränderung des jährlichen Erfüllungsaufwands des Bundes:

Fallzahl Zeitaufwand Lohnsatz pro Sachkosten pro Personalkosten Sachkosten pro Fall (in Stunde (in Fall (in Euro) (in Tsd. Euro) (in Tsd. Euro) Stunden) Euro)

10,8 (mD) 1 600 33,80 0 584 0

100,7 (gD) 1 600 46,50 0 7 492 0

21,9 (hD) 1 600 70,50 0 2 470 0

1 0 0 9 200 220 0 9 200

Änderung des Erfüllungsaufwands (in Tsd. Euro) 19 747

Einmaliger Erfüllungsaufwand des Bundes:

Fallzahl Zeitaufwand Lohnsatz pro Sachkosten pro Personalkosten Sachkosten pro Fall (in Stunde (in Fall (in Euro) (in Tsd. Euro) (in Tsd. Euro) Stunden) Euro)

0,2 (mD) 1 600 33,80 0 11 0

2,2 (gD) 1 600 46,50 0 164 0

8,3 (hD) 1 600 70,50 0 936 0

1 0 0 4 033 303 0 4 033

Erfüllungsaufwand (in Tsd. Euro) 5 144

Einrichtungen der Bundesverwaltung müssen erhebliche Sicherheitsvorfälle an das BSI melden (vgl. § 32 in Verbindung mit § 29 Absatz 2 BSIG-E). Mit Ausnahmen des Geschäfts- bereichs erfolgt zum Zweck des Schutzes der gesamten Kommunikationstechnik des Bundes.

Zu § 10 (Anordnungen von Maßnahmen zur Abwendung oder Behebung von Sicher- heitsvorfällen)

Die neue Vorschrift dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe b sowie Ab- satz 5 der NIS-2-Richtlinie gegenüber Einrichtungen der Zentralregierung bei der Reakti- on des Bundesressort Verteidigung müssen sie im Falle einer Anordnung des BSI Maßnahmen zur Abwendung oder Behebung von Sicherheitsvorfällen ergreifen (vgl. § 10 in Verbindung mit § 29 Absätze 2 und 3 BSIG-E) und bei einer Anweisung des BSI Emp- fängerinnen und Empfängern ihrer Dienste über erhebliche Sicherheitsvorfälle unterrichten (vgl. § 35 in Verbindung mit § 29 Absätze 2 und 3 BSIG-E).

Insgesamt werden vermutlich einmalig elf Stellen und dauerhaft 133 Stellen für die Erfüllung der Vorgaben zu Sicherheitsvorfällen eingesetzt, wodurch Personalkosten von einmalig 1,1 Millionen Euro und jährlich 10,5 Millionen Euro entstehen werden. Bearbeitungsaufwand entsteht voraussichtlich insbesondere für die Umsetzung der Anordnungen von Maßnah- men zur Abwendung und Behebung von Sicherheitsvorfällen. Zeitaufwand bedeuten

- 117 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

ebenfalls die Meldungen selbst wie auch das Berichtswesen über die Umsetzung der An- ordnungen an das BSI.

Sachkosten werden einmalig auf rund vier Millionen Euro und jährlich auf rund 9 Millionen Euro geschätzt. Diese fallen an für das Incident und IT-Sicherheitsvorfall Management, Not- fallmanagement und die materialbezogene Umsetzung von Sicherheitsmaßnahmen zur Ab- wendung und Behebung von Sicherheitsvorfällen. Zum Teil rechnen Behörden auch mit dem Einsatz externer Expertenteams.

Der Erfüllungsaufwand beträgt einmalig 5,1 Millionen Euro und jährlich 19,7 Millionen Euro.

Vorgabe 4.3.3: Registrierungspflichten für Einrichtungen der Bundesverwaltung; § 33 in Verbindung mit §§ 29, 37, 43 Absatz 4 Satz 1 und 46 Absatz 4 BSIG-E

Veränderung des jährlichen Erfüllungsaufwands des Bundes: 2,4 Millionen Euro

Einmaliger Erfüllungsaufwand des Bundes: 1,5 Millionen Euro

Mit wenigen Ausnahmen unterliegen die Einrichtungen der Bundesverwaltung der Regist- rierungspflicht gemäß § 33 BSIG-E. Erfüllungsaufwand entsteht insbesondere durch die erstmalige Registrierung; aber auch dauerhaft rechnen die Behörden mit spürbarem Auf- wand, da sie eine jederzeit erreichbare Kontaktstelle vorhalten müssen (vgl. § 33 Absatz 2 Satz 2 BSIG-E).

Insgesamt schätzen die betroffenen Einrichtungen der Bundesverwaltung dauerhaft 30,7 Stellen (0,6 Stellen im mittlerem, 28,2 Stellen im gehobenen und 1,9 Stellen im höheren Dienst) und einmalig 10 Stellen (8,4 Stellen im gehobenen und 1,6 Stellen im höheren Dienst) einzusetzen, wodurch Personalkosten von jährlich 2,3 Millionen Euro und einmalig von 805 000 Euro entstehen werden. Einmalige bzw. jährliche Sachkosten für Anschaffung und Betrieb von Komponenten der IT-Infrastruktur schätzen sie auf 688 000 Euro bzw. 83 000 Euro.

Vorgabe 4.3.4: Regelmäßige Schulungen; § 43 Absatz 2 und § 44 Absatz 1 in Verbin- dung mit §§ 29, 37 und 46 Absatz 4 BSIG-E

Veränderung des jährlichen Erfüllungsaufwands des Bundes:

Fallzahl Zeitaufwand Lohnsatz pro Sachkosten pro Personalkosten Sachkosten pro Fall (in Stunde (in Fall (in Euro) (in Tsd. Euro) (in Tsd. Euro) Stunden) Euro)

4,6 (mD) 1 600 33,80 0 249 0

19,2 (gD) 1 600 46,50 0 1 428 0

9,7 (hD) 1 600 70,50 0 1 094 0

1 0 0 3 623 715 0 3 623

Änderung des Erfüllungsaufwands (in Tsd. Euro) 6 395

Einmaliger Erfüllungsaufwand des Bundes:

Fallzahl Zeitaufwand Lohnsatz pro Sachkosten pro Personalkosten Sachkosten pro Fall (in Stunde (in Fall (in Euro) (in Tsd. Euro) (in Tsd. Euro) Stunden) Euro)

0,0 (mD) 1 600 33,80 0 0 0

- 118 - Bearbeitungsstand: 22.12.2023 09:58

Zu Absatz 2

Absatz 2 führt den bisherigen § 7 Absatz 1a fort.

07.05.2024 10:19

2,9 (gD) 1 600 46,50 0 215 760 0

0,7 (hD) 1 600 70,50 0 79 0

1 0 0 782 087 0 782

Erfüllungsaufwand (in Tsd. Euro) 1 077

Einrichtungsleitungen der Bundesverwaltung bestellen jeweils eine Informati- onssicherheitsbeauftragte oder einen Informationssicherheitsbeauftragten sowie mindes- tens eine zur Vertretung berechtigte Person.

(2) Für die Erfüllung ihrer Aufgaben sind neben Personal- und Sachausstattung in angemessenem Umfang auch finanzielle Mittel zur Verfügung zu stellen, die sie zur Erfül- lung ihrer Aufgaben eigenständig verwalten. Bundesbehörden sollen regelmäßig Cybersicherheitsschulungen absolvieren (vgl. § 43 Absatz 2 BISG-E). Gemäß Artikel 20 Absatz 2 der NIS-2-Richtlinie erstreckt sich die Schulungspflicht auch auf alle Mitarbeitende – dies wird im nationalen Recht durch § 44 Absatz 1 BSIG-E sichergestellt (vgl. Gesetzesbegründung).

Für den Besuch von Fortbildung sowie die teilweise Erarbeitung von Lehrmaterial schätzen die Bundesbehörden den Personalaufwand initial auf insgesamt rund 3,6 Stelle und dauer- haft auf rund 33,5 Stellen. Sachkosten für Lehrmaterial, Schulungen und die teilweise ge- plante Einbindung von externen Lehrkräften sowie Expertinnen und Experten schätzen sie einmalig auf 782 000 Euro und laufend auf 3,6 Millionen Euro. Der Erfüllungsaufwand be- trägt demnach einmalig 1,1 Millionen Euro und jährlich 6,4 Millionen Euro.

Vorgabe 4.3.5: Wesentliche Digitalisierungsvorhaben und Kommunikationsinfra- strukturen; § 47 BSIG-E in Verbindung mit §§ 29, 37 und 46 Absatz 4 BSIG-E

Veränderung des jährlichen Erfüllungsaufwands des Bundes:

Fallzahl Zeitaufwand Lohnsatz pro Sachkosten pro Personalkosten Sachkosten pro Fall (in Stunde (in Fall (in Euro) (in Tsd. Euro) (in Tsd. Euro) Stunden) Euro)

4,3 (mD) 1 600 33,80 0 233 0

51,2 (gD) 1 600 46,50 0 3 809 0

39,9 (hD) 1 600 70,50 0 4 501 0

1 0 0 4 766 734 0 4 767

Änderung des Erfüllungsaufwands (in Tsd. Euro) 13 370

Einmaliger Erfüllungsaufwand des Bundes: 5,5 Millionen Euro.

Für die Planung und Umsetzung von wesentlichen Digitalisierungsvorhaben und Kommu- nikationsinfrastrukturen des Bundes sind eigene Informationssicherheitsbeauftragte zu be- stellen. Zur Gewährleistung der Informationssicherheit bei solchen Vorhaben sind ange- messene Umsetzung der Informationssicherheit in ihrem oder seinem Ressort hin.

(2) Für die Erfüllung seiner oder ihrer Aufgaben sind neben Personal- und Sach- ausstattung in angemessenem Umfang auch angemessene finanzielle Mittel zur Verfü- gung zu stellen, die der oder die Informationssicherheitsbeauftragte des Ressorts zur Er- füllung seiner oder ihrer Aufgaben eigenständig verwaltet. Der oder die Mittel für die Informationssicherheit einzusetzen (vgl. § 47 BSIG-E).

Die Anzahl wesentlicher Digitalisierungsvorhaben und Kommunikationsinfrastrukturen vari- iert zwischen den Behörden stark. Eine Vielzahl an Behörden sieht hier aufgrund fehlender Vorhaben keinen Aufwand. Einige Behörden wie das Umweltbundesamt, die Generalzoll- direktion, das Auswärtige Amt oder das Statistische Bundesamt rechnen dauerhaft mit meh- reren Vorhaben. Zur Sicherstellung der Informationssicherheit der Projekte rechnen solche Behörden nicht selten mit – auch laufbahnübergreifend – einer Stelle je Vorhaben.

In der Summe schätzen die Bundesbehörden den Stellenbedarf dauerhaft auf 95 Stellen, wodurch jährliche Personalkosten von 8,5 Millionen Euro entstehen. Die Sachkosten schät- zen sie jährlich auf 4,8 Millionen Euro und einmalig auf rund 5,5 Millionen Euro. Diese ent- stehen hauptsächlich durch die Inanspruchnahme der Dienstleistungen Dritter (z. B. für die Erstellung und Initialisierung der Sicherheitsleitlinien zu wesentlichen Digitalisierungsvor- haben sowie für externe Betriebsunterstützung in Ermangelung von verfügbaren qualifizier- tem Personal) und den Ausbau und Betrieb zusätzlicher IT-Infrastruktur.

- 119 - Bearbeitungsstand: 07.05.2024 10:19

Der Erfüllungsaufwand beträgt einmalig 5,5 Millionen Euro und jährlich 13,4 Millionen Euro.

ab. Vorgaben zum Vollzug

Durch das Umsetzungsgesetz wird im BSIG der Aufgabenbereich der betroffenen Vollzugs- behörden neu strukturiert. Wesentlicher neuer Aufwand entstehen BSI, BBK, BNetzA, BfDI und BMI. - 127 - Bearbeitungsstand: 22.12.2023 09:58

Vor Erlass einer solchen Rechtsverordnung ist durch BMI Dieser entsteht vor allem durch die stark zunehmende Anzahl der zu beaufsichti- gen Einrichtungen. Derzeit kann nur schwer abgeschätzt werden, wie hoch der zusätzliche Personalbedarf der betroffenen Vollzugbehörden tatsächlich sein wird. Die Behörden schät- zen ihren dauerhaften Personalbedarf auf zusammen rund 931 Stellen, wodurch jährliche Personalkosten in Höhe von rund 81 Millionen Euro entstehen werden. Die jährlichen bzw. einmaligen Sachkosten schätzen sie auf zusammen rund 73 Millionen Euro bzw. 36 Millio- nen Euro.

Allein auf das BSI entfallen rund 549 Stellen (neben 40 weiteren Stellen die bei den Vorga- ben 4.3.1 bis 4.3.5 berücksichtigt sind) und auf den ITZBund 318 Stellen. Im Vergleich dazu werden derzeit allein im BSI aufgrund der vorangegangenen Regelungsvorhaben IT-Si- cherheitsgesetz, Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 und zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme rund 645 Stellen für die Wahrnehmung bestehender Aufgabe der Sicherheit in der Informationstechnik gemäß §§ 3 ff. BSIG eingesetzt.

Viele der Behörden, die bereits heute in relativ geringem Umfang am Vollzug das BSIG mitwirken, haben auf keine wesentlichen Veränderungen ihres Vollzugsaufwands hinge- wiesen. Diese Rechtsänderungen können im Sinne des Erfüllungsaufwands als formelle Rechtsänderungen gesehen werden (vgl. Unterabschnitt b).

Vorgabe 4.3.6: Grundsatzaufgaben und Befugnisse (BSI, BfDI, ITZBund); §§ 3 bis 19 in Verbindung mit §§ 20 bis 27 BSIG-E

Veränderung des jährlichen Erfüllungsaufwands des Bundes:

Fallzahl Zeitaufwand Lohnsatz pro Sachkosten pro Personalkosten Sachkosten pro Fall (in Stunde (in Fall (in Euro) (in Tsd. Euro) (in Tsd. Euro) Stunden) Euro)

26,0 (mD) 1 600 33,80 0 1 406 0

373,0 (gD) 1 600 46,50 0 27 751 0

230,5 (hD) 1 600 70,50 0 26 000 0

1 0 67 643 000 0 67 643

Änderung des Erfüllungsaufwands (in Tsd. Euro) 122 801

Einmaliger Erfüllungsaufwand des Bundes: 27,9 Millionen Euro

Die „Grundsatzaufgaben“ und Befugnisse im Bereich der bundesrechtlich geregelten Si- cherheit in der Informationstechnik ergeben sich künftig aus den §§ 3 bis 19 in Verbindung mit §§ 20 bis 27 BSIG-E. Bereits heute nimmt das BSI umfassende Aufgaben in diesem Bereich wahr (vgl. §§ 3 BISG; OnDEA, u. a. ID 2015030910484001, 2021012608550401). Mit der Umsetzung der NIS-2-Richtlinie werden diese Aufgaben des BSI ausgeweitet. So fallen zum Beispiel künftig alle Einrichtungen der Bundesverwaltung in den Anwendungs- - 116 - Bearbeitungsstand: 22.12.2023 09:58

bereich des BSIG, wodurch insbesondere der Aufwand aus Tätigkeiten zur Wahrung des Schutzes der gesamten Kommunikationstechnik des Bundes zunimmt (vgl. §§ 8 und 9 BSIG-E). Mit Blick auf datenschutzrechtliche Belange wird das BSI bei der Wahrnehmung seiner Aufgaben nach dem BSIG durch den BfDI unterstützt. Der BfDI sieht durch die er- hebliche Erweiterung des Wirkungskreises des BSI und die Erweiterung seiner Aufgaben auf weitaus mehr Behörden höheren Beratungs- und Kontrollaufwand des BfDI gegenüber dem BSI. Das ITZBund betreut zurzeit weit über 1 000 Verfahren. Als zentraler IT-

- 120 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

Dienstleister des Bundes entsteht ihm signifikanter Mehraufwand, da er zum Beispiel im Rahmen von kundenbezogenen Prüfungen nach § 7 BSIG-E dem BSI zuarbeitet.

Insgesamt beziffert der BfDI seinen dauerhaften Mehraufwand mit vier Stellen (je zwei Stel- len im gehobenen und höheren Dienst), das BSI mit 308 Stellen (rund 26, 96 bzw. 186 Stellen im mittleren, gehobenen bzw. höheren Dienst) und der ITZBund mit 318 Stellen (275 bzw. 43 Stellen im gehobenen bzw. höheren Dienst). Behördenübergreifend entstehen dadurch jährliche Personalkosten von rund 55 Millionen Euro. Im Einzelnen ergibt sich der Bedarf aus Tätigkeiten wie: Beratung und Kontrolle zur Sicherung der datenschutzkonfor- men Umsetzung des NIS2UmsuCG, sicherzustellen Vorgaben zur Definition erheblicher Sicherheitsvorfälle müssen erstellt und abgestimmt sowie auf Grund der Dynamik der Ent- wicklung rentenversicherungsbezogener Anwendungen soll bei Cyber-Angriffen regelmäßig angepasst werden. Für Einsätze von BSI Compu- ternotfallteams zur Unterstützung anderer Teams im Unionsgebiet müssen entsprechend einsatzfähige Teams vorgesehen und vorgehalten werden; dadurch können die im Gesetz vorgesehenen Leistungen zur gegenseitigen Unterstützung innerhalb der Union zusätzlich zu den bestehenden Einsätzen im nationalen Rahmen erbracht werden. Zudem fällt auf Aufwand an für Peer Reviews, die operative Koordination, zentrale Anlaufstelle CSIRT, Un- terrichtung von Einrichtungen umfangreiche Vorfallsunterstützung, MIRT-Beratung Warn- anlässe, Dauerdienste, Unterrichtung durch LZ/WG, Onlineportal mit WG23, Scans nach Schwachstellen).

Für die Implementierung und den Betrieb der mit den zusätzlichen Aufgaben verbundenen neuen Verfahrensabläufe und zusätzlicher IT-Ausstattung (z. B. Ausbau der Detektionsinf- rastruktur, Fortschreibung bzw. Erweiterung des Schulungskonzepts für KRITIS-Prüfer, Prüfungen, Öffentlichkeitsarbeit) veranschlagen die Behörden zusammen jährliche bzw. einmalige Sachkosten von rund 68 Millionen bzw. 28 Millionen Euro.

Der Erfüllungsaufwand beträgt einmalig 28 Millionen Euro und jährlich 123 Millionen Euro.

Vorgabe 4.3.7: Bearbeitung von Meldungen erheblicher Sicherheitsvorfälle (BSI und BBK); §§ 32, 35, 36 sowie 40 Absätze 4 und 5 BSIG-E

Veränderung des jährlichen Erfüllungsaufwands des Bundes:

Fallzahl Zeitaufwand Lohnsatz pro Sachkosten pro Personalkosten Sachkosten pro Fall (in Stunde (in Fall (in Euro) (in Tsd. Euro) (in Tsd. Euro) Stunden) Euro)

14,0 (mD) 1 600 33,80 0 757 0

60,0 (gD) 1 600 46,50 0 4 464 0

76,0 (hD) 1 600 70,50 0 8 573 0

1 0 0 1 119 450 0 1 119

Änderung des Erfüllungsaufwands (in Tsd. Euro) 14 913

Einmaliger Erfüllungsaufwand des Bundes: 508 000 Euro

Bereits heute ist das BSI zentrale Anlaufstelle für Meldungen von Betreibern Kritischer Inf- rastrukturen zu erheblichen Sicherheitsvorfällen (vgl. § 8b Absatz 3 BSIG). Künftig werden in den §§ 32, 35, 36 sowie 40 Absätze 4 und 5 BSIG-E diesbezügliche Vollzugsaufgaben des BSI und des BBK geregelt. Seitens der Behörden ist allein aufgrund der deutlichen Ausweitung der meldepflichtigen Einrichtungen mit erheblichem Mehraufwand zu rechnen. Zusätzlich wird der Aufwand pro Meldung im Mittel aufwendiger, da nun ein mehrstufiges Meldeverfahren eingeführt wird (vgl. § 32 BSIG-E, Vorgab 4.2.2). Das BSI kann in bestimm- ten Fällen Anweisungen zur Unterrichtung von Diensteempfängern erteilen (vgl. § 35 BSIG- E) und es bietet in strafrechtsrelevanten Fällen Orientierungshilfen für die Meldung an Straf- vollzugsbehörden (vgl. § 36 BSIG-E). Zudem kann das BSI bestimmte Informationen von Betreibern verlangen und in bestimmten Fällen unterliegt es selbst einer

- 121 - Bearbeitungsstand: 07.05.2024 10:19

Unterrichtungspflicht gegenüber Mitgliedsstaaten der Europäischen Union (vgl. § 40 Ab- sätze 4 und 5 BSIG-E). Das BBK sieht einen Mehraufwand aufgrund der Einrichtung und des Betriebs des Meldeverfahrens. Zudem entsteht ein Mehraufwand, da Prüfungen be- züglich des IT-SiG 2.0 auf etwaige Konflikte mit § 12 Absatz 1 KRITIS-DachG-E Meldewe- sen durchgeführt werden müssen.

Insgesamt beziffert das BBK seinen dauerhaften Mehraufwand auf sechs Stellen (je zwei Stellen im mittleren, gehobenen und höheren Dienst); das BSI erwartet, dass laufbahnüber- greifend zusätzliche 144 Stellen erforderlich sein werden (12, 58 bzw. 74 Stellen im mittle- ren, gehobenen bzw. höheren Dienst). Behördenübergreifend entstehen dadurch jährliche Personalkosten von rund 13,8 Millionen Euro. Zusätzlich entstehen laut BBK und BSI für die Einrichtung und den Betrieb des Benachrichtigungstools, Ausbau des Meldewesens, neue Notebooks und den Skalierenden Betrieb der Kommunikations- und Unterstützungs- maßnahmen einmalige bzw. jährliche Sachkosten von 508 000 Euro bzw. 1,1 Millionen Euro.

Vorgabe 4.3.8: Einrichtung und Betrieb eines Registers für (besonders) wichtige Ein- richtungen, bestimmte Einrichtungsarten sowie für Einrichtungen der Bundesver- waltung (BSI und BBK); §§ 33, 34 und 43 Absatz 4 BSIG-E

Veränderung des jährlichen Erfüllungsaufwands des Bundes:

Fallzahl Zeitaufwand Lohnsatz pro Sachkosten pro Personalkosten Sachkosten pro Fall (in Stunde (in Fall (in Euro) (in Tsd. Euro) (in Tsd. Euro) Stunden) Euro)

24,0 (mD) 1 600 33,80 0 1 298 0

23,0 (gD) 1 600 46,50 0 1 711 0

10,0 (hD) 1 600 70,50 0 1 128 0

1 0 0 1 950 0 2

Änderung des Erfüllungsaufwands (in Tsd. Euro) 4 139

Einmaliger Erfüllungsaufwand des Bundes: 8 000 Euro

Dem BSI und BBK entstehen Erfüllungsaufwand aus der Registrierungspflicht für (beson- ders) wichtige Einrichtungen, bestimmte Einrichtungsarten und Einrichtungen der Bundes- verwaltung (vgl. §§ 33, 34 und 43 Absatz 4 in BSIG-E). Bereits heute verarbeitet und pflegt das BSI entsprechende Angaben von Betreibern kritischer Infrastrukturen und von Unter- nehmen im besonderen öffentlichen Interesse (vgl. § 8b Absatz 3 und 8f Absatz 5 BSIG).

Durch die neuen Regelungen bedarf es laut BBK der Etablierung und dauerhaften Durch- führung eines angepassten Registrierungsverfahrens. Zudem entsteht Mehraufwand, da Prüfungen bezüglich des IT-SiG 2.0 auf etwaige Konflikte mit § 6 Abs. 1 KRITIS-DachG-E Registrierung durchgeführt werden müssen. Aufgrund der Ausweitung des Normadressa- tenkreises erwarten das BSI Mehraufwand insbesondere durch die Verarbeitung eingehen- der Registrierungen, Anfragenbearbeitung und Stammdatenpflege von besonders wichti- gen und wichtigen Einrichtungen. Zudem obliegt ihm die Fachadministration der IT-Sys- teme. BSI und BBK schätzen den zusätzlichen Personalbedarf auf insgesamt 57 Stellen (sechs im BBK und 51 im BSI), wodurch dauerhafte Personalkosten von rund 4,1 Millionen Euro entstehen. Zudem entstehen für die erstmalige Anschaffung und den dauerhaften Er- satz von Notebooks geringe Sachkosten.

Vorgabe 4.3.9: Zentrale Melde- und Anlaufstelle (BSI, BBK, BNetzA); § 40 BSIG-E

Veränderung des jährlichen Erfüllungsaufwands des Bundes:

- 122 - Bearbeitungsstand: 07.05.2024 10:19

Fallzahl Zeitaufwand Lohnsatz pro Sachkosten pro Personalkosten Sachkosten pro Fall (in Stunde (in Fall (in Euro) (in Tsd. Euro) (in Tsd. Euro) Stunden) Euro)

3,0 (mD) 1 600 33,80 0 162 0

14,0 (gD) 1 600 46,50 0 1 042 0

26,5 (hD) 1 600 70,50 0 2 989 0

1 0 0 2 925 0 3

Änderung des Erfüllungsaufwands (in Tsd. Euro) 4 196

Einmaliger Erfüllungsaufwand des Bundes: 11 700 Euro

In § 40 BSIG-E wird die bisher in § 8b BSIG normierte Aufgabe des BSI als zentrale Melde- und Anlaufstelle mit Unterstützung des BBK fortgeführt. Aufgrund der deutlichen Auswei- tung des Anwendungsbereichs des BSIG entsteht den Behörden zusätzlicher Aufwand: Insbesondere für die Sammlung von Informationen zur IT-bezogenen Gefahrenabwehr so- wie deren fachlichen Auswertung mit Blick auf die Auswirkungen auf kritische Dienstleis- tungen an Länder oder Kommunen tungen, Prüfungen bezüglich des IT-SiG 2.0 auf etwaige Konflikte zu Vorfallsmeldungen und Bearbeitungen nach § 12 Absätze 5 bis 8 KRITIS-DachG-E, Anpassung der Pro- zessabläufe zuzuordnen.

Da der Regelungsentwurf der Umsetzung der Richtlinie (EU) 2022/2555 des Europäi- schen der Meldestelle auch unter Berücksichtigung von KRITS-DachG-E. Im Tele- kommunikationssektor zählt auch die Bundesnetzagentur als Melde- und Anlaufstelle. Diese muss zur Zusammenarbeit eine Stelle einrichten, welche als Ansprechpartnerin dem BSI zur Verfügung steht und bei Bedarf die notwendigen Informationen auswertet und un- verzüglich zur Verfügung stellt.

BSI, BBK und BNetzA schätzen den zusätzlichen Personalbedarf auf insgesamt 44 Stellen (sieben im BBK, rund 33 im BSI und vier in der BNetzA), wodurch dauerhafte Personalkos- ten von rund 4,2 Millionen Euro entstehen. Zudem entstehen für die erstmalige Anschaffung und den dauerhaften Ersatz von Notebooks geringe Sachkosten.

Vorgabe 4.3.10: Verschiedene Vollzugsaufgaben im Bereich der IT-Sicherheit (BMI, BSI und BBK); § 30 Absatz 9, §§ 39, 48 bis 50, 60, 64 und 65 BSIG-E

Veränderung des jährlichen Erfüllungsaufwands des Bundes:

Fallzahl Zeitaufwand Lohnsatz pro Sachkosten pro Personalkosten Sachkosten pro Fall (in Stunde (in Fall (in Euro) (in Tsd. Euro) (in Tsd. Euro) Stunden) Euro)

4,0 (mD) 1 600 33,80 0 216 0

10,8 (gD) 1 600 46,50 0 804 0

13,0 (hD) 1 600 70,50 0 1 466 0

1 0 0 2 535 425 0 2 535

Änderung des Erfüllungsaufwands (in Tsd. Euro) 5 022

Einmaliger Erfüllungsaufwand des Bundes: 11 700 Euro

Neben den bisher genannten Aufgabenbereichen werden dem BMI, BSI und dem BBK durch den Regelungsentwurf weitere Aufgabe übertrageben. Hierzu zählen die Schaffung der Funktion einer Koordinatorin bzw. eines Koordinators der Bundesregierung für Informa- tionssicherheit (vgl. §§ 48 bis 50 BSIG-E), dessen konkrete organisatorische Anbindung dem umsetzenden Kabinettbeschlusses vorbehalten bleibt, die Bearbeitung von Anträgen zur Eignungsfeststellung branchenspezifischer Standards (vgl. § 30 Absatz 9 BSIG-E), die Bearbeitung und Prüfung von Nachweisen über die Erfüllung der gesetzlichen Anforderun- gen zur IT-Sicherheit (vgl. § 39 BSIG-E), die Durchführung von

- 123 - Bearbeitungsstand: 07.05.2024 10:19

Ordnungswidrigkeitenverfahren (vgl. § 60 BSIG-E) und das Ergreifen von Aufsichts- und Durchsetzungsmaßnahmen (vgl. §§ 64 und 65 BSIG-E).

Behördenübergreifend schätzen die betroffenen Behörden für die verschiedenen Aufgaben den Personalbedarf auf rund 28 Stellen (rund acht, sechs bzw. 14 Stellen beim BMI, BBK bzw. beim BSI), wodurch dauerhaft Personalkosten in Höhe von 2,5 Millionen Euro entste- hen. Zusätzlich fallen jährliche Sachkosten von 2,5 Millionen Euro an – laut BSI vor allem für Studien –, und geringe einmalige Sachkosten.

Vorgabe 4.3.11: Grundsatzaufgaben zur IT-Sicherheit im Energiesektor (BNetzA); §§ 5c und 95 EnWG-E

Veränderung des jährlichen Erfüllungsaufwands des Bundes:

Fallzahl* Zeitaufwand Lohnsatz pro Sachkosten pro Personalkosten Sachkosten pro Fall (in Stunde (in Fall (in Euro) (in Tsd. Euro) (in Tsd. Euro) Stunden) Euro)

0,8 (mD) 1 600 33,80 0 43 0

4,8 (gD) 1 600 46,50 0 357 0

5,2 (hD) 1 600 70,50 0 587 0

Änderung des Erfüllungsaufwands (in Tsd. Euro) 987

Im Energiesektor werden die Vorschriften zur IT-Sicherheit für Betreiber von Energiever- sorgungsnetzen und Energieanlagen aus § 11 Absätze 1a bis 1g EnWG in dem § 5c EnWG- E neu gefasst. Der BNetzA entsteht insofern neuer Aufwand, da die bestehenden IT-Si- cherheitskataloge und Vorgaben zu Risikobehandlungsplänen und zur Beseitigung von Si- cherheitsmängeln die Vorlage eines geeigneten Mängelbeseitigungsplans im Einverneh- men mit der zuständigen Aufsichtsbehörde des Bundes oder der sonst zuständigen Auf- sichtsbehörde verlangen. Das Bundesamt kann die Vorlage eines geeigneten Nachweises über die erfolgte ausgeweitet werden. Sie muss neue Schulungskonzepte entwickeln und pflegen, energiesystemische Bewertungen von BSI-Meldung vornehmen und diese Ergeb- nisse an das BSI übermitteln, Jahresberichte über Sicherheitsvorfälle erstellen und zusätz- liche Ordnungswidrigkeitenverfahren durchführen. Insgesamt rechnet die BNetzA laufbahn- übergreifen mit einem zusätzlichen Personalbedarf von 10,8 Stellen, wodurch ein jährlicher Erfüllungsaufwand von knapp einer Million Euro entsteht.

Vorgabe 4.3.12: Grundsatzaufgaben zur IT-Sicherheit im Telekommunikationssektor (BNetzA); §§ 165 und 168 TKG-E

Veränderung des jährlichen Erfüllungsaufwands des Bundes:

Fallzahl* Zeitaufwand Lohnsatz pro Sachkosten pro Personalkosten Sachkosten pro Fall (in Stunde (in Fall (in Euro) (in Tsd. Euro) (in Tsd. Euro) Stunden) Euro)

1,0 (mD) 1 600 33,80 0 54 0

10,0 (gD) 1 600 46,50 0 744 0

1,0 (hD) 1 600 70,50 0 113 0

1 0 0 2 000 000 0 2 000

Änderung des Erfüllungsaufwands (in Tsd. Euro) 2 911

Einmaliger Erfüllungsaufwand des Bundes: 8 Millionen Euro

Im Telekommunikationssektor werden für Betreiber öffentlicher Telekommunikationsnetze und Anbieter öffentlich zugänglicher Telekommunikationsdienste gemäß § 165 TKG-E Maßnahmen in Form von Konzepten, Lieferkettenangaben, Verschlüsselungsverfahren und Bewertungen von Maßnahmen, welche von besonders wichtigen und wichtigen Ein- richtungen zu erfüllen sind, erweitert. Diese werden turnusmäßig alle zwei Jahre von der BNetzA überprüft. Zusätzlich müssen regelmäßig Fortbildungen und Ausbildungen

- 124 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

durchgeführt werden, um sich in dem Bereich auf den neusten Stand zu bringen. Der § 168 TKG-E wird erweitert, da nun eine Erstmeldung und ein abschließender Bericht vorgesehen wird. Die Berichte müssen ausgewertet und bewertet werden kann, wenn er mindestens 20 Prozent der Ausgaben des IT-Betriebs innerhalb der Ein- richtung beträgt. Die Verwendungs-Berichtspflicht als regelmäßige Rechtfertigungspflicht soll als Mittel der Compliance-Förderung die tatsächliche Umsetzung sicherstellen.

werden, kommen die Verpflichteten ihren Aufgaben in der Zeit nicht nach, muss ein Ordnungswidrigkeitenverfahren durchge- führt werden. Kann ein solcher Mitgliedstaat nicht bestimmt werden, so gilt als Hauptnie- derlassung Die BNetzA schätzt den zusätzlichen Personalaufwand dauerhaft auf 12 Stel- len, wodurch jährliche Kosten von 911 000 Euro entstehen.

Zusätzlich fallen laut BNetzA Sachkosten in Umfang von acht Millionen Euro einmalig und zwei Millionen Euro jährlich an, da aufgrund der zum Teil hoch sensiblen Daten, die von den Erbringern von Telekommunikationsdiensten gemeldet werden, eine noch nicht vor- handene VS-Registratur eingerichtet und betrieben werden muss.

b. Weitere Rechtsänderungen

Zahlreiche Vorgabe werden von der aktuell geltenden Fassung in die künftige Fassung des BSIG bzw. EnWG überführt, ohne dass die betroffenen Behörden Veränderungen beim Er- füllungsaufwand sehen (vgl. Tabelle, „formelle Änderung“). Rechtsänderungen mit Erfül- lungsaufwänden sind im vorherigen Abschnitt erörtert (vgl. Tabelle, Vorgabe 4.3.X). Zu we- sentliche nigen Vorgaben liegen aufgrund fehlender Meldungen von Behörden keine Erkenntnisse zu den Auswirkungen auf den Erfüllungsaufwand vor (vgl. Tabelle, „unklar“).

Paragraf Bezeichnung der Vorgabe ID des StBA Erfüllungsaufwand

bisher künftig

BSIG (Artikel 1)

Fachaufsicht über das BSI § 1 § 1 2017052913284101 formelle Änderung

Unterrichtung des Innenausschusses über die § 13 Absatz 3 § 59 Absatz 3 2023121812242201 formelle Änderung Anwendung des BSIG (BMI)

Ordnungswidrigkeitsverfahren (BSI) § 14 § 60 2021012613125701 Vorgabe 4.3.10

Mitwirken bei Ordnungswidrigkeitsverfahren des § 14 § 60 2021012707301701 formelle Änderung BSI (BMG) Einvernehmensverfahren der für die Institutionen § 14a § 61 2021102813021101 formelle Änderung der sozialen Sicherung zuständigen Aufsichtsbe- hörden (BMAS und BAS) mit BSI über zu ergrei- fende Maßnahmen Bestimmung von KRITIS-Betreibern § 2 Absatz 10 § 28 Absätze 2023121812504101 formelle Änderung

i. V. m. § 10 5 und 6 Absatz 1

Gewährleistung der IT-Sicherheit bei der Kommu- § 2 Absatz 3 § 7 i.V.m. § 2 2021110314194701 Vorgabe 4.3.6 nikation zwischen Behörden und öffentlichen Net- Absatz 1 zen (ITZBund) Nummer 18 Mitwirken bei der Förderung der Sicherheit in der § 3 Absatz 1 § 3 Absatz 1 2021012707534101 formelle Änderung Informationstechnik durch BSI (BMFSFJ)

Mitwirken bei der Förderung der Sicherheit in der § 3 Absatz 1 § 3 Absatz 1 2021012708221801 formelle Änderung Informationstechnik durch BSI (BzKJ)

Mitwirken bei der Förderung der Sicherheit in der § 3 Absatz 1 § 3 Absatz 1 2021012709053401 formelle Änderung Informationstechnik durch BSI (BAFzA)

Beratung, Information, Empfehlung und Warnung § 3 Absatz 1 § 3 Absatz 1 2015030910484001 Vorgabe 4.3.6 in Fragen der Sicherheit in der Informationstech- Nr. 14, 14a nik (BSI) und 19 Beratung, Kontrolle und Prüfung datenschutz- § 3 Absatz 1 § 3 Absatz 1 2021012706485901 Vorgabe 4.3.6 rechtlicher Vorgaben bei der Umsetzung der Prüf- Satz 2 Nr. 12 , Abfrage- und Kontrollbefugnisse des BSI (BfDI)

Kontrolle der Kommunikationstechnik des Bundes § 4a § 7 2021012608550401 Vorgabe 4.3.6 durch das Bundesamt (BSI)

Mitwirken bei Kontrolle der Kommunikationstech- nik des Bundes)

§ 8 führt den bisherigen § 5 fort.

Zu Absatz 1

Absatz 1 führt den bisherigen § 5 Absatz 1 fort. In Satz 3 erfolgt eine § 4a § 7 2021012707130301 Vorgabe 4.3.6 nik des Bundes durch das BSI (Bundesbehörden)

Allgemeine Meldestelle für die Sicherheit in der § 4b § 5 Absatz 1 2021012609014501 Vorgabe 4.3.6 Informationstechnik (BSI)

Mitwirken bei der Allgemeinen Meldestelle für die § 4b § 5 Absatz 1 2021012707162401 formelle Änderung Sicherheit in der Informationstechnik beim BSI (Bundesbehörden) Abwehr von Schadprogrammen und Gefahren für § 5 § 9 2021012609055001 Vorgabe 4.3.6 die Kommunikationstechnik des Bundes (BSI)

- 125 - Bearbeitungsstand: 07.05.2024 10:19

Mitwirken bei der Verarbeitung eigener behörden- § 5a § 9 2021012606533701 formelle Änderung interner Protokollierungsdaten durch das BSI (Bundesbehörden) Verarbeitung behördeninterner Protokollierungs- § 5a § 9 2021012609332401 Vorgabe 4.3.6 daten (BSI) Wiederherstellung der Sicherheit oder Funktions- § 5b § 11 2021012609372701 Vorgabe 4.3.6 fähigkeit informationstechnischer Systeme in her- ausgehobenen Fällen (BSI)

Bestandsdatenabfrage (BSI) § 5c § 12 2021012609432501 Vorgabe 4.3.6

Aufgaben im Rahmen der Einschränkung von In- § 6a § 22 2019011110030201 Vorgabe 4.3.6 formationspflichten (BSI)

Technische Untersuchungen durch das Bundes- § 7a § 14 Absatz 1 2021012610373001 Vorgabe 4.3.6 amt (BSI) Umsetzung von Maßnahmen zur Sicherheit der § 7a § 14 2021102713464901 formelle Änderung Informationstechnik (BMAS)

Mitwirken bei der Untersuchung der Sicherheit in § 7a Absatz 3 § 14 Absatz 3 2021012706565501 Vorgabe 4.3.6 der Informationstechnik durch BSI (BfDI)

Mitwirken bei der Untersuchung der Sicherheit in § 7a Absatz 3 § 14 Absatz 3 2021012707245801 formelle Änderung der Informationstechnik durch BSI (BMG)

Detektion von Sicherheitsrisiken für die Netz- und § 7b § 15 2021012610415601 Vorgabe 4.3.6 IT-Sicherheit und von Angriffsmethoden (BSI)

Einvernehmen mit dem BfDI vor einer Anordnung § 7c Absatz 1 § 16 Absatz 1 2021012707021901 Vorgabe 4.3.6 durch das Bundesamt (BSI)

Festlegung von Mindeststandards für die Sicher- § 8 § 44 2021012611515101 Vorgabe 4.3.6 heit der Informationstechnik des Bundes BSI

Festlegung und Einhaltung einvernehmlicher IT- § 8 Absatz 1, §§ 44 i.V.m. § 2021012607002101 formelle Änderung Mindeststandards und Beteiligung des BSI bei 1a und 4 47 wesentlichen Digitalisierungsvorhaben (Bundes- behörden) Prüfung branchenspezifischer Sicherheitsstan- § 8a § 30 Absatz 9 2023121812331001 Vorgabe 4.3.6 dards (BSI) Umsetzung von organisatorischen und techni- § 8a Absatz § 31 Absatz 2 2021102814224601 formelle Änderung schen Vorkehrungen (AA) 1a

Mitwirken bei der Prüfung branchenspezifischer § 8a Absatz 2 § 30 Absatz 9 2015030910484201 formelle Änderung Sicherheitsstandards (BBK)

Mitwirken bei der Aufgabenerfüllung der Melde- § 8b Absatz 2 § 40 Absatz 3 2015030910484401 formelle Änderung stelle (BfV) Nr. 4 b Nr. 5 Mitwirken bei der Aufgabenerfüllung der Melde- § 8b Absatz 2 § 40 Absatz 3 2015030910484501 formelle Änderung stelle (BND) Nr. 4 b Nr. 5 Bewertung und Bewältigung erheblichen Sicher- § 8b Absatz § 40 Absatz 5 2021012611561201 Vorgabe 4.3.7 heitsvorfälle (BSI) 4a Mitwirken bei der Bewältigung erheblichen Si- § 8b Absatz §§ 36 und 40 2021012710391601 Vorgabe 4.3.7 cherheitsvorfälle (Bundesbehörden) 4a Absatz 5

Mitwirken bei der Bewältigung erheblichen Si- § 8b Absatz §§ 36 und 40 2021110314022901 Vorgabe 4.3.7 cherheitsvorfälle (ITZBund) 4a Absatz 5

Bearbeitungen von Selbsterklärungen (BSI) § 8f §§ 33 und 34 2021012611593401 Vorgabe 4.3.3

Nationale Behörde für die Cybersicherheitszertifi- § 9a § 55 2021012612594401 formelle Änderung zierung der Bußgeldhöhe entsprechend des Verhältnismäßigkeitsgrundsatzes kann nach Schwere des Verstoßes und Einrichtungsart durch das Bundesamt vorgenommen wer- den. So ist bei Betreibern kritischer Anlagen der Bußgeldrahmen am oberen Rande aus- zuschöpfen.

Höchste Stufe ist hier die Stufe von 10 Millionen Euro oder mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene angehört. Auf dieser Stufe werden Verstöße gegen Absatz 2 Num- mern 2 und 3 geahndet.

Ein Verstoß gegen Absatz 2 Nummer 2 wurde auf dieser höchsten Stufe angesetzt. Die- ser sieht die Ahndung von Verstößen gegen Risikomanagementmaßnahmen iSd § 30 Absatz 1 (BSI) Mitwirken bei der Prüfung zur Untersagung des § 9b § 41 Absatz 3 2021012613034601 formelle Änderung Einsatzes kritischer Komponenten (BMI)

Mitwirken bei der Prüfung der Garantieerklärung § 9b Absätze § 41 Absätze 2021110409335901 formelle Änderung und Untersagung kritischer Komponenten (BND) 3 & 4 3 & 4

Untersagung des Einsatzes kritischer Komponen- § 9b Absatz 4 § 41 Absatz 4 2021012508360401 formelle Änderung ten oder Erlass sonstiger Anordnungen (BMI)

Mitwirken bei der Untersagung kritischer Kompo- § 9b Absatz 4 § 41 Absatz 4 2021012707270601 formelle Änderung nenten (BMG) Mitwirken bei der Untersagung kritischer Kompo- § 9b Absatz 4 § 41 Absatz 4 2021102714324301 formelle Änderung nenten (BMAS) Mitwirken bei der Untersagung kritischer Kompo- § 9b Absatz 4 § 41 Absatz 4 2021110111334101 formelle Änderung nenten (AA) Vergabe des IT-Sicherheitskennzeichens durch § 9c § 56 2021012613071901 formelle Änderung das Bundesamt (BSI)

Anpassungen der IT-Sicherheit (GDZ) §§ 4a, 4b, 8, § 5 Absatz 3 2021110111534201 Vorgabe 4.3.1 8b Absatz 4a

Aufgaben im Rahmen der Einschränkung von Be- §§ 6b bis 6f §§ 23 bis 27 2019011110030202 Vorgabe 4.3.6 troffenenrechten (BSI)

EnWG (Artikel 16)

- 126 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

Bearbeitung der Nachweise von kritischen Unter- § 11 Abs. 1e § 5c Absatz 4 2021110811522901 formelle Änderung nehmen über die Erfüllung der von BSI festgeleg- ten Anforderungen (BNetzA) Festlegung von Sicherheitsanforderungen § 11 Abs. 1g § 5c 2022063010393601 formelle Änderung (BNetzA)

5. Weitere Kosten

Keine.

6. Weitere Gesetzesfolgen

Durch den Gesetzesentwurf wird die Versorgungssicherheit für Verbraucherinnen und Ver- braucher erhöht. Die bestehenden Regelungen des BSI-Gesetzes zum Verbraucherschutz werden nicht berührt.

Die Regelungen des Gesetzentwurfs sind inhaltlich geschlechtsneutral aufgrund der vor- rangig gegebenen unmittelbaren Betroffenheit der Zielgruppe des Regelungsvorhabens und damit ohne Gleichstellungsrelevanz. Die weitere Stärkung und Förderung der Cyber- und Informationssicherheit betrifft jedoch sowohl mittel- als auch unmittelbar Frauen und Männer. § 1 Absatz 2 des Bundesgleichstellungsgesetzes bestimmt, dass Rechts- und Verwaltungsvorschriften Ver- waltungsvorschriften des Bundes die Gleichstellung von Frauen und Männern auch sprachlich zum Ausdruck bringen sollen. Dies wurde in der Entwicklung der Gesetzesfor- mulierung sprach- lich zum Ausdruck bringen sollen. Dies wurde in der Entwicklung der Gesetzesformulierung unter Einbeziehung bereits gegebener Diktion berücksichtigt.

Die Regelungen entsprechen zudem den Anforderungen des „Gleichwertigkeits-Checks“. Der Gesetzentwurf dient der Förderung der Versorgung in den digitalen Infrastrukturen und der Erreichbarkeit von Dienstleistungen und Verwaltungsleistungen. Auch wird dem Schutz einer Daseinsvorsorge mit ihren unterschiedlichen Bereichen, die eine wesentliche Voraussetzung Voraus- setzung für gleichwertige Lebensverhältnisse der Menschen und den gesellschaftlichen Zu- sammenhalt Rechnung getragen. Auswirkungen auf die vorhandene Siedlungs- und Raumstruktur Raum- struktur oder demographische Belange sind nicht zu erwarten.

VII. Befristung; Evaluierung

Art. 28 sieht eine Evaluierungsklausel vor. Da der Gesetzentwurf in weiten Teilen der Um- setzung der NIS-2-Richtlinie dient und gemäß Artikel 40 der NIS-2-Richtlinie bereits Ge- genstand einer Evaluierung durch die Europäische Kommission ist, wird vorliegend eine beschränkte Evaluierung vorgesehen.

B. Besonderer Teil

Zu Artikel 1 (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen)

Die Änderung der Gesetzesüberschrift durch die Ergänzung „und über die Sicherheit in der Informationstechnik von Betreibern und Einrichtungen“ soll dem Umstand Rechnung tragen, dass es sich nicht um ein reines Errichtungsgesetz einer Bundesbehörde handelt.

Die Schaffung einer (amtlichen) Inhaltsübersicht erfolgt aufgrund des gestiegenen Um- fangs Umfangs des Gesetzes sowie Strukturierung des Gesetzes in Teile und Kapitel zur besseren Übersicht Über- sicht für den Rechtsanwender.

- 127 - Bearbeitungsstand: 07.05.2024 10:19

Zu Teil 1 (Allgemeine Vorschriften)

Zu § 1 (Bundesamt für Sicherheit in der Informationstechnik)

§ 1 führt den bisherigen § 1 fort.

Zu § 2 (Begriffsbestimmungen)

Die Begriffsbestimmungen werden zur Steigerung der Übersichtlichkeit in Nummern an- statt anstatt von einzelnen Absätzen gestaltet, welche alphabetisch sortiert werden. Dies war infolge der Einführung zahlreicher neuer Begriffsbestimmungen, bedingt durch die Vorga- ben der NIS-2-Richlinie, Vorgaben der NIS- 2-Richlinie, erforderlich geworden. Eine thematische Sortierung scheidet auf- grund der großen Anzahl der Begriffe aus, eine Übersichtlichkeit für den Rechtsanwender könnte dann nicht mehr gewährleistet werden.

Zu Absatz 1

Zu Nummer 1

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 5 der NIS-2-Richtli- nie.

Zu Nummer 2

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 5 der NIS-2-Richtli- nie. aufgrund der gro- ßen Anzahl der Begriffe aus, eine Übersichtlichkeit für den Rechtsanwender könnte dann nicht mehr gewährleistet werden.

Zu Absatz 1

Zu Nummer 1

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 5 der NIS-2-Richtlinie. Die Legaldefinition eines Beinahevorfalls ist hier bewusst weit gefasst, da grundsätz- lich grundsätzlich vielfältige Vorfälle im Kontext der Cybersicherheit als Beinahevorfall gewertet werden können. kön- nen. Demnach kann beispielsweise eine professionell gestaltete Phishingmail, die nur aufgrund auf- grund entsprechender besonders intensiver Sensibilisierung der Mitarbeiter oder auf- grund aufgrund einer erhöhten Aufmerksamkeit der Belegschaft als solche erkannt wurde, durch- aus als Beinahevorfall gewertet werden, wenn diese unter sonst üblichen Bedingungen nicht erkannt durchaus als Beinahevorfall gewertet werden, wenn diese unter sonst üblichen Bedingungen nicht er- kannt worden wäre. Nicht als Beinahevorfall anzusehen sind jedoch regelmäßige und alltägliche all- tägliche Störungen und Belästigungen wie Spam E-Mails oder offenkundig auch für ungeschultes unge- schultes Personal als Phishingmail erkennbare E-Mails.

Zu Nummer 3

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 32 30 der NIS-2- Richtlinie.

Zu Nummer 4

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 10 32 der NIS-2- Richtlinie.

Zu Nummer 5

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 9 fort.

Zu Nummer 6

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 20 der NIS-2-Richtli- nie.

- 106 - Bearbeitungsstand: 22.12.2023 09:58

Zu Nummer 7

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 22 der NIS-2-Richtli- nie.

Zu Nummer 8

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 11 der NIS-2-Richtli- nie.

Zu Nummer 9

2

Der Sektor Weltraum umfasst insbesondere Einrichtungen, deren Funktionsfähigkeit für die Erbringung verschiedener kritischen Dienstleistung (Transport und Verkehr, Finanz- und Versicherungswesen) zwingend erforderlich sind. Dazu werden die Begriffe „Bodeninfra- struktur“ und „weltraumgestützte Dienste“ (Nummer 44) definiert. Bodeninfrastruktur um- fasst dabei Einrichtungen wie etwa Satellitenkontrollzentren und Bodenstationen während weltraumgestützte Dienste zum Beispiel Globale Navigationssatellitensysteme (GNSS) o- der hochgenaue Zeitservices umfassen.

Zu Nummer 3

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 30 der NIS-2-Richtli- nie.

Zu Nummer 4

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 32 der NIS-2-Richtli- nie.

Zu Nummer 5

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 10 der NIS-2-Richtli- nie.

Zu Nummer 6

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 9 fort.

- 128 - Bearbeitungsstand: 07.05.2024 10:19

Zu Nummer 7

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 20 der NIS-2-Richtli- nie.

Zu Nummer 8

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 22 der NIS-2-Richtli- nie.

Zu Nummer 9

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 11 der NIS-2-Richtli- nie.

Zu Nummer 10

Die Begriffsbestimmung dient der Umsetzung von Artikel 23 Absatz 3 und Absatz 11 Un- terabsatz 2 der NIS-2-Richtlinie. Bei den hier genannten finanziellen Verlusten sind Baga- tellschäden regelmäßig ausgeschlossen.

Zu Nummer 10

11

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 41 der NIS-2-Richtli- nie. Ein primäres Ziel im Sinne der Vorschrift dürfte ab einem Überschreiten von 50 % der Gesamttätigkeit gegeben sein.

Zu Nummer 11

12

Die Begriffsbestimmung dient der Umsetzung von Artikel 20 der NIS-2-Richtlinie. Da die Pflichten und Befugnisse der Leitungen von Einrichtungen des Bundes nach § 29 abwei- chend in § 43 geregelt sind, werden diese hier explizit von der Definition ausgenommen.

Zu Nummer 12

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 13 der NIS-2-Richtli- nie. Mit „IKT-Dienst“ ist in der Verordnung (EU) 2019/881 ein Dienst gemeint, der vollstän- dig 13

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 13 der NIS-2-Richtli- nie. Mit „IKT-Dienst“ ist in der Verordnung (EU) 2019/881 ein Dienst gemeint, der vollständig oder überwiegend aus der Übertragung, Speicherung, Abfrage oder Verarbeitung von Informationen mittels informationstechnischer Systeme, Komponenten und Prozessen besteht.

Zu Nummer 13

In- formationen mittels informationstechnischer Systeme, Komponenten und Prozessen be- steht.

Zu Nummer 14

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 12 der NIS-2-Richtli- nie. Mit „IKT-Produkt“ ist in der Verordnung (EU) 2019/881 ein Element oder eine Gruppe von Elementen eines Netz- oder Informationssystems gemeint. Der Begriff wird zur euro- paweiten Vereinheitlichung der Terminologie im Rahmen der Umsetzung der NIS-2-Richt- linie eingeführt und ersetzt den alten Begriff des IT-Produkts in § 2 Absatz 9a BSI-Gesetz a.F. Inhaltlich ergeben sich zwischen beiden Begriffen keine Unterschiede. Die hier refe- renzierte Definition beinhaltet sowohl Hardwareprodukte als auch Softwareprodukte.

Zu Nummer 14

15

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 14 der NIS-2-Richtli- nie. Mit dem Begriff „IKT-Prozess“ meint die Verordnung (EU) 2019/881 jegliche Tätigkei- ten, mit denen ein ITK-Produkt oder -Dienst konzipiert, entwickelt, bereitgestellt oder ge- pflegt werden soll.

Zu Nummer 15

Der Begriff Informationssicherheit wurde auch bisher bereits im BSI-Gesetz verwendet, jedoch - 129 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

Zu Nummer 16

Der Begriff Informationssicherheit wurde auch bisher bereits im BSI-Gesetz verwendet, je- doch nicht gesetzlich definiert. Aus Klarstellungsgründen erfolgt daher nunmehr eine ent- sprechende Legaldefinition, die sich an den bereits etablierten Definitionen des BSI IT- Grundschutzes orientiert.

Zu Nummer 16

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 1 fort.

Zu Nummer 17

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 18 der NIS-2-Richtli- nie.

Zu Nummer 18

17

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 1 fort.

Zu Nummer 18

Die Begriffsbestimmung führt die Legaldefinition im bisherigen § 14a Satz 1 fort, der Begriff wird nunmehr in §§ 29 und 62 verwendet. Zur Vervollständigung der bisherigen Legaldefi- nition wurde die Versorgungsanstalt der deutschen Bühnen, die Versorgungsanstalt der deutschen Kulturorchester und die Versorgungsanstalt der bevollmächtigten Bezirks- schornsteinfeger ergänzt.

Zu Nummer 19

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 18 der NIS-2-Richtli- nie.

Zu Nummer 20

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 3 fort. Es wurde eine Begriffskon- solidierung vorgenommen – statt „Bundesbehörden“ nun „Einrichtungen der Bundesver- waltung“. Der Begriff wird über den Anwendungsbereich von § 29 definiert. Die Erweite- rung Bundesverwal- tung“. Der Begriff wird über den Anwendungsbereich von § 29 definiert. Die Erweiterung der Definition ist vor dem Hintergrund der Zeitenwende geboten und ist mit Rücksicht darauf erforderlich, dass angesichts der komplexen digitalen Infrastruktur auch Informati- onstechnik Informationstech- nik schutzbedürftig sein kann, die nicht unmittelbar von Bundesbehörden betrie- ben betrieben oder verwendet wird. Eine Kompromittierung der Systeme einer Einrichtung der Bun- desverwaltung Bundesverwal- tung ist geeignet, ein Risiko für alle damit vernetzten Einrichtungen darzustel- len, darzustellen, auch wenn die konkret betroffene IT nur mittelbar z.B. durch Handeln Einzelner ge- fährdet ist.

Zu Nummer 19

gefährdet ist.

Zu Nummer 21

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 10 BSI-Gesetz mit Änderungen aufgrund der neuen Regelungssystematik fort. Die Ergebnisse der Evaluierung dieser Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Si- cherheit informationstechnischer Systeme wurden berücksichtigt.

Zu Nummer 20

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 13 fort.

Zu Nummer 21

Die Begriffsbestimmung der kritischen Dienstleistung wurde neu aufgenommen.

Zu Nummer 22

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 40 der NIS-2-Richtli- nie.

Zu Nummer 23

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 39 der NIS-2-Richtli- nie.

Zu Nummer 24

Sicherheit informationstechnischer Systeme wurden berücksichtigt. Die Vorschrift wird in absehbarer Zeit geändert, vgl. Artikel 2.

Zu Nummer 22

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 13 fort.

Zu Nummer 23

Die Begriffsbestimmung wurde aus § 1 Absatz 1 Nummer 3 BSI-KritisV übernommen.

Zu Nummer 24

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 40 der NIS-2-Richtli- nie.

- 130 - Bearbeitungsstand: 22.12.2023 09:58

Zu Absatz 3

Absatz 3 regelt, dass eine Registrierung von Einrichtungen und Diensteanbietern auch durch das Bundesamt selbst vorgenommen werden kann, wenn eine Einrichtung oder ein Anbieter ihre oder seine Pflicht zur Registrierung nicht erfüllt. Absatz 3 führt den bisheri- gen § 8b Absatz 3 Satz 2 fort und erweitert diesen auf die hier genannten Einrichtungsar- ten.

Zu Absatz 4

Absatz 5 führt den bisherigen § 8b Absatz 3a fort. Die hier genannten Geheimschutzinter- essen 07.05.2024 10:19

Zu Nummer 25

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 39 der NIS-2-Richtli- nie.

Zu Nummer 26

Die Begriffsbestimmung dient der Vereinfachung der zahlreichen Zitate der NIS-2-Richtli- nie im BSI-Gesetz.

- 108 - Bearbeitungsstand: 22.12.2023 09:58

Zu Nummer 25

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 28 der NIS-2-Richtli- nie.

Zu Nummer 26

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 29 der NIS-2-Richtli- nie.

Zu Nummer 27

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 33 der NIS-2-Richtli- nie.

Zu Nummer 28

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 8 fort.

Zu Nummer 29

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 8a fort.

Zu Nummer 30

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 26 der NIS-2-Richtli- nie.

Zu Nummer 31

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 27 der NIS-2-Richtli- nie.

Zu Nummer 32

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 31 der NIS-2-Richtli- nie.

Zu Nummer 33

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 5 fort.

Zu Nummer 34

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 4 fort. Es wird eine Begriffskon- solidierung/Folgeänderung NIS-2-Richtlinie im BSI-Gesetz.

Zu Nummer 27

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 28 der NIS-2-Richtli- nie.

Zu Nummer 28

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 29 der NIS-2-Richtli- nie.

Zu Nummer 29

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 33 der NIS-2-Richtli- nie.

Zu Nummer 30

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 8 fort.

Zu Nummer 31

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 8a fort.

Zu Nummer 32

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 26 der NIS-2-Richtli- nie.

Zu Nummer 33

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 27 der NIS-2-Richtli- nie.

Zu Nummer 34

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 31 der NIS-2-Richtli- nie.

Zu Nummer 35

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 5 fort.

Zu Nummer 36

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 4 fort. Es wird eine Begriffskonso- lidierung/Folgeänderung vorgenommen – statt Bundesbehörden nun Einrichtungen der Bundesverwaltung. Durch die Anpassung erweitert sich die Reichweite des Begriffs – mit Blick auf den Schutzzweck der Informationssicherheit der Netze des Bundes bzw.

mögli- cher - 131 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

möglicher weiterer Regierungsnetze bedeutet die Erweiterung die Klarstellung, dass nicht allein Bundesbehörden an diese Netze angeschlossen sein können.

Zu Nummer 35

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 6 fort und dient gleichzeitig der Umsetzung von Artikel 6 Nummer 15 der NIS-2-Richtlinie.

- 109 - Bearbeitungsstand: 22.12.2023 09:58

Zu Nummer 36

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 2 Satz 2 fort.

Zu Nummer 37

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 6 der NIS-2-Richtli- nie.

Zu Nummer 38

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 9b fort.

Zu Nummer 39

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 21 der NIS-2-Richtli- nie.

Zu Nummer 40

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 24 der NIS-2-Richtli- nie.

Zu Nummer 41

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 25 der NIS-2-Richtli- nie.

Zu Nummer 42

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 7 fort.

Zu Absatz 2

Absatz 2 dient der Umsetzung von Artikel 23 Absatz 11 Unterabsatz 2 der NIS-2-Richtli- nie. Das Bundesamt kann Vorgaben dazu machen, wann Sicherheitsvorfälle als erheblich gelten. 37

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 6 fort und dient gleichzeitig der Umsetzung von Artikel 6 Nummer 15 der NIS-2-Richtlinie.

Zu Nummer 38

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 2 Satz 2 fort.

Zu Nummer 39

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 6 der NIS-2-Richtlinie.

Zu Nummer 40

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 9b fort.

Zu Nummer 41

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 21 der NIS-2-Richtli- nie.

Zu Nummer 42

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 24 der NIS-2-Richtli- nie.

Zu Nummer 43

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 25 der NIS-2-Richtli- nie.

Zu Nummer 44

Auf die Begründung zu Nummer 2 wird verwiesen.

Zu Nummer 45

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 7 fort.

Zu Absatz 2

Absatz 2 dient der Umsetzung von Artikel 23 Absatz 11 Unterabsatz 2 der NIS-2-Richtlinie. Das Bundesamt kann Vorgaben dazu machen, wann Sicherheitsvorfälle als erheblich gel- ten. Soweit die Europäische Kommission dahingehende Durchführungsrechtsakte er- lässt, genießen diese Vorrang. Die Vorgaben des Bundesamtes haben dann nur noch konkretisierende Wirkung, soweit die Durchführungsrechtsakte Auslegungsspielräume lassen. Auch Rückmeldungen der Wirtschaft im Zuge der Erarbeitung des Referentenent- wurfs lassen den Schluss zu, dass eine weitere Konkretisierung des Erheblichkeitskriteri- ums im Rahmen einer RVO sinnvoll ist. Da hierzu bis Oktober 2024 auch ein Durchfüh- rungsrechtsakt der EU-KOM erlässt, genießen diese Vorrang. Die Vorgaben des Bundesamtes haben dann nur noch konkreti- sierende Wirkung, soweit die Durchführungsrechtsakte Auslegungsspielräume lassen. Auch Rückmeldungen der Wirtschaft im Zuge der Erarbeitung des Referentenentwurfs las- sen den Schluss zu, dass eine weitere Konkretisierung des Erheblichkeitskriteriums im Rahmen einer Rechtsverordnung sinnvoll ist. Da hierzu bis Oktober 2024 auch ein Durch- führungsrechtsakt der Europäischen Kommission geplant ist, sollte jedoch von weitergehenden weiterge- henden Konkretisierungen auf Gesetzesebene Abstand genommen werden. Dies würde sonst zu Unklarheiten bzw. Missverständnissen für die Rechtsanwender führen, wenn die Bestimmungen im BSIG BSI-Gesetz stünden, aber ggf. aufgrund anderweitiger Festlegungen im Durchführungsrechtsakt ungültig wären. Durch die Möglichkein, Möglichkeit, mit einer nachgelagerten

RVO hier auch ergän- zend zum Durchführungsrechtsakt weitergehende Klarstellungen - 132 - Bearbeitungsstand: 22.12.2023 09:58

reiche führt Artikel 2 Absatz 8 der NIS-2-Richtlinie die Bereiche der nationalen Sicherheit, öffentlichen 07.05.2024 10:19

Rechtsverordnung hier auch ergänzend zum Durchführungsrechtsakt weitergehende Klar- stellungen zu geben, ergibt sich dieses Problem nicht.

Zu Teil 2 (Das Bundesamt)

Zu Kapitel 1 (Aufgaben und Befugnisse)

Zu § 3 (Aufgaben des Bundesamtes)

Mit der Umsetzung der NIS-2-Richtlinie wird der Katalog der Aufgaben des Bundesamtes erweitert. Wie es die Erfüllung der Aufgaben priorisiert, hat das Bundesamt im Hinblick auf Artikel 31 Absatz 2 Satz 1 der NIS-2-Richtlinie nachpflichtgemäßem Ermessen zu ent- scheiden.

entschei- den.

Zu Absatz 1

Absatz 1 führt den bisherigen § 3 Absatz 1 fort und wurde durch eine Streichung in Satz 1 bereinigt. Da es sich bei „Sicherheit in der Informationstechnik“ um einen in § 2 Absatz 1 Nummer 36 38 definierten Begriff handelt, welche die bereinigten Worte bereits beinhaltet, handelte es sich hier um einen Zirkelschluss.

Zu Nummer 1

Nummer 1 führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 1 fort.

Zu Nummer 2

Nummer 2 führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 2 fort.

Zu Nummer 3

Nummer 3 dient der Umsetzung von Artikel 14 und 15 der NIS-2-Richtlinie in Form einer Aufgabe des Bundesamtes.

Zu Nummer 4

Nummer 4 führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 3 fort.

Zu Nummer 5

Nummer 5 führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 4 fort.

Zu Nummer 6

Nummer 6 dient der Umsetzung von Artikel 19 der NIS-2-Richtlinie in Form einer Aufgabe des Bundesamtes.

Zu Nummer 7

In Nummer 7 erfolgt eine gesetzliche Verankerung von Aufgaben, die nach dem Umset- zungsplan Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 1 fort.

Zu Nummer 2

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 2 fort.

Zu Nummer 3

Die Aufgabe dient der Umsetzung von Artikel 14 und 15 der NIS-2-Richtlinie in Form einer Aufgabe des Bundesamtes.

Zu Nummer 4

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 3 fort.

Zu Nummer 5

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 4 fort.

Zu Nummer 6

Die Aufgabe dient der Umsetzung von Artikel 19 der NIS-2-Richtlinie in Form einer Aufgabe des Bundesamtes.

Zu Nummer 7

Hier erfolgt eine gesetzliche Verankerung von Aufgaben, die nach dem Umsetzungsplan Bund und der Netzstrategie 2030 bereits dem Bundesamt zugewiesen sind. Die Begrifflich- keit knüpft an § 2 Absatz 3 BDBOSG an und präzisiert die Rolle des BSI bei der dort geregelten Aufgabe der BDBOS: Bundesamtes bei der dort geregelten Aufgabe der Bundesanstalt für den Digitalfunk der Behörden und Organi- sationen mit Sicherheitsaufgaben (BDBOS): Das Bundesamt ist federführend bei der Gestal- tung der Informationssicherheit in den ressortübergreifenden Ge- staltung der Informationssicherheit in den ressortübergreifenden Kommunikationsinfra- strukturen. Im Benehmen mit den jeweiligen Betreibern legt es hierzu Informationssicher- heitsanforderungen an juristische und natürliche Personen, die wesentliche Dienste er- bringen oder Tätigkeiten ausüben, werden mit der Richtlinie (EU) 2022/2555 des Europäi- schen Parlaments und des Rates vom 14. Dezember 2022 über fest, prüft Planungen und Implementierungen aus sicherheitstechnischer sicherheitstechni- scher Sicht, auch bei Dienstleistern und angeschlossenen Organisationen, berät zu

Lösungsal- ternativen - 133 - Bearbeitungsstand: 07.05.2024 10:19

Lösungsalternativen und Realisierungsmaßnahmen, begleitet Abnahmen sicherheitstechnisch sicherheitstech- nisch und steuert das Sicherheitsmanagement insbesondere der Betriebsphase. Festgestellte Män- gel, Risiken oder Sicherheitsvorfälle werden an die zuständigen Stellen berichtet.

- 111 - Bearbeitungsstand: 22.12.2023 09:58

Zu Nummer 8

Nummer 8 führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 5 fort.

Zu Nummer 9

Nummer 9 führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 5a fort.

Zu Nummer 10

Nummer 10 führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 6 fort.

Zu Nummer 11

Nummer 11 führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 7 fort.

Zu Nummer 12

Nummer 12 führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 8 fort.

Zu Nummer 13

Nummer 13 führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 9 fort.

Zu Nummer 14

Nummer 14 führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 10 fort.

Zu Nummer 15

Nummer 15 Festge- stellte Mängel, Risiken oder Sicherheitsvorfälle werden an die zuständigen Stellen berich- tet.

Zu Nummer 8

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 5 fort.

Zu Nummer 9

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 5a fort.

Zu Nummer 10

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 6 fort.

Zu Nummer 11

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 7 fort.

Zu Nummer 12

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 8 fort.

Zu Nummer 13

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 9 fort.

Zu Nummer 14

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 10 fort.

Zu Nummer 15

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 11 fort. Es erfolgt eine Be- griffskonsolidierung/Erweiterung des Anwendungsbereichs auf Einrichtungen der Bundes- verwaltung. Die Erweiterung erfolgt zum Zwecke eines einheitlich hohen Sicherheitsni- veaus für alle Einrichtungen, die Informationstechnik des Bundes betreiben. Zu Nummer 16

Nummer 16 Zudem wird die Bereitstellung von IT-Sicherheitsprodukten durch die Bereitstellung von IT-Sicherheits- dienstleistungen ergänzt. Der Bedarf an IT-Sicherheitsprodukten und -dienstleistungen, einschließlich der Notwendigkeit einer VS-Zulassung, wird durch das Bundesamt ermittelt.

Zu Nummer 16

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 12 fort. Hier wird „Stellen des Bundes“ beibehalten, da eine Erweiterung auf alle Einrichtungen der Bundesverwal- tung Bundesverwaltung zu erheblich größerem Erfüllungsaufwand führen würde, der nicht im Verhältnis zum Nutzen stünde.

Zu Nummer 17

Nummer 17 Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 12a fort. Hier erfolgt eine Begriffskonsolidierung zu „Einrichtungen der Bundesverwaltung“. Komplementär zur Ver- pflichtung weiterer Einrichtungen auf Vorgaben des Bundesamtes ist auch die Beratungs- und Unterstützungsaufgabe des Bundesamtes auf diese Einrichtungen zu erweitern. Zu Nummer 18

Nummer 18 führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 13 fort. Die Möglichkeit der Leistung von Amtshilfe des Bundesamtes gegenüber den Ländern ist von der Änderung des bisherigen § 3 Absatz 1 Satz 2 Nummer 13 unberührt.

Zu Nummer 19

Nummer 19 Er- gänzt um die Erstellung von Handreichungen und die Unterstützung der Bereitstellung entsprechender Lösungen wird diese Aufgabe durch die Bereitstellung von praxisnahen Hilfsmitteln, um deutlich zu machen, dass eine Unterstützung des Bundesamtes sich nicht nur auf die Betreuung

- 134 - Bearbeitungsstand: 22.12.2023 09:58

derartige 07.05.2024 10:19

einzelner Einrichtungen beschränkt, sondern auch die Bereitstellung einrichtungsübergrei- fender Hilfsmittel umfasst, die der Unterstützung aller oder mehrerer Einrichtungen dienen. Bei der (Fort-)entwicklung dieser Hilfsmittel berücksichtigt das Bundesamt die Erfahrungen aus der Praxis.

Zu Nummer 18

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 13 fort. Die Möglichkeit der Leistung von Amtshilfe des Bundesamtes gegenüber den Ländern ist von der Änderung des bisherigen § 3 Absatz 1 Satz 2 Nummer 13 unberührt.

Zu Nummer 19

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 13a fort.

Zu Nummer 20

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 14 fort. Es erfolgt eine Be- griffskonsolidierung zu Einrichtungen der Bundesverwaltung, damit Umkehrschluss ver- mieden vermie- den wird, dass die über Stellen des Bundes hinausgehenden Einrichtungen nicht er- fasst erfasst seien. Die Möglichkeit der Leistung von Amtshilfe des Bundesamtes gegenüber den Ländern ist von der Änderung des bisherigen § 3 Absatz 1 Satz 2 Nummer 14 unberührt.

Zu Nummer 21

Nummer 21 führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 14a fort.

Zu Nummer 22

Nummer 22 führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 15 fort.

Zu Nummer 23

Nummer 23 führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 16 fort.

Zu Nummer 24

Nummer 24 Län- dern ist von der Änderung des bisherigen § 3 Absatz 1 Satz 2 Nummer 14 unberührt.

Zu Nummer 21

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 14a fort.

Zu Nummer 22

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 15 fort.

Zu Nummer 23

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 16 fort.

Zu Nummer 24

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 17 fort. Es wird eine Folge- änderung aufgrund Anpassung der Systematik vorgenommen: „Betreiber Kritischer Infra- strukturen“ nunmehr einheitlich „Betreiber kritischer Anlagen“, ferner gehen „Anbieter digi- taler Dienste“ und „Unternehmen im besonderen öffentlichen Interesse“ in „besonders wichtige wich- tige Einrichtungen, Absatz 3 die Anforderungen für Betreiber kritischer Anlagen.

Einrichtungen“ und „wichtige Einrichtungen“ auf.

Zu Nummer 25

Nummer 25 Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 18 fort. Im Übrigen erfolgt eine Anpassung des fehlerhaften Verweises auf den bisherigen § 5a anstatt den bisheri- gen bisherigen § 5b , letzterer wird durch § 11 fortgeführt.

Zu Nummer 26

Nummer 26 führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 19 fort.

Zu Nummer 27

Nummer 27 führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 20 fort.

Zu Nummer 28

Die neue Aufgabe des Bundesamtes in Nummer 28 dient der Umsetzung von Artikel 10 Absatz 8 der NIS-2-Richtlinie.

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 19 fort.

Zu Nummer 27

Die Aufgabe führt den bisherigen § 3 Absatz 1 Satz 2 Nummer 20 fort.

- 135 - Bearbeitungsstand: 22.12.2023 09:58

Zu Absatz 2

Absatz 1 führt den bisherigen § 8b Absatz 2 fort.

Zu Nummer 1

Nummer 1 führt den bisherigen § 8b Absatz 2 Nummer 1 fort.

Zu Nummer 2

Nummer 1 führt den bisherigen § 8b Absatz 2 Nummer 2 fort.

Zu Nummer 3

Nummer 1 führt den bisherigen § 8b Absatz 2 Nummer 3 fort.

Zu Nummer 4

Zu Buchstabe a

Buchstabe a führt den bisherigen § 8b Absatz 2 Nummer 1 Buchstabe a fort. Die Vor- schrift wird an die neuen Kategorien angepasst.

Zu Buchstabe b

Buchstabe b führt den bisherigen § 8b Absatz 2 Nummer 1 Buchstabe d fort.

Zu Buchstabe c

Für die Erfüllung seiner Aufgaben ist das Auswärtige Amt auf Informationen zu Sicher- heitsvorfällen, die von wichtigen und besonders wichtigen Einrichtungen sowie Einrichtun- gen der Bundesverwaltung gemeldet wurden, und die von besonderer 07.05.2024 10:19

Zu Nummer 28

Diese neue Aufgabe des Bundesamtes dient der Umsetzung von Artikel 10 Absatz 8 der NIS-2-Richtlinie. Bei dieser Aufgabe handelt es sich um eine konkrete gesetzliche Ausge- staltung zwischeneuropäischer Amtshilfe, die das Bundesamt im Rahmen seiner bestehen- den Befugnisse ausüben kann.

Zu Absatz 2

Absatz 2 führt den bisherigen § 3 Absatz 2 fort.

Zu Absatz 3

Absatz 3 führt den bisherigen § 3 Absatz 3 fort. Er enthält eine Folgeänderung aufgrund der neuen Bezeichnung „kritische Anlagen“.

- 113 - Bearbeitungsstand: 22.12.2023 09:58

Zu § 4 (Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bun- des)

Zu Absatz 1

Absatz 1 führt den bisherigen § 4 Absatz 1 fort. Er enthält eine Begriffskonsolidierung zu „Einrichtungen der Bundesverwaltung“.

Zu Absatz 2

Absatz 2 führt den bisherigen § 4 Absatz 2 fort. In Nummer 1 wird der neue Begriff der „Schwachstelle“ verwendet. Ferner erfolgt eine Begriffskonsolidierung zu „Einrichtungen der Bundesverwaltung“ in Nummer 2. Zudem wird in Nummer 3 ergänzt, dass das Bun- desamt den Einrichtungen der Bundesverwaltung zusätzlich Empfehlungen zum Umgang mit den identifizierten Gefahren bereitstellen muss.

Zu Absatz 3

Absatz 3 führt den bisherigen § 4 Absatz 4 fort.

Zu § 5 (Allgemeine Meldestelle für die Sicherheit in der Informationstechnik)

Zu Absatz 1

§ 5 Absatz 1 führt den bisherigen § 4b Absatz 1 fort. Anpassungen erfolgen zur Umset- zung Zu § 4 (Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes)

Zu Absatz 1

Absatz 1 führt den bisherigen § 4 Absatz 1 fort. Er enthält eine Begriffskonsolidierung zu „Einrichtungen der Bundesverwaltung“.

Zu Absatz 2

Absatz 2 führt den bisherigen § 4 Absatz 2 fort. In Nummer 1 wird der neue Begriff der „Schwachstelle“ verwendet. Ferner erfolgt eine Begriffskonsolidierung zu „Einrichtungen der Bundesverwaltung“ in Nummer 2. Zudem wird in Nummer 3 ergänzt, dass das Bundes- amt den Einrichtungen der Bundesverwaltung zusätzlich Empfehlungen bereitstellen muss, welche sich konkret auf den Umgang mit den vom Bundesamt identifizierten Gefahren be- ziehen.

Auf Grundlage des Kabinettbeschlusses zur IT-Konsolidierung können IT-Sicher- heitsprodukte auch durch andere Einrichtungen der Bundesverwaltung bereitgestellt wer- den.

Zu Absatz 3

Absatz 3 führt den bisherigen § 4 Absatz 4 fort.

Zu § 5 (Allgemeine Meldestelle für die Sicherheit in der Informationstechnik)

Zu Absatz 1

§ 5 Absatz 1 führt den bisherigen § 4b Absatz 1 fort. Anpassungen erfolgen zur Umsetzung von Artikel 12 Absatz 1 Satz 1 der NIS-2-Richtlinie (entsprechend zu § 9a BSI-Ge- BSI-Gesetz aF.).

Zu Absatz 2

§ 5 Absatz 2 führt den bisherigen § 4b Absatz 2 fort. Ergänzung in Satz 1 erfolgt zur Um- setzung Artikel 30 Absatz 1 der NIS-2-Richtlinie.

Zu Absatz 3

§ 5 Absatz 3 führt den bisherigen § 4b Absatz 3 fort. Die neue Nummer 5 dient der Um- setzung von Artikel 30 Absatz 2 der NIS-2-Richtlinie.

Zu Absatz 4

§ 5 Absatz 4 führt den bisherigen § 4b Absatz 4 fort.

Umset- zung von Artikel 30 Absatz 2 der NIS-2-Richtlinie.

Zu Absatz 4

§ 5 Absatz 4 führt den bisherigen § 4b Absatz 4 fort.

- 136 - Bearbeitungsstand: 22.12.2023 09:58

Zu Nummer 2

Nummer 3 dient der Umsetzung von Artikel 23 Absatz 8 der NIS-2-Richtlinie.

Zu Nummer 3

Nummer 4 dient der Umsetzung von Artikel 23 Absatz 6 der NIS-2-Richtlinie.

Zu Absatz 4

Absatz 4 führt den bisherigen § 8b Absatz 4a fort.

Zu Absatz 5

Absatz 5 führt den bisherigen § 8b Absatz 5 07.05.2024 10:19

Zu Absatz 5

§ 5 Absatz 5 führt den bisherigen § 4b Absatz 5 fort.

Zu § 6 (Informationsaustausch)

Die neue Vorschrift dient der Umsetzung von Artikel 29 der NIS-2-Richtlinie. Das Bundes- amt ermöglicht den Informationsaustausch zu Cyberbedrohungen (§ 2 Absatz 1 Nummer 4), Num- mer 5), Beinahevorfällen (§ 2 Absatz 1 Nummer 1), Schwachstellen (§ 2 Absatz 1 Nummer 35), Num- mer 37), Techniken und Verfahren (techniques and procedures), Kompromittierungsindikato- ren Kompromittierungsindika- toren (indicators of compromise), gegnerische Taktiken (adversarial tactics), bedrohungs- spezifische Informationen (threat-actor-specific information), Cybersicherheitswarnungen und Empfehlungen für die Konfiguration von Cybersicherheitsinstrumenten sowie zur Auf- deckung von Cyberangriffen. Dieser Informationsaustausch ermöglicht den teilnehmen- den teilnehmenden Einrichtungen einen verbesserten Zugang zu Lageinformationen sowie den bidirektio-

- 114 - Bearbeitungsstand: 22.12.2023 09:58

nalen bidirektionalen Austausch von Informationen und ermöglicht den Teilnehmern auch untereinander frühzeitig zu beobachteten Bedrohungen in Austausch zu treten und fördert damit die frühzei- tig zu beobachteten Bedrohungen in Austausch zu treten und fördert damit die Cybersicher- heit und Resilienz der Einrichtungen.

Durch die Erstellung von Teilnahmebedingungen kann das Bundesamt die organisatori- schen Rahmenbedingungen des Informationsaustausches regeln um den geordneten und siche- ren sicheren Betrieb des Informationsaustauschs bzw. des dafür vorgesehenen Online-Portals si- cherzustellen.

sicherzustellen.

In diesem Zusammenhang kann etwa der Umgang mit vertraulichen Informationen (z.B. durch Einhaltung des sog. „Traffic Light Protocols“ oder den Einsatz verschlüsselter E- Mail-Kommunikation) E-Mail- Kommunikation) geregelt werden.

Zu § 7 (Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte)

Zu Absatz 1 bis Absatz 6

Die Vorschrift führt § 4a BSI-Gesetz a.F. fort. In Absatz 4 erfolgt eine Anpassung im Rah- men der mit diesem Gesetz vorgesehenen Begriffskonsolidierung zu „Einrichtungen der Bundesverwaltung“ den bisherigen § 4a fort. In Absatz 4 erfolgt eine Anpassung im Rahmen der mit diesem Gesetz vorgesehenen Begriffskonsolidierung zu „Einrichtungen der Bun- desverwaltung“ sowie die mit diesem Gesetz geschaffenen verantwortlichen Stellen für das Informationssicherheitsmanagements des Bundes, für deren effektive Aufgabener- füllung Aufgabenerfüllung auch eine entsprechende Ausweitung der Mitteilungspflichten des Bundesamtes erforderlich ist. erforder- lich ist. Mit dem Betreiber ist die betroffene Einrichtung gemeint, welche die überprüfte Kom- munikationstechnik des Bundes betreibt. Die Ergebnisse der Kontrollen werden der jewei- ligen Aufgaben auf aktuelle Lageinformationen angewiesen sind..

Einrichtungsleitung übermittelt. Zudem wird eine Sachverhaltsklärung ergänzt, um Missverständnissen und Fehlern vorzubeugen. Darüber hinaus steht es jeder geprüften Einrichtung frei, zum Prüfbericht des BSI eine eigene Stellungnahme gegenüber denjenigen Stellen abzuge- ben, die den Prüfbericht des BSI erhalten haben, also insbesondere gegenüber dem eige- nen Ressort-ISB Bundesamtes eine eigene Stellungnahme gegenüber denjenigen Stellen abzugeben, die den Prüfbericht des Bundesamtes erhalten haben, also insbesondere gegenüber dem eigenen Informationssicherheitsbeauftragten des Ressorts und der eigenen Fach- und Rechtsaufsicht. Im Übrigen erfolgen redakti- onelle Zur Beseitigung der identifizierten Mängel stellt das Bundesamt Beratungs- und Unterstützungsleistungen des Bundesamtes gemäß § 3 Absatz 1 Nummer 17 bereit. Im Übrigen erfolgen redaktionelle Änderungen.

Zu Absatz 7

Absatz 7 dient der Umsetzung von Artikel 35 der NIS-2-Richtlinie. Auf die Begründung zu § 65 Absatz 11 wird verwiesen.

Zu Absatz 8

Die neue Vorschrift dient dem Ziel, mehr Umsetzungsverantwortung zu schaffen. Bislang sind die Prüfungen nach § 4a BSI-Gesetz a.F. dem bisherigen § 4a BSI-Gesetz ohne greifbare Konsequenz für die über- prüften überprüften Stellen. Der Bericht erfolgt an den Haushaltsauschuss des Deutschen

Bundesta- ges, weil dadurch an diejenige Stelle berichtet wird, die über Mittel verfügt, eine Beseiti- gung - 137 - Bearbeitungsstand: 07.05.2024 10:19

Bundestages, weil dadurch an diejenige Stelle berichtet wird, die über Mittel verfügt, eine Beseitigung von Missständen zu ermöglichen. Sie soll die Berichtspflicht des BMI an den Haus- haltsausschuss des Deutschen Bundestages über die Ergebnisse der Analyse der IT-Si- cherheit Bundesminis- terium des Innern und für Heimat an den Haushaltsausschuss des Deutschen Bundestages über die Ergebnisse der Analyse der IT-Sicherheit der Rechenzentren der Bundesverwaltung mittels Hochverfügbarkeits-Bench- mark Bundesverwal- tung mittels Hochverfügbarkeits-Benchmark ersetzen (Beschluss des Haushaltsausschusses Haushaltsausschus- ses des Deutschen Bundestages vom 17. Juni 2015, Ausschussdrucksache 18(8)2134). Eine allgemeine Berichtspflicht gegenüber dem Ausschuss für Inneres und Heimat des Deutschen Bundestages besteht gemäß § 60 Absatz 3 ohnehin, sie schließt Berichterstattung über die Anwendung dieser Vor- schrift Berichterstat- tung über die Anwendung dieser Vorschrift ein.

Zu § 8 (Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes)

§ 8 führt den bisherigen § 5 fort.

Zu Absatz 1

Absatz 1 führt den bisherigen § 5 Absatz 1 fort. In Satz 3 erfolgt eine Begriffskonsolidierung zu „Einrichtungen der Bundesverwaltung“, diese Erweiterung des Anwendungsbereichs er- folgt zum Zweck des Schutzes der gesamten Kommunikationstechnik des Bundes.

Zu Absatz 2

Absatz 2 führt den bisherigen § 5 Absatz 2 fort.

Zu Absatz 3

Absatz 3 führt den bisherigen § 5 Absatz 2a fort.

Zu Absatz 4

Absatz 4 führt den bisherigen § 5 Absatz 3 fort.

Zu Absatz 5

Absatz 5 führt den bisherigen § 5 Absatz 4 fort.

Zu Absatz 6

Absatz 6 führt den bisherigen § 5 Absatz 5 fort. Sowohl Absatz 6 als auch Absatz 7 bezie- hen sich auf Daten im Sinne des Absatz 1, die dem Schutz des Fernmeldegeheimnisses und dem Schutz personenbezogener Daten unterfallen und bei denen eine Weiterverwen- dung nach Absatz 4 erforderlich ist.

Zu Absatz 7

Absatz 7 führt den bisherigen § 5 Absatz 6 fort. Ergänzt wird die Möglichkeit, dass BSI die nach Absatz 4 verwendeten personenbezogenen Daten an die Einrichtungen der Bundes- verwaltung, für deren Schutz die Daten technisch erhoben wurden, übermitteln kann, so- weit dies für die Verwendung nach Absatz 4 oder die Abwehr von sonstigen Gefahren für die Informationssicherheit erforderlich ist. So wird gewährleistet, dass die Einrichtungen des Bundes alle relevanten Informationen zur Gewährleistung des Schutzes der Kommu- nikationstechnik Bundes- amt die nach Absatz 4 verwendeten personenbezogenen Daten an die Einrichtungen der Bundesverwaltung, für deren Schutz die Daten technisch erhoben wurden, übermitteln kann, soweit dies für die Verwendung nach Absatz 4 oder die Abwehr von sonstigen erheb- lichen Gefahren für die Informationssicherheit erforderlich ist. So wird gewährleistet, dass die Einrichtungen des Bundes alle relevanten Informationen zur Gewährleistung des Schut- zes der Kommunikationstechnik des Bundes erhalten.

Zu Absatz 8

Absatz 8 führt den bisherigen § 5 Absatz 7 fort.

- 138 - Bearbeitungsstand: 07.05.2024 10:19

Zu Absatz 9

Absatz 9 führt den bisherigen § 5 Absatz 8 fort. Die Nennung des „Rat der IT-Beauftrag- ten IT-Beauftragten der Bundesregierung“ wird durch „Ressorts“ ersetzt, um die Gremienstruktur unterge- setzlich untergesetz- lich regeln zu können.

Zu Absatz 10

Absatz 10 führt den bisherigen § 5 Absatz 9 fort.

Zu Absatz 11

Absatz 11 führt den bisherigen § 5 Absatz 10 fort.

Zu § 9 (Verarbeitung von Protokollierungsdaten der Kommunikationstechnik des Bundes)

§ 9 führt den bisherigen § 5a fort. Die geänderte Überschrift spiegelt die Begriffskonsoli- dierung Begriffskonsolidie- rung zu „Einrichtungen der Bundesverwaltung“, diese Erweiterung des Anwendungsbe-

und den inhaltlichen Bezug zu § 8 wider. Es wird eine Begriffskonsolidierung vor- genommen zu „Einrichtungen der Bundesverwaltung“. Die Erweiterung des vorge- nommen zu „Einrichtungen der Bundesverwaltung“. Die Erweiterung des Anwendungsbe- reichs erfolgt zum Zweck des Schutzes der gesamten Kommunikationstechnik des Bundes.

Zu § 10 (Anordnungen von Maßnahmen zur Abwendung oder Behebung von Sicherheitsvorfällen)

Die neue Vorschrift dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe b sowie Absatz 5 der NIS-2-Richtlinie gegenüber Einrichtungen der Zentralregierung bei der Reaktion auf akute Sicherheitsvorfälle; im Interesse eines kohärenten Regelungsregimes und effektiven operativen Vorfallsmanagements werden die Befugnisse wie in § 29 angelegt auch auf die übrigen Einrichtungen der Bundesverwaltung erstreckt. Die Anweisung des Bundesamtes gegenüber Einrichtungen der Bundesverwaltung können sowohl die jeweili- ge Informationssicherheitsbeauftragte oder den jeweiligen Informationssicherheitsbeauf- tragten der Einrichtung gem. § 45 betreffen, als auch die Wenn das Bundesamt die Gefahr oder das Vorliegen eines Sicherheitsvorfalles feststellt, weist es die Einrichtungen der Bun- desverwaltung auf die aus seiner Sicht notwendigen Maßnahmen zur Abwendung oder Be- hebung hin. Wenn die Einrichtungen diese Maßnahmen nicht innerhalb eines angemesse- nen Zeitraums umsetzen, obwohl diese nach Ansicht des Bundesamtes erforderlich sind, kann es die Einrichtungen zur Umsetzung anweisen. Dabei wird es die Einrichtungen in der Regel vorher anhören. Bei Gefahr im Verzug kann es die Anordnung auch erlassen, ohne den Einrichtungen zuvor Gelegenheit zur Stellungnahme zu geben. Bei der Erteilung von Anweisungen berücksichtigt das Bundesamt potentielle Auswirkungen auf Dritte, wie Kun- den oder Dienstleister. Die Anweisung des Bundesamtes gegenüber Einrichtungen der Bundesverwaltung werden an die jeweilige Einrichtungsleitung adressiert. Mögliche Beispiele für BSI-Anweisungen Bei- spiele hierfür bestehen beispielsweise im Bereich Hacktivismus, insbesondere mittels Distributed-Denial-of-Service (DDoS)-Angriffen oder auch durch in Deutschland erfolgte Kollateralschäden in Folge von Cyber-Sabotage-Angriffen im Rahmen des Krieges. Zu- dem haben auch Störungen und Angriffe im Bereich der Lieferketten sowohl aus den Be- reichen Cybercrime als auch im Rahmen des Krieges zuletzt zugenommen. Diese Phäno- mene treten nicht mehr nur vereinzelt auf, sondern sind insgesamt Teil des unternehmeri- schen Alltags. Eine Erhöhung der Resilienz der Wirtschaft gegenüber diesen neuen Be- drohungen ist daher eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, um den Wirtschaftsstandort Deutschland robust und leistungsfähig zu halten.

Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht aus- reichend effektiv erwiesen, um eine flächendeckende wirksame Steigerung des Sicher- heitsniveaus zu erreichen. Dies haben insbesondere Sachstandserhebungen zum Umset- zungsplan für Anweisungen des Bundesamtes können lageabhängig nach sachlicher und rechtlicher recht- licher Einzelfallprüfung sein: Übergabe von Systemen oder Daten zur Analyse an das BSI; erhöhte Protokolli- erung Bun- desamt; erhöhte Protokollierung zur Anomaliedetektion; Verlängerung von Speicherfristen; Verhindern von Datenlö- schung; Datenlöschung; Installation eines BSI-Netzwerksensors Netzwerksensors des Bundesamtes zur Detektion; Verpflichtung, Mitarbeiter, Dienstleister, Kunden und Partner über bestimmte Tatsachen zu informieren oder nicht zu informieren; Nichtnetztrennung zur Sicherstellung der Analyse von Angreiferverhalten; im Extremfall Netztrennung Die Durchsetzung allgemeiner allge- meiner präventiver Maßnahmen bleibt dagegen Aufgabe der Informationssicherheitsbeauftragten der Ressorts und des Koordi- nators Informationssicherheitsbeauf- tragten der Ressorts und des Koordinators oder der Koordinatorin für Informationssicherheit (vgl. §§ 46, 49 und 50 Absatz 3). Entsprechend der unterschiedlichen Rollen im Aufsichtsgefüge ist eine Berichterstattung gleichermaßen vorgesehen an BSI Aufsichts- gefüge ist eine Berichterstattung gleichermaßen vorgesehen an Bundesamt als operativer Aufsichtsbehörde, Ressort-ISB als zu- ständiger Fachaufsicht sowie CISO Bund als koordinierender Stelle für die Informationssi- cherheit in der Bundesverwaltung insgesamt, die zur effektiven Wahrnehmung ihrer Aufsichtsbehörde sowie des Informationssicherheitsbeauftragten des Ressorts als zustän- diger Fachaufsicht.

Zu § 11 (Wiederherstellung der Sicherheit oder Funktionsfähigkeit informations- technischer informationstechnischer Systeme in herausgehobenen Fällen)

§ 11 führt den bisherigen § 5b fort.

Zu Absatz 1

Absatz 1 führt den bisherigen § 5b Absatz 1 fort. Es erfolgt eine Folgeänderungen auf- grund neuer Einrichtungskategorien sowie einer Anpassung in Umsetzung von Artikel 11 Absatz 1 Buchstabe d der NIS-2-Richtlinie. Ferner wird eine Begriffskonsolidierung vorge- nommen zu „Einrichtungen der Bundesverwaltung“.

Zu Absatz 2

Absatz 2 führt den bisherigen § 5b Absatz 2 fort.

Zu Absatz 3

Absatz 3 führt den bisherigen § 5b Absatz 3 fort.

Zu Absatz 4

Absatz 4 führt den bisherigen § 5b Absatz 4 fort.

- 139 - Bearbeitungsstand: 07.05.2024 10:19

Zu Absatz 1

Absatz 1 führt den bisherigen § 5b Absatz 1 fort. Es erfolgt eine Folgeänderungen aufgrund neuer Einrichtungskategorien sowie einer Anpassung in Umsetzung von Artikel 11 Absatz 1 Buchstabe d der NIS-2-Richtlinie. Ferner wird eine Begriffskonsolidierung vorgenommen zu „Einrichtungen der Bundesverwaltung“.

Zu Absatz 2

Absatz 2 führt den bisherigen § 5b Absatz 2 fort.

Zu Absatz 3

Absatz 3 führt den bisherigen § 5b Absatz 3 fort. Es erfolgte eine redaktionelle Änderung, da nach Artikel 4 Nummer 2 Datenschutz-Grundverordnung der Verarbeitungsbegriff das Erheben bereits miteinschließt.

Zu Absatz 4

Absatz 4 führt den bisherigen § 5b Absatz 4 fort. Der Begriff „Informationen“ umfasst jegli- ches IT-Sicherheitskennzeichen auf die betroffene Einrichtung bezogenes Wissen, von dem das Bundesamt im Rah- men seiner Leistungen nach § 11 Kenntnis erlangt.

Zu Absatz 5

Absatz 5 führt den bisherigen § 5b Absatz 5 fort.

Zu Absatz 6

Absatz 6 führt den bisherigen § 5b Absatz 6 fort.

Zu Absatz 7

Absatz 7 führt den bisherigen § 5b Absatz 7 fort.

Zu Absatz 8

Absatz 8 führt den bisherigen § 5b Absatz 8 fort.

Zu § 12 (Bestandsdatenauskunft)

§ 12 führt den bisherigen § 5c fort. Zu Absatz 2

Absatz 1 führt den bisherigen § 5b Absatz 1 und 2 fort.

Zu Absatz 3

Absatz 2 führt den bisherigen § 5b Absatz 3 fort.

Zu Absatz 4

Absatz 3 führt den bisherigen § 5b Absatz 4 fort. Die Begriffe werden an die neuen Kate- goriebezeichnungen angepasst.

Zu Absatz 5

Absatz 4 führt den bisherigen § 5b Absatz 5 fort.

Zu Absatz 6

Absatz 5 führt den bisherigen § 5b Absatz 6 fort.

Zu Absatz 7

Absatz 6 führt den bisherigen § 5b Absatz 7 fort.

Zu Absatz 8

Absatz 7 führt den bisherigen § 5b Absatz 8 fort.

Die Begriffe werden an die neuen Kategoriebezeichnun- gen angepasst.

Zu § 13 (Warnungen)

§ 13 führt den bisherigen § 7 fort.

Zu Absatz 1

Absatz 1 führt den bisherigen § 7 Absatz 1 fort. Der neue Nummer 1 Buchstabe e dient der Umsetzung Artikel 32 Absatz 4 Buchstabe a und Artikel 33 Absatz 4 NIS-2-Richtlinie.

Zu Absatz 2

Absatz 2 führt den bisherigen § 7 Absatz 1a fort.

- 140 - Bearbeitungsstand: 22.12.2023 09:58

Zu § 45 (Informationssicherheitsbeauftragte der Einrichtungen der Bundesverwal- tung)

07.05.2024 10:19

Zu Absatz 3

Absatz 3 führt den bisherigen § 7 Absatz 2 fort. Die Vorschrift wird um eine Regelung zur Archivierung von Warnungen ergänzt. Hintergrund ist der Beschluss des BVerfG vom 21. März 2018 (– 1 BvF 1/13 –) zu § 40 LFGB. Eine gesetzliche Regelung zur zeitlichen Be- grenzung der Informationsverbreitung fehlte im LFGB. Dies ist mit dem Grundsatz der Verhältnismäßigkeit Ver- hältnismäßigkeit nicht vereinbar, da mit Zeitablauf nach der Veröffentlichung der Grundrechtseingriff Grund- rechtseingriff zulasten des Herstellers einerseits und der mit Warnung verfolgte Zweck andererseits an- dererseits außer Verhältnis geraten.

Art und Umfang etwaiger Ersatzansprüche richten sich nach den allgemeinen staatshaf- tungsrechtlichen Gründsätzen.

Zu § 14 (Untersuchung der Sicherheit in der Informationstechnik, Auskunftsverlan- gen)

Auskunftsverlangen)

§ 14 führt den bisherigen § 7a fort.

Zu Absatz 1

Absatz 1 führt den bisherigen § 7a Absatz 1 fort.

Zu Absatz 2

Absatz 2 führt den bisherigen § 7a Absatz 2 fort.

Zu Absatz 3

Absatz 3 führt den bisherigen § 7a Absatz 3 fort.

Zu Absatz 4

Absatz 4 führt den bisherigen § 7a Absatz 4 fort. Die vorgenommene Ergänzung ist erfor- derlich, um einen Austausch zu Dritten (wie z.B. auch zu anderen Aufsichtsbehörden) zu ermöglichen und zu vereinfachen, wenn es z.B. nur um Kategorien von Produkttypen und gefundenen Schwachstellen geht, die auch ohne konkreten Hersteller-/Produktbezug wei- tergegeben werden sollen. Da in diesem Fall die Eingriffsintensität gegenüber den Her- stellern der untersuchten Produkte und Systeme mangels Bezugnahme als sehr gering anzusehen Herstel- lern der untersuchten Produkte und Systeme mangels Bezugnahme als sehr gering anzu- sehen ist. Das Bundesministerium kann die Ermächtigung ist, würde eine vorab einzuholende Stellungnahme die Weitergabe kritischer Schwachstellen an Dritte (wie z.B. andere Aufsichtsbehörden) unnötig erschweren.

Zu Absatz 5

Absatz 5 führt den bisherigen § 7a Absatz 5 fort.

Zu § 15 (Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden)

§ 15 führt den bisherigen § 7b fort. Zu Absatz 1

Absatz 1 führt den bisherigen § 7b Absatz 1 fort. Die Änderungen dienen der Umsetzung von Artikel 11 Absatz 3 Buchstabe e, Artikel 32 Absatz 2 Buchstabe d und Artikel 33 Ab- satz 2 Buchstabe c der NIS-2-Richtlinie, die die Durchführung von Schwachstellenscans Mit der Abfragebefugnis nach Absatz 1 korrespondiert deswegen als einziger Zweck der Datenverarbeitung eine Informationspflicht nach Ab- satz 2. § 15 ermächtigt indes nicht zur Entdeckung von besonders sensiblen, unbekannten Schwachstellen (auch: Zero-Day-Schwachstellen).

Zu Absatz 1

Absatz 1 führt den bisherigen § 7b Absatz 1 fort. Die Änderungen dienen der Umsetzung von Artikel 11 Absatz 3 Buchstabe e, Artikel 32 Absatz 2 Buchstabe d und Artikel 33 Ab- satz 2 Buchstabe c der NIS-2-Richtlinie, die die Durchführung von Schwachstellenscans

- 141 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

bei wichtigen und wesentlichen Einrichtungen als zwingende Aufgabe der CSIRTs und - 119 - Bearbeitungsstand: 22.12.2023 09:58

Aufsichtsmaßnahme Auf- sichtsmaßnahme ansehen. Als andere bereits bekannte Sicherheitsrisiken im Sinne des Satz 1 kommen beispielsweise fehlerhafte Konfigurationen in Betracht. Einschränkungen auf bestimmte Arten von Scans oder einen Anlass als Voraussetzungen für diese Schwachstellenscans sehen die Regelungen der NIS-2-Richtlinie nicht vor, so dass der bisher in § 7b Absatz 1 enthaltene Verweis auf bloße Portscans ebenso zu streichen Schwach- stellenscans sehen die Regelungen der NIS-2-Richtlinie nicht vor, so dass der bisher in § 7b Absatz 1 enthaltene Verweis auf bloße Portscans ebenso wie die Annahme eines un- geschützten Systems als Voraussetzung nicht mehr der Richtlinie entsprechen. Die Erwäh- nung ausschließlich von Portscans ist nicht zutreffend, da die Detektion von Sicherheitslü- cken ist nicht nur über Portscans, sondern auch über weitere webseiten-/ domainbasierte Methoden möglich ist. Da sich die Art von Sicherheitsscans durch den technischen Fortschritt Fort- schritt verändern kann, war eine ebenso entwicklungsoffene Formulierung zu wählen, wie sie die NIS-2-Richtlinie enthält. Die Regelung ermöglicht auch Scans richtliniengemäß auch Scans z.B. bei den von den IT-Dienstleistern für die Einrichtung betriebenen Systemen. Der gewählte Begriff der Abfrage bezeichnet eine entwicklungsof- fene Art einer informationstechnischen Abfrage an die öffentlich erreichbaren Schnittstel- len, die im Rahmen der technischen Spezifikation der Schnittstelle grundsätzlich vorgese- hen ist. entwicklungsoffene Art einer informationstechnischen Abfrage an die öffentlich erreichbaren Schnittstellen, die im Rahmen der technischen Spe- zifikation der Schnittstelle grundsätzlich vorgesehen ist. Sie dient ausschließlich der Detek- tion von Systemeigenschaften und schließt eine Einflussnahme auf das System aus. Wenn Schwachstellen in der Spezifikation oder der Implementation einer Schnitt- stelle Schnittstelle bekannt werden, dürfen die Abfragen an die öffentlich erreichbaren Schnittstellen in einer Weise erfolgen, mit der überprüft werden kann, ob die abgefragten Systeme diese Art von Schwachstellen aufweisen. Zudem ist die Regelung an die neuen Einrichtungska- tegorien war die Regelung an die neuen Einrichtungskategorien aus der NIS-2-Richtlinie anzupassen. Statt des Begriffs der Sicherheitslücke wird zur europaweiten Vereinheitlichung der Terminologie der der Schwachstelle im Sinne von Artikel 6 Nummer 15 der NIS-2-Richtlinie verwendet, ohne dass damit eine inhaltliche Änderung verbunden ist. § 7b Absatz 2 war zu streichen, da eine entsprechende ein- schränkende Definition z.B. auf öffentlich bekannte Schwachstellen von der NIS-2-Richtli- nie nicht vorgesehen ist.

Zu Absatz 2

Absatz 2 führt den bisherigen § 7b Absatz 3 fort. § 7b Absatz 3 Satz 5 entfällt in Folge der Änderungen in Absatz 1.

Zu Absatz 3

Absatz 3 führt den bisherigen § 7b Absatz 4 fort.

euro- paweiten Vereinheitlichung der Terminologie der der Schwachstelle im Sinne von Artikel 6 Nummer 15 der NIS-2-Richtlinie verwendet, ohne dass damit eine inhaltliche Änderung ver- bunden ist. Die Streichung von § 7b Absatz 2 ist eine Folgeänderung zur Anpassung der Tatbestandsvoraussetzungen nach Absatz 1, da eine entsprechende einschränkende De- finition von der NIS-2-Richtlinie nicht vorgesehen ist, die im Gegenzug für die notwendige Absenkung der Eingriffsschwelle eine Begrenzung der Verwendungsmöglichkeiten detek- tierter, bekannter Schwachstellen vorsieht. Das Bundesamt kann so die informationstech- nischen Systeme der genannten Einrichtungen auf das Vorhandensein solcher Schwach- stellen untersuchen, die bisher nicht notwendig öffentlich, aber jedenfalls informierten Fach- kreisen bekannt sind. Es darf damit einerseits die Norm nicht zur Ausforschung und Nut- zung unbekannter neuer Schwachstellen (Zero-Day-Exploits) nutzen, andererseits darf es zur Information der Betroffenen mit dem Abgleich und der Untersuchung bekannter Schwachstellen bereits beginnen, ohne dass die Schwachstellen zuvor einer breiten Öf- fentlichkeit bekannt gemacht worden sein müssen.

Zu Absatz 2

Absatz 2 führt den bisherigen § 7b Absatz 3 fort. Eine Weitergabe der konkreten Informati- onen über die nach Absatz 1 detektierten Schwachstellen ist weder über § 8 Absatz 7 noch nach § 3 Absatz 1 Nummer 2 erlaubt. Absatz 2 gilt diesbezüglich als abschließende Rege- lung. Damit detektierte Schwachstellen schnellstmöglich geschlossen werden, ist die Infor- mationspflicht des Bundesamtes bei betroffenen Einrichtungen der Bundesverwaltung auf die Informationssicherheitsbeauftragten der Einrichtung und des Ressorts zu erstrecken (Fachaufsicht).

Für das Lagebild darf das Bundesamt abstrahierte Informationen aus den Schwachstellen- scans aufbereiten, in dieser Form weitergeben und veröffentlichen (z.B. zur Zahl und Art der betroffenen Einrichtungen oder der Art der Schwachstellen).

Zu Absatz 3

Absatz 3 führt den bisherigen § 7b Absatz 4 fort.

- 142 - Bearbeitungsstand: 07.05.2024 10:19

Zu § 16 (Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Telekommunikationsdiensten)

§ 16 führt den bisherigen § 7c fort.

Zu Absatz 1

Absatz 1 führt den bisherigen § 7c Absatz 1 fort. Da der Begriff „Diensteanbieter“ auf- grund aufgrund der Umsetzung der NIS-2-Richtlinie nun im Gesetz auch mit anderer Bedeutung genutzt wird, war eine Anpassung der Legaldefinition erforderlich, die nur für die Zwecke dieser Vorschrift erfolgte.

Zu Absatz 2

Absatz 2 führt den bisherigen § 7c Absatz 2 fort. In Nummer 1 erfolgt eine Folgeänderung aufgrund der neuen Kategoriebezeichnungen.

Zu Absatz 3

Absatz 3 führt den bisherigen § 7c Absatz 3 fort.

Zu Absatz 4

Absatz 4 führt den bisherigen § 7c Absatz 4 fort.

Zu § 17 (Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Telemediendiensten)

§ 17 führt den bisherigen § 7d fort. Das in der bisherigen Vorschrift in Satz 1 enthaltene Wort „begründeten“ ist im Wege einer redaktionellen Klarstellung entfallen.

Zu § 18 (Anordnungen von Maßnahmen des Bundesamtes gegenüber Herstellern von IKT-Produkten)

§ 18 führt den bisherigen § 8b Absatz 6 fort.

Zu § 19 (Bereitstellung von IT-Sicherheitsprodukten)

§ 19 führt den § 8 Absatz 3 Satz 1-3 fort. Es erfolgt eine Begriffskonsolidierung zu „Ein- richtungen der Bundesverwaltung“, um den Anwendungsbereich zum Schutz der gesam- ten Kommunikationstechnik des Bundes zu erweitern. Zudem wird auf Wunsch des BMF die Einhaltung der Haushaltsordnung hinzugefügt.

„Einrich- tungen der Bundesverwaltung“, um den Anwendungsbereich zum Schutz der gesamten Kommunikationstechnik des Bundes zu erweitern. Zudem wird auf die Einhaltung der Bun- deshaushaltsordnung hingewiesen.

Zu Kapitel 2 (Datenverarbeitung)

Zu § 20 (Verarbeitung personenbezogener Daten)

§ 20 führt den bisherigen § 3a fort.

Zu § 21 (Beschränkungen der Rechte der betroffenen Person)

§ 21 führt den bisherigen § 6 fort.

Zu § 22 (Informationspflicht bei Erhebung von personenbezogenen Daten)

§ 22 führt den bisherigen § 6a fort.

• 143 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

Zu § 23 (Auskunftsrecht der betroffenen Person)

§ 23 führt den bisherigen § 6b fort.

Zu § 24 (Recht auf Berichtigung)

§ 24 führt den bisherigen § 6c fort.

Zu § 25 (Recht auf Löschung)

§ 25 führt den bisherigen § 6d fort.

Zu § 26 (Recht auf Einschränkung der Verarbeitung)

§ 26 führt den bisherigen § 6e fort.

Zu § 27 (Widerspruchsrecht)

§ 27 führt den bisherigen § 6f fort.

- 121 - Bearbeitungsstand: 22.12.2023 09:58

Zu Teil 3 (Sicherheit in der Informationstechnik
von Einrichtungen)

Zu Kapitel 1 (Anwendungsbereich)

Zu § 28 (Besonders wichtige Einrichtungen und wichtige Einrichtungen)

Der § 28 dient der Umsetzung von Artikel 3 NIS-2-Richtlinie.

Zu Absatz 1

Absatz 1 dient der Definition besonders wichtiger Einrichtungen. Durch die Einbeziehung von rechtlich unselbstständigen Organisationseinheiten einer Gebietskörperschaft wird sichergestellt, si- chergestellt, dass Eigenbetriebe und Landesbetriebe, die entsprechende Dienste gemäß der Einrichtungsdefinitionen erbringen, adäquat adressiert werden können, auch wenn diese keine juristische oder natürliche Person sind. Die in der Kommissionsempfehlung 2003/361 EG genannten Größenschwellen für Mitarbeiteranzahl und Jahresumsatz wer- den werden zur Verbesserung der Lesbarkeit in diesem Gesetz grundsätzlich ausdefiniert.

Soweit in diesem Absatz Einrichtungskategorien ohne eine explizite Angabe der Mitarbei- teranzahl, des Jahresumsatzes oder der Jahresbilanzsumme angegeben sind, gelten die- se diese Definitionen jeweils unabhängig von der Unternehmensgröße.

Zu Nummer 1

Nummer 1 dient der Umsetzung von Artikel 3 Absatz 1 Buchstabe a der NIS-2-Richtlinie.

Zu Nummer 2

Nummer 2 dient der Umsetzung von Artikel 3 Absatz 1 Buchstabe b der NIS-2-Richtlinie.

Zu Nummer 3

Nummer 3 dient der Umsetzung von Artikel 3 Absatz 1 Buchstabe c der NIS-2-Richtlinie.

Zu Nummer 4

Nummer 4 dient der Vereinheitlichungen der in diesem Gesetz genutzten und durch die NIS-2-Richtlinie vorgesehenen f der NIS-2-Richtlinie, wonach gemäß der CER-Richtlinie als kritische Einrichtung bzw. Betreiber kritischer Anla- gen auch als besonderes wichtige Einrichtung im Sinne dieses Gesetzes gelten.

Zu Nummer 2

Nummer 2 dient der Umsetzung von Artikel 3 Absatz 1 Buchstabe b der NIS-2-Richtlinie.

Zu Nummer 3

Nummer 3 dient der Umsetzung von Artikel 3 Absatz 1 Buchstabe c der NIS-2-Richtlinie.

- 144 - Bearbeitungsstand: 07.05.2024 10:19

Zu Nummer 4

Nummer 4 dient der Umsetzung von Artikel 3 Absatz 1 Buchstabe a der NIS-2-Richtlinie.

Zu Absatz 2

Absatz 2 dient der Definition wichtiger Einrichtungen und der Umsetzung Artikel 3 Absatz 2 der NIS-2-Richtlinie. Die obenstehenden Hinweise in der Begründung zu Absatz 1 gelten entsprechend.

Zu Nummer 1

Nummer 1 dient der Umsetzung von Artikel 3 Absatz 2 der NIS-2-Richtlinie.

Zu Nummer 2

Nummer 2 dient der Umsetzung von Artikel 2 Absatz 2 Buchstabe a Nummer ii der NIS-2- Richtlinie. Während qualifizierte Vertrauensdiensteanbieter besonders wichtige Einrichtun- gen sind, sind die übrigen Vertrauensdiensteanbieter wichtige Einrichtungen.

- 122 - Bearbeitungsstand: 22.12.2023 09:58

Zu Absatz 3

Bei der Bestimmung der maßgeblichen Mitarbeiterzahlen und des Umsatzes sind nur die- jenigen Teile der Einrichtung einzubeziehen, die tatsächlich im Bereich der in den Anla- gen 1 und 2 genannten Definitionen der Einrichtungskategorien tätig sind, Anlagen 1 und 2 genannten Definitionen der Einrichtungskategorien tätig sind, Querschnittsaufga- ben wie beispielsweise Personal, Buchhaltung etc. sind hierbei anteilig zu berück- sichtigen. Hierdurch wird sichergestellt, dass Einrichtungen, die insgesamt die Größen- schwelle für Mitarbeiteranzahl, Jahresumsatz oder Jahresbilanzsumme überschreiten, deren hauptsächliche berücksichtigen. Hierdurch wird sichergestellt, dass Einrichtungen, die insgesamt die Größenschwelle für Mitarbeiteranzahl, Jahresumsatz oder Jahresbilanzsumme überschreiten, deren haupt- sächliche Geschäftstätigkeit jedoch nicht einer Einrichtungskategorie gemäß Anlage 1 oder 2 dieses Gesetzes zuzuordnen ist, nicht in unverhältnismäßiger Weise er- fasst werden.

Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme ist im Übrigen für Einrichtungen, die keine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft sind, die Kommissionsempfehlung 2003/361/EG mit Ausnahme von Artikel 3 Absatz 4 der Empfehlung anzuwenden. Die Daten von Partner- oder verbunde- nen Unternehmen im Sinne der Empfehlung 2003/361/EG sind nicht hinzuzurechnen, wenn das betreffende Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftli- chen und tatsächlichen erfasst werden.

Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme ist im Übrigen für Einrichtungen, die keine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft sind, die Kommissionsempfehlung 2003/361/EG mit Ausnahme von Artikel 3 Absatz 4 der Empfehlung anzuwenden. Die Daten von Partner- oder verbundenen Unternehmen im Sinne der Empfehlung 2003/361/EG sind nicht hinzuzurechnen, wenn das betreffende Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tat- sächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse ausübt, die das Unternehmen für die Erbringung seiner Dienste nutzt. Ein bestimmender Einfluss auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse liegt insbesondere vor, wenn grundsätzliche Entscheidungen zur Beschaf- fung, zum Betrieb und zur Konfiguration der informationstechnischen Systeme, Kompo- nenten Unterneh- men für die Erbringung seiner Dienste nutzt. Ein bestimmender Einfluss auf die Beschaf- fenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse liegt insbesondere vor, wenn grundsätzliche Entscheidungen zur Beschaffung, zum Betrieb und zur Konfiguration der informationstechnischen Systeme, Komponenten und Prozesse durch die Einrichtung eigenverantwortlich getroffen werden können. Dies ist beispielsweise regelmäßig zu verneinen, wenn die informationstechnischen Sys- teme, Systeme, Komponenten und Prozesse vollständig durch eine Konzernmutter betrieben wer- den, werden, und die Einrichtung selbst demnach tatsächlich keinerlei Einfluss auf die vorgenann- ten Eigenschaften nehmen kann. Ein bestimmender Einfluss liegt jedoch regelmäßig vor, wenn die informationstechnischen Systeme, Komponenten und Prozesse im Auftrag durch einen Dienstleister betrieben werden, da hier durch vertragliche Regelungen be- stimmender Einfluss auf die vorgenannten vorgenannten Eigenschaften nehmen kann. Ein bestimmender Einfluss liegt jedoch regelmäßig vor, wenn die informationstechni- schen Systeme, Komponenten und Prozesse im Auftrag durch einen Dienstleister betrieben werden, da hier durch vertragliche Regelungen bestimmender Einfluss auf die vorgenann- ten Eigenschaften ausgeübt werden kann. Hier- durch wird sichergestellt, dass Partnerunternehmen Hierdurch wird sichergestellt, dass Partnerun- ternehmen oder Tochterunternehmen, die für sich alleine gesehen die vorgesehenen Schwellen für Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme nicht erreichen oder überschreiten, nur in denjenigen Fällen als besonders wichtige Einrichtung gelten können, wenn sie keinen bestimmenden Einfluss auf ihre eigenen informationstechnischen Systeme, Komponenten und Prozesse aus- üben, weil diese beispielsweise von einem Partnerunternehmen o- der überschreiten, nur in denjenigen Fällen als besonders wichtige Einrichtung gelten kön- nen, wenn sie keinen bestimmenden Einfluss auf ihre eigenen informationstechnischen Systeme, Komponenten und Prozesse ausüben, weil diese beispielsweise von einem Part- nerunternehmen betrieben werden.

Zu Absatz 4

Absatz 4 regelt Ausnahmen für bestimmte Einrichtungskategorien, die spezialgesetzlich reguliert werden. Absatz 4 führt den bisherigen § 8d Absatz 2 fort. Die Ergebnisse der Evaluierung dieser Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung re- guliert werden. Absatz 4 führt den bisherigen § 8d Absatz 2 fort. Die Ergebnisse der Evalu- ierung dieser Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhö- hung der Sicherheit informationstechnischer Systeme wurden berücksichtigt. Für Betreiber von öffentlichen Telekommunikationsnetzen, Energieversorgungsnetzen und Energieanlagen werden die derzeit bestehenden spezialgesetzlichen Regelungen mit einer entsprechenden Zuständigkeit der Bundesnetzagentur und hierfür durch die Bun- desnetzagentur Energieanla- gen werden die derzeit bestehenden spezialgesetzlichen Regelungen mit einer entspre- chenden Ausgaben für den IT-Betrieb (vgl. Zuständigkeit der Bundesnetzagentur und hierfür durch die Bundesnetzagentur erstellter IT-Sicherheitskataloge fortgeführt. Allerdings beziehen sich die diesbezüglichen

spezialgesetzlichen Regelungen im TKG und im EnWG jeweils aufgrund der entsprechenden Zuständigkeit der Bundesnetzagentur jeweils nur auf die Erbringung der kritischen Versorgungsdienstleistung - 145 - Bearbeitungsstand: 22.12.2023 09:58

Zu Nummer 2

Nummer 2 führt den bisherigen § 9 Absatz 4 Nummer 2 fort.

Zu Absatz 5

Absatz 5 führt den bisherigen § 9 Absatz 4a fort.

Zu Absatz 6

Absatz 5 führt den bisherigen § 9 Absatz 5 fort.

Zu Absatz 7

Zu Nummer 1

Nummer 1 führt den bisherigen § 9 Absatz 6 Nummer 1 fort.

Zu Nummer 2

Nummer 2 führt den bisherigen § 9 Absatz 6 Nummer 2 fort.

Zu Absatz 8

Absatz 8 führt den bisherigen § 9 Absatz 7 fort.

Zu § 55 07.05.2024 10:19

spezialgesetzlichen Regelungen im TKG und im EnWG jeweils aufgrund der entsprechen- den Zuständigkeit der Bundesnetzagentur jeweils nur auf die Erbringung der kritischen Ver- sorgungsdienstleistung maßgeblichen IT-Systeme. Dies sind im Ener- giesektor die IT-Systeme, Energiesektor die IT-Sys- teme, die für einen sicheren Netz- bzw. Anlagenbetrieb maßgeblich sind und im TK-Sektor die Datenverarbeitungssysteme für das Betreiben von Telekommu- nikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezoge- ner Daten.

- 123 - Bearbeitungsstand: 22.12.2023 09:58

Für alle anderen informationstechnischen Systeme Komponenten und Prozesse, die die- se Betreiber für die Erbringung ihrer Dienste nutzen, die jedoch nicht von den vorgenann- ten Telekommunikations- und Datenver- arbeitungssystemen sowie für die Verarbeitung personenbezogener Daten.

Für alle anderen informationstechnischen Systeme Komponenten und Prozesse, die diese Betreiber für die Erbringung ihrer Dienste nutzen, die jedoch nicht von den vorgenannten IT-Sicherheitskatalogen der Bundesnetzagentur erfasst sind, gelten somit nach wie vor die allgemeinen Anforderungen für wichtige und besonders wichtige Einrichtungen mit einer entsprechenden allgemeinen Zuständigkeit des Bundesamts.

Hierbei ist zu beachten, dass gemäß Absatz 4 die Anwendung der § 31, 32, 35 und 39 nur jeweils ausgeschlossen ist, soweit die Unternehmen den Regelungen des TKG bzw. des EnWG unterliegen. Für Querverbundsunternehmen, die in unterschiedlichen Sektoren gleichzeitig tätig sind, ergeben sich daher mitunter mehrere gesetzliche Vorschriften, die parallel für den jeweiligen Tätigkeitsbereich gelten. Somit gelten beispielsweise für ein Stadtwerk, dass im TK-Bereich, im Energiesektor und im Wasser-/Abwasserbereich tätig ist, jeweils für den TK-Bereich die Anforderungen des TKG, für den Energiesektor die An- forderungen des EnWG und für den Wasser/Abwasserbereich sowie für die sonstige IT, welche für die Erbringung der Dienste genutzt wird, die Vorgaben des BSIG.

Zu Nummer 1

Nummer 1 führt den bisherigen § 8d Absatz 2 Nummer 1 fort. Die Vorschrift dient der Um- setzung von Erwägungsgrund 92 und 95 der NIS-2-Richtlinie.

Zu Nummer 2

Nummer 2 führt den bisherigen § 8d Absatz 2 Nummer 2 fort.

Zu Nummer 3

Nummer 3 führt den bisherigen § 8d Absatz 2 Nummer 3 fort und setzt die Bereichsaus- nahme für Finanzunternehmen, die unmittelbar unter die DORA-VO fallen, um.

Zu Absatz 5

Absatz 5 dient der Definition von Betreibern kritischer Anlagen.

Zu Absatz 6

Absatz 6 dient der Definition kritischer Anlagen und regelt den Stichtag, ab dem eine An- lage als kritische Anlage gilt.

Zu Absatz 7

Absatz 8 regelt den Stichtag, ab dem eine Anlage nicht mehr als kritische Anlage gilt.

Zu Absatz 8

Mit dieser Öffnungsklausel werden solche Unternehmen aus dem Anwendungsbereich der Umset-zung der NIS-2-Richtline auf Bundesebene ausgenommen, Absatz 5

Zu Nummer 1

In Umsetzung von Erwägungsgrund 28 der NIS-2-Richtlinie gilt die Verordnung (EU) 2022/2554 (DORA-VO) für Finanzunternehmen als lex specialis. Somit sind diese Unter- nehmen von den hier genannten Verpflichtungen ausgenommen.

Zu Nummer 2

Nummer 2 führt den bisherigen § 8d Absatz 2 Nummer 3 sowie Absatz 3 Nummer 3 fort.

Zu Absatz 6

Absatz 6 dient der Definition von Betreibern kritischer Anlagen.

Zu Absatz 7

Absatz 7 dient der Definition kritischer Anlagen und regelt den Stichtag, ab dem eine Anlage als kritische Anlage gilt.

Zu Absatz 8

Absatz 8 regelt den Stichtag, ab dem eine Anlage nicht mehr als kritische Anlage gilt.

- 146 - Bearbeitungsstand: 22.12.2023 09:58

Zu Absatz 7

Zu Nummer 1

Nummer 1 führt den bisherigen § 9a Absatz 7 Nummer 1 fort.

Zu Nummer 2

Nummer 2 führt den bisherigen § 9a Absatz 7 Nummer 2 fort.

Zu § 56 07.05.2024 10:19

Zu Absatz 9

Mit dieser Öffnungsklausel können durch die Länder in eigener Verantwortung solche Ein- richtungen aus dem Anwendungsbereich der Umsetzung der NIS-2-Richtline auf Bundes- ebene ausgenommen werden, die zu 100% im Eigentum von Ländern und Kommunen stehen und ausschließlich Waren oder ste- hen und keine Waren oder Dienstleistungen gegen Entgelt an Einrichtungen der Bundes- verwaltung anbieten. Beteiligungsstrukturen (auch gemischte mehrerer Beteiligungsstrukturen meh- rerer Länder oder Kommunen) sind zulässig. Schließlich ist notwendig, dass das Un- ternehmen Unterneh- men Gegenstand einer landesrechtlichen NIS-2-Umsetzung ist und das Land mit der Bezugnahme auf die Öffnungsklausel auch – bewusst – Gebrauch Be- zugnahme auf die Öffnungsklausel auch – bewusst – Gebrauch von dieser Öffnungsklausel macht. Letzteres soll gewährleisten, dass keine Unternehmen regulierungsfrei gestellt werden, die durch den Mitgliedstaat zu regulieren sind.

wer- den, die durch die Bundesrepublik Deutschland in Umsetzung der NIS-2-Richtlinie zu regu- lieren sind.

Zu § 29 (Einrichtungen der Bundesverwaltung)

§ 29 bezieht Einrichtungen der Bundesverwaltung als Kategorie in das Regelungsregime ein, das mit Umsetzung der NIS-2-Richtlinie etabliert wird. In vielen Einrichtungen der Bundesverwaltung Bun- desverwaltung besteht ein Defizit bei der Umsetzung von Maßnahmen zum Eigen- schutz Eigenschutz im Bereich der Informationssicherheit. Die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis (etwa Umsetzungsplan Bund) haben sich als nicht ausreichend effektiv erwiesen, um eine flächendeckende wirksame Steigerung des Si- cherheitsniveaus zu erreichen. Vor dem Hintergrund der durch aktuelle geopolitische Ent- wicklungen („Zeitenwende“) abermals verschärften Bedrohungslage hat sich das Risiko für staatliche Einrichtungen zudem weiter erhöht, durch Gefährdungen aus dem Cyber- raum in ihrer Handlungsfähigkeit eingeschränkt zu werden. Die Umsetzung der NIS-2- Richtlinie wird deshalb durch diese und weitere Bestimmungen begleitet mit weiteren Re- gelungen für die Bundesverwaltung, die über die reine Umsetzung der NIS-2-Richtlinie hinausgehen. Um auf Bundesebene ef- fektiv erwiesen, um eine flächendeckende wirksame Steigerung des Sicherheitsniveaus zu erreichen. Vor dem Hintergrund der durch aktuelle geopolitische Entwicklungen („Zeiten- wende“) abermals verschärften Bedrohungslage hat sich das Risiko für staatliche Einrich- tungen zudem weiter erhöht, durch Gefährdungen aus dem Cyberraum in ihrer Handlungs- fähigkeit eingeschränkt zu werden. Die Umsetzung der NIS-2-Richtlinie wird deshalb durch diese und weitere Bestimmungen begleitet mit weiteren Regelungen für die Bundesverwal- tung, die über die reine Umsetzung der NIS-2-Richtlinie hinausgehen. Um auf Bundes- ebene auch vor dem Hintergrund von Verflechtung und Kon- solidierung Konsolidierung der IT insgesamt ein gemeinsames, kohärentes und handhabbares Regime zu erreichen, werden in nationaler nationa- ler Verantwortung Anforderungen formuliert, die inhaltlich an denjenigen für besonders wichtige Einrichtungen orientiert sind.

Zu Absatz 1

Absatz 1 bestimmt die Kategorie der Einrichtungen der Bundesverwaltung. Vor dem Hin- tergrund des Schutzzwecks der Informationssicherheit des Bundes und zum Zwecke der Begriffskonsolidierung ist die Definition orientiert am Anwendungsbereich des bisherigen § 8 Absatz 1 sowie dem Geltungsbereich des Umsetzungsplans Bund, mit dem der Begriff der Einrichtungen der Bundesverwaltung bereits etabliert worden ist. Damit wird auch dem Umstand begegnet, dass in der Vergangenheit mitunter Unklarheiten bestanden, ob und für welche Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts die Gel- tung Geltung der Mindeststandards angeordnet war. Mit dem Ziel der möglichst einheitlichen Regelung eines möglichst hohen Niveaus an Sicherheit wird das bisherige Anordnungserfordernis („Opt-In“) für die Mindeststandards im Bereich der mittelbaren Bundesverwaltung nach der bisherigen § 8 Absatz 1 Satz 1 Nr. 2 durch eine allgemeine Anforderung mit der Möglichkeit zum Opt-Out abgelöst: Zur Vermeidung von Unverhältnismäßigkeiten können die Ressorts gemäß § 46 Absatz 4 Ausnahmebescheide erlassen.

Zu Absatz 2

Absatz 2 dient als Generalklausel zur grundsätzlichen Erweiterung des Anwendungsbe- reichs auf Einrichtungen der Bundesverwaltung, die selbst weder besonders wichtige Ein- richtungen noch wichtige Einrichtungen sind, sowie zur Festlegung von Abweichungen für Einrichtungen der Bundesverwaltung von den Regelungen für (besonders) wichtige Ein- richtungen.

Einrich- tungen.

- 147 - Bearbeitungsstand: 22.12.2023 09:58

forderungen zusichert, wird wie bisher durch Verordnung nach § 57 Absatz 3 und die hier- in aufgeführten Verfahren bestimmt.

Zu Absatz 8

Zu Nummer 1

Nummer 1 führt den bisherigen § 9c Absatz 8 Nummer 1 fort.

Zu Nummer 2

Nummer 2 führt den bisherigen § 9c Absatz 8 Nummer 2 fort.

Zu Absatz 9

Absatz 9 führt den bisherigen § 9c Absatz 9 fort.

07.05.2024 10:19

Für Einrichtungen der Bundesverwaltung finden die Regelungen für besonders wichtige Einrichtungen Anwendung, soweit keine Abweichungen für Einrichtungen der Bundesver- waltung geregelt sind. D.h. folgende Regelungen für besonders wichtige Einrichtungen finden Anwendung: §§ 6, 13 Absatz 1 Nummer 1 e), fin- den Anwendung: §§ 6, 12, 13 Absatz 1 Nummer 1 e), 30, 32, 33, 35, 36, 37, 57, 62. Folgende Regelungen für besonders wichtige oder wichtige Einrichtungen finden keine Anwendung: §§ 38, 62, wobei § 30 durch die Einhaltung von § 44 (1) erfüllt wird. Folgende Regelungen für besonders wichtige oder wichtige Einrichtungen finden keine Anwendung: §§ 38, 40 (3), 60 und 64, da stattdessen folgende abweichende Regelungen Anwendung finden: §§ 4, 7, 10, 43 (1), 43 (2), 43 (4), 50 (3).

Zu Absatz 3

Absatz 3 dient der Festlegung der in der NIS-2-Richtlinie angelegten Ausnahme für den Verteidigungsbereich.

- 125 - Bearbeitungsstand: 22.12.2023 09:58

Bereich der Verteidigung und den Bereich der nationalen Sicherheit. Die NIS-2-Richtlinie gilt zudem laut ihrem Erwägungsgrund 8 nicht für diplomatische und konsularische Vertre- tungen der Mitgliedstaaten in Drittländern. Um den Besonderheiten des Auswärtigen Diens- tes Rechnung zu tragen, wird das Auswärtige Amt deshalb in seinem Geschäftsbereich eigene Maßnahmen ergreifen, um die Ziele der Richtlinie umzusetzen.

Zu Kapitel 2 (Risikomanagement, Melde-, Registrierungs-, Nachweis-
und Unterrichtungspflichten)

Zu § 30 (Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen)

§ 30 dient der Umsetzung von Artikel 21 der NIS-2-Richtlinie. Für Einrichtungen der Bun- desverwaltung wird § 30 durch § 44 umgesetzt.

Zu Absatz 1

Absatz 1 dient der Umsetzung von Artikel 21 Absatz 1 und 4 NIS-2-Richtlinie. Während das BSIG im Bereich von Cybersicherheitsmaßnahmen bislang für Betreiber Kritischer Infrastrukturen auf diejenigen informationstechnischen Systeme, Komponenten und Pro- zesse Infra- strukturen auf diejenigen informationstechnischen Systeme, Komponenten und Prozesse abstellte, die für die Funktionsfähigkeit der Kritischen Infrastruktur maßgeblich sind, sind in Folge der Umsetzung der NIS-2-Richtlinie zukünftig sämtliche informationstechni- schen Systeme, Komponenten und Prozesse zu berücksichtigen, die von der jeweiligen Einrichtung informationstechnischen Systeme, Komponenten und Prozesse zu berücksichtigen, die von der jeweiligen Einrich- tung für die Erbringung ihrer Dienste genutzt werden. Der Begriff „Erbringung ihrer Dienste“ ist hierbei weit gefasst und insbesondere nicht mit der Erbringung (kritischer) Versorgungsdienstleistungen Versorgungs- dienstleistungen zu verwechseln. Vielmehr sind die hier gemeinten Dienste sämtliche Aktivitäten Akti- vitäten der Einrichtung, für die IT-Systeme eingesetzt werden, dies beinhal- tet beispielsweise beinhaltet beispiels- weise auch Büro-IT oder andere IT-Systeme, die durch die Einrichtung betrie- ben werden.

Risiken sind das Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird. Absatz 1 stellt klar, dass hierbei durch die Einrichtung nur geeignete, verhältnismäßige und wirksame Maßnahmen zu ergreifen sind. Im Bezug auf die Verhältnismäßigkeit sind insbesondere die Risikoexposition, die Größe der Einrich- tung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicher- heitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berück- sichtigen. Dies dient der Umsetzung von Artikel 21 Absatz 1 Unterabsatz 2 NIS-2-Richtli- nie. betrieben werden.

Risiken sind das Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird. Absatz 1 stellt klar, dass hierbei durch die Einrichtung nur geeignete, verhältnismäßige und wirksame Maßnahmen zu ergreifen sind. Im Bezug auf die Verhältnismäßigkeit sind insbesondere die Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvor- fällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen. Dies dient der Umsetzung von Artikel 21 Absatz 1 Unterabsatz 2 NIS-2-Richtlinie. Damit keine unverhältnismäßige finanzielle und administrative Belastung für beson- ders besonders wichtige und wichtige Einrichtungen entstehen, sollen die genannten Risikomanage- mentmaßnahmen Risikomanagementmaßnah- men in einem angemessenen Verhältnis zu den Risiken stehen, denen das betroffene Netz- und Informationssystem ausgesetzt wird. Hierbei werden u.a. auch den Kosten der Umsetzung sowie der Größe der Einrichtung Rechnung getragen. In die Be- wertung der Angemessenheit Umset- zung sowie der Größe der Einrichtung Rechnung getragen. In die Bewertung der Angemes- senheit und Verhältnismäßigkeit kann ebenfalls einfließen, obob es sich um eine wichtige Einrichtungen, eine besonders wichtige im Vergleich zu wesentlichen Einrichtung oder ei- nen Betreiber einer kritischen Anlage handelt, da in diesen Einrichtungskategorien von

- 148 - Bearbeitungsstand: 07.05.2024 10:19

einem unterschiedlichen Grad der Risikoexposition ausgegangen werden kann grundsätzlich einer unterschiedlichen Risikoexposition ausgesetzt sind. „Ri- siko“ grundsätz- lich einer unterschiedlichen Risikoexposition ausgesetzt sind. „Risiko“ wird als Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird.

Vergleichbar zur Rechenschaftspflicht nach Artikel 5 Absatz 2 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung) sind Einrichtungen verpflichtet, die Umsetzung und Einhaltung von Maßnahmen angemessen zu dokumentieren. Durch diese Pflicht wird sichergestellt, dass Einrichtungen nach Anforderungen von Nachweisen des Bundesamts gemäß § 64 Abs. 3 dem Bundesamt entsprechende Nachweisdokumente vorlegen kön- nen. können. Entsprechende Dokumentationen können beispielsweise sein: interne Richtlinien, Handlungsanweisungen, Hand- lungsanweisungen, Checklisten, Mitarbeiterschulungen, Vereinbarungen, Merkblät- ter Merkblätter o.ä., aber auch Auditberichte, Zertifizierungen oder Prüfungen.

Zu Absatz 2

Absatz 2 dient der Umsetzung von Artikel 21 Absatz 2 der NIS-2-Richtlinie. Die hier ge- nannten Vorgaben insbesondere im Bereich der Sicherheit der Lieferkette können auch die Durchführung von External Attack Surface (EAS) Scans beinhalten. Mit der Vorgabe in Nummer 2 ist der Fachbegriff „incident response“ gemeint.

Unter dem Begriff "Cyberhygiene" im Sinne der NIS-2-Richtlinie werden verschiedene grundlegenden Verfahren und Herangehensweisen umschrieben, welche allgemein zu einer Verbesserung des Cybersicherheitsniveaus einer Einrichtung führen können. Dies beinhaltet ei- ner Verbesserung des Cybersicherheitsniveaus einer Einrichtung führen können. Dies be- inhaltet beispielsweise ein Patchmanagement, Regelungen für sichere Passwörter, die Einschränkung Ein- schränkung von Zugriffskonten auf Administratorenebene, Netzwerksegmentierungen, sowie so- wie Backup- und Sicherungskonzepte für Daten. Ebenfalls gehören hierzu allgemeine Informations- In- formations- und Schulungsmaßnahmen, um das allgemeine Bewusstsein der Mitarbeiter für die Risiken im Zusammenhang mit IKT-Produkten zu schärfen.

Unter Maßnahmen zur Sicherheit der Lieferkette sind beispielsweise vertragliche Verein- barungen Vereinba- rungen mit Zulieferern und Dienstleistern zu Risikomanagementmaßnahmen, Bewältigung von Cybersicherheitsvorfällen, Patchmanagement, sowie der Berücksichtigung von Empfehlungen des BSI Emp- fehlungen des Bundesamt in Bezug auf deren Produkten und Dienstleistungen zu nennen. Ebenfalls kann dies beinhalten, Zulieferer und Dienstleister zur Beachtung von grundsätz- lichen Prinzipien wie Security by Design oder Security by Default anzuhalten. Hierbei Bei der Erwägung geeigneter Maßnahmen nach Absatz 4 Nummer 4 sind durch die Einrich- tung die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diens- teanbieter Einrichtung die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse zu berücksichtigen. Einrichtungen müssen bei der Erwägung geeigneter Maßnahmen nach Satz 1 die Ergebnisse berücksichti- gen ist dabei gen. Einrichtungen müssen bei der Erwägung geeigneter Maßnahmen nach Satz 1 die Er- gebnisse der gemäß Artikel 22 Absatz 1 der NIS-2-Richtlinie durchgeführten koordinierten Risikobewertungen kritischer Lieferketten berücksichtigen.

Zu Absatz 3

Absatz 3 dient der Umsetzung von Artikel 21 Absatz 5 Unterabsatz 1 der NIS-2-Richtlinie.

Zu Absatz 4

Absatz 4 dient der Umsetzung von Artikel 21 Absatz 5 Unterabsatz 2 der NIS-2-Richtlinie. Soweit die Europäische Kommission einen Durchführungsrechtsakt gemäß Artikel 24 Ab- satz 2 der NIS-2-Richtlinie erlässt, gehen die darin enthaltenen Vorgaben an den Einsatz zertifizierter IKT-Produkte, IKT-Dienste und IKT-Prozesse denen des Satzes 1 vor.

• 149 - Bearbeitungsstand: 22.12.2023 09:58

Zu Absatz 3

Absatz 3 führt den bisherigen § 13 Absatz 3 fort.

Zu Absatz 4

Zu Nummer 1

Nummer 1 führt den bisherigen § 13 Absatz 4 Nummer 1 fort.

Zu Nummer 2

Nummer 2 führt den bisherigen § 13 Absatz 4 Nummer 2 fort.

Zu Nummer 3

Nummer 3 führt den bisherigen § 13 Absatz 4 Nummer 3 fort.

Zu Absatz 5

Absatz 5 führt den bisherigen § 13 Absatz 5 fort.

Zu Absatz 6

Absatz 6 führt den bisherigen § 13 Absatz 6 fort. Gemäß Artikel 44 der NIS-2-Richtlinie tritt die Richtlinie (EU) 2016/1148 am 18. Oktober 2024 außer Kraft, damit entfällt die 07.05.2024 10:19

Zu Absatz 5

Zur angemessenen Berücksichtigung der Bedrohungslage muss das Bundesamt die Mög- lichkeit haben, über die ggf. von der Europäischen Kommission erlassenen Maßnahmen hinaus, die Umsetzung angemessener Maßnahmen zu fordern.

Zu Absatz 6

Absatz 6 dient der Umsetzung von Artikel 24 der NIS-2-Richtlinie. Gemäß Artikel 24 Abs. Absatz 2 der NIS-2-Richtlinie ist die EU Kommission ebenfalls befugt, delegierte Rechtsakte nach Art. Artikel 290 AEUV zu erlassen, die ebenfalls den verpflichtenden Einsatz nach europäischen Schemata zertifizierter Produkte, Dienste oder Prozesse vorschreiben kann. Diese dele- gierten Rechtsakte haben entsprechend Vorrang gegenüber einer nach Absatz 6 dieser Regelung erlassen Rechtsverordnung des Bundesministeriums des Innern und für Heimat.

Vor Erlass einer solchen Rechtsverordnung ist durch das Bundesministerium des Innern und für Heimat und die weiteren beteiligten Ressorts sicherzustellen, dass entsprechende Zertifizierungsschemata vorhanden sind und nach diesen zertifizierten Produkten, Dienste oder Prozesse ausreichend am Markt verfügbar sind, um nachgelagerte Probleme durch Lieferengpässe oder -schwierigkeiten zu vermeiden.

Zu Absatz 7

Absatz 7 führt den bisherigen § 5 Absatz 7 fort.

Zu Absatz 8

Absatz 8 geht über die reine 1:1-Umsetzung der NIS-2-Richtlinie hinaus. Da die Umset- zung Umsetzung des Artikel 29 der NIS-2-Richtlinie über die zentrale Austauschplattform des BSI Bundeamtes (BISP) umgesetzt wird, soll durch diesen Absatz 7 der bidirektionale Austausch sicherge- stellt werden.

Zu Absatz 8

Absatz 8 dient der Umsetzung von Artikel 30 der NIS-2-Richtlinie.

Zu Absatz 9

Die Möglichkeit für KRITIS-Betreiber, für die Erfüllung der gesetzlichen Anforderungen branchenspezifische Sicherheitsstandards (B3S) vorzuschlagen, die anschließend vom Bundesamt im Einvernehmen Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sowie der zuständigen Aufsichtsbehörde des Bundes auf ihre Eig- nung Eignung geprüft werden, hat sich in der Umsetzung der NIS-1 Richtlinie aus Sicht der Bun- desregierung Bundesregie- rung grundsätzlich sehr bewährt. Da auch aus der Wirtschaft im Zuge der Evaluierung der KRITIS-bezogenen Bestandteile des IT-Sicherheitsgesetzes 2.0 einstimmig eine Einführung Einfüh- rung eines vergleichbaren Verfahrens angeregt wurde, wird in Absatz 9 eine vergleichbare Regelung für besonders wichtige Einrichtungen eingeführt. Bei der Erarbei- tung von branchenspezifischen Sicherheitsstandards durch Betreiber kritischer Anlagen und ihre Branchenverbände zur Erfüllung der Nachweispflichten nach § 39 Abs. 1 kann es sinnvoll sein, die Maßnahmen auf diejenigen informationstechnischen Systeme, Kompo- nenten und Prozesse Erarbeitung von bran- chenspezifischen Sicherheitsstandards durch Betreiber kritischer Anlagen und ihre Bran- chenverbände zur Erfüllung der Nachweispflichten nach § 39 Abs. 1 kann es sinnvoll sein, die Maßnahmen auf diejenigen informationstechnischen Systeme, Komponenten und Pro- zesse zu beschränken, die für die Funktionsfähigkeit der kritischen Anla- gen maßgeblich sind. Ein solcher branchenspezifischer Sicherheitsstandard ist dann Anlagen maßgeblich sind. Ein solcher branchenspezifischer Sicherheitsstandard ist dann jedoch nur für den Nachweis der Anforderungen nach § 39 Abs. 1 durch Betreiber kritischer Anlagen geeignet. Sofern das Bundesamt gemäß § 64 Abs. 3 BSIG Nachweise von be- sonders wichtigen Einrichtungen verlangt, die gleichzeitig Betreiber kritischer Anlagen sind, sind durch die Einrichtung entsprechend für diejenigen informationstechnischen Sys- teme, Komponenten und Prozesse, welche die Einrichtung für die Erbringung ihrer Diens- te besonders wichtigen Ein- richtungen verlangt, die gleichzeitig Betreiber kritischer Anlagen sind, sind durch die Ein- richtung entsprechend für diejenigen informationstechnischen Systeme, Komponenten und Prozesse, welche die Einrichtung für die Erbringung ihrer Dienste nutzt, die jedoch nicht vom branchenspezifischen Sicherheitsstandard abgedeckt sind, weitere Nachweisunterlagen zu erbringen.

Zu § 31 (Besondere Anforderungen an die Risikomanagementmaßnahmen von Be- treibern Nachweisunterla- gen zu erbringen.

- 150 - Bearbeitungsstand: 07.05.2024 10:19

Zu § 31 (Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen)

§ 31 definiert zusätzliche Anforderungen für Betreiber kritischer Anlagen.

Zu Absatz 1

Absatz 1 sieht vor, dass bei den nach § 30 umzusetzenden Maßnahmen durch Betreiber kritischer Anlagen in Bezug auf versorgungsrelevante informationstechnische Systeme, Komponenten und Prozesse erhöhte Anforderungen bestehen im Vergleich zu den Anfor- derungen an besonders wichtige Einrichtungen für sonstige, nicht versorgungsrelevante Bereiche. Betreiber kritischer Anlagen haben innerhalb ihrer Einrichtung für die informati- onstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Anlagen maßgeblich sind, gegenüber wichtigen und be- sonders wichtigen Einrichtungen ein nochmals erhöhtes Sicherheitsniveau zu gewährleis- ten. Hinsichtlich der besonders schweren gesellschaftlichen und wirtschaftlichen Auswir- - 128 - Bearbeitungsstand: 22.12.2023 09:58

kungen einer Beeinträchtigung ist die Versorgungserheblichkeit der kritischen Anlagen für die Bevölkerung besonderes Indiz für die wirtschaftliche Angemessenheit der Vornahme von Sicherungsmaßnahmen. Daher gelten Maßnahmen, welche die Resilienz der Anlage erhöhen, um auch in Bezug auf gängige realistische Bedrohungsszenarien entsprechend der aktuellen Lageberichte und Bewertungen des Bundesamtes die Versorgungssicher- heit der Bevölkerung auf einem möglichst hohen Niveau sicherzustellen, grundsätzlich gegenüber dem Versorgungssicherheit der Bevölkerung auf einem möglichst hohen Niveau sicherzustellen, grundsätzlich gegen- über dem Ausschuss für Inneres und Heimat des Deutschen Bundestages besteht gemäß § 59 erforderlichen Aufwand als angemessen.

Der Absatz trifft mit dem Bezug auf Absatz 2 keine Aussage zur technischen Angemes- senheit Angemessen- heit im Sinne der Eignung einer Maßnahme für die Minimierung eines Risikos, son- sondern konkretisiert, dass bei kritischen Anlagen eine grundsätzliche Abwägung zugunsten der Vornahme einer Maßnahme gegenüber dagegenstehenden Wirtschaftlichkeitserwä- gungen Wirtschaftlichkeitserwägungen zu treffen ist. Dabei fällt in Abgrenzung zu wichtigen und besonders wichtigen Einrichtungen die Abwägung noch stärker zugunsten der Sicherheit der Funktionsfähigkeit der Anlage aus. Die Abwägung bezieht sich auf Maßnahmen für die zur Funktionsfähigkeit erforderli- chen technischen und organisatorischen Maßnahmen ergreift, um den ordnungsgemäßen Zustand seiner Telemedienangebote herzustellen. Die Zuständigkeit der Aufsichtsbehör- den der Länder bleibt im Übrigen unberührt.

§ 18

Anordnungen von Maßnahmen des Bundesamtes gegenüber Herstellern von IKT- Produkten

Soweit erforderlich, kann das Bundesamt von einem Hersteller betroffener IKT-Pro- dukte die Mitwirkung an der Beseitigung oder Vermeidung erheblicher Sicherheitsvorfälle bei besonders wichtigen Einrichtungen und wichtigen Einrichtungen verlangen.

- 32 - Bearbeitungsstand: 22.12.2023 09:58

§ 19

Bereitstellung von IT-Sicherheitsprodukten

Die Bereitstellung von IT-Sicherheitsprodukten durch das Bundesamt nach § 3 Ab- satz informationstechnischen Systeme, Komponenten und Prozesse in der Anlage und so- mit nicht auf die gesamte Einrichtung.

Zu Absatz 2

Absatz 2 verpflichtet Betreiber kritischer Anlagen, Systeme zur Angriffserkennung einzu- setzen.

Zu § 32 (Meldepflichten)

Zu Absatz 1

Absatz 1 dient der Umsetzung von Artikel 23 Absatz 4 Satz 1 der NIS-2-Richtlinie. Mit „Kenntniserlangung“ ist gemeint, dass eine Mitarbeiterin oder ein Mitarbeiter der Einrich- tung Einrichtung innerhalb seiner Arbeitszeit Kenntnis über einen erheblichen Sicherheitsvorfall er- langt. erlangt. Das Bundesamt ermöglicht im Rahmen seiner Möglichkeiten eine Kommunikation auf Englisch.

Zu Absatz 2

Absatz 2 dient der Umsetzung von Artikel 23 Absatz 4 Satz 1 Buchstabe e der NIS-2- Richtlinie.

Betrifft ein meldepflichtiger Sicherheitsvorfall mehrere Einrichtungen innerhalb einer Kon- zerngruppe, und sind für diese Einrichtungen innerhalb der Konzerngruppe eine oder mehrere meh- rere einheitliche, ggf. auch branchenübergreifende Kontaktstellen benannt, so kann bei Abgabe Ab- gabe einer Vorfallsmeldung nach Absatz 1 auch unmittelbar im Meldeformular an- gegeben werden, welche weiteren Einrichtungen innerhalb der Konzerngruppe vom Vor- fall angegeben werden, welche weiteren Einrichtungen innerhalb der Konzerngruppe vom Vorfall betroffen sind. Hierdurch können Mehrfachmeldungen innerhalb einer Konzerngruppe zu ein- und demselben Vorfall mit dem Ziel der Bürokratieminimierung vermieden werden. Innerhalb der Konzerngruppe ist jedoch in diesem Fall sicherzustellen, dass die innerhalb der Konzerngruppe benannten Kontaktstellen auch zu anlagen- oder einrichtungsspezifi- schen Rückfragen des Bundesamts beispielsweise zu Auswirkungen des Sicherheitsvor- falls, Auskunft Kon- zerngruppe benannten Kontaktstellen auch zu anlagen- oder einrichtungsspezifischen

- 151 - Bearbeitungsstand: 07.05.2024 10:19

Rückfragen des Bundesamts beispielsweise zu Auswirkungen des Sicherheitsvorfalls, Aus- kunft erteilen oder einen Ansprechpartner benennen können.

Zu Absatz 2

Absatz 2 dient der Umsetzung von Artikel 23 Absatz 4 Satz 1 Buchstabe e der NIS-2-Richt- linie.

Zu Absatz 3

Absatz 3 regelt, dass KRITIS-Betreiber bei der Erfüllung der Meldepflicht für Sicherheits- vorfälle auch weiterhin weitergehende Angaben in Bezug auf die betroffenen Anlagen, die betroffene kritische Dienstleistung sowie den Auswirkungen des Sicherheitsvorfalls auf diese Dienstleistung zu übermitteln haben.

Zu Absatz 4

Um ein effizientes und bürokratiearmes Meldeverfahren sicherzustellen, kann das BSI Einzelheiten des Meldeverfahrens nach Anhörung der betroffenen Betreiber und Wirt- schaftsverbände festlegen. Soweit die Europäische Kommission einen Durchführungs- rechtsakt gemäß Artikel 23 Absatz 11 Unterabsatz 1 der NIS-2-Richtlinie erlässt, in dem die Art der Angaben, das Format oder das Verfahren der Meldungen festgelegt ist, sind diese Vorgaben legt das Bundes- amt Einzelheiten des Meldeverfahrens nach Anhörung der betroffenen Betreiber und Wirt- schaftsverbände fest. Soweit die Europäische Kommission einen Durchführungs-rechtsakt gemäß Artikel 23 Absatz 11 Unterabsatz 1 der NIS-2-Richtlinie erlässt, in dem die Art der Angaben, das Format oder das Verfahren der Meldungen festgelegt ist, sind diese Vorga- ben einzuhalten.

Zu § 33 (Registrierungspflicht)

§ 32 dient der Umsetzung von Artikel 3 Absatz 3 der NIS-2-Richtlinie. Registrierungs- pflichten für Einrichtungen der Bundesverwaltung werden in § 43 Absatz 4 abweichend geregelt.

33 dient der Umsetzung von Artikel 3 Absatz 3 der NIS-2-Richtlinie. In § 43 Absatz 4 wird ergänzend geregelt, dass die Registrierung bei Einrichtungen der Bundesverwaltung der Einrichtungsleitung obliegt.

Die Benennung der für die Tätigkeit, aufgrund derer die Registrierung erfolgt, zuständigen Aufsichtsbehörden des Bundes ist erforderlich, damit das Bundesamt den Beteiligungs- und Informationserfordernissen im Bezug auf diese Behörden nachkommen kann.

Zu Absatz 1

Absatz 1 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 2 Satz 1 der NIS-2- Richtlinie. Gemäß § 29 trifft die Registrierungspflicht entsprechend auch Einrichtungen der Bundesverwaltung NIS-2-Richt- linie. Gemäß § 29 trifft die Registrierungspflicht entsprechend auch Einrichtungen der Bun- desverwaltung im gleichen Umfang. Dies wird in § 43 Absatz 3 4 Satz 1 klargestellt.

Für Konzernstrukturen kann unter Effizienzgesichtspunkten die Benennung einer oder mehrere einheitlicher Kontaktstellen innerhalb des Konzerns für mehrere Unternehmens- teile sinnvoll sein. Dies ist grundsätzlich möglich, sofern sichergestellt ist, dass für alle registrierungspflichten Einrichtungen bzw. Anlagen die in Absatz 1 genannten Informatio- nen re- gistrierungspflichten nach § 33 und § 34 befreit werden. Absatz 2 Satz 2 gilt entspre- chend.

(4) Die Absätze 1 bis 3 gelten nicht, wenn die betreffende Einrichtung ein Einrichtungen bzw. Anlagen die in Absatz 1 genannten Informationen vorliegen, und die benannte übergeordnete Kontaktstelle innerhalb des Konzerns auch auf anlagen- oder einrichtungsspezifische Rückfragen des Bundesamt Auskunft ge- ben kann.

Zu Nummer 1

Nummer 1 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 1 Buchstabe a der NIS-2-Richtlinie. geben kann.

Zu Nummer 1

Nummer 1 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 1 Buchstabe a der NIS- 2-Richtlinie. Die Vorgabe wird um die Handelsregisternummer erweitert, da die Firma allein nicht eindeutig ist.

Zu Nummer 2

Nummer 2 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 1 Buchstabe b der NIS-2-Richtlinie.

Zu Nummer 3

Nummer 3 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 1 Buchstabe c der NIS-2-Richtlinie.

Zu Nummer 4

Nummer 4 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 1 Buchstabe d der NIS-2-Richtlinie.

Zu Nummer 5

[…]

NIS- 2-Richtlinie.

- 152 - Bearbeitungsstand: 22.12.2023 09:58

§ 8f Absatz 5 Satz 1 entfällt, da dieser in den neuen Einrichtungskategorien aufgeht.

Ein Ersatz erfolgt jedoch durch § 34 Absatz 1, 2, der Registrierungspflichten für andere Einrichtungsarten vorsieht.

Zu Nummer 5

Nummer 5 sieht eine Bebußung für Betreiber kritischer Anlagen vor. Diese haben nach § 32 07.05.2024 10:19

Zu Nummer 3

Nummer 3 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 1 Buchstabe c der NIS- 2-Richtlinie.

Zu Nummer 4

Nummer 4 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 1 Buchstabe d der NIS- 2-Richtlinie.

Zu Nummer 5

Die Vorschrift dient der Erleichterung des Austauschs von Internet-Datenverkehr, der der Zusammenarbeit mit den im Einzelfall zuständigen Aufsichtsbehörden.

Zu Absatz 2

Absatz 3 regelt für Betreiber kritischer Anlagen zusätzlich zu übermittelnden Angaben bei der Registrierung. Absatz 3 führt den bisherigen § 8b Absatz 3 Satz 1 und 3 fort. Es wird ergänzt, dass Betreiber kritischer Anlagen auch die Versorgungskennzahlen ihrer kriti- schen Anlage übermitteln müssen.

Zu Absatz 3

Absatz 3 regelt, dass eine Registrierung von Einrichtungen und Diensteanbietern auch durch das Bundesamt selbst vorgenommen werden kann, wenn eine Einrichtung oder ein Anbieter ihre oder seine Pflicht zur Registrierung nicht erfüllt. Absatz 3 führt den bisherigen § 8b Absatz 3 Satz 2 fort und erweitert diesen auf die hier genannten Einrichtungsarten.

Zu Absatz 2

Absatz 2 dient der Definition wichtiger Einrichtungen. 4

Absatz 4 führt den bisherigen § 8b Absatz 3a fort. Die hier genannten Geheimschutzinte- ressen oder überwiegenden Sicherheitsinteressen beziehen sich auf entsprechende Inter- essen Inte- grität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden bzw. ressen der Bundesrepublik Deutschland. Betriebs- und Geschäftsgeheimnisse beteiligter Unternehmen allein begründen hiernach keine rechtmäßige Ablehnung einer Vorlage der Informationen.

Zu Absatz 5

Absatz 5 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 2 Satz 2 der NIS-2- Richtlinie.

NIS-2-Richt- linie.

Zu Absatz 6

Um einheitliche Registrierungsprozesse zu ermöglichen und somit den Verwaltungsauf- wand für das Bundesamt sowie den Erfüllungsaufwand für die Wirtschaft effizient zu ge- stalten, ist vorgesehen, dass das Bundesamt einheitliche Vorgaben zum Registrierungs- gestal- ten, ist vorgesehen, dass das Bundesamt einheitliche Vorgaben zum Registrierungsverfah- ren festlegt.

Zu § 34 (Besondere Registrierungspflicht für bestimmte Einrichtungsarten)

§ 34 dient der Umsetzung von Artikel 27 Absatz 2 bis 5 der NIS-2-Richtlinie.

Zu Absatz 4

Absatz 4 sieht vor, dass das Bundesamt für die Registrierung etwa die Verwendung eines Online-Formulars oder Vordrucks vorsehen kann, um die einheitliche Datenerfassung zu erleich- tern.

erleichtern.

- 153 - Bearbeitungsstand: 22.12.2023 09:58

Personenzertifizierung 07.05.2024 10:19

Zu § 35 (Unterrichtungspflichten)

Zu Absatz 1

Absatz 1 dient der Umsetzung von Artikel 23 Absatz 1 Satz 2 der NIS-2-Richtlinie.

Wenn die Erbringung von Diensten durch besonders wichtige und wichtige Einrichtungen in Folge von aufgetretenen erheblichen Sicherheitsvorfällen beeinträchtigt wird, kann dies regelmäßig auch zu weiteren Einschränkungen, darunter auch mittelbare Einschränkun- gen, bei den Empfängern dieser Dienste führen. Dies kann beispielsweise der Fall sein, wenn diese Dienste bei den Empfängern zur Erbringung weiterer oder anderer Dienste für Dritte genutzt werden. Solche Supply-Chain-Angriffe sind regelmäßig schwer abzuweh- ren, abzuwehren, da die Schadensauswirkungen mit zeitlicher Verzögerung, an anderen Orten sowie bei vom ursprünglichen Sicherheitsvorfall nicht unmittelbar betroffenen Unternehmen auf- treten können. auftreten kön- nen. Beispiele für solche Supply-Chain-Angriffe, die bei unbeteiligten dritten Unternehmen zu weiteren Schadensauswirkungen führten, sind beispielsweise die pres- seöffentlich bekannten presseöffentlich be- kannten Vorfälle bei Solarwinds (2020), Kaseya (2021) oder ViaSat (2022). Um in Bezug auf solche Angriffe die Resilienz in der Wirtschaft insgesamt zu erhöhen, kann es im Einzelfall erforderlich sein, dass das Bundesamt entsprechende von einem

Ein- zelfall erforderlich sein, dass das Bundesamt entsprechende von einem Sicherheitsvorfall betroffene Einrichtungen anweist, die Empfänger ihrer Dienste über den Sicherheitsvorfall zu unterrichten, damit diese wiederum die erforderlichen Maßnahmen umsetzen können, um weitere Schadensauswirkungen auf ihre eigenen Dienste möglichst zu vermeiden. Das Bundesamt setzt die zuständige Aufsichtsbehörde des Bundes über eine Anordnung nach dieser Vorschrift in Kenntnis.

Zu Absatz 2

Absatz 2 dient der Umsetzung von Artikel 23 Absatz 2 der NIS-2-Richtlinie. Nicht in allen Sektoren können die Empfänger von Diensten selbst Maßnahmen gegen Cyberbedrohun- gen ergreifen. Gerade bei der Versorgung mit Elektrizität oder Waren sind die Empfänger nicht selbst der Cyberbedrohung ausgesetzt, sondern erst deren Folgen. In den Sektoren, in denen die Dienste selbst mit Informationssystemen der Empfänger der Dienste inter- agieren, intera- gieren, ist eine Information der Empfänger oftmals sinnvoll. Die Einrichtungen haben sie daher über die Bedrohung selbst und über mögliche Maßnahmen zu unterrichten, die die Empfänger selbst zu ihrem Schutz ergreifen können.

Zu § 36 (Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen)

Zu Absatz 1

Absatz 1 dient der Umsetzung von Artikel 23 Absatz 5 der NIS-2-Richtlinie. Wird bei dem erheblichen Sicherheitsvorfall ein strafbarer Hintergrund vermutet, gibt das Bundesamt ferner Orientierungshilfen für die Meldung des Sicherheitsvorfalls an die Strafverfolgungs- behörden. Das Bundesamt wird als Orientierungshilfen für die Meldung des Sicherheits- vorfalls an die Strafverfolgungsbehörden auf seiner Internetseite bereitstellen und auf die- se gegebenenfalls fer- ner Orientierungshilfen für die Meldung des Sicherheitsvorfalls an die Strafverfolgungsbe- hörden. Das Bundesamt wird als Orientierungshilfen für die Meldung des Sicherheitsvorfalls an die Strafverfolgungsbehörden auf seiner Internetseite bereitstellen und auf diese gege- benenfalls verweisen.

Zu Absatz 2

Absatz 2 dient der Umsetzung von Artikel 23 Absatz 7 der NIS-2-Richtlinie. Nur das Bun- desamt verfügt als zentrale Stelle nach der NIS-2-Richtlinie über die Informationen und das Lagebild, um entsprechende bundesweite Informationen auszugeben.

Zu § 37 (Ausnahmebescheid)

§ 37 dient der Umsetzung von Artikel 2 Absatz 8 der NIS-2-Richtlinie. Damit wird von der Möglichkeit der Schaffung einer Ausnahme Gebrauch gemacht. Der Grund einer teilwei- sen oder vollständigen Ausnahme von den in Artikel 21, 23 und 27 der NIS-2-Richtlinie teilweisen oder vollständigen Ausnahme von den in Artikel 21, 23 und 27 der NIS-2-Richtlinie

- 154 - Bearbeitungsstand: 22.12.2023 09:58

ler einer EU-Konformitätserklärung 07.05.2024 10:19

– umgesetzt in den §§ 30 ff. – genannten Pflichten ist die Wahrung des nationalen Sicher- heitsinteresses. So ist es in den Erwägungsgründen 9 und 10 der NIS-2-Richtlinie ange- legt, angelegt, dass es zur Wahrung wesentlicher Interessen der nationalen Sicherheit, dem Schutz der öffentlichen Ordnung und der öffentlichen Sicherheit der Mitgliedsstaaten erforderlich sein muss, Einrichtungen von obigen Pflichten auszunehmen, wenn derartige Auskünfte bzw. eine Preisgabe dem nationalen Sicherheitsinteresse zuwiderliefe. Als relevante Be-

Bereiche führt Artikel 2 Absatz 8 der NIS-2-Richtlinie die Bereiche der nationalen Sicherheit, öffentli- chen Sicherheit, der Verteidigung oder Strafverfolgung, einschließlich der Verhü- tung, Ermittlung, Aufdeckung und Verfolgung von Straftaten an. Um dem Sinne einer Aus- nahmeregelung, Verhütung, Er- mittlung, Aufdeckung und Verfolgung von Straftaten an. Um dem Sinne einer Ausnahmere- gelung, die nicht zu weit greift, gerecht zu werden, ist ein Ausgleich zwischen einem „hohen gemeinsamen Cybersicherheitsniveau“ (siehe Erwägungsgrund 138, 142 der NIS-2-Richtlinie; NIS-2-Richt- linie; ausdrückliches Ziel der NIS-2-Richtlinie) und dem Mitgliedsstaatsin- teresse der Wahrung Mitgliedsstaatsinteresse der Wah- rung nationaler Sicherheitsinteressen zu erbringen.

Bei dem hiesigen Ausnahmebescheid ist von einem nichtbegünstigenden Verwaltungsakt auszugehen. Gemäß § 48 Absatz 1 Satz 2 VwVfG bestimmt die Legaldefinition die Be- günstigung Begüns- tigung wie folgt: Ein Verwaltungsakt ist begünstigend, wenn er ein Recht oder einen rechtlich recht- lich erheblichen Vorteil begründet oder bestätigt. Ein Recht könnte in der Art begrün- det sein, als dass die der Befreiung unterliegende Einrichtung entweder ganz oder teilwei- se begründet sein, als dass die der Befreiung unterliegende Einrichtung entweder ganz oder teilweise den Pflichten der §§ 30 ff. nicht nachkommen muss. Andererseits entfallen diese Pflichten nicht einfach. Eine Begünstigung ist nach dem objektiven Regelungsgehalt des Verwaltungsakts unter Berücksichtigung des Zwecks der ihm zugrunde liegenden Norm zu beurteilen, Verwal- tungsakts unter Berücksichtigung des Zwecks der ihm zugrunde liegenden Norm zu beur- teilen, nämlich derart, dass eine Befreiung von obigen Pflichten nicht der Einrich- tung, Einrichtung, die den Ausnahmebescheid erhält, sondern dem nationalen Sicherheitsinteresse zugutekommen. zugutekom- men. Der Ausnahmebescheid soll gerade kein Recht verleihen, sondern nur die Pflichten des Adressaten des Ausnahmebescheids anderweitig ausgestalten, zumal gleichwertige Maßnahmen, die denen der Befreiung gleichkommen, (siehe §§ 30 ff.) ge- troffen werden müssen.

Für Einrichtungen der Bundesverwaltung ist die Möglichkeit zur Schaffung von Ausnah- men getroffen werden müssen.

Für Einrichtungen der Bundesverwaltung ist eine zusätzliche Möglichkeit zur Schaffung von Ausnahmen von den Regelungen nach Teil 3 ergänzend in § 46 Absatz 4 geregelt.

Zu Absatz 1

Zunächst wird obig genanntem Ziel durch ein begrenztes Vorschlagsrecht, durch Bundes- kanzleramt, Bundesministerium für Verteidigung, Bundesministerium des Innern und für Heimat, Bundesministerium der Justiz und der Ministerien für Inneres und Justiz der Län- der Länder entsprochen. Dabei ist ein Antragsrecht der betreffenden Einrichtung bewusst nicht vorgesehen. vorge- sehen. Weiterhin einschränkend wirken die umfassten Bereiche der Einrichtungen. Hierbei wird insbesondere auf die auch in der NIS-2-Richtlinie explizit genannten, rechtlich anerkannten aner- kannten Kategorien, der öffentlichen Sicherheit und Ordnung verwiesen. Als Begren- zung Begrenzung der Ausnahmeregelung einzubeziehender Erwägungsgrund sollte auf die Wesent- lichkeit Wesentlichkeit der Interessen der nationalen Sicherheit abzustellen sein.

Nicht zuletzt muss andererseits jedoch bei Ausnehmen von den genannten Pflichten das hohe gemeinsame Cybersicherheitsniveau durch Umsetzung gleichwertiger Maßnahmen (siehe Erwägungsgründe 13 und 137 der NIS-2-Richtlinie) gewährleistet werden. Hierbei wird auf den Erwägungsgrund 137 der NIS-2-Richtlinie verwiesen, die vorsieht, dass ein hohes Maß an Verantwortung für die Risikomanagementmaßnahmen und die Berichts- pflichten im Bereich der Cybersicherheit sicherzustellen ist. Dem soll dadurch Rechnung getragen werden, dass Absatz 1 bestimmt, dass bei einer Ausnahme die Einrichtung gleichwertige gleich- wertige Vorgaben zu erfüllen hat. Die Kontrolle über die Einhaltung obläge dem vor- schlagenden Ressort.

vorschla- genden Ressort

- 155 - Bearbeitungsstand: 22.12.2023 09:58

von im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen innerhalb einer be- 07.05.2024 10:19

Zu Absatz 2

Absatz 2 dient der Umsetzung von Artikel 2 Absatz 8 Satz 1 und 2 der NIS-2-Richtlinie. Absatz 2 Satz 1 setzt die Möglichkeit der Schaffung einer Ausnahme, wie von der Richtli- nie Richtlinie vorgesehen, um. Dabei bestimmt Absatz 2 einen einfachen Ausnahmebescheid, die Befreiung Befrei- ung von Risikomanagementmaßnahmen und Meldepflichten. Satz 2 verweist hier- bei, hierbei, wie obig bereits angemerkt, auf die Schaffung gleichwertiger Standards zur Wahrung der Informationssicherheit.

- 133 - Bearbeitungsstand: 22.12.2023 09:58

Zu Absatz 3

Absatz 3 dient der Umsetzung von Artikel 2 Absatz 8 Satz 3 der NIS-2-Richtlinie.

Mit Absatz 3 wurde die Möglichkeit einer vollständigen Befreiung von sowohl Risikomana- gementmaßnahme und Meldepflichten als auch Registrierungspflichten im Rahmen eines Infor- mationssicherheit.

(2) Für die Erfüllung der Aufgaben sind neben Personal- und Sachausstattung auch finanzielle Mittel in angemessenem Umfang zur Verfügung zu stellen, die der Koordinator oder die Koordinatorin zur Erfüllung seiner oder ihrer Aufgaben eigenständig verwaltet.

§ 49

Aufgaben des Koordinators

Dem Koordinator oder der Koordinatorin für Informationssicherheit obliegt die zentrale Koordinierung des Informationssicherheitsmanagements des Bundes. Zu diesem Zweck Zu Absatz 3

Absatz 3 dient der Umsetzung von Artikel 2 Absatz 8 Satz 3 der NIS-2-Richtlinie.

Mit Absatz 3 wurde die Möglichkeit einer vollständigen Befreiung von sowohl Risikoma- nagementmaßnahme und Meldepflichten als auch Registrierungspflichten im Rahmen ei- nes sogenannten erweiterten Ausnahmebescheids geschaffen. Betroffene Einrichtungen müs- sen hierfür ausschließlich in den obig genannten Bereichen tätig sein oder Dienste erbrin- gen. müssen hierfür ausschließlich in den obig genannten Bereichen tätig sein oder Dienste er- bringen. Satz 2 stellt die Wahrung von gleichwertigen Maßnahmen sicher.

Zu Absatz 4

Absatz 4 dient der Umsetzung von Artikel 2 Absatz 9 der NIS-2-Richtlinie.

Zu Absatz 5

Absatz 5 sieht eine Regelung des Widerrufs einer rechtmäßigen Befreiung vor. Für den Widerruf einer rechtmäßigen Befreiung sollte von § 49 VwVfG abgewichen werden, um der spezifischen Interessenlage der Vorschrift Genüge zu tun. Absatz 5 Satz 1 regelt den Fall des späteren Wegfalls der Voraussetzungen zur Erteilung eines Ausnahmebe- scheids. Ausnahmebescheids. Satz 2 sieht hiervon eine Rückausnahme vor, wenn die Voraussetzungen nur vorübergehend vorüberge- hend entfallen.

Zu § 38 (Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen)

§ 38 dient der Umsetzung von Artikel 20 der NIS-2-Richtlinie.

Zu Absatz 1

Absatz 1 dient der Umsetzung von Artikel 20 Absatz 1 der NIS-2-Richtlinie und der dort vorgesehenen Pflichten der organschaftlichen Geschäftsleitungen. Auch bei Einschaltung von Hilfspersonen bleibt das Leitungsorgan letztverantwortlich. Für Einrichtungen der Bundesverwaltung Bun- desverwaltung ist die Verantwortlichkeit der Leitungen in § 43 Absatz 1 geregelt.

Zu Absatz 2

Absatz 2 dient der Umsetzung von Artikel 20 Absatz 1 am Ende der NIS-2-Richtlinie. Die Vorsehung einer zwingenden Norm ist zwar nicht ausdrücklich in der umzusetzenden Richtlinienbestimmung enthalten. Jedoch wird hiermit der bestehende Umsetzungsspiel- raum Richt- linienbestimmung enthalten. Jedoch wird hiermit der bestehende Umsetzungsspielraum unionsrechtskonform ausgeübt. Denn soweit eine Richtlinie den Mitgliedsstaaten keine zwingenden Vorgaben macht, sondern Spielräume für die Umsetzung lässt, sind diese durch die Mitgliedsstaaten eigenständig so auszufüllen, dass die Ziele der Richtlinie vollständig voll- ständig erreicht werden. Diesen Zielen würde es widersprechen, wenn es sich hier um eine disponible Haftung handeln würde. Ein Vergleich ist daher unzulässig, wenn das Entgegen- kommen der Einrichtung gemessen an den jeweiligen prozessualen Risiken grob unver- hältnismäßig ist. Bei gerichtlich vorgeschlagenen Vergleichen ist grundsätzlich von einem angemessenen Verhältnis auszugehen. Die Regelung soll nicht die Möglichkeit einschrän- ken, das Haftungsrisiko durch Abschluss einer sog. D&O-Versicherung zu versichern.

- 156 - Bearbeitungsstand: 22.12.2023 09:58

Zweithöchste Stufe ist die Stufe von 500.000 Euro

Die neu geschaffene Nummer 12 wurde auf der zweiten Stufe angesetzt für Verstöße wenn bei besonders wichtigen Einrichtungen das Betreten eines dort genannten Raums nicht gestattet, eine dort genannte Unterlage nicht oder nicht rechtzeitig vorlegt, eine Aus- kunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung nicht oder nicht rechtzeitig gewährt

Unterste Stufe ist die Stufe von 100.000 Euro. 07.05.2024 10:19

Die Binnenhaftung des Geschäftsleitungsorgans bei Verletzung von Pflichten nach dem BSIG ergibt sich aus den allgemeinen Grundsätzen (bspw. § 93 AktG). Bei Amtsträgern gehen beamtenrechtliche Vorschriften vor, eine Ausweitung der bestehenden Haftung von Amtsträgern erfolgt mithin vor dem Hintergrund von Artikel 20 Absatz 1 Unterabsatz 2 der NIS-2-Richtlinie auch insoweit nicht. Für Einrichtungen der Bundesverwaltung ist die Ver- antwortlichkeit der Leitungen in § 43 Absatz 1 geregelt.

Zu Absatz 3

Absatz 3 dient der Umsetzung von Artikel 20 Absatz 2 der NIS-2-Richtlinie im Hinblick auf Geschäftsleiter. Wichtige und besonders wichtige Einrichtungen werden aufgefordert, der- artige Schulungen für alle Beschäftigten anzubieten. Für Einrichtungen der Bundesver- waltung Als „regelmäßig“ im Sinne dieser Vor- schrift gelten Schulungen, die mindestens alle 3 Jahre angeboten werden. Für Einrichtun- gen der Bundesverwaltung gilt abweichend § 43 Absatz 2.

Zu § 39 (Nachweispflichten für Betreiber kritischer Anlagen)

§ 39 führt den bisherigen § 8a fort. Die Ergebnisse der Evaluierung dieser Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Sicherheit informa- tionstechnischer informati- onstechnischer Systeme wurden berücksichtigt.

Bei der Bestimmung des Zeitpunkts für die erstmalige Nachweiserbringung nach diesem Gesetz berücksichtigt das Bundesamt eine letztmalige Nachweiserbringung nach der alten Rechtslage insoweit, dass die Nachweiserbringung kontinuierlich etwa alle drei Jahre erfolgt.

er- folgt.

Zu Absatz 1

Absatz 1 führt den bisherigen § 8a Absatz 3 fort.

Für Betreiber im Luftverkehrssektor bestehen mit der Verordnung (EG) 300/2008 in Ver- bindung Verbin- dung mit dem Anhang der DVO (EU) 2015/1998 umfangreiche Sicherheitsvorgaben. Entsprechende Ent- sprechende Nachweise nach den vorgenannten Verordnungen können durch das Bun- desamt für die Erfüllung von Nachweispflichten nach dieser Vorschrift berücksichtigt wer- den.

Bundes- amt für die Erfüllung von Nachweispflichten nach dieser Vorschrift berücksichtigt werden.

Zu Absatz 2

Absatz 2 führt den bisherigen § 8a Absatz 5 fort.

Zu Absatz 3

Um die Prüfung der durch die Betreiber kritischer Anlagen vorgelegten Nachweise durch das Bundesamt zeitlich zu entzerren, wird hier festgelegt, dass nicht sämtliche Nachweise am selben Datum beim Bundesamt vorgelegt werden müssen, sondern dass das Bundes- amt jedem Betreiber einen eigenen Nachweistermin nennt. Hierbei ist durch das Bundes- amt sicherzustellen, dass alle Betreiber mindestens drei Jahre zur Erbringung eines jeden Nachweises Zeit haben. Für Betreiber kritischer Anlagen, die vor Inkrafttreten dieses Ge- setzes als Betreiber Kritischer Infrastrukturen nach § 8a BSIG in den Fassungen des ers- ten IT-Sicherheitsgesetzes und des IT-Sicherheitsgesetzes 2.0 zum Nachweis verpflichtet waren, ersten IT-Sicherheitsgesetzes und des IT-Sicherheitsgesetzes 2.0 zum Nachweis verpflichtet wa- ren, ist hierbei der Zeitpunkt des letzten Nachweises nach der ehemaligen Rechtslage als Ausgangspunkt zu wählen.

Zu § 40 (Zentrale Melde- und Anlaufstelle)

§ 40 führt den bisherigen § 8b fort. Die Ergebnisse der Evaluierung dieser Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Sicherheit informa- tionstechnischer Systeme wurden berücksichtigt.

Die geänderte Vorschrift dient der Umsetzung des Artikel 8 Absatz 3 bis 5 der NIS-2- Richtlinie. (Nationale Verbindungsstelle sowie zentrale Melde- und Anlaufstelle für besonders wichtige und wichtige Einrichtungen)

§ 40 führt den bisherigen § 8b fort. Die Ergebnisse der Evaluierung dieser Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Sicherheit informati- onstechnischer Systeme wurden berücksichtigt.

- 157 - Bearbeitungsstand: 07.05.2024 10:19

Die geänderte Vorschrift dient der Umsetzung des Artikel 8 Absatz 3 bis 5 der NIS-2-Richt- linie. Um die Resilienz der Wirtschaft europaweit zu steigern, sieht die NIS-2-Richtli- nie u.a. einen koordinierten Austausch von Informationen zwischen den Mitgliedstaaten untereinander und mit Stellen der Union vor. Dieser erfolgt für Deutschland zentral über das Bundesamt in seiner Eigenschaft als zentrale Stelle nach der NIS-2-Richtlinie.

Zu Absatz 1

Absatz 1 führt den bisherigen § 8b Absatz 1 fort. Die geänderte Vorschrift dient der Um- setzung des Artikel 8 Absatz 3 bis 5 der NIS-2-Richtlinie.

NIS-2-Richtlinie u.a. einen koordinierten Austausch von Informationen zwischen den Mitgliedstaaten untereinan- der und mit Stellen der Union vor. Dieser erfolgt für Deutschland zentral über das Bundes- amt in seiner Eigenschaft als zentrale Stelle nach der NIS-2-Richtlinie.

Zu Absatz 1

Absatz 1 führt den bisherigen § 8b Absatz 1 fort. Die geänderte Vorschrift dient der Umset- zung des Artikel 8 Absatz 3 bis 5 der NIS-2-Richtlinie.

Zu Absatz 2

Absatz 2 dient der Umsetzung des Artikel 8 Absatz 4 und 5 der NIS-2-Richtlinie.

Zu Absatz 3

Absatz 3 führt den bisherigen § 8b Absatz 2 fort.

Zu Nummer 1

Nummer 1 führt den bisherigen § 8b Absatz 2 Nummer 1 fort.

Zu Nummer 2

Nummer 2 führt den bisherigen § 8b Absatz 2 Nummer 2 fort.

Zu Nummer 3

Nummer 3 führt den bisherigen § 8b Absatz 2 Nummer 3 fort.

Zu Nummer 4

Zu Buchstabe a

Buchstabe a führt den bisherigen § 8b Absatz 2 Nummer 4 Buchstabe a fort. Die Vorschrift wird an die neuen Kategorien angepasst.

Zu Buchstabe b

Buchstabe b führt den bisherigen § 8b Absatz 2 Nummer 4 Buchstabe d fort.

Zu Buchstabe c

Für die Erfüllung seiner Aufgaben ist das Auswärtige Amt auf Informationen zu Sicherheits- vorfällen, Schwachstellen, Techniken und Verfahren, Kompromittierungsindikatoren, geg- nerischen Taktiken, bedrohungsspezifischen Informationen, Cybersicherheitswarnungen und Empfehlungen für die Konfiguration von Cybersicherheitsinstrumenten sowie zur Auf- deckung von Cyberangriffen. Es betreibt dazu ein geeignetes Online-Portal.

(2) Die Teilnahme am Informationsaustausch steht grundsätzlich allen besonders wichtigen Einrichtungen, wichtigen Einrichtungen, Einrichtungen der Bundesverwaltung, sowie den jeweiligen Lieferanten oder Dienstleistern dieser Einrichtungen offen. Das Bun- desamt kann entsprechende Teilnahmebedingungen erstellen, die die Teilnahme am In- formationsaustausch regeln. Das Bundesamt kann weiteren Stellen die Teilnahme ermög- lichen.

§ 7

Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte

(1) Das Bundesamt ist befugt, die Sicherheit der Kommunikationstechnik des Bun- des und ihrer Komponenten, einschließlich technischer Infrastrukturen, die zum Betrieb der Kommunikationstechnik des Bundes erforderlich sind, zu kontrollieren. Es kann hierzu

- 20 - Bearbeitungsstand: 22.12.2023 09:58

die Bereitstellung der zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1 und erforderlichen Informationen, insbesondere zu technischen Details, zu Strategien, Planungen und Regelungen mit Bezug zur Kommunikationstechnik des Bundes ein- schließlich Aufbau- die von wichtigen und besonders wichtigen Einrichtungen sowie Einrichtungen der Bundesverwaltung gemeldet wurden, und die von außenpolitischer Bedeutung sind, angewiesen. Das Bundesamt ist verpflichtet, das Auswärtige Amt über solche Sicherheitsvorfälle, an deren Informationen das Auswärtige Amt ein berechtigtes Interesse hat, unverzüglich zu unterrichten. Die besondere außenpolitische Bedeutung im Sinne der Vorschrift liegt insbesondere dann vor, wenn (i) der Sicherheitsvorfall informati- onstechnische Systeme betrifft, die besonders weit verbreitet sind, (ii) die Auswirkungen des erheblichen Sicherheitsvorfalls für die auswärtigen Beziehungen oder die nationale Sicherheit eine unmittelbare Relevanz aufweist, und (iii) die Auswirkungen des Sicher- heitsvorfalls absehbar in mehreren Mitgliedstaaten der Europäischen Union oder in Bünd- nispartnern des Nordatlantikvertrags zu erheblichen Versorgungsengpässen oder Gefähr- dungen der öffentlichen Sicherheit führen würde.

Sicherheitsvorfälle mit internationalem Bezug unverzüglich zu unterrichten.

Zu Nummer 5

Nummer 5 enthält eine Neuregelung. Aufgrund der hohen Sicherheitsrelevanz der Anga- ben Angaben von Betreibern kritischer Anlagen, ist eine restriktivere Behandlung angezeigt. Die bisherigen § 8b Absatz 2 Nummer 1 Buchstaben b und c entfallen.

Zu Absatz 3

bisheri- gen § 8b Absatz 2 Nummer 1 Buchstaben b und c entfallen.

- 158 - Bearbeitungsstand: 07.05.2024 10:19

Zu Absatz 4

Zu Nummer 1

Nummer 1 dient der Umsetzung von Artikel 8 Absatz 3-5 der NIS-2-Richtlinie.

Zu Nummer 2

Nummer 2 dient der Umsetzung von Artikel 23 Absatz 8 der NIS-2-Richtlinie.

Zu Nummer 3

Nummer 3 dient der Umsetzung von Artikel 23 Absatz 6 der NIS-2-Richtlinie.

Zu Absatz 5

Absatz 5 führt den bisherigen § 8b Absatz 4a fort.

Zu Absatz 6

Absatz 6 führt den bisherigen § 8b Absatz 7 fort.

Zu § 41 (Untersagung des Einsatzes kritischer Komponenten)

Zu Absatz 1

Absatz 1 führt den bisherigen § 9b Absatz 1 fort.

Zu Absatz 2

Absatz 2 führt den bisherigen § 9b Absatz 2 fort.

Zu Absatz 3

Absatz 3 führt den bisherigen § 9b Absatz 3 fort.

Zu Absatz 4

Absatz 4 führt den bisherigen § 9b Absatz 4 fort.

Zu Absatz 5

Absatz 5 führt den bisherigen § 9b Absatz 5 fort.

Zu Absatz 6

Absatz 6 führt den bisherigen § 9b Absatz 6 fort.

Zu Absatz 7

Absatz 7 führt den bisherigen § 9b Absatz 7 fort.

Zu § 42 (Auskunftsverlangen)

§ 42 ersetzt den bisherigen § 8e. Die Ergebnisse der Evaluierung dieser Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Sicherheit informa- tionstechnischer Systeme wurden berücksichtigt.

Ar- tikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Sicherheit informati- onstechnischer Systeme wurden berücksichtigt.

- 159 - Bearbeitungsstand: 07.05.2024 10:19

Aufgrund der Tätigkeiten als zuständige Behörde, CSIRT und zentrale Anlaufstelle erhält das Bundesamt nach der NIS-2-Richtlinie eine Vielzahl neuer Informationen über Wesent- liche und Wichtige Einrichtungen und deren IT-Sicherheitsgefährdungen. Diese können sowohl so- wohl einzeln als auch in Summe sensibel sein. Das Informationsfreiheitsgesetz sieht eine Versagung nur dann vor, wenn die herausgegebene Information für sich genommen sensibel sensi- bel ist und lässt daher eine Ausforschung durch Informationszugangsanträge zu, die - 137 - Bearbeitungsstand: 22.12.2023 09:58

für sich genommen auf unsensible Informationen gerichtet sind, aber in Summe die Zu- sammenfügung Zusam- menfügung zu einem sensiblen Bild der Informationssicherheit besonders wichtiger und wichtiger Einrichtungen ermöglichen. Im Hinblick auf die geopolitische Lage und die zunehmende zuneh- mende Gefahr von Cyberangriffen auch durch feindlich gesonnene Staaten, müs- sen müssen diese Informationen daher besonders geschützt werden. Auch Artikel 11 Absatz 1 Buchstabe d NIS-2-Richtlinie schreibt daher die Sicherstellung der Vertraulichkeit für die Cybersicherheitseinrichtungen Cybersicher- heitseinrichtungen vor. Die Aktenzugangsrechte von Verfahrensbeteiligten im Rahmen von Widerspruchs- und Gerichtsverfahren gegen Anordnungen o.ä. des Bundes- amtes Bundesamtes bleiben von dieser Regelung unberührt.

Zu Kapitel 3 (Informationssicherheit der Einrichtungen der Bundesverwaltung)

Zu § 43 (Informationssicherheitsmanagement)

§ 43 schafft eine neue zentrale Vorschrift zur gesetzlichen Verankerung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung.

Zu Absatz 1

Absatz 1 dient der grundsätzlichen Verantwortungszuweisung für die Informationssicher- heit und macht Vorgaben zu den Pflichten, die damit verbunden sind und die in diesem Kapitel weiter konkretisiert werden. Die Verantwortung für die Gewährleistung der Infor- mationssicherheit trägt die Leitung einer Einrichtung als Teil der allgemeinen Leitungsver- antwortung. Sie verantwortet die Einhaltung von gesetzlichen und sonstigen Anforderun- gen. Dazu zählen gemäß § 44 Absatz 1 der vom BSI Informa- tionssicherheit trägt die Leitung einer Einrichtung als Teil der allgemeinen Leitungsverant- wortung. Sie verantwortet die Einhaltung von gesetzlichen und sonstigen Anforderungen. Dazu zählen gemäß § 44 Absatz 1 der vom Bundesamt vorgegebene IT-Grundschutz, der inhaltlich kompatibel ist mit ISO/IEC 27001, der zur von Erwägungsgrund 79 der NIS-2- Richtlinie referenzierten Reihe ISO/IEC 27000 gehört, sowie die BSI-Mindeststandards. Zudem Zu- dem verantwortet die Einrichtungsleitung interne Regelungen, die Übernahme von Restrisiken Restri- siken und das Bereitstellen von Ressourcen für die Informationssicherheit. Die Ein- richtungsleitung Einrich- tungsleitung ist zuständig für übergreifende Entscheidungen hinsichtlich der Informati- onssicherheitsziele Informations- sicherheitsziele und der Informationssicherheitsstrategie. Die [Die Vorgabe, angemessene finanzielle bedarfsgerechte fi- nanzielle und personelle Mittel zur Verfügung zu stellen, erlaubt abstrakt-generell auch im Einzelfall ein ausgewogenes Verhältnis zwischen IT-Betrieb und Informationssicherheit herzustellen und zu diesem Zweck die Zusammenarbeit zwischen Verantwortlichen für den IT-Betrieb her- zustellen und zu diesem Zweck die Zusammenarbeit zwischen Verantwortlichen für den IT- Betrieb und Informationssicherheitsbeauftragten aktiv zu fördern. Wenngleich die tatsächliche Angemessenheit des Mitteleinsatzes (d.h. die Ausgaben für die Informations- sicherheit) je nach den konkreten Umständen zu beurteilen ist, gilt die Vermutung, dass – als grober Richtwert – der finanzielle Mitteleinsatz als angemessen fördern.]

Zu Absatz 2

Absatz 2 dient der Umsetzung Artikel 20 Absatz 2 der NIS-2-Richtlinie. Ein weiterer Be- standteil dieses Absatzes der NIS2-Richtlinie NIS-2-Richtlinie sieht die stetige Sensibilisierung aller Be- schäftigten einer Einrichtung vor. Diese Anforderung, insbesondere bezogen auf Phishing und Social Engineering gemäß Erwägungsgrund (89) der NIS-2-Richtlinie, wird bereits durch § 44 Absatz 1 mit Bezug zum IT-Grundschutz berücksichtigt. Angebote des zentra- len Fortbildungsdienstleisters der Bundesverwaltung, der Bundesakademie für öffentliche Verwaltung im Bundesministerium des Innern und für Heimat, werden durch das Bundes- amt 89 der NIS-2-Richtlinie, wird bereits durch § 44 Absatz 1 mit Bezug zum IT-Grundschutz berücksichtigt. Angebote des zentralen Fort- bildungsdienstleisters der Bundesverwaltung, der Bundesakademie für öffentliche Verwal- tung im Bundesministerium des Innern und für Heimat, werden durch das Bundesamt für alle Einrichtungen der Bundesverwaltung qualitätsgesichert. Damit werden Teile der Anforderungen des Umsetzungsplans Bund 2017 verpflichtend umgesetzt.

- 138 - Bearbeitungsstand: 22.12.2023 09:58

Zu Absatz 3

Absatz 2 Anfor- derungen des Umsetzungsplans Bund 2017 verpflichtend umgesetzt.

Zu Absatz 3

Absatz 3 ist eine Generalklausel zum Zweck der Verantwortungszuweisung an Einrich- tungsleitungen im Falle der Beauftragung privater Dienstleister, wie sie bisher bereits nach

Kapitel 7 des Umsetzungsplans Bund gilt. Er regelt die Notwendigkeit, dass privat- rechtlich - 160 - Bearbeitungsstand: 22.12.2023 09:58

07.05.2024 10:19

Kapitel 7 des Umsetzungsplans Bund gilt. Er regelt die Notwendigkeit, dass privatrechtlich organisierte Stellen, die mit Leistungen (z.B. Dienst- oder Betriebsleistung) für die Informationstechnik des Bundes beauftragt werden, auf die Einhaltung der Vorausset- zungen zur Gewährleistung der Informationssicherheit verpflichtet werden müssen. Ver- antwortlich Informa- tionstechnik des Bundes beauftragt werden, auf die Einhaltung der Voraussetzungen zur Gewährleistung der Informationssicherheit verpflichtet werden müssen. Verantwortlich ist die Leitung der beauftragenden Einrichtung der Bundesverwaltung (Auftrag- geber, AG). Die Verpflichtung (Auftraggeber). Die Ver- pflichtung hat im notwendigen und angemessenen Umfang abhängig vom konkreten Auftragsgegenstand bzw. der beauftragten Leistung zu erfolgen. Die Ver- pflichtung umfasst i.d.R. die Umsetzung des IT-Grundschutzes und relevanter Auf- tragsgegenstand bzw. der beauftragten Leistung zu erfolgen. Die Verpflichtung umfasst in der Regel die Umsetzung des IT-Grundschutzes und relevanter Mindeststandards. Es sind außerdem notwendige Einsichts-/Kontrollrechte und die Zusammenar- beit mit dem AG oder BSI zur Meldung und Behebung von Störungen oder Sicherheitsvor- fällen Zusammenarbeit mit dem Auftrag- geber oder dem Bundesamt zur Meldung und Behebung von Störungen oder Sicherheits- vorfällen (z.B. Informations- und Mitwirkungspflichten) zu regeln (bei Bedarf verknüpft mit angemessenen Vertragsstrafen). Bei der Beauftragung sind auch die Prüf- und Anord- nungsbefugnisse des BSI, Bundesamts, die die beauftragende Einrichtung treffen, vertraglich entspre- chend entsprechend auf die Dienstleister zu erstrecken.

Zu Absatz 4

Satz 1 stellt klar, dass die Registrierungspflicht aus § 32 33 gemäß § 29 auch Einrichtungen der Bundesverwaltung trifft. Die in Satz 2 vorgesehene Abweichung von § 34 nach Satz 2 zu erbringenden Nachweise dienen u.a. der Herstellung von Transparenz über die Informationssicherheitslage in der Bundesverwal- tung. So wird sichergestellt, dass vier Jahre nach Inkrafttreten des Gesetzes und danach regelmäßig ein Überblick über den Umsetzungsstand in der Bundesverwaltung geschaffen werden kann. Der Nachweis über die Erfüllung der Anforderungen kann schrittweise gemäß einer durch das Bundesamt vorgegebenen Priorisierung nach Dringlichkeit erfolgen. Die Regelung dient der Umsetzung des Artikels 32 Absatz 2 Buchstabe g der NIS2-Richtlinie und sieht vor, dass Nachweise nicht nur „auf geeignete Weise“ zu erbringen sind, sondern Einrichtun- gen Einrichtungen der Bundesverwaltung hierzu „nach Vorgaben des BSI“ Bundesamts“ handeln müssen. Zunächst ist dafür die Form einer standardisierten Selbsterklärung vorgesehen, in der die Einrich- tungen Einrichtungen die Umsetzung des IT-Grundschutzes und der Mindeststandards nachweisen, soweit dem BSI nicht bereits hinreichend aktuelle Ergebnisse eigener Prüfungen nach § 7 für die jeweilige Einrichtung vorliegen. Damit kann innerhalb der Einrichtungen der Bun- desverwaltung Bundesamt nicht bereits hinreichend aktuelle Ergebnisse eigener Prüfungen nach § 7 für die jeweilige Einrichtung vorliegen. Damit kann innerhalb der Ein- richtungen der Bundesverwaltung die erforderliche Nachweisdichte risikobasiert weiter differenziert dif- ferenziert und der Prüfaufwand im Rahmen von § 7 für überprüfte Einrichtungen und BSI Bun- desamt gleichermaßen reduziert werden, wo die Gefährdungslage dies erlaubt.

Zu Absatz 5

Satz 1 führt den bisherigen § 4 Absatz 3 fort. Satz 2 führt den bisherigen § 4 Absatz 4 fort. Satz 3 wird neu eingefügt, um mit den betreffenden Informationen („Nullmeldungen“) eine erheblich bessere Gesamtbewertung der Gefährdungslage zu ermöglichen. Die Begriff- lichkeiten der Regelungen werden von Bundesbehörden zu Einrichtungen der Bundesver- waltung Begrifflich- keiten der Regelungen werden von Bundesbehörden zu Einrichtungen der Bundesverwal- tung konsolidiert und von „IT anderer Behörden“ zu „Kommunikationstechnik des Bun- des“, Bundes“, womit das Schutzgut in den Vordergrund der Regelung gerückt wird. Mit Blick auf das Schutzgut und vor dem Hintergrund der sich entwickelnden Bedrohungslage ist die Erweiterung des Anwendungsbereichs durch die Erweiterung auf Einrichtungen der Bun- desverwaltung Erwei- terung des Anwendungsbereichs durch die Erweiterung auf Einrichtungen der Bundesver- waltung sachgerecht.

Zu Absatz 6

Absatz 5 6 führt den bisherigen § 4 Absatz 6 fort. Der bisherige Verweis auf den Rat der IT- Beauftragten der Bundesregierung wird durch „die Ressorts“ abgelöst, um die Durchfüh- rung des Gesetzes unabhängig von über die Legislaturperioden hinweg unterschiedlichen politischen Entwicklungen bei der Ausgestaltung der Gremienlandschaft der IT-Steuerung zu halten. Die Zustimmung der Ressorts kann durch Mehrheitsentscheidung in einem geeigneten ge- eigneten Gremium erfolgen. Wie im Umsetzungsplan Bund wird der Begriff „Ressort“ im Zusammenhang mit Regelungen verwendet, die das Bundeskanzleramt oder ein Bundes- ministerium jeweils einschließlich des Geschäftsbereichs betreffen.

• 139 - Bearbeitungsstand: 22.12.2023 09:58

161 - Bearbeitungsstand: 22.12.2023 09:58

genannten Risikomanagementmaßnahmen für besonders wichtige Einrichtungen enthal- ten muss.

Zu Nummer 5

Die Vorschrift zur Meldung von Sicherheitsvorfällen wird unter Berücksichtigung der neu- en 07.05.2024 10:19

Zu § 44 (Vorgaben des Bundesamtes)

Zu Absatz 1

Absatz 1 knüpft an den bisherigen § 8 Absatz 1 an und verankert neben den dort bereits geregelten Mindeststandards gleichrangig für die in § 29 etablierte Kategorie der Einrich- tungen der Bundesverwaltung auch den IT-Grundschutz, der bereits bisher durch Kabi- nettsbeschluss zum Umsetzungsplan Bund verpflichtend umzusetzen ist. Damit erhalten beide für das Informationssicherheitsmanagement des Bundes maßgeblichen Regelwerke gemeinsam an zentraler Stelle dasselbe Niveau an Verbindlichkeit. Die Formulierung zielt darauf ab klarzustellen, dass die Vorgaben, die das Bundesamt mit dem IT-Grundschutz und mit den Mindeststandards für die Einrichtungen der Bundesverwaltung festlegt, mate- riell die Vorgaben von § 30 konkretisieren: Unter Berücksichtigung der Erwägungsgründe der NIS-2-Richtlinie zu den Anforderungen an ein Risikomanagement, insbesondere Er- wägungsgründe Der IT-Grund- schutz erhält hiermit – neben den Mindeststandards – für die gesamte Bundesverwaltung mittelbar Gesetzesrang. Um die Nachweisfrist von vier Jahren ab Inkrafttreten (§ 43 Ab- satz 4 Satz 2) bei weiterhin knappen finanziellen und personellen Ressourcen umsetzen zu können, muss sichergestellt werden, dass der IT-Grundschutz so effizient und unbürokra- tisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Ver- sorgungsgrad;

wie möglich ausgestaltet ist. Das Bundesamt wird den IT-Grundschutz daher moder- nisieren, mit der Maßgabe, den Umfang und die bei der Umsetzung entstehenden Doku- mentationspflichten auf das notwendige Mindestmaß zu reduzieren, eine Priorisierung der Anforderungen vorzunehmen und die Anwendung von Automatisierungstools weitestge- hend zu ermöglichen. Die Begrifflichkeit der „Mindestanforderungen“ an die Einrichtungen der Bundesverwaltung wurde entsprechend aus dem Umsetzungsplan Bund übernommen. Unter Berücksichtigung der Erwägungsgründe der NIS-2-Richtlinie zu den Anforderungen an ein Risikomanagement, insbesondere Erwägungsgründe 78 bis 82, sowie der Tatsache, dass eine Institution mit einem ISO 27001-Zertifikat auf der Basis des IT-Grundschutzes belegen kann, dass die umgesetzten Maßnahmen zur Informationssicherheit anerkannten internationalen Standards entspre- chen, wird festgestellt, dass der IT-Grundschutz in Kombination mit den vom BSI bereitge- stellten entsprechen, wird festgestellt, dass der IT-Grundschutz in Kom- bination mit den vom Bundesamt bereitgestellten Mindeststandards die Anforderungen an das Risikomanagement nach § 30 erfüllt und folglich auch bei Vorliegen voneinander abweichender ab- weichender technischer Termini materiell das dort vorgegebene Schutzniveau erreicht wird. Soweit die Europäische Kommission Durchführungsrechtsakte hierzu erlässt, genießen diese bis zu deren Integration in den IT-Grundschutz oder die Mindeststandards Vorrang. Die bestehenden Vorgaben des Bun- desamtes Bundesamtes entfalten dann nur noch konkretisierende Wirkung, soweit die Durchführungs- rechtsakte Auslegungsspielräume lassen. Die im bisherigen § 8 Absatz 1 Satz 3 vorgese- hene Durchführungsrechtsakte Auslegungsspielräume lassen. Die im bishe- rigen § 8 Absatz 1 Satz 3 vorgesehene Möglichkeit zur Abweichung wird abgelöst durch die Kompetenz der Ressort-ISBs, Ausnahmebescheide gemäß § 46 Absatz 4 zu erlassen. Die vom bisherigen § 8 Absatz 1 Satz 5 vorgesehene Sonderregelung für die Streitkräfte und den Militärischen Abschirmdienst ist nunmehr in § 29 Absatz 3 enthalten. Die Beratung des Bundesamtes wird ergänzt um die Erstellung von Hilfsmitteln gemäß § 3 Absatz 1 Nummer 17 und die Unterstützung der Bereitstellung entsprechender Lösun- gen durch die IT-Dienstleister des Bundes. Bei Ergänzungen der genannten Vorgaben nimmt das Bundesamt im Rahmen des Konsultationsverfahrens eine grobe Aufwandsschätzung Aufwands- schätzung vor.

Zu Absatz 2

Absatz 2 führt den bisherigen § 8 Absatz 2 fort, ergänzt um die Bereitstellung von Refe- renzarchitekturen.

Zu Absatz 3

Absatz 3 führt Teile des bisherigen § 8 Absatz 3 fort. Hier enthalten ist die Befugnis, Nut- zungsvorgaben für die Einrichtungen der Bundesverwaltung zu machen. Die allgemeine Befugnis des BSI Bundesamts zur Bereitstellung von IT-Sicherheitsprodukten verbleibt mit § 19 in Teil 2. Die Zuständigkeit für die Nutzungsvorgaben wird aus sachlichen Gründen auf CISO Bund im Einvernehmen mit den Ressorts (z.B. durch Mehrheitsbeschluss in einem geeig- neten geeigneten Gremium) verlagert und die Begrifflichkeiten werden vereinheitlichend erweitert zu „Einrichtungen der Bundesverwaltung“. Die Erweiterung erfolgt vor dem Hintergrund, dass eine Abrufverpflichtung über das BSI Bundesamt nur dann erfolgen kann, wenn sachliche Gründe es erfordern, sodass im Ergebnis das Schutzgut der Sicherheit in der Informationstechnik Informations- technik des Bundes schwerer wiegt als Autonomie der Einrichtungen der

Bundesverwaltung. Ver- gaberechtliche Aspekte bleiben unberührt und sind in die Entscheidungsfindung einzube- - 162 - Bearbeitungsstand: 07.05.2024 10:19

Bundesverwaltung. Vergaberechtliche Aspekte bleiben unberührt und sind in die Entschei- dungsfindung einzubeziehen. Auf Grundlage des Kabinettbeschlusses zur IT-Konsolidie- rung können IT-Sicherheitsprodukte auch durch andere Einrichtungen der Bundesverwal- tung bereitgestellt werden.

Zu § 45 (Informationssicherheitsbeauftragte der Einrichtungen der Bundesverwaltung)

Die neue Vorschrift führt auf gesetzlicher Ebene Informationssicherheitsbeauftragte (ISBs) in Einrichtungen der Bundesverwaltung als notwendige Funktion ein, wie sie bisher bereits im Umsetzungsplan Bund vorgesehen sind. Damit wird die herausgehobene Bedeutung der Informationssicherheit in allen Bereichen moderner Verwaltungstätigkeit unter- strichen. unterstrichen. Eine klare gesetzliche Definition ihrer Aufgaben und Befugnisse erleichtert auch eine verbesserte Zusammenarbeit mit anderen Verantwortungsbereichen verbes- serte Zusammenarbeit mit der jeweiligen Leitung sowie mit anderen Verantwortungsberei- chen und deren Beauftragten, etwa Datenschutz und Geheimschutz. Im Umsetzungsplan Bund wurde bisher die inzwischen überholte Bezeichnung IT-Sicherheitsbeauftragter (IT-SiBe) ver- wendet, (IT- SiBe) verwendet, diese wird hiermit zugunsten des ISB überwunden.

Zu Absatz 1

Absatz 1 verankert die Bedeutung der Funktion der Informationssicherheitsbeauftragten in den Einrichtungen der Bundesverwaltung und stellt sicher, dass die Funktion auch im Fall der Verhinderung der primär damit betrauten Person wahrgenommen werden kann, damit etwa bei Digitalisierungsvorhaben abwesenheitsbedingte Verzögerungen vermieden wer- den können.

Zu Absatz 2

Absatz 2 regelt die Voraussetzungen, unter denen Einrichtungs-ISBs ihre Funktion aus- üben. Personal- und Sachausstattung richten sich nach dem Gesamterfüllungsaufwand ausü- ben. [Die finanziellen, personellen und Sachmittel richten sich nach dem Gesamterfüllungs- aufwand in der jeweiligen Einrichtung sowie nach dem Schadenspotenzial von Sicherheitsvorfällen Sicherheits- vorfällen oder Störungen. Angemessene finanzielle Mittel sind in der Regel etwa 20 % der Die eigenständige Verwaltung der Sachmittel muss nicht in Form der Bewirtschaftung eines eigenen Haushalts-Titels erfolgen; es genügt, dass der Informa- tionssicherheitsbeauftragte effektiv über die Ausstattung disponieren kann.] Fachkunde ist nicht Voraussetzung für die Übertragung der Tätigkeit, muss jedoch wenigstens tätigkeitsbegleitend tätigkeits- begleitend erworben werden. Dadurch wird einerseits die Besetzung entsprechender Funktionen Funk- tionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Der Verweis wurde angepasst und bezieht sich nunmehr auf den neugeschaffenen § 30 (Risi- komanagementmaßnahmen), der § 8a Absatz 1 Satz 1 entspricht. Zudem wird hiermit den Anforderungen der NIS2 Richtlinie (Artikel 21 NIS2-Richtlinie) nach einer Bebußung bei Verstößen gegen Risikomanagementmaßnahmen nachgekommen.

Zu Nummer 3

§ 32 Absatz 1 BSIG nF definiert die Meldepflichten für besonders wichtige und wichtige Einrichtungen tionen erleichtert. Andererseits müssen auch etablierte Funktionsträger ihre Fachkunde so konti- nuierlich kontinuierlich an die sich wandelnden Erfordernisse anpassen. Zum Nachweis der Fachkunde Fach- kunde innerhalb der Bundesverwaltung kann eine Zertifizierung bei der Bundesakademie für öffentliche Verwaltung (BAköV) zur bzw. zum Informationssicherheitsbeauftragten dienen. die- nen. Die Fachaufsicht wird zum Zwecke der notwendigen operativen Unabhängigkeit für die effektive Vertretung von Sicherheitsbelangen durch die fachkundigen Ressort-ISBs aus- geübt. In obersten Bundesbehörden ohne Geschäftsbereich bzw. nachgeordnete Behör- den werden die Rollen des Einrichtungs-ISB und des Ressort-ISB in Personalunion Behörden werden die Rollen des Einrichtungs-ISB und des Ressort-ISB in Personalunion wahrge- nommen.

Zu Absatz 3

Absatz 3 regelt die Aufgaben der Einrichtungs-ISBs, die im Auftrag ihrer Einrichtungsleitung für die operative Umsetzung und Kontrolle von Maßnahmen im Rahmen des Informations- sicherheitsmanagements zuständig sind. Indem sie die Anforderungen des Bundesamtes nach § 44 Absatz 1 erfüllen, also die Vorgaben des IT-Grundschutzes und der Mindeststan- dards, erfüllen sie die Pflicht zur Erstellung und Umsetzung des Informationssicherheits- konzepts vollumfänglich. Darüberhinausgehende Sicherheitsmaßnahmen, die ISBs im Einzelfall für erforderlich halten, können sie ergänzend im Informationssicher- heitskonzept aufnehmen, Ein- zelfall für erforderlich halten, können sie ergänzend im Informationssicherheitskonzept auf- nehmen, ohne dass ein Weglassen solcher Maßnahmen eine Pflichtver- letzung Pflichtverletzung im Rahmen ihrer individuellen Verantwortung darstellen würde. Die Verantwortung der Einrichtungsleitung wird hierdurch nicht berührt. Es handelt sich bei der Konzepter- Einrichtungslei- tung für die operative Umsetzung und Kontrolle von Maßnahmen im Rahmen des Infor- mationssicherheitsmanagements zuständig sind. Indem sie die Anforderungen des Bun- desamtes nach § 44 Absatz 1 erfüllen, also die Vorgaben des IT-Grundschutzes und der Mindeststandards, erfüllen sie die Pflicht zur Erstellung und Umsetzung des Informations- sicherheitskonzepts wird hierdurch nicht berührt. Es handelt sich bei der Konzepterstellung nicht um eine

- 163 - Bearbeitungsstand: 22.12.2023 09:58

Zu Nummer 1

Zu Buchstabe a

Zu Buchstabe b

[…]

Zu Buchstabe c

Zu Nummer 2

Zu Buchstabe a

[…]

Zu Buchstabe b

[…]

Zu Buchstabe c

Zu Buchstabe d

[…]

Zu Buchstabe f

[…]

Zu Nummer 4

Zu Buchstabe a

Zu Buchstabe b

[…]

07.05.2024 10:19

höchstpersönliche Aufgabe. Insbesondere kann das Gesamt-Infor- mationssicherheitskonzept Gesamt-Informationssicherheitskon- zept für die Einrichtung auch eine Auslagerung bzw. eine Beauftra- gung Dritter mit der Erstellung Beauftragung Dritter mit der Er- stellung nicht um eine von Informationssicherheitskonzepten vorsehen. Die Be- richtspflicht soll Compliance Berichtspflicht soll Compli- ance erwirken, für deren kontinuierliche Aufrechterhaltung eine mindestens quartalsweise Berichterstattung förderlich ist. Welche Häufigkeit für Regelmä- Regelmäßigkeit konkret angemessen ist, hängt darüber hinaus von den Umständen des jeweiligen Einzelfalls unter Abwägung des Schadenspotenzials ab. Aus den Aufgaben ergeben sich zugleich einrichtungsintern entsprechende Befugnisse.

Zu Absatz 4

Absatz 4 räumt den Einrichtungs-ISBs Beteiligungs- und Vortragsrechte ein. Zur Vermei- dung von Parallel-/Doppelzuständigkeiten gilt die Beteiligungspflicht nicht für Maßnah- men, die primär Befugnisse, wie beispielsweise die Befugnis zur Überprüfung des Umset- zungsstands von Maßnahmen aus dem Sicherheitskonzept durch andere Organisations- einheiten der Einrichtung sowie die Befugnis, deren Umsetzung einzufordern.

Zu Absatz 4

Absatz 4 räumt den Einrichtungs-ISBs Beteiligungs- und Vortragsrechte ein. Zur Vermei- dung von Parallel-/Doppelzuständigkeiten gilt die Beteiligungspflicht nicht für Maßnahmen, die primär verwandten Bereichen der Informationssicherheit zuzuordnen sind, für die ge- sonderte Regelungs-Regimes und Zuständigkeiten bestehen (z.B. Datenschutz, Geheim- schutz, Notfall-/Krisenmanagement, Arbeitsschutz, Brandschutz). Die Vortragsrechte ge- genüber der Einrichtungsleitung und dem jeweiligen Ressort-ISB dienen dazu, die Posi- tion Position der ISBs fachlich so unabhängig von der Organisation der Einrichtung zu gestalten, wie es für die Aufgabe zur Vermeidung von Interessenskonflikten erforderlich ist.

Zu § 46 (Informationssicherheitsbeauftragte der Ressorts)

Die neue Vorschrift gibt ISBs auf Ressortebene (Ressort-ISBs, informell auch „Ressort- CISOs“ genannt), wie sie schon bisher im Rahmen des Umsetzungsplans Bund angelegt sind, eine gesetzliche Grundlage. Zur Umsetzung von Art. 31 Absatz 4 der NIS-2-Richtli- nie Artikel 31 Absatz 4 der NIS-2-Richt- linie ist operative Unabhängigkeit für die Aufsicht über Einrichtungen öffentlicher Verwal- tung sicherzustellen. Diese operative Unabhängigkeit wird hier dadurch erreicht, dass Ressort-ISBs a) Res- sort-ISBs (a) Fachkunde besitzen müssen, es sich also nicht um politische Funktionen handelt, han- delt es sich um eine nationale Regelung, die nicht Bestandteil der Umsetzung der NIS-2-Richtlinie ist.

delt, sondern der Fokus bei der Aufgabenausübung auf der fachlichen Expertise liegt und b) (b) ein eigenes Budgetrecht besitzen, um handlungsfähig zu sein, und c) wird die Un- abhängigkeit (c) wird die Unab- hängigkeit im Hinblick auf Fragen der Informationssicherheit dadurch sichergestellt, dass Ressort-ISBs unmittelbar vor dem CISO Bund vortragen dürfen, der seinerseits Vor- tragsrechte Vortrags- rechte unmittelbar gegenüber Organen der Legislative besitzt. Da es auch oberste Bundesbehörden Bundes- behörden gibt, die keinem Ressort angehören, und die teilweise auch einen einen Geschäftsbereich mit nach- geordneten Behörden haben, ist auch für „ressort-unabhängige“ oberste Bundesbehörden mit Geschäftsbereich die Rolle eines Ressort-ISB einzurichten. Weitere Regelungen in die- sem Paragraphen, die für das jeweilige Ressort des oder der Informationssi- cherheitsbeauftragten getroffen werden, sind entsprechend auf die oberste Bundesbehör- de und falls vorhanden Informationssicherheitsbeauf- tragten getroffen werden, sind entsprechend auf die „ressort-unabhängige“ oberste Bun- desbehörde und ihren Geschäftsbereich anzuwenden.

Zu Absatz 1

Absatz 1 regelt Bestellung und Zuständigkeit von Ressort-ISBs. Sie tragen die sind zuständig für ein funktionierendes und effektives Informationssicherheitsmanagement in ihrem Ressort, das die jeweilige oberste Bundesbehörde mitsamt ihrem jeweiligen Geschäftsbe- reich Geschäftsbereich umfasst. Im Fall oberster Bundesbehörden sind die Funktionen von Ressort-ISB und Einrichtungs-ISB Einrichtungs- art ISB zu unterscheiden, können jedoch derselben Person übertragen werden. Die Angemessenheit Angemes- senheit der Informationssicherheit ist in Bezug auf Wechselwirkungen mit den Belangen des IT-Betriebs zu bewerten.

Zu Absatz 2

Absatz 2 regelt die Voraussetzungen, unter denen Ressort-ISBs ihre Funktion ausüben. Damit [Damit Ressort-ISBs die für die Erfüllung ihrer Aufgaben notwendige organisatorische Un- abhängigkeit besitzen, benötigen sie angemessene Ausstattung und bedarfsgerechte Mittel, die nicht auf organisatorischer Ebene anderen Zwecken zufließen können dürfen. Fachkunde ist erfor- derlich, Die eigenständige Verwaltung der

- 164 - Bearbeitungsstand: 07.05.2024 10:19

Sachmittel muss nicht in Form der Bewirtschaftung eines eigenen Haushalts-Titels erfolgen; es genügt, dass der Informationssicherheitsbeauftragte effektiv über die Ausstattung dispo- nieren kann.] Fachkunde ist erforderlich, da die Ressort-ISBs die Fachaufsicht über die ISBs der Einrichtungen in ihrem Zuständigkeitsbereich führen können müssen.

- 142 - Bearbeitungsstand: 22.12.2023 09:58

Zu Absatz 3

Absatz 3 normiert die Aufgaben der Ressort-ISBs, aus denen sich zugleich ressortintern die Befugnis zu Kontrolle und Umsetzungsmaßnahmen ergibt. Da die Einrichtungs-ISBs der fachlichen Aufsicht der Ressort-ISBs unterstehen, sind die Ressort-ISBs insoweit wei- sungsbefugt. ge- genüber dem Geschäftsbereich weisungsbefugt. Die Berichtspflicht dient als Mittel der Compliance-Förderung. Das Veto- Recht Veto-Recht zum Einsatz bestimmter IT-Produkte dient dem Zweck, bei Bedarf Informations- sicherheitsbelange Informationssicherheitsbelange durchsetzen zu können. Mit der Begründungspflicht Begrün- dungspflicht wird vermieden, dass mit dieser Möglichkeit andere Vorgaben etwa im Rahmen der IT-Konsolidierung um- gangen Rah- men der IT-Konsolidierung umgangen werden. Die Möglichkeit, eine Nutzung nur teilweise zu untersagen, gestattet zwi- schen zwischen unterschiedlichen Anwendungszwecken zu unterscheiden, unterschei- den.

den, soweit etwa Produkte zum Zweck der Überprüfung verwendet werden müssen oder ein Einsatz in bestimmten IT-Umgebungen möglich ist, aus Sicherheitsgründen jedoch keine Nutzung im allgemei- nen allgemeinen Geschäftsbetrieb erfolgen soll.

Zu Absatz 4

Absatz 4 regelt die Möglichkeit für Ressort-ISBs, Ausnahmebescheide für Einrichtungen innerhalb ihres Zuständigkeitsbereichs zu erlassen. Besonders wichtige und wichtige Ein- richtungen können hiervon nicht umfasst Einrichtungen, die die Voraussetzun- gen des § 28 Absatz 1 Satz 1 oder § 28 Absatz 2 Satz 1 erfüllen können hiervon nicht um- fasst werden, für diese wären Ausnahmebescheide nach § 37 zu erlassen. Mit einem Ausnahmebescheid kann ein Ressort-ISB beispielswei- se wie bisher nach dem Umsetzungsplan Bund für sehr kleine Einrichtungen zulassen, dass dort kein eigener ISB bestellt werden muss, wenn ein anderer ISB des Geschäftsbe- reichs Dadurch wird sichergestellt, dass Einrichtungen der Bundesverwaltung, die vom Anwendungsbereich der Umsetzung der NIS-2-Richtlinie zu erfassen sind, nicht von den Verpflichtungen der NIS-2- Richtlinie ausgenommen werden können. Mit einem Ausnahmebescheid kann ein Ressort- ISB beispielsweise wie bisher nach dem Umsetzungsplan Bund für sehr kleine Einrichtun- gen zulassen, dass dort kein eigener ISB bestellt werden muss, wenn ein anderer ISB des Geschäftsbereichs die Rolle für diese Einrichtung wahrnimmt. Sachliche Gründe zur Erteilung eines Ausnahmebescheids können sich insbesondere auch aus Geheimschutzinteressen erge- ben.

Zu Absatz 5

Absatz 5 räumt den Ressort-ISBs Beteiligungs- und Vortragsrechte ein. Zur Vermeidung von Parallel-/Doppelzuständigkeiten gilt die Beteiligungspflicht nicht für Vorhaben, die primär verwandten Bereichen der Informationssicherheit zuzuordnen sind, für die geson- derte Ertei- lung eines Ausnahmebescheids können sich insbesondere auch aus Geheimschutzinteres- sen ergeben.

Zu Absatz 5

Absatz 5 räumt den Ressort-ISBs Beteiligungs- und Vortragsrechte ein. Zur Vermeidung von Parallel-/Doppelzuständigkeiten gilt die Beteiligungspflicht nicht für Vorhaben, die pri- mär verwandten Bereichen der Informationssicherheit zuzuordnen sind, für die gesonderte Regelungs-Regimes und Zuständigkeiten bestehen (z.B. Datenschutz, Ge- heimschutz, Notfall-/Krisenmanagement, Arbeitsschutz, Brandschutz). Die Vortragsrechte gegenüber Geheimschutz, Not- fall-/Krisenmanagement, Arbeitsschutz, Brandschutz).

Zu § 47 (Wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes)

Zu Absatz 1

Absatz 1 sieht die Bestellung eigener ISBs für wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes vor. Wegen der zunehmenden Bedeutung, Größe und Komplexität solcher Vorhaben und Strukturen ist fachlich erforderlich, dass Informationssicherheit dort durch eigene ISBs umgesetzt wird. Bei ressortübergreifenden Digitalisierungsvorhaben ist grundsätzlich von einer wesentlichen Bedeutung für allgemei- ne In- formationssicherheit dort durch eigene ISBs umgesetzt wird. Bei ressortübergreifenden Di- gitalisierungsvorhaben ist grundsätzlich von einer wesentlichen Bedeutung für allgemeine Sicherheitsbelange auszugehen, und die ressortübergreifenden Kommunikations- infrastrukturen Kommunikationsinfrastruk- turen haben für die Regierungskommunikation insgesamt eine herausgehobene Bedeutung. Bedeu- tung. In der Regel sollte diejenige Einrichtung den ISB bestellen, die für die Steuerung des Digitalisierungsvorhabens verantwortlich ist. Die Entscheidungskompetenz des CISO Bund in Zweifelsfällen, wenn eine Einigung etwa nicht in einem geeigneten Gremium

- 165 - Bearbeitungsstand: 07.05.2024 10:19

herbeigeführt werden kann, dient der Auflösung möglicher Konflikte und der Sicherstellung, dass die Wahrnehmung der Funkti- on Funktion nicht von Zuständigkeitsfragen verzögert oder behindert wird.

Zu Absatz 2

Absatz 2 führt den bisherigen § 8 Absatz 4 fort. Die Ergänzung erfolgt, um auch hier behin- dert oder anderweitig beeinträchtigt;

18. „Kommunikationstechnik des Bundes“ Informationstechnik, die von einer oder mehre- ren Einrichtungen der Bundesverwaltung oder im Auftrag einer oder mehrerer Einrich- tungen der Bundesverwaltung betrieben wird und der Kommunikation oder dem Da- tenaustausch innerhalb einer Einrichtung der Bundesverwaltung, der Einrichtungen der Bundesverwaltung untereinander oder der Einrichtungen der Bundesverwaltung

- 12 - Bearbeitungsstand: 22.12.2023 09:58

wird.

Zu Absatz 2

Absatz 2 führt den bisherigen § 8 Absatz 4 fort. [Die Ergänzung erfolgt, um auch hier be- darfsgerechte Mittel sicherzustellen.] Der Koordinator oder die Koordinatorin für Informati- onssicherheit ist gemäß § 50 Absatz 1 zuständigkeitshalber ebenfalls zu beteiligen.

Zu § 48 (Amt des Koordinators für Informationssicherheit)

Die neue Vorschrift schafft die Funktion regelt die Bestellung eines Koordinators oder einer Koordinatorin der Bundesregierung für Informationssicherheit (CISO Bund). Die zugehörigen Aufgaben und Befugnisse werden in den folgenden Paragraphen geregelt.

Zu Absatz 1

Absatz 1 regelt die Bestellung des CISO Bund. Die konkrete organisatorische Anbindung bleibt dem umsetzenden Kabinettbeschlusses konkrete organisatorische Anbindung sowie die Einbindung in relevante Gremien bleiben dem umsetzenden Kabinett- beschlusses vorbehalten. Um Interessenskonflikte zu vermeiden, sollte die Funktion möglichst mög- lichst unabhängig organisiert werden.

Zu Absatz 2

Absatz 2 stellt klar, dass auch der CISO Bund die mit dieser Funktion verbundenen Auf- gaben und Befugnisse nur ausüben kann, wenn hierfür angemessene Mittel zur Verfü- gung gestellt werden.

Zu § 49 (Aufgaben des Koordinators)

§ 49 regelt die allgemeinen Aufgaben des CISO Bund.

Die zugehörigen Aufgaben und Befugnisse werden in den folgenden Paragraphen geregelt.

Zu § 49 (Aufgaben des Koordinators)

§ 49 regelt die allgemeinen Aufgaben des CISO Bund. Die Unterstützung der Ressorts bei der Umsetzung der Vorgaben besteht aus der Bereitstellung von Hilfsmitteln, bewährten Methoden und Vorgehensweisen („Best Practice“) sowie Erfahrungsaustausch und -doku- mentation erstellt worden ist. Werden im Rahmen der Absatz 5 oder 6 Inhalte oder Um- stände der Kommunikation von in § 53 Absatz 1 Satz 1 der Strafprozessordnung genann- ten zur Nachnutzung. Zudem ist die Einrichtung eines „Kompetenzzentrums opera- tive Sicherheitsberatung des Bundes“ (KoSi Bund) geplant.

Zu § 50 (Befugnisse des Koordinators)

Zu Absatz 1

Absatz 1 sieht Beteiligungsrechte für den CISO Bund zur effektiven Wahrnehmung der Aufgaben vor.

Zu Absatz 2

Absatz 2 räumt dem CISO Bund Vortragsrechte zur effektiven Wahrnehmung der Aufga- ben ein.

Zu Absatz 3

Absatz 3 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe d) der NIS-2-Richtlinie im Hinblick auf Einrichtungen der Zentralregierung sowie im Sinne eines kohärenten Re- gelungsregimes zu einer entsprechenden Anwendung auf Einrichtungen der Bundesver- waltung Auf- gaben vor.

Zu Absatz 2

Absatz 2 räumt dem CISO Bund Vortragsrechte zur effektiven Wahrnehmung der Aufgaben ein.

Zu Absatz 3

Absatz 3 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe d der NIS-2-Richtlinie im Hinblick auf Einrichtungen der Zentralregierung sowie im Sinne eines kohärenten Rege- lungsregimes zu einer entsprechenden Anwendung auf Einrichtungen der Bundesverwal- tung insgesamt im Einklang mit § 29. Aus Rücksicht auf das Ressortprinzip bedarf es des Benehmens mit dem oder der jeweiligen Ressort-ISB. Die Möglichkeit, die Vorlage von Sofortprogrammen So- ziales, dem Bundesministerium der Verteidigung, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Digitales und Verkehr und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz unter Festlegung der in den jeweiligen Sektoren wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden fortprogrammen anzuweisen, bildet ein wirksames Element für effektive Nachsteu- erung, Nachsteuerung, wenn Anlass dafür gegeben ist. Anlässe können etwa sein, wenn im Rahmen einer Überprüfung Über- prüfung nach § 7 z. B. eine erhebliche Unterschreitung der Anforderungen an das Informationssicherheitsmanagement Informa- tionssicherheitsmanagement deutlich wird.

Zu Teil 4 (Datenbanken der Domain-Name-Registrierungsdaten)

Teil 4 dient der Umsetzung von Artikel 28 der NIS-2-Richtlinie.

- 166 - Bearbeitungsstand: 07.05.2024 10:19

Zu § 51 (Pflicht zum Führen einer Datenbank)

Zu Absatz 1

Absatz 1 dient der Umsetzung von Artikel 28 Absatz 1 der NIS-2-Richtlinie.

- 144 - Bearbeitungsstand: 22.12.2023 09:58

Zu Absatz 2

Zu Nummer 1

Nummer 1 dient der Umsetzung von Artikel 28 Absatz 2 Buchstabe a der NIS-2-Richtlinie.

Zu Nummer 2

Nummer 1 dient der Umsetzung von Artikel 28 Absatz 2 Buchstabe b der NIS-2-Richtlinie.

Zu Nummer 3

Nummer 1 dient der Umsetzung von Artikel 28 Absatz 2 Buchstabe c der NIS-2-Richtlinie.

Zu Nummer 4

Nummer 1 Zu Absatz 2

Zu Nummer 1

Nummer 1 dient der Umsetzung von Artikel 28 Absatz 2 Buchstabe a der NIS-2-Richtlinie.

Zu Nummer 2

Nummer 2 dient der Umsetzung von Artikel 28 Absatz 2 Buchstabe b der NIS-2-Richtlinie.

Zu Nummer 3

Nummer 3 dient der Umsetzung von Artikel 28 Absatz 2 Buchstabe c der NIS-2-Richtlinie.

Zu Nummer 4

Nummer 4 dient der Umsetzung von Artikel 28 Absatz 2 Buchstabe d der NIS-2-Richtlinie.

Zu Absatz 3

Absatz 3 dient der Umsetzung von Artikel 28 Absatz 3 der NIS-2-Richtlinie.

Zu Absatz 4

Absatz 4 dient der Umsetzung von Artikel 28 Absatz 4 der NIS-2-Richtlinie.

Zu § 52 (Verpflichtung zur Zugangsgewährung)

§ 52 dient der Umsetzung von Artikel 28 Absatz 5 der NIS-2-Richtlinie.

Zu § 53 (Kooperationspflicht)

§ 53 dient der Umsetzung von Artikel 28 Absatz 6 der NIS-2-Richtlinie.

Zu Teil 5 (Zertifizierung und Kennzeichen)

Zu § 54 (Zertifizierung)

Zu Absatz 1

Absatz 1 führt den bisherigen § 9 Absatz 1 fort.

Zu Absatz 2

Absatz 2 führt den bisherigen § 9 Absatz 2 fort.

Zu Absatz 3

Absatz 3 führt den bisherigen § 9 Absatz 3 fort. Die Angebote der Bundesakademie für öffentliche Verwaltung zur Fortbildung und Zertifizierung der IT-Sicherheitsbeauftragten öf- fentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beein- trächtigt, insbesondere, wenn der Hersteller der kritischen Komponente nicht vertrauens- würdig ist. Absatz 2 Satz 2 gilt entsprechend.

(5) Ein Hersteller einer kritischen Komponente kann insbesondere dann nicht ver- trauenswürdig Verwaltung zur Fortbildung und Zertifizierung der Informationssicherheitsbeauf- tragten der Bundesverwaltung werden wie im Umsetzungsplan 2017 Bund dargestellt fortgeführt.

Zu Absatz 4

Zu Nummer 1

Nummer 1 führt den bisherigen § 9 Absatz 4 Nummer 1 fort.

fort- geführt.

- 167 - Bearbeitungsstand: 07.05.2024 10:19

Zu Absatz 4

Zu Nummer 1

Nummer 1 führt den bisherigen § 9 Absatz 4 Nummer 1 fort.

Zu Nummer 2

Nummer 2 führt den bisherigen § 9 Absatz 4 Nummer 2 fort.

Zu Absatz 5

Absatz 5 führt den bisherigen § 9 Absatz 4a fort.

Zu Absatz 6

Absatz 6 führt den bisherigen § 9 Absatz 5 fort.

Zu Absatz 7

Zu Nummer 1

Nummer 1 führt den bisherigen § 9 Absatz 6 Nummer 1 fort.

Zu Nummer 2

Nummer 2 führt den bisherigen § 9 Absatz 6 Nummer 2 fort.

Zu Absatz 8

Absatz 8 führt den bisherigen § 9 Absatz 7 fort.

Zu § 55 (Konformitätsbewertung und Konformitätserklärung)

Die Vorschrift dient der Angleichung der Konformitätsbewertungsverfahren im Bereich IT- Sicherheit an internationale Vorgaben und insbesondere die Verordnung (EU) 2019/881 (sog. Cybersecurity Act – CSA), die auch in der NIS-2-Richtlinie zur Anwendung kommt. Im CSA ist im Rahmen eines Zertifizierungsschemas auch eine Selbstbewertung der Konfor- mität als Alternative zu einer klassischen Zertifizierung durch einen Dritten vorgesehen, in der ein Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen selbst alle Überprüfungen vornimmt, um sicherzustellen, dass die IKT-Produkte, -Dienste oder -Pro- zesse mit dem europäischen Schema für die Cybersicherheitszertifizierung konform sind. Mit der Selbstbewertung verbunden ist die Unterzeichnung einer Erklärung durch den Her- steller, Anbieter oder IT-Sicherheitsdienstleister, worin dieser bestätigt, dass die Anforde- rungen der Technischen Richtlinie eingehalten werden (Konformitätserklärung). Hierdurch übernimmt der Unterzeichner (Aussteller) die Verantwortung für die Einhaltung der Anfor- derungen. Vorteile der Selbstbewertung sind die niedrigeren Kosten und der geringere Auf- wand für den Hersteller, Anbieter oder IT-Sicherheitsdienstleister. Darüber hinaus wird dem Bundesamt hierdurch ermöglicht, Vorgaben an die IT-Sicherheit niedrigschwellig auf dem Markt zu etablieren und zugleich die Kontrolle der Anforderungen auf einem dem Schutzni- veau entsprechenden Niveau sicherzustellen, ohne den Markt mit den strengeren Vorga- ben einer Zertifizierung zu belasten. Bei der Konformitätserklärung handelt es sich um eine rein nationale Regelung. Im Einklang mit der Verordnung (EU) 2019/881 wird das Bundes- amt kein Schema betreiben, welches im Widerspruch zu einem europäisch harmonisierten Zertifizierungsschema steht. Zugleich kann das Bundesamt jedoch das Ziel verfolgen, ein bewährtes nationales Schema einer europäischen Harmonisierung im Wege der Verord- nung (EU) 2019/881 zuzuführen.

- 168 - Bearbeitungsstand: 07.05.2024 10:19

Zu Absatz 1 und 2

Absatz 1 legt den Rahmen für eine Konformitätserklärung fest. In Abgrenzung zum IT-Si- cherheitskennzeichen werden keine Verbraucherprodukte von der Konformitätserklärung nach dieser Regelung erfasst. Ein möglicher Anwendungsbereich ist insbesondere der be- reits im Umsetzungsplan Bund vorgesehen sind. Damit wird die herausgehobene Bedeu- tung Bundesamt etablierte IT-Grundschutz und entsprechende Selbstbewertungen von Personen (z.B. IT-Grundschutz-Praktiker) oder Institutionen.

Die Absätze 1 und 2 stellen zudem klar, dass die entsprechenden Technischen Richtlinien vom Bundesamt erstellt werden und festlegen, welche konkreten Vorgaben (insbesondere bezüglich der Durchführung und dem Nachweis der Konformitätsbewertung) mit der Selbst- bewertung verbunden sind. Sowohl die Anforderungen, als auch die Vorgaben für Durch- führung der Konformitätsbewertung können somit von Technischer Richtlinie zu Techni- scher Richtlinie variieren. Bei den Vorgaben an die Konformitätsbewertung kann dabei auf etablierte Akteure (Beispielsweise im Bereich Grundschutz) zurückgegriffen werden, die bereits heute eine Konformitätsbewertung anbieten. Wie Absatz 3 klarstellt, kann dabei auch auf akkreditierte Konformitätsbewertungsstellen zurückgegriffen werden.

Dieses Vorgehen entspricht in weiten Teilen dem Regelungsgehalt von Schemata im An- wendungsbereich der Verordnung (EU) 2019/881. Durch die so gewonnene Flexibilität kann das Bundesamt in der Technischen Richtlinie auf die jeweiligen Ziele und den konkreten Gegenstand der Selbstbewertung reagieren. Aufgrund der guten Erfahrungen mit dem IT- Sicherheitskennzeichen, soll es dem Bundesamt darüber hinaus ermöglicht werden, in der Technischen Richtlinie die Bereitstellung von aktuellen Informationen auf der Internetseite des Bundesamtes vorzusehen und dies gegebenenfalls durch einen dynamischen Bestand- teil mit dem Kennzeichen des Schemas zu verknüpfen.

Zu Absatz 3

Um zusätzlich ein einheitliches Niveau in der Konformitätsbewertung sicherzustellen, kann das Bundesamt in seiner Technischen Richtlinie auf das System der Akkreditierung ent- sprechend dem Gesetz über die Akkreditierungsstelle (Akkreditierungsstellengesetz – Ak- kStelleG) zurückgreifen. Aussteller einer Konformitätserklärung müssen sich dann einer Konformitätsbewertung durch eine von der Deutschen Akkreditierungsstelle (DAkkS) ak- tuelle geopolitische Entwicklungen („Zeitenwende“) abermals verschärften Bedrohungsla- ge hat sich das Risiko für staatliche Einrichtungen zudem weiter erhöht, durch Gefährdun- gen aus dem Cyberraum in ihrer Handlungsfähigkeit eingeschränkt zu werden.

Entsprechend der unionsrechtlichen Vorgaben wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I 2015 S. 1324) und dem Zweiten Gesetz zur Erhöhung der Sicherheit informati- onstechnischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicher- heitsstärkungsgesetz für den Bereich kritischer Anlagen und bestimmter Unternehmen erweitert, zusätzlich werden entsprechende Vorgaben für die Bundesverwaltung einge- führt. kreditierten Konformitätsbewertungsstelle unterziehen, der das Bundesamt die Befugnis er- teilt hat, als solche im Anwendungsbereich des § 55 tätig zu werden. Die Erteilung der Be- fugnis liegt im Ermessen des Bundesamtes und kann an Anforderungen geknüpft werden, die über diejenigen der Akkreditierung hinausgehen. Die Entscheidung kann mit Nebenbe- stimmungen verbunden werden. Mit der Stellung als die für die Erteilung der Befugnis zu- ständigen Behörde gehen die Rechte des Bundesamtes entsprechend dem AkkStelleG ein- her.

Zu Absatz 4

Absatz 3 Satz 1 stellt sicher, dass dem Bundesamt bei Bedarf die für die Aufsicht notwen- digen Informationen und Dokumente vorliegen. Die nach Satz 2 vorzulegende Konformi- tätserklärung kann vom Bundesamt, soweit es das Schema vorsieht, gemeinsam mit wei- teren Informationen und Dokumenten auf der Internetseite des Bundesamtes nach Absatz 2 Nummer 6 veröffentlicht werden.

Zu Absatz 5 und 6

Der Konformitätserklärung liegt –anders als es bei der Zertifizierung der Fall ist- keine Ent- scheidung des Bundesamtes in Gestalt eines Verwaltungsaktes zugrunde. Daher bedarf es zur Durchsetzung von Maßnahmen der Aufsicht einer eigenständigen Ermächtigungs- grundlage. Kontrolliert wird die Einhaltung der Vorgaben ex-post durch die bereits etablierte Marktaufsicht des Bundesamtes. Diese kann anlasslos oder anlassbezogen erfolgen. Wer- den Maßnahmen aufgrund eines begründeten Verdachts getroffen, so kann das Bundesamt

- 169 - Bearbeitungsstand: 07.05.2024 10:19

gegenüber dem Adressaten der Maßnahme Gebühren erheben. Ein begründeter Verdacht kann sowohl auf eigenen Erkenntnissen des Bundesamtes, als auch durch vertrauenswür- dige öffentliche Quellen oder Hinweisgeber beruhen. Flankiert wird die Aufsicht durch die Sanktionsvorschriften in § 61. Danach ist es strafbewehrt, wenn eine vom Bundesamt für ungültig erklärte Konformitätserklärung verwendet oder nur wahrheitswidrig behauptet wird, dass eine solche abgegeben wurde.

Zu § 56 (Nationale Behörde für die Cybersicherheitszertifizierung)

Zu Absatz 1

Absatz 1 führt den bisherigen § 9a Absatz 1 fort.

Zu Absatz 2

Absatz 2 führt den bisherigen § 9a Absatz 2 fort.

Zu Absatz 3

Absatz 3 führt den bisherigen § 9a Absatz 3 fort.

Zu Absatz 4

Absatz 4 führt den bisherigen § 9a Absatz 4 fort.

Zu Absatz 5

Absatz 5 führt den bisherigen § 9a Absatz 5 fort.

Zu Absatz 6

Zu Nummer 1

Nummer 1 führt den bisherigen § 9a Absatz 6 Nummer 1 fort.

Zu Nummer 2

Nummer 2 führt den bisherigen § 9a Absatz 6 Nummer 2 fort.

Zu Absatz 7

Zu Nummer 1

Nummer 1 führt den bisherigen § 9a Absatz 7 Nummer 1 fort.

Zu Nummer 2

Nummer 2 führt den bisherigen § 9a Absatz 7 Nummer 2 fort.

Zu § 57 (Freiwilliges IT-Sicherheitskennzeichen)

Zu Absatz 1

Absatz 1 führt den bisherigen § 9c Absatz 1 fort.

- 170 - Bearbeitungsstand: 07.05.2024 10:19

Zu Absatz 2

Zu Nummer 1

Nummer 1 führt den bisherigen § 9c Absatz 2 Nummer 1 fort.

Zu Nummer 2

Nummer 2 führt den bisherigen § 9c Absatz 2 Nummer 2 fort.

Zu Absatz 3

Absatz 3 führt den bisherigen § 9c Absatz 3 fort.

Zu Absatz 4

Absatz 4 führt den bisherigen § 9c Absatz 4 fort.

Zu Absatz 5

Zu Nummer 1

Nummer 1 führt den bisherigen § 9c Absatz 5 Nummer 1 fort.

Zu Nummer 2

Nummer 2 führt den bisherigen § 9c Absatz 5 Nummer 2 fort.

Zu Nummer 3

Nummer 3 führt den bisherigen § 9c Absatz 5 Nummer 3 fort.

Zu Absatz 6

Absatz 6 führt den bisherigen § 9c Absatz 6 fort.

Zu Absatz 7

Absatz 7 führt den bisherigen § 9c Absatz 7 fort. Der bisherige Verweis auf Absatz 3 war irreführend bzw. falsch. Daher wurde die Regelung für die Dauer hier explizit ausgegeben. Die Dauer, für die der Hersteller oder Diensteanbieter die Erfüllung der IT-Sicherheitsan-

IT-Sicherheitsanfor- derungen zusichert, wird wie bisher durch Verordnung nach § 58 Absatz 2 und die hierin aufgeführten Verfahren bestimmt.

Zu Absatz 8

Zu Nummer 1

Nummer 1 führt den bisherigen § 9c Absatz 8 Nummer 1 fort.

Zu Nummer 2

Nummer 2 führt den bisherigen § 9c Absatz 8 Nummer 2 fort.

Zu Absatz 9

Absatz 9 führt den bisherigen § 9c Absatz 9 fort.

- 171 - Bearbeitungsstand: 07.05.2024 10:19

Zu Teil 6 (Verordnungsermächtigungen, Grundrechtseinschränkungen und Be- richtspflichten)

Zu § 57 Berichtspflichten)

Zu § 58 (Ermächtigung zum Erlass von Rechtsverordnungen)

Zu Absatz 1

Absatz 1 führt den bisherigen § 10 Absatz 2 fort. In der auf Basis dieses Absatzes erlas- senen Rechtsverordnung können insbesondere jeweils für die Zertifizierung von Produk- ten erlasse- nen Rechtsverordnung können insbesondere jeweils für die Zertifizierung von Produkten oder Komponenten, informationstechnischen Systemen, Schutzprofilen sowie Perso- nen Personen und Anerkennung von sachverständigen Stellen die Modalitäten des Zertifizierungs- verfahrens, Zertifizierungsverfah- rens, wie etwa Antragsstellung und eventuelle Mitwirkungspflichten, sowie mögliche Nebenbestimmungen Ne- benbestimmungen (wie zum Beispiel Befristungen) von Zertifikaten und Anerkennun- gen Anerkennungen geregelt werden.

Zu Absatz 2

Absatz 2 führt den bisherigen § 10 Absatz 3 fort. Gemäß der Begründung zum IT-Sicher- heitsgesetz 2.0 können in der Verordnung etwa die Details der Ausgestaltung (grafische Darstellung usw.) festgelegt werden. Auch die Verfahren zu Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben sowie zu Antragsstellung auf Freigabe durch einen Hersteller können darin näher geregelt werden. Insbesondere ist dort das genaue Verfahren bran- chenabgestimmter IT-Sicherheitsvorgaben sowie zu Antragsstellung auf Freigabe durch ei- nen Hersteller können darin näher geregelt werden. Insbesondere ist dort das genaue Ver- fahren und die Gestaltung des Verweises auf Sicherheitsinformationen (zum Beispiel zu verfügbaren Sicherheitsupdates oder bekanntgewordenen Schwachstellen), der Teil des Etiketts des IT-Sicherheitskennzeichens sein soll, zu regeln.

Zu Absatz 3

Absatz 3 dient der Umsetzung von Artikel 24 der NIS-2-Richtlinie. Wenn informationstech- nische Produkte, Dienste oder Prozesse für die Erbringung von Diensten der Einrichtung maßgeblich sind, können verpflichtende Zertifizierungen von diesen Produkten, Diensten oder Prozessen dazu beitragen, das Risiko für Sicherheitsvorfälle in diesen Bereichen zu verringern. Sofern Art und Ausmaß der Risikoexposition der Einrichtung diesen Eingriff rechtfertigen, ist daher vorgesehen, dass das BMI in Umsetzung des Artikel 24 Absatz 4 der NIS-2-Richtlinie eine Zertifizierung in diesen Bereichen verpflichtend vorschreiben kann. Diese Vorschrift greift nur, insoweit auch entsprechende Zertifizierungsschemata vorhan- den sind. Vor Erlass der Rechtsverordnung ist durch das BMI und unter Beteiligung der potenziell betroffenen Einrichtungen zu prüfen, dass für die einzubeziehenden Produkte, Dienste oder Prozesse eine ausreichende Verfügbarkeit am Markt sichergestellt ist.

- 148 - Bearbeitungsstand: 22.12.2023 09:58

Zu Absatz 4

Absatz 4 führt den bisherigen § 10 Absatz 1 fort. Die Ergebnisse der Evaluierung dieser Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Si- cherheit informationstechnischer Systeme wurden berücksichtigt.

vor- handen sind. Vor Erlass der Rechtsverordnung ist durch das BMI und unter Beteiligung der potenziell betroffenen Einrichtungen zu prüfen, dass für die einzubeziehenden Produkte, Dienste oder Prozesse eine ausreichende Verfügbarkeit am Markt sichergestellt ist.

Zu Absatz 4

Absatz 4 führt den bisherigen § 10 Absatz 1 fort. Die Ergebnisse der Evaluierung dieser Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Sicher- heit informationstechnischer Systeme wurden berücksichtigt. Die bisherige Praxis wird bei- behalten, eine Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und Wirtschaftsverbände durchzuführen (vgl. § 62 Absatz 2 i.V.m. § 47 Absatz 3 GGO).

Der vorliegende Gesetzentwurf sieht vor, dass zusätzlich zu den gemäß der Vorgaben der NIS-2-Richtlinie verbindlichen Einrichtungskategorien innerhalb der Kategorie der beson- ders wichtigen Einrichtungen weiterhin KRITIS-Betreiber anhand von Schwellenwerten mit einem Bezug zur Versorgungsrelevanz definiert werden. Dies ist zum einen erforderlich, um einen Gleichklang mit dem KRITIS-Dachgesetz und dem dort in Umsetzung der CER- Richtlinie vorgesehenen Verfahren zur KRITIS Bestimmung zu erreichen. Gleichzeitig hat die Evaluierung der KRITIS bezogenen Bestandteile des IT-Sicherheitsgesetzes 2.0 erge- ben, dass aufgrund der starken Ausweitung des Anwendungsbereichs des BSI-Gesetzes im Zuge der NIS-2-Umsetzung auch weiterhin eine Bestimmung von kritischen Infrastruk- turen mit einem Fokus auf die Versorgungsrelevanz erfolgen sollte. Gemäß dieser

Verord- nung als KRITIS-Betreiber bestimmte Unternehmen gelten gleichzeitig als besonders - 172 - Bearbeitungsstand: 07.05.2024 10:19

Verordnung als KRITIS-Betreiber bestimmte Unternehmen gelten gleichzeitig als beson- ders wichtige Einrichtungen.

KRITIS-Betreiber werden in Zukunft weiterhin mit Schwellenwerten anhand ihrer Versor- gungsrelevanz bestimmt.

Für den in der Rechtsverordnung festzusetzenden als bedeutend anzusehenden Versor- gungsgrad anhand von branchenspezifischen Schwellenwerten soll das bereits in mehr- jähriger mehrjäh- riger Verwaltungspraxis etablierte Verfahren der Verordnung zu Bestimmung Kritischer Infrastrukturen Inf- rastrukturen (BSI-KritisV) weiter fortgeführt werden. Hierbei werden durch BMI gemein- sam mit den jeweils zuständigen Ressorts sowie unter Beteiligung der KRITIS-Betreiber und ihrer Branchenverbände geeignete Bemessungsgrößen für kritische Anlagen be- stimmt, anhand gemeinsam mit den jeweils zuständigen Ressorts sowie unter Beteiligung der KRITIS-Betreiber und ihrer Branchenverbände geeignete Bemessungsgrößen für kritische Anlagen bestimmt, an- hand derer der Versorgungsgrad im Sinne der durch die Anlage versorgten Personen näherungsweise bestimmt werden kann. Diese Bemessungsgrößen stellen typi- scherweise nä- herungsweise bestimmt werden kann. Diese Bemessungsgrößen stellen typischerweise quantitative oder qualitative anlagenspezifische Eigenschaften wie Kapazitä- ten, Kapazitäten, Größen, Typ oder Art der Anlage dar, die entweder den Betreibern bereits bekannt sind oder zumindest zumin- dest:

1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme

- 81 - Bearbeitungsstand: 22.12.2023 09:58

dest mit möglichst geringem Aufwand für die jeweiligen Anlagen ermittelt werden können. Anschließend werden für die so gefundenen Bemessungsgrößen Schwellenwerte bestimmt, be- stimmt, bei deren Überschreitung der Versorgungsgrad der betreffenden Anlage als bedeu- tend im Sinne dieses Gesetzes gilt und damit die Anlage eine kritische Anlage darstellt.

Zu § 58 59 (Einschränkung von Grundrechten)

§ 58 führt den bisherigen § 11 fort.

Zu § 59 60 (Berichtspflichten des Bundesamtes)

In der Überschrift von § 59 erfolgt eine klarstellende Ergänzung, dass Berichtspflichten sich stets auf das Bundesamt beziehen. Im Gegensatz dazu beziehen sich Meldepflichten stets auf Einrichtungen.

Zu Absatz 1

Absatz 1 führt den bisherigen § 13 Absatz 1 fort.

Zu Absatz 2

Absatz 2 führt den bisherigen § 13 Absatz 2 fort.

Zu Absatz 3

Absatz 3 führt den bisherigen § 13 Absatz 3 fort.

Zu Absatz 4

Zu Nummer 1

Nummer 1 führt den bisherigen § 13 Absatz 4 Nummer 1 fort.

Zu Nummer 2

Nummer 2 führt den bisherigen § 13 Absatz 4 Nummer 2 fort.

Zu Nummer 3

Nummer 3 führt den bisherigen § 13 Absatz 4 Nummer 3 fort.

- 173 - Bearbeitungsstand: 07.05.2024 10:19

Zu Absatz 5

Absatz 5 führt den bisherigen § 13 Absatz 5 fort.

Zu Absatz 6

Absatz 6 führt den bisherigen § 13 Absatz 6 fort. Gemäß Artikel 44 der NIS-2-Richtlinie tritt die Richtlinie (EU) 2016/1148 am 18. Oktober 2024 außer Kraft, damit entfällt die Übermitt- lungspflicht nach deren Artikel 11 wodurch die Daten für das Kalenderjahr 2023 nach dieser Vorschrift die letztmalige Übermittlung darstellen.

Zu Absatz 7

Absatz 7 dient der Umsetzung von Artikel 23 Absatz 9 der NIS-2-Richtlinie. Für die zu übermittelnden über- mittelnden Informationen gelten die Ausnahmen des Artikel 2 Absatz 11 (nationale, öffentliche öffent- liche Sicherheit oder Verteidigung) und Absatz 13 (Vertraulichkeit von Geschäftsge- heimnissen) Geschäftsgeheim- nissen) der NIS-2-Richtlinie. Der Begriff der Anonymisierung ist im Sinne der Pseud- onymisierung gemäß Artikel 4 Nummer 5 der Verordnung (EU) 2016/679 auszulegen. Als Übergangsregelung sind Daten für das gesamte Kalenderjahr 2024 Teil der erstmaligen Übermittlung Pseudonymi- sierung gemäß Artikel 4 Nummer 5 der Verordnung (EU) 2016/679 auszulegen. Als Über- gangsregelung sind Daten für das gesamte Kalenderjahr 2024 Teil der erstmaligen Über- mittlung im von der NIS-2-Richtlinie vorgegebenen Dreimonatszeitraum.

Zu Absatz 8

Zu Nummer 1

Nummer 1 dient der Umsetzung von Artikel 3 Absatz 5 Buchstabe a NIS-2-Richtlinie.

Zu Nummer 2

Nummer 2 dient der Umsetzung von Artikel 3 Absatz 5 Buchstabe b NIS-2-Richtlinie.

Zu Teil 7 (Sanktionsvorschriften und Aufsicht)

Zu § 60 61 (Bußgeldvorschriften)

§ 60 führt den bisherigen § 14 fort. Im Katalog der Bußgeldvorschriften wurden die Ver- weise angepasst, 61 führt den bisherigen § 14 fort. Die Bußgeldtatbestände entsprechend der Anforderungen durch die NIS2- Richtlinie ergänzt sowie der Bußgeldrahmen angepasst.

- 150 - Bearbeitungsstand: 22.12.2023 09:58

Zu Absatz 1

§ 60 wurden insbesondere entspre- chend den Vorgaben der NIS-2-Richtlinie ergänzt sowie der Bußgeldrahmen angepasst.

Zu Absatz 1

Absatz 1 führt den bisherigen § 14 Absatz 1 fort. Absatz 1 sanktioniert, wie bisher, Fälle, in denen die von den Betreibern Kritischer Anlagen zu erbringenden Nachweisen, Nachforderungen, Nachforde- rungen, Auskünfte und Kennzahlen vor- sätzlich nicht richtig oder nicht vollständig erbracht werden.

In § 60 Absatz 1 führt den bisherigen § 14 Absatz 1 fort.

Der Verweis auf § 10 Absatz 1 Satz 1, nunmehr § 57 Absatz 4 Satz 1 wurde ebenfalls angepasst.

Zu Absatz 2

Mit § 60 Absatz 2 Nummer 1 Buchstaben a, b c und d vorsätzlich nicht richtig oder nicht vollständig erbracht werden.

Zu Absatz 2

Mit Absatz 2 Nummer 1 Buchstaben a, b, c, d, e und f werden Fälle von Zuwiderhandlun- gen Zuwiderhandlungen gegen vollziehbare Anordnungen erfasst. Eine separate Aufzählung soll, aufgrund unterschiedlicher Schwere der Zuwiderhandlun- gen, eine entsprechende Bebußung in unterschiedlicher Höhe ermöglichen.

Zu Nummer 1

Zu Buchstabe a

In Nummer 1 Buchstabe a) wurden die Verweise angepasst und inhaltlich keine Änderun- gen unter- schiedlicher Schwere der Zuwiderhandlungen, eine entsprechende Bebußung in unter- schiedlicher Höhe ermöglichen.

- 174 - Bearbeitungsstand: 07.05.2024 10:19

Zu Nummer 1

Zu Buchstabe a

Der genannte § 11 Absatz 6 führt den bisherigen § 5b Absatz 6, § 16 Absatz 1 Satz 1 den bisherigen § 7c Absatz 1 Satz 1, § 17 den bisherigen § 7d und § 39 Absatz 1 Satz 6 den bisherigen § 8a Absatz 3 Satz 5 fort.

Zu Buchstabe b

§ 14 Absatz 2 Satz 1 führt den bisherigen § 7a Absatz 2 Satz 1 fort. Außerdem wurde eine Variante ergänzt:

§ 65 Absatz 8 oder auch in Verbindung mit § 66 sehen respektive für besonders wichtige und wichtige Einrichtungen vor, dass das Bundesamt sie anweisen kann, die natürlichen oder juristischen Personen, für die sie Dienste erbrin- gen oder Tätigkeiten ausüben und die potenziell von einer erheblichen Cyberbedrohung betroffen sind, über die Art der Bedrohung und mögliche Abwehr- oder Abhilfemaßnah- men zu unterrichten, die von diesen natürlichen erbringen oder Tätigkeiten ausüben und die potenziell von einer erheblichen Cyberbedrohung betroffen sind, über die Art der Bedro- hungen oder die Einschätzungen zu bereits bekannten Bedrohungen mussten aufgrund veränderter Rahmenbedingungen geändert werden. Beispiele hierfür bestehen im Bereich Hacktivismus, insbesondere mittels Distributed-Denial-of-Service (DDoS)-Angriffen oder auch durch in Deutschland erfolgte Kollateralschäden in Folge von Cyber-Sabotage-An- griffen im Rahmen des Krieges. Zudem haben auch Störungen und Angriffe im Bereich der Lieferketten sowohl aus den Bereichen Cybercrime als auch im Rahmen des Krieges zuletzt zugenommen. Diese Phänomene treten nicht mehr nur vereinzelt auf, sondern

- 2 - Bearbeitungsstand: 22.12.2023 09:58

sind insgesamt Teil des unternehmerischen Alltags. Eine Erhöhung der Resilienz der Wirt- schaft gegenüber den hung und mögliche Abwehr- oder Abhilfemaßnahmen zu unterrichten, die von diesen na- türlichen oder juristischen Personen als Reaktion auf diese Bedrohung ergriffen werden können. Zudem kann es wichtige und besonders wichtige Einrichtungen anweisen, Informationen zu Verstößen gegen diese Richtlinie nach bestimmten Vorgaben öffentlich bekannt zu machen. Ebenso wird eine Bußgeldbeweh- rung bei einem Verstoß gegen § 64 Absatz 5, der vorsieht, dass das Bundesamt für be- sonders wichtige Einrichtungen einen Überwachungsbeauftragten benennen kann, der die Einhaltung der Verpflichtungen aus §§ 30, 31 und 39 überwacht, geschaffen. Infor- mationen zu Verstößen gegen diese Richtlinie nach bestimmten Vorgaben öffentlich be- kannt zu machen. Mit der Schaffung dieses Bußgeldtatbestandes wird den Anforderungen aus Artikel 32 Absatz 4 Buchstabe i in Verbindung mit Buchstabe g der NIS-2-Richtlinie nachgekommen.

Artikel 34 Absatz 4 der NIS2 Richtlinie sieht vor, dass Geldbußen zusätzlich zu jeglichen der Maßnahmen nach Artikel 32 Absatz 2 Buchstaben a bis h, Artikel 32 Absatz 5 und Artikel 33 Absatz 4 Buchstaben a bis g verhängt werden. Artikel 32 Absatz 4 Buchstabe g

- 151 - Bearbeitungsstand: 22.12.2023 09:58

sieht dabei eine Bebußung Zuwiderhandlung gegen einen für einen bestimmten Zeitraum einen mit genau festgelegten Aufgaben betrauten Überwachungsbeauftragten vor. Artikel 32 Absatz 4 Buchstabe h sieht eine Bebußung bei Zuwiderhandlung gegen Anweisungen, Aspekte der Verstöße gegen diese Richtlinie entsprechend bestimmten Vorgaben öffent- lich ge- gen diese Richtlinie entsprechend bestimmten Vorgaben öffentlich bekannt zu machen, vor.

Zu Buchstabe c

§ 18 führt den bisherigen § 8b Absatz 6 Satz 1 fort. Satz 2 entfällt aufgrund obiger Anpas- sungen. § 8c Absatz 4 Satz 1 entfällt, da die Kategorie „Anbieter digitaler Dienste“ in den neuen Einrichtungskategorien aufgeht.

Ferner wurde eine neue Variante ergänzt: §§ 64 Absatz 6 Satz 1 und 2 in Verbindung mit § 65 sieht eine Bebußung bei Verstößen besonders wichtiger und wichtiger Ein- richtungen gegen Anordnungen nach § 64 Absatz 6 vor. Dieser bestimmt, dass das Bundesamt gegenüber besonders wichtigen und wichtigen Einrichtungen Anwei- sungen in Bezug auf Maßnahmen § 65 Absatz 6 Satz 1 und 3 in Verbindung mit § 66 sieht eine Bebußung bei Verstößen besonders wichtiger und wichtiger Einrichtungen gegen Anordnungen nach § 65 Absatz 6 vor. Dieser bestimmt, dass das Bundesamt ge- genüber besonders wichtigen und wichtigen Einrichtungen Anweisungen in Bezug auf Maß- nahmen anordnen kann, die zur Verhütung oder Behe- bung eines Sicherheitsvorfalls oder eines Mangels erforderlich sind. Ferner kann das Bundesamt die Berichterstattung den nach Satz 1 angeordneten Maßnahmen verlangen. Es wird hiermit den Anforderungen aus Artikel 32 Absatz 4 Buchstabe h nachgekommen. Behebung eines Sicherheitsvorfalls oder eines Mangels erforderlich sind. Ferner kann das Bundesamt die Berichterstattung den nach Satz 1 angeordneten Maßnahmen verlangen. Es werden hiermit Vorgaben aus Artikel 32 Absatz 4 Buchstabe h umgesetzt. Demnach ist eine Bebußung bei Zuwiderhandlung nach Artikel 32 Absatz 4 Buchstabe b vorzunehmen.

Zu Buchstabe d

Es wird mit Buchstabe d ein neuer Bußgeldtatbestand geschaffen, der die Weigerung der Herausgabe notwendiger Informationen zur Bewältigung einer Störung bei Betreibern kritischer Anlagen ahnden soll (siehe § 40 Absatz 4 Satz 1).

Zu Nummer 2

In Nummer 2 wurden die Verweise angepasst. Der vormalige kriti- scher Anlagen ahnden soll (siehe § 40 Absatz 4 Satz 1).

Zu Buchstabe e

Es wurde entsprechend den Vorgaben der NIS-2-Richtlinie nach Artikel 32 Absatz 4 Buch- stabe d für besonders wichtige sowie nach Artikel 33 Absatz 4 Buchstabe d für wichtige Einrichtungen eine Bebußung aufgenommen: Dies gilt für Zuwiderhandlungen gegen

- 175 - Bearbeitungsstand: 07.05.2024 10:19

Anweisungen innerhalb einer bestimmten Frist sicherzustellen, dass Risikomanagement- maßnahmen im Bereich der Cybersicherheit mit Artikel 21 im Einklang stehen, bzw. die in Artikel 23 festgelegten Berichtspflichten erfüllt werden.

Zu Buchstabe f

Es wurde ein neuer Bußgeldtatbestand geschaffen, der ein Zuwiderhandeln gegen eine verbindliche Anweisung nach § 64 Absatz 7 Satz 2 oder § 65 ahnden sollen. § 64 Absatz 7 und § 65 bestimmen, dass das Bundesamt gegenüber besonders wichti- gen, respektive wichtigen Einrichtungen verbindliche Anweisungen zur Umsetzung der Verpflichtungen nach diesem Gesetz erlassen kann. Mit der Schaffung dieses Bußgeldtat- bestandes werden Artikel 32, 33 Absatz 4 Buchstaben f, i der NIS 2 Richtlinie umgesetzt, die eine respektive Bebußung von wichtigen und besonders wichtigen Einrichtungen vor- sehen, wenn diese sie sich einer verbindlichen Anweisung die im Rahmen einer Sicher- heitsprüfung formulierten Empfehlungen innerhalb einer angemessenen Frist 65 Absatz 7 Satz 2 oder § 66 ahnden sollen. § 65 Absatz 7 und § 66 bestimmen, dass das Bundesamt gegenüber besonders wichtigen, respektive wichtigen Einrichtungen verbindliche Anweisungen zur Umsetzung der Verpflichtungen nach diesem Gesetz erlassen kann. Mit der Schaffung dieses Bußgeldtatbestandes werden Artikel 32, 33 Absatz 4 Buchstaben f, i der NIS-2-Richtlinie umgesetzt, die eine respektive Bebußung von wichtigen und besonders wichtigen Einrichtungen vorsehen, wenn diese sie sich einer verbindlichen Anweisung die im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen innerhalb einer angemessenen Frist umzusetzen, widersetzen.

Zu Absatz 3

Redaktionelle Änderung von „Sicherheitslücke“ auf „Schwachstelle“.

Zu Absatz 4

§ 60 Absatz 4 Nummer 1 und 2 führt den bisherigen § 14 Absatz 4 Nummer 1 und 2 fort. Zu Nummer 1

Redaktionelle Änderung von „Sicherheitslücke“ auf „Schwachstelle“.

Zu Nummer 2

Redaktionelle Änderung von „Sicherheitslücke“ auf „Schwachstelle“.

Zu Nummer 3

In Absatz 4 wurde ein neuer Bußgeldtatbestand in der Nummer 3 geschaffen, Nummer 2

In Nummer 2 wurden die Verweise angepasst. Der bisherige Bußgeldtatbestand schuf eine Sanktionsmöglichkeit dafür, dass entgegen § 8a Absatz 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 eine dort genannte Vorkehrung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen wird. Dieser sah vor, dass angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Stö- rungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informations- technischen Systeme, Komponenten oder Prozesse zu getroffen werden, die für die angemes- sene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu getroffen werden, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Der Verweis wurde angepasst und bezieht sich nunmehr auf den neugeschaffenen § 30 (Risikomanagement- maßnahmen), der § 8a Absatz 1 Satz 1 entspricht. Zudem wird hiermit den Anforderungen der NIS-2-Richtlinie (Artikel 21 NIS-2-Richtlinie) nach einer Bebußung bei Verstößen gegen Risikomanagementmaßnahmen nachgekommen.

Zu Nummer 3

§ 32 Absatz 1 definiert die Meldepflichten für besonders wichtige und wichtige Einrichtun- gen (Umsetzung des Artikels 23 der NIS-2-Richtlinie).

§ 8c und 8f entfallen, da die Regelungsadressaten in den neuen Einrichtungskategorien aufgehen.

Zu Nummer 4

Nach Nummer 4 handelt ordnungswidrig, wer eine Angabe oder eine Änderung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. § 8b Absatz 3 Satz 1 wird durch § 33 Absatz 1, 3 ersetzt und auf die neugeschaffenen Einrichtungskategorien ange- passt: § 33 Absatz 1 definiert die Registrierungspflichten für wichtige und besonders 1 und 2 ersetzt und auf die neugeschaffenen Einrichtungskategorien ange- passt: Absatz 1 definiert die Registrierungspflichten für wichtige und besonders wichtige Einrichtungen, Absatz 2 die Anforderungen für Betreiber kritischer Anlagen.

§ 8f Absatz 5 Satz 1 entfällt, da dieser in den neuen Einrichtungskategorien aufgeht. Ein Ersatz erfolgt jedoch durch § 34 Absatz 1 und 2, der Registrierungspflichten für andere Ein- richtungsarten ausgeweitet. Als registerführende Stelle kann BSI Einzelheiten des Regist- rierungsverfahrens vorsieht.

Zu Nummer 5

Nummer 5 sieht eine Bebußung für Betreiber kritischer Anlagen vor. Diese haben nach § 33 Absatz 2 Satz 2 sicherzustellen, dass sie über ihre in Absatz 1 genannten Kontaktda- ten jederzeit erreichbar sind.

Zu Nummer 6

In Nummer 6 wurde ein neuer Bußgeldtatbestand geschaffen. § 34 Absatz 2 sieht vor, dass Änderungen der nach § 33 - 176 - Bearbeitungsstand: 07.05.2024 10:19

Zu Nummer 6

In Nummer 6 wurde ein neuer Bußgeldtatbestand geschaffen. § 34 Absatz 2 sieht vor, dass Änderungen der nach § 34 Absatz 1 zu übermittelnden Angaben unverzüglich, spätestens jedoch zwei Wochen ab dem Zeitpunkt der Änderung dem Bundesamt zu übermitteln sind.

Eine Sanktionierung ist erforderlich, um eine bessere Durchsetzbarkeit der Registrierungs- pflichten zu ermöglichen. Zweck dieser ist es, die unverzügliche Weiterleitung wichti- ger Sicherheitsinformationen an betroffene Betreiber sicherzustellen. So kann bei wichtiger Si- cherheitsinformationen an betroffene Betreiber sicherzustellen. So kann bei Störungen und sonstigen IT-Sicherheitsinformationen, die für die Verfügbarkeit und Funktionsfä- higkeit Funktionsfähigkeit der Betreiber maßgeblich sind, ein verlässlicher, beständiger und schneller Infor- mationsfluss Informationsfluss gewährleistet werden. Nur durch eine Erweiterung der Pflicht zur zeitnahen Mitteilung von Änderungen kann diese effektiv gewährleistet werden.

Zu Nummer 7

Hier wurde der Verweis zur Aktualisierung der Nachweispflichten (siehe bereits unter Ab- satz 1) angepasst und eine Aktualisierung der Nachweispflichten entsprechend der neuen Einrichtungskategorien vorgenommen: Hier bestimmt § 39 Absatz 2 Satz 1 die für kriti- sche Einrichtungen.

Ebenfalls wurde entsprechend Anforderungen der NIS2-Richtlinie 1 Satz 1die für kritische Einrichtungen.

Ebenfalls wurde entsprechend den Vorgaben der NIS-2-Richtlinie nach Artikel 32 Absatz 4 Buchstabe d für besonders wichtige sowie Artikel 33 Absatz 4 Buchstabe d für wichtige Einrichtungen eine Bebußung aufgenommen. Dies gilt für Zuwiderhandlungen gegen An- weisungen innerhalb einer bestimmten Frist sicherzustellen, dass Risikomanagement- maßnahmen im Bereich der Cybersicherheit mit Artikel 21 im Einklang stehen, bzw. die in Artikel 23 festgelegten Berichtspflichten erfüllt werden.

Zu Nummer 8

Mit der Nummer 8 wird die in Artikel 36 der NIS2-Richtline vorgesehene Möglichkeit, die Nichtbefolgung der Vorgaben für Maßnahmen auch für Top Level Domain Name Regis- tries Risikomanagementmaß- nahmen im Bereich der Cybersicherheit mit Artikel 21 im Einklang stehen, bzw. die in Artikel 23 festgelegten Berichtspflichten erfüllt werden.

Zu Nummer 8

Mit der Nummer 8 wird die in Artikel 36 der NIS-2-Richtline vorgesehene Möglichkeit, die Nichtbefolgung der Vorgaben für Maßnahmen auch für Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister zu sanktionieren, umgesetzt. Das schafft eine Durchsetzbarkeit der gesetzlich festgelegten Verpflichtung, eine Datenbank über die Domains Do- mains und ihre Domain-Namen-Registrierungsdaten vorzuhalten und auf berechtigten Antrag An- trag diese Daten für Anfragende zugänglich machen zu können. Ebenso erfasst wird das vorgeschriebene Vorhalten eines öffentlichen Zugangs zu den nicht personenbezoge- nen Domain-Namen-Registrierungsdaten sowie zu den Vorgaben und Verfahren für die Aufrechterhaltung der vollständigen Datenbank oder der Offenlegung bestimmter weiterer Registrierungsdaten.

personenbezogenen Domain-Namen-Registrierungsdaten sowie zu den Vorgaben und Verfahren für die Auf- rechterhaltung der vollständigen Datenbank oder der Offenlegung bestimmter weiterer Re- gistrierungsdaten.

Zu Nummer 9

Mit Nummer 9 wurde ein neuer Bußgeldtatbestand geschaffen: § 54 Absatz 2 bestimmt, dass für bestimmte Produkte oder Leistungen beim Bundesamt eine Sicherheits- oder Per- sonenzertifizierung beantragt werden kann. Eine Ahndung im Rahmen eines Bußgel- des Bußgeldes bei Vorgabe über die Inhabereigenschaft einer solchen Zertifizierung ist aufgrund des Missbrauchspotentials Miss- brauchspotentials sowie damit einhergehender unbefugter Nutzung erforderlich; auch da hier keine effektive Verwaltungszwangsmöglichkeit besteht.

Zu Nummer 10

§ 55 Absatz 2 Satz 2 führt den bisherigen § 9a Absatz 2 Satz 2 fort.

Zu Nummer 11

§ 56 Absatz 4 Satz 1 führt den bisherigen § 9c Absatz 4 Satz 1 fort.

Zu Nummer 12

Der vormalige Mit § 55 wurde die Möglichkeit geschaffen, selbst eine Konformitätserklärung nach den Vor- gaben des Bundesamtes und unter deren Aufsicht abzugeben. Obwohl der Aussteller dabei selbst die Verantwortung für seine Konformitätserklärung trägt, besteht ein Vertrauen des Marktes in die Möglichkeiten des Bundesamtes nach § 55, gegen erkannte Abweichungen von den zugrundeliegenden Anforderungen vorzugehen. Dieses Vertrauen setzt aber vo- raus, dass das Bundesamt auch gegen solche Akteure vorgehen kann, die über keine

- 177 - Bearbeitungsstand: 07.05.2024 10:19

gültige Konformitätserklärung im Sinne des § 55 verfügen und nur bewusst oder fahrlässig (beispielsweise durch das Verwenden eines entsprechenden Kennzeichens) vorgeben, sich den Anforderungen des § 55 unterworfen zu haben.

Zu Nummer 11

Nach § 55 Absatz 3 Satz 2 bedarf es zur Konformitätsbewertung, soweit eine Akkreditie- rung der in der Technischen Richtlinie durch das Bundesamt vorgesehen wurde, einer Be- fugniserteilung. Führt eine Stelle Konformitätsbewertungstätigkeiten durch, ohne eine sol- che Befugnis zu haben, gefährdet dies die Vergleichbarkeit der Konformitätsbewertungs- verfahren festlegen kann.

Zu § 34 (Besondere Registrierungspflicht für bestimmte Einrichtungsarten)

§ 34 dient der Umsetzung von Artikel 27 Absatz 2 bis 5 der NIS-2-Richtlinie.

Zu Absatz 4

Absatz 4 sieht vor, dass das BSI für die Registrierung etwa die Verwendung eines Online- Formulars und in der Folge das besondere Vertrauen in die Konformitätserklärung, das durch die Vorgabe erzeugt werden sollte.

Zu Nummer 12

§ 56 Absatz 2 Satz 2 führt den bisherigen § 9a Absatz 2 Satz 2 fort.

Zu Nummer 13

§ 57 Absatz 4 Satz 1 führt den bisherigen § 9c Absatz 4 Satz 1 fort.

Zu Nummer 14

Der bisherige § 14 Absatz 2 Nummer 8 mit einer Bußgeldahndung für Verstöße gegen § 8c Absatz 1 Satz 1 wird wurde gestrichen, da dieser in den neuen Einrichtungskategorien auf- geht.

Die neue Nummer 12 sieht eine Bebußung bei besonders wichtigen Einrichtungen wie folgt vor: Sofern das Betreten eines dort genannten Raums nicht gestattet, eine dort ge- nannte Unterlage nicht oder nicht rechtzeitig vorlegt, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung nicht oder nicht rechtzei- tig gewährt (§ 64 Absatz 5 Satz 3).

Zu Nummer 13

In Nummer 13 aufgeht. Die Vorschrift sieht eine Bebußung bei besonders wichtigen Einrichtungen vor. Sofern das Betreten eines dort genannten Raums nicht gestattet, eine dort genannte Unterlage nicht oder nicht rechtzeitig vorlegt, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung nicht oder nicht rechtzeitig gewährt.

Zu Absatz 3

Absatz 3 führt den bisherigen § 14 Absatz 3 fort.

Zu Absatz 4

Zu Nummer 1

Nummer 1 führt den bisherigen § 14 Absatz 4 Nummer 1 fort.

Zu Nummer 2

Nummer 2 führt den bisherigen § 14 Absatz 4 Nummer 2 fort. Redaktionelle Änderung von „Sicherheitslücke“ auf „Schwachstelle“.

Zu Nummer 3

Bei Nummer 3 handelt es sich um einen neuen Bußgeldtatbestand, der das Vorgeben der Inhaberschaft eines europäischen Cybersicherheitszertifikats oder Ausstel-

Aussteller einer EU- Konformitätserklärung zu sein, obgleich diese nicht besteht, widerrufen oder für ungültig erklärt wurde, ahndet. Eine Notwendigkeit für die Ahndung ergibt sich anlie- anlehnend an Ab- satz 2 Nummer 9 aus vergleichbarem Missbrauchspotential, Folgen einer unbefugten Nutzung Nut- zung und der fehlenden effektiven Verwaltungszwangsmöglichkeit.

Zu Absatz 5

§ 60 Absatz 5 regelt die Höhe der jeweiligen Bußgelder in einem allgemeinem Bußgeldtat- bestand. Das Absatz 5 regelt die Höhe der jeweiligen Bußgelder. Das bisherige Stufensystem wurde beibehalten, wobei die Stufen vorliegend bei- behalten, wobei die Stufen angepasst wurden. Die Stufen sind auf den Werten 20 Millionen Euro 10 bzw. 7

- 178 - Bearbeitungsstand: 07.05.2024 10:19

Millionen, (höchste Stufe), 500.000 Euro 2 Millionen Euro, (zweite Stufe) und 100.000 500.000 Euro (dritte Stufe) angesetzt.

Die höchste Stufe wird auf 20 Millionen Euro angesetzt. Für die Stufe von 20 Millionen Euro bei einem Verstoß gegen Absatz 2 Nummer 1 Buchstabe a wurde keine Verände- rung der Bußgeldhöhe vorgenommen, da durch den und 100.000 Euro (vierte Stufe) angesetzt. Vorgaben aus Artikel 34 NIS-2-Richtlinie bedingen Modifizierungen im Rahmen von Umsatzregelungen.

Zu Nummer 1

Bei einem Verstoß gegen Absatz 1 tritt keine Veränderung der Bußgeldhöhe ein, da der frühere Verweis auf § 30 Absatz 2 Satz 3 OWiG zu einer Verzehnfachung führte, die hier ebenfalls erreicht wird.

Ein Verstoß gegen Absatz 2 Nummer 7 Variante 1 (Nachweispflichten) ist auf der höchs- ten Stufe bei Betreibern kritischer Anlagen angesiedelt. Die Bußgeldhöhe wurde entspre- chend höchsten Stufe bei Betreibern kritischer Anlagen angesiedelt. Die Bußgeldhöhe wurde entsprechend Absatz 1 angepasst (vormals ebenso hoch durch den Verweis des § 30 Absatz 2 Satz 3 OWiG).

Zu Nummer 2

In Nummer 2 werden Verstöße gegen Risikomanagementmaßnahmen und Meldepflichten bebußt (höchste Bußgeldstufe).

Zu Buchstabe a

Ein Verstoß gegen Absatz 2 Nummer 2 sieht die Ahndung von Verstößen gegen Risikoma- nagementmaßnahmen nach § 30 Absatz 1, ein Verstoß gegen Nummer 3 die Ahndung von Verstößen gegen Meldepflichten vor. Hier traf Artikel 34 Absatz 4 NIS2 Richtlinie dezidierte Vorgaben (10 Millio- nen Euro oder mindestens 2 % des gesamten weltweiten im vorangegangenen Ge- schäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene angehört) die übernommen wurden. Gleiches gilt für Nummer 3.

Auf einer separaten Unterstufe in Höhe von 10 Millionen Euro, ohne prozentuale Alternati- ve, werden zwei Verstöße geahndet.

Vorgaben: 10 Millionen Euro oder mindestens 2 % des gesamten weltweiten im vorange- gangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene an- gehört; gleiches gilt für Nummer 3.

Zu Buchstabe b

Bei wichtigen Einrichtungen sieht Artikel 34 Absatz 5 der NIS-2-Richtlinie eine Höhe von 7 Millionen Euro oder mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene angehört, vor. Gleiches gilt für Nummer 3.

Zu Nummer 3

Auf zweiter Stufe (2 Millionen Euro) sind Verstöße gegen Absatz 2 Nummer 1 Buchstabe a angesiedelt. Es wurde keine Veränderung der Bußgeldhöhe vorgenommen; durch den übernommenen Verweis auf § 30 Absatz 2 Satz 3 OWiG in § 14 Absatz 5 alte Fassung eine Anhebung der Bußgeldhöhe ebenfalls erfolgte.

Für die zweithöchste Stufe wurde ein Wert von 500.000 Euro angesetzt. Für einen Ver- stoß gegen Absatz 2 Nummer 1 Buchstabe c Variante 1 ergab sich hierbei keine Verän- derung . Ein Verstoß gegen Absatz 2 Nummer 1 Buchstabe c Variante 2 und 3 wurde auf dieser Höhe vorgesehen, da die Abstellung bestehender, bekannterweise offener Lücken, für Übergriffe genutzt werden können und hiermit in seiner Bedeutung signifikant ist. Auf der zweithöchsten Stufe wurde ebenfalls ein Verstoß gegen Absatz 2 Nummer 4 und 6 aufgenommen. Bei diesem handelt es sich um einen Verstoß gegen die Registrierungs- pflichten für Einrichtungsarten nach § 32 Absatz 1 s.Domain-Name Registry Dienstean- bieter oder Anbieter nach §§ 33 Absatz 1, 64 Absatz 1).

Ein Verstoß gegen Absatz 2 Nummer 7 Variante 2 und 3 ist eine Modifizierung in Form einer Verzehnfachung möglich.

Zu Nummer 4

Für die dritte Stufe wurde ein Wert von 500.000 Euro angesetzt. Für einen Verstoß gegen Absatz 2 Nummer 1 Buchstabe c ergab sich hierbei keine Veränderung. Auf dieser Stufe wurde ebenfalls ein Verstoß gegen Absatz 2 Nummer 4 und 6 aufgenommen. Bei diesem handelt es sich um einen Verstoß gegen die Registrierungspflichten für Einrichtungsarten nach § 32 Absatz 1 Domain-Name Registry Diensteanbieter oder Anbieter nach §§ 33 Ab- satz 1, 64 Absatz 1.

Ein Verstoß gegen Absatz 2 Nummer 1 Buchstabe e sowie Absatz 2 Nummer 7 wurde ebenfalls auf dieser Stufe angesiedelt wegen der Nähe zu den Risikomanagementmaßnahmen, Risikomanagementmaßnah- men, die auf höchster Stufe bebußt sind.

Ein Verstoß gegen Absatz 2 Nummer 8 für Nichtbefolgung der Vorgaben für Maßnahmen auch für Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister fällt

- 179 - Bearbeitungsstand: 07.05.2024 10:19

ebenfalls unter diese Einstufung. Für einen Verstoß gegen Absatz 2 Nummer 10 und 11 ergaben sich keine Veränderungen in der Bußgeldhöhe.

Auf der zweithöchsten Stufe wurden zudem Verstöße gegen den neueingeführten Ab- satz 2 Nummer 9 aufgenommen. Bei diesem handelt es sich um Vorgabe der Inhaber- schaft Absatz 2 Nummer 9 aufgenommen. Bei diesem handelt es sich um Vorgabe der Inhaberschaft einer Zertifizierung nach § 54 Absatz 2. Bei der Einstufung wurde sich an der Buß- geldhöhe Bußgeldhöhe von Nummern 10 und 11, die in der vormaligen und jetzigen Fassung ebenfalls in dieser Höhe angesiedelt sind und im Unrechtsgehalt eine Entsprechung finden, orien- tiert.

orientiert.

Ebenfalls auf dieser Stufe sind Verstöße gegen Absatz 4 angesiedelt. Für die Nummern 1 und 2 ergaben sich keine Veränderungen. Neu wurde auf dieser Stufe die Nummer 3 auf- grund einer Vergleichbarkeit zu den Bußgeldtatbeständen aus Absatz 2 Nummern 10 und 11 aufgenommen.

Zu Nummer 5

Als niedrigste Stufe wurde die frühere 100.000 Euro Stufe übernommen.

Hierbei ergaben sich für einen Verstöße gegen Absatz 2 Nummer 1 Buchstabe b Variante 1 und Absatz 3 keine Veränderungen. Ebenfalls auf dieser Stufe wurden Verstöße gegen Absatz 2 Num- mer 1 Buchstabe b Varianten 2, 3 und 4 und gegen Nummer 13 aufgenommen. Die neu geschaffenen Nummer 13 Nummer 1 Buchstabe b Varianten 2, 3 und 4 aufgenommen. Ein Verstoß gegen Absatz 2 Nummer 1 Buchstabe d, der die Herausgabe von notwendigen Informationen zur Bewältigung der Störung betrifft, wurde auf dieser Stufe angesiedelt, um die Dringlichkeit der Herausgabe derartiger Informationen zu verdeutlichen.

Bei einem Verstoß gegen Absatz 2 Nummer 5 wurde die bisherige Bußgeldhöhe übernommen..

Zu Absatz 8

§ 60 Absatz 8 führt den bisherigen § 14 Absatz 6 fort.

Zu Absatz 9

Absatz 9 dient der Umsetzung von Artikel 35 Absatz 2 NIS-2-Richtlinie.

Zu § 61 Der neu geschaffenen Absatz 2 Nummer 1 Buchstabe f wurde auf dieser untersten Stufe angesetzt, da im Falle von Nummer 13 erstmals eine Bebußung von Verstößen gegen Anordnungen zur Umsetzung

hier erstmals eine Bebußung von Verstößen gegen Anordnungen zur Umset- zung von im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen innerhalb einer bestimmten Frist vorgesehen wird.

Bei einem Verstoß gegen Absatz 2 Nummer 5 wurde die bisherige Bußgeldhöhe übernom- men.

Die neu geschaffene Nummer 12 für Verstöße wenn bei besonders wichtigen Einrichtungen das Betreten eines dort genannten Raums nicht gestattet, eine dort genannte Unterlage nicht oder nicht rechtzeitig vorlegt, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung nicht oder nicht rechtzeitig gewährt, 13. einer Anordnung nach § 64 Absatz 7 Satz 2 oder in Verbindung mit § 65 nicht nach- wurde eben- falls auf dieser Stufe angesetzt.

Zu Absatz 6

Absatz 6 schafft die von Artikel 34 Absatz 4 NIS-2-Richtlinie vorgesehene Grundlage, zur Verhängung eines Bußgeldes in Höhe von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Be- troffene angehört bei besonders wichtigen Einrichtungen, sofern ein Verstoß gegen Risiko- managementmaßnahmen oder Meldepflichten vorliegt (Absatz 2 Nummer 2 und 3).

Zu Absatz 7

Absatz 7 schafft die von Artikel 34 Absatz 5 der NIS-2-Richtlinie vorgesehene Grundlage, zur Verhängung eines Bußgeldes in Höhe von mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Be- troffene angehört bei wichtigen Einrichtungen, sofern ein Verstoß gegen Risikomanage- mentmaßnahmen oder Meldepflichten vorliegt (Absatz 2 Nummer 2 und 3).

- 180 - Bearbeitungsstand: 07.05.2024 10:19

Zu Absatz 8

Absatz 8 konkretisiert die Bedeutung des in Absatz 6 und 7 verwendeten Begriff des Jah- resumsatzes.

Zu Absatz 9

Absatz 9 führt den bisherigen § 14 Absatz 6 fort.

Zu Absatz 10

Absatz 10 dient der Umsetzung von Artikel 35 Absatz 2 der NIS-2-Richtlinie.

Zu § 62 (Zuwiderhandlungen durch Institutionen der sozialen Sicherung)

§ 61 führt den bisherigen § 14a fort.

Zu § 62 62 führt den bisherigen § 14a fort.

Zu § 63 (Zuständigkeit des Bundesamtes)

Die Vorschrift dient der Umsetzung von Artikel 8 Absatz 1 bis 2, Artikel 26 Absatz 1 der NIS-2-Richtlinie. NIS- 2-Richtlinie. Die Zuständigkeit für wichtige und besonders wichtige Einrichtungen bestimmt sich nach dem Niederlassungsprinzip. Die Zuständigkeit für Betreiber kritischer Anlagen bestimmt sich nach Belegenheitsprinzip hinsichtlich der jeweiligen kritischen An- lagen.

Zu § 63 (Zentrale Zuständigkeit in der Europäischen Union für bestimmte Einrich- tungsarten)

Zu Absatz 1

Absatz 1 dient der Umsetzung von Artikel 26 Absatz 1 Buchstabe b der NIS-2-Richtlinie.

Zu Absatz 2

Absatz 2 dient der Umsetzung von Artikel 26 Absatz 2 der NIS-2-Richtlinie.

Zu Absatz 3

Absatz 2 Anlagen.

Zu § 64 (Zentrale Zuständigkeit in der Europäischen Union für bestimmte Einrichtungsarten)

Zu Absatz 1

Absatz 1 dient der Umsetzung von Artikel 26 Absatz 1 Buchstabe b der NIS-2-Richtlinie.

Zu Absatz 2

Absatz 2 dient der Umsetzung von Artikel 26 Absatz 2 der NIS-2-Richtlinie.

Zu Absatz 3

Absatz 3 dient der Umsetzung von Artikel 26 Absatz 3 der NIS-2-Richtlinie. Vertreter kann eine in der Europäischen Union niedergelassene natürliche oder juristische Person sein, die ausdrücklich benannt wurde, um im Auftrag einer Einrichtung, die nicht in der Europäi- schen Union niedergelassen ist, zu handeln, und an die sich das Bundesamt in Fragen der der Pflichten der benennenden Einrichtung nach diesem Gesetz wenden kann.

Zu Absatz 4

Absatz 4 dient der Umsetzung von Artikel 26 Absatz 4 der NIS-2-Richtlinie.

- 157 - Bearbeitungsstand: 22.12.2023 09:58

Zu Absatz 5

Absatz 5 dient der Umsetzung von Artikel 26 Absatz 5 der NIS-2-Richtlinie.

Zu § 64 (Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrich- tungen)

Zu Absatz 1

§ 64 Zu Absatz 5

Absatz 5 dient der Umsetzung von Artikel 26 Absatz 5 der NIS-2-Richtlinie.

Zu § 65 (Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen)

Zu Absatz 1

§ 65 dient der Umsetzung von Artikel 32 der NIS-2-Richtlinie. Da eine regelmäßige Nach- weispflicht für die Umsetzung von Risikomanagementmaßnahmen ausschließlich für

Be- treiber - 181 - Bearbeitungsstand: 07.05.2024 10:19

Betreiber kritischer Anlagen gilt, ist in § 64 vorgesehen, dass das Bundesamt die hier vorge- sehenen Aufsichtsmaßnahmen in Bezug auf einzelne Einrichtungen ausüben kann. Dem- nach vor- gesehenen Aufsichtsmaßnahmen in Bezug auf einzelne Einrichtungen ausüben kann. Demnach ist das Bundesamt unter Anderem befugt, Einrichtungen zu verpflichten, Audits, Prüfungen oder Zertifizierungen von unabhängigen Stellen durchführen zu lassen. Auch ohne verpflichtend durchzuführende Audits, Prüfungen oder Zertifizierungen kann das Bun- desamt von einzelnen Einrichtungen Nachweise über die Erfüllung einzelner oder aller An- forderungen nach den §§ 30, 31 und 32 verlangen. Sofern durch die Einrichtung keine Au- dits, Prüfungen oder Zertifizierungen durchgeführt wurden, kann das Bundesamt hiernach auch andere Nachweisunterlagen verlangen. Hierzu gehören beispielsweise unterneh- menseigene Richtlinien und Dokumentationen, Berichte oder Selbsterklärungen.

Gemäß den Anforderungen der NIS-2-Richtlinie ist es bei der Ausübung dieser Aufsichts- maßnahmen in Bezug auf besonders wichtige Einrichtungen nicht erforderlich, dass dem Bundesamt Hinweise oder Informationen vorliegen, welche die Annahme rechtfertigen, dass eine Einrichtung die Anforderungen der §§ 30, 31 und 32 nicht oder nicht richtig um- gesetzt hat. Stattdessen hat das Bundesamt bei der Auswahl der Einrichtungen im Sinne einer Priorisierung die in Absatz 4 genannten Kriterien zu berücksichtigen. Der Ermes- sensspielraum des Bundesamts bei der Auswahl von Einrichtungen ist im Sinne der NIS- 2-Richtlinie Ermessens- spielraum des Bundesamts bei der Auswahl von Einrichtungen ist im Sinne der NIS-2-Richt- linie entsprechend weit auszulegen. Die in Absatz 4 genannten Kriterien dienen insoweit der Priorisierung, in Bezug auf welche Einrichtungen die Aufsichtsmaßnahmen prioritär angewendet an- gewendet werden sollten. Die in Absatz 4 genannten Kriterien eignen sich dagegen nicht zum Ausschluss, beispielsweise um zu begründen, dass bestimmte Auf- sichtsmaßnahmen Aufsichtsmaßnahmen nicht auf einzelne Einrichtungen anzuwenden sein sollten, da sie zum Beispiel besonders klein sind oder die Eintrittswahrscheinlichkeit von Sicherheitsvorfällen als niedrig eingeschätzt wird. Denn nach den Anforderungen der NIS-2-Richtlinie muss das Bundesamt befugt einge- schätzt wird. Denn nach den Anforderungen der NIS-2-Richtlinie muss das Bundesamt be- fugt sein, die hier genannten Aufsichtsmaßnahmen in Bezug auf alle besonders wichtige Einrichtungen ausüben zu können.

Die Zuständigkeit des Bundesamtes für Einrichtungen der Bundesverwaltung richtet sich nach den Befugnissen des Bundesamtes in Teil 2 Kapitel 1 sowie Teil 3.

Zu Absatz 6

Absatz 6 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe b der NIS-2-Richtlinie.

Zu Absatz 7

Absatz 7 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe c, d und f der NIS-2- Richtlinie. Die Nachweise können durch dokumentierte IT-Sicherheitskonzepte, Prozess- beschreibungen, Richtlinien, Daten, Dokumente und sonstige Informationen, die für die Bewertung der von der betreffenden Einrichtung ergriffenen Risikomanagementmaßnah- men im Bereich der Cybersicherheit erforderlich sind.

- 158 - Bearbeitungsstand: 22.12.2023 09:58

Zu Absatz 8

Absatz 8 Satz 1 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe e der NIS-2- Richtlinie. Absatz 8 Satz 2 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe h der NIS-2-Richtlinie.

Zu Absatz 9

Absatz 9 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe g der NIS-2-Richtlinie.

Zu Absatz 10

Zu Nummer 1

Nummer 1 dient der Umsetzung von Artikel 32 Absatz 5 Unterabsatz 1 Buchstabe a der NIS-2-Richtlinie.

Zu Nummer 2

Nummer 2 dient der Umsetzung von Artikel 32 Absatz 5 Unterabsatz 1 Buchstabe b der NIS-2-Richtlinie.

Zu Absatz 11

Absatz 11 dient der Umsetzung von Artikel 32 Absatz 9 der NIS-2-Richtlinie.

Zu Absatz 12

Absatz 12 dient der Umsetzung von Artikel 35 der NIS-2-Richtlinie.

Zu Absatz 13

Absatz 13 regelt in Umsetzung von Artikel 37 der NIS-2-Richtlinie Einzelheiten zur Be- wertung der von der betreffenden Einrichtung ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit erforderlich sind.

Zu Absatz 8

Absatz 8 Satz 1 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe e der NIS-2-Richt- linie. Absatz 8 Satz 2 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe h der NIS-2- Richtlinie.

Zu Absatz 9

Absatz 9 dient der Umsetzung von Artikel 32 Absatz 5 Unterabsatz 1 der NIS-2-Richtlinie. Da dem deutschen Recht eine Genehmigungsart-unabhängige Aussetzung (Satz 2 Num- mer 1) bzw. Rechtsform-unabhängige Untersagung (Satz 2 Nummer 2) fremd ist, muss hierfür eine zentrale Rechtsgrundlage geschaffen werden, da die Möglichkeit einer behörd- lichen Aussetzung bzw. Untersagung durch die Mitteilungsmöglichkeit der national zustän- digen Behörde nach Artikel 32 Absatz 5 Unterabsatz 1 der NIS-2-Richtlinie vorausgesetzt

- 182 - Bearbeitungsstand: 07.05.2024 10:19

wird. Würde diese Rechtsgrundlage nicht geschaffen, liefe die Mitteilung des Bundesamtes Gefahr leer zu laufen.

Zu Absatz 10

Absatz 10 dient der Umsetzung von Artikel 32 Absatz 9 der NIS-2-Richtlinie.

Zu Absatz 11

Absatz 11 dient der Umsetzung von Artikel 35 der NIS-2-Richtlinie und trägt dem Umstand Rechnung, dass bei Verstößen gegen die dort adressierten Pflichten auch Verstöße gegen andere unionsrechtliche Vorgaben vorliegen können. Auch wenn das Bundesamt im Rah- men seiner Kompetenzen technische und keine datenschutzrechtlichen Kontrollen vor- nimmt, soll damit sichergestellt werden, dass aufgrund der engen Verbindung von Datensi- cherheit und Datenschutz bei zufällig im Rahmen der Prüfung aufgefundenen, augen- scheinlichen Verstößen gegen datenschutzrechtliche Regelungen die zuständigen Behör- den unverzüglich in Kenntnis gesetzt werden und eine Prüfung durchführen können. Die NIS-2-Richtlinie bezeichnet dabei den Bereich der Verstöße, die eine Verletzung personen- bezogener Daten zur Folge haben können, sowohl bei nicht ausreichenden Risikomanage- mentmaßnahmen im Bereich der Cybersicherheit, als auch bei einem Zurückbleiben hinter den gesetzlich vorgegebenen Berichtspflichten. Die Unterrichtung ist unverzüglich nach der technischen Kontrolle gegenüber der nach Artikel 55 oder 56 der Verordnung (EU) 2016/679 zuständigen Aufsichtsbehörde für den Datenschutz vorzunehmen.

Zu Absatz 12

Absatz 12 regelt in Umsetzung von Artikel 37 der NIS-2-Richtlinie Einzelheiten zur Amtshilfe für zuständige Aufsichtsbehörden in anderen Mitgliedsstaaten der Europäischen Union, wenn Einrichtungen Dienstleistungen in mehreren Mitgliedsstaaten erbringen, und hierfür beispielsweise IT-Systeme, Komponenten oder Prozesse eingesetzt werden, die sich in Deutschland befinden.

Zu § 65 (Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen)

§ 65 dient der Umsetzung von Artikel 33 der NIS-2-Richtlinie. Für wichtige Einrichtungen sind gemäß dieser Vorschrift grundsätzlich die gleichen Aufsichtsmaßnahmen des Bun- desamts vorgesehen, wie in § 64 66 (Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen)

§ 66 dient der Umsetzung von Artikel 33 der NIS-2-Richtlinie. Für wichtige Einrichtungen sind gemäß dieser Vorschrift grundsätzlich die gleichen Aufsichtsmaßnahmen des Bundes- amts vorgesehen, wie in § 65 für besonders wichtige Einrichtungen. Jedoch gilt für wichtige Einrichtungen als Voraussetzung zur Ausübung dieser Aufsichtsmaßnahmen, dass Tatsachen die Annahme rechtfertigen, dass eine wichtige Einrichtung die Anforde- rungen aus den §§ 30, 31 oder 32 nicht oder nicht richtig umgesetzt hat.

Zu § 66 Tatsa- chen die Annahme rechtfertigen, dass eine wichtige Einrichtung die Anforderungen aus den §§ 30, 31 oder 32 nicht oder nicht richtig umgesetzt hat.

Zu § 67 (Verwaltungszwang)

Mit § 66 wird Artikel 34 Absatz 6 NIS 2 umgesetzt.

Zu Anlage 1 (Sektoren besonders wichtiger und wichtiger Einrichtungen)

Die Anlage dient der Umsetzung von Anhang I der NIS-2-Richtlinie.

Zur Definition von Gesundheitsdienstleister: Die NIS-2-Richtlinie stellt für die einzubezie- henden Einrichtungskategorien in Anhang 1 Nr. 5 auf Gesundheitsdienstleister im Sinne

- 159 - Bearbeitungsstand: 22.12.2023 09:58

des Artikels 3 Buchstabe g der Richtlinie (EU) 2011/24 des Europäischen Parlaments und des Rates ab. Gemäß Artikel 3 Absatz 3 Buchstabe a) der Richtlinie (EU) 2011/24 (Pati- entenmobilitätsrichtlinie) § 67 dient der Umsetzung von Artikel 34 Absatz 6 der NIS-2-Richtlinie.

Zu Anlage 1 (Sektoren besonders wichtiger und wichtiger Einrichtungen)

Die Anlage dient der Umsetzung von Anhang I der NIS-2-Richtlinie.

Zur Definition von Gesundheitsdienstleister unter Nr. 4.1.1: Die NIS-2-Richtlinie stellt für die einzubeziehenden Einrichtungskategorien in Anhang 1 Nr. 5 auf Gesundheitsdienstleister im Sinne des Artikels 3 Buchstabe g der Richtlinie (EU) 2011/24 des Europäischen Parla- ments und des Rates (Patientenmobilitätsrichtlinie) ab. Gemäß Artikel 3 Absatz 3 Buch- stabe a) der genannten Richtlinie fallen Einrichtungen der Langzeitpflege, deren Ziel darin besteht, Personen zu unterstützen, die auf Hilfe bei routinemäßigen, alltäglichen Verrichtungen angewiesen sind, nicht in den Anwendungsbereich der EU- Patientenmobilitätsrichtlinie. Verrich- tungen angewiesen sind, nicht in den Anwendungsbereich der EU- Patientenmobilitätsricht- linie. Daher gelten Einrichtungen der Langzeitpflege nicht als Gesundheitsdienstleister im Sin- ne des vorliegenden Gesetzes.

Sinne des vorliegenden Gesetzes.

- 183 - Bearbeitungsstand: 07.05.2024 10:19

Zu Anlage 2 (Sektoren wichtiger Einrichtungen)

Die Anlage dient der Umsetzung von Anhang II der NIS-2-Richtlinie.

Zu Artikel 2 (Änderung des BSI-Gesetzes (FNA 206-2))

Artikel 2 setzt die beabsichtigte Verschiebung der gesetzlichen Bestimmung kritischer Anlagen in das Gesetz zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz An- lagen in das Dachgesetz zur Stärkung der physischen Resilienz von Betreibern kritischer Anlagen (KRITIS-Dachgesetz) um. Artikel 2 tritt nach der Regelung in Artikel 29 erst mit dem Inkrafttreten einer Verordnung nach dem KRITIS-Dachgesetz in Kraft. Dabei handelt es sich um eine Nachfolgeverordnung der bisherigen BSI-Kritisverordnung. Hierdurch wird sichergestellt, dass es zu jedem Zeitpunkt immer jeweils nur eine Verordnung zur KRITIS Bestimmung gibt. Bis auf redaktionelle Änderungen unverändert im Vergleich zu § 1 BSI-Gesetz a.F.

zum Erlass der Verordnung nach § 4 Absatz 4 KRITIS-Dachgesetz ist dies übergangsweise die Rechtsverordnung nach § 58 Absatz 4 BSI-Gesetz. Die Ver- ordnungsermächtigung in § 58 Absatz 4 BSI-Gesetz wird mit dem Inkrafttreten der Verord- nung nach § 4 Absatz 4 KRITIS-Dachgesetz gestrichen.

Zu Absatz 1

Zu Nummer 1

Die bisherige originäre Begriffsbestimmung wird durch einen Verweis auf die Begriffsbe- stimmung im KRITIS-Dachgesetz ersetzt.

Zu Nummer 2

Die bisherigen Vorschriften zur Bestimmung von Betreibern kritischer Anlagen entfallen auf- grund der Verweise in das KRITIS-Dachgesetz.

Zu Nummer 3

Die Liste der Sektoren des bisherigen § 28 Absatz 7 BSI-Gesetz wird ersetzt durch dieje- nige des KRITIS-Dachgesetzes.

Zu Nummer 4 und Nummer 5

Die Rechtsverordnung nach KRITIS-Dachgesetz tritt an die Stelle der bisherigen BSI-Kri- tisV.

Zu Nummer 6

Die Liste der Ressorts des bisherigen § 58 Absatz 4 BSI-Gesetz wird ersetzt durch dieje- nige des KRITIS-Dachgesetzes.

Zu Nummer 7

Die Richtlinie (EU) 2016/1148 (sog. NIS-Richtlinie) wird gemäß Artikel 44 NIS-2-Richtlinie mit Wirkung zum 18. Oktober 2024 aufgehoben. Mithin sind die diesbezüglichen Regelun- gen zu streichen.

Zu Absatz 2

Folgeänderung aufgrund Wegfalls der Regelung im BSI-Gesetz.

Zu Artikel 3 (Änderung des BND-Gesetzes (FNA 12-6))

Es handelt sich um eine Folgeänderung. Der Verweis auf die Vorschrift des bisherigen BSI-Gesetzes wird angepasst.

BSI- Gesetzes wird angepasst.

- 184 - Bearbeitungsstand: 07.05.2024 10:19

Zu Artikel 4 (Änderung der Sicherheitsüberprüfungsfeststellungsverordnung (FNA 12-10-3))

Es handelt sich um Folgeänderungen. Verweise auf die Vorschriften des bisherigen BSI- Gesetzes werden angepasst.

Zu Artikel 5 (Änderung des Telekommunikation-Telemedien-Datenschutz-Gesetzes (FNA 204-5))

Es handelt sich um eine Folgeänderung. Der Verweis auf die Vorschrift des bisherigen BSI-Gesetzes BSI- Gesetzes wird angepasst.

Zu Artikel 6 (Änderung der Gleichstellungsbeauftragtenwahlverordnung (FNA 205- 3-1))

Es handelt sich um Folgeänderungen. Verweise auf die Vorschriften des bisherigen BSI- Gesetzes werden angepasst.

Zu Artikel 7 (Änderung des Zweiten Gesetzes zur Erhöhung der Sicherheit informa- tionstechnischer informationstechnischer Systeme (FNA 206-2))

Die bis zum 1. Mai 2025 durchzuführende Evaluierung der übrigen Vorschriften des IT- SiG 2.0 erübrigt sich da diese in weiten Teilen im Zuge der NIS-2-Umsetzung geändert werden. Die unveränderten Vorschriften sind bereits durch dieses Gesetz bestätigt. Da die NIS-2-Richtlinie bereits einer Evaluierung durch die Europäische Kommission unter- liegt (Artikel unterliegt (Ar- tikel 40 der NIS-2-Richtlinie) ist eine (auf den Mitgliedstaat Deutschland isolierte) Evaluierung Evaluie- rung der Umsetzung nicht zielführend.

Zu Artikel 8 (Änderung der BSI-Zertifizierungs- und Anerkennungsverordnung (FNA 206-2-1))

Es handelt sich um Folgeänderungen. Verweise auf die Vorschriften des bisherigen BSI- Gesetzes werden angepasst.

Zu Artikel 9 (Änderung der BSI IT-Sicherheitskennzeichenverordnung (FNA 206-2- 3))

Es handelt sich um Folgeänderungen. Verweise auf die Vorschriften des bisherigen BSI- Gesetzes werden angepasst.

Zu Artikel 10 (Änderung des De-Mail-Gesetzes (FNA 206-4))

Es handelt sich um eine Folgeänderung. Der Verweis auf die Vorschrift des bisherigen BSI-Gesetzes BSI- Gesetzes wird angepasst.

Zu Artikel 11 (Änderung des E-Government-Gesetz (FNA 206-6))

Löschung des Verweises auf das BSI-Gesetzes wegen Entfernung BSI-Gesetz wegen Wegfalls der Regelung zum IT-Rat als Entschei- dungsgremium, welches auf untergesetzlicher Ebene eingerichtet wird.

im bisherigen § 12 BSI-Gesetz.

Zu Artikel 12 (Änderung der Passdatenerfassungs- und Übermittlungsverordnung (FNA 210-5-11))

Es handelt sich um Folgeänderungen. Verweise auf die Vorschriften des bisherigen BSI- Gesetzes werden angepasst.

- 185 - Bearbeitungsstand: 07.05.2024 10:19

Zu Artikel 13 (Änderung der Personalausweisverordnung (FNA 210-6-1))

Es handelt sich um Folgeänderungen. Verweise auf die Vorschriften des bisherigen BSI- Gesetzes werden angepasst.

Zu Artikel 14 (Änderung der Kassensicherungsverordnung (FNA 610-1-26))

Es handelt sich um Folgeänderungen. Verweise auf die Vorschriften des bisherigen BSI- Gesetzes werden angepasst.

Zu Artikel 15 (Änderung des Atomgesetzes (FNA 751-1))

Es handelt sich um eine Folgeänderung. Der Verweis auf die Vorschrift des bisherigen BSI-Gesetzes BSI- Gesetzes wird angepasst.

Zu Artikel 16 (Änderung des Energiewirtschaftsgesetzes (FNA 752-6))

Zu Nummer 1

Die Vorschrift wird ergänzt, da der durch die Bundesnetzagentur zu erstellende Sicher- heitskatalog mindestens die in Umsetzung der NIS-2 Richtlinie in § 30 des BSI-Gesetzes genannten Risikomanagementmaßnahmen für besonders wichtige Einrichtungen enthal- ten muss.

Zu Nummer 2

Die Vorschrift wird ergänzt, da der durch die Bundesnetzagentur zu erstellende Sicher- heitskatalog mindestens die in Umsetzung der NIS-2 Richtlinie in § 30 des BSI-Gesetzes

- Sicherheits- katalog mindestens die in Umsetzung der NIS-2 Richtlinie in § 30 des BSI-Gesetzes ge- nannten Risikomanagementmaßnahmen für besonders wichtige Einrichtungen enthalten muss.

Zu Nummer 2

Die Vorschrift wird ergänzt, da der durch die Bundesnetzagentur zu erstellende Sicher- heitskatalog mindestens die in Umsetzung der NIS-2 Richtlinie in § 30 des BSI-Gesetzes genannten Risikomanagementmaßnahmen für besonders wichtige Einrichtungen enthalten muss.

Zu Nummer 5

Die Vorschrift zur Meldung von Sicherheitsvorfällen wird unter Berücksichtigung der neuen Mindestvorgaben aus Artikel 23 der NIS-2 Richtlinie neu gefasst.

Zu Buchstabe b

Zu Artikel 17 (Änderung des Messstellenbetriebsgesetzes (FNA 752-10))

Es handelt sich um eine Folgeänderung. Der Verweis auf die Vorschrift des bisherigen BSI-Gesetzes BSI- Gesetzes wird angepasst.

Zu Artikel 18 (Änderung des Energiesicherungsgesetzes (FNA 754-3))

Es handelt sich um Folgeänderungen. Die Begrifflichkeiten und der Verweis auf die Vor- schrift des bisherigen BSI-Gesetzes werden angepasst.

Zu Artikel 19 (Änderung des Fünften Buches Sozialgesetzbuch (FNA 860-5))

Es handelt sich um Folgeänderungen. Die Verweise auf Vorschriften des bisherigen BSI- Gesetzes werden angepasst.

Zu Artikel 20 (Änderung der Digitale Gesundheitsanwendungen-Verordnung (FNA 860-5-55))

Es handelt sich um Folgeänderungen. Verweise auf die Vorschriften des bisherigen BSI- Gesetzes werden angepasst.

- 186 - Bearbeitungsstand: 07.05.2024 10:19

Zu Artikel 21 (Änderung des Sechsten Buches Sozialgesetzbuch (FNA 860-6))

Zu Nummer 1

Zu Buchstabe c

Zu Nummer 17

Mit einer Erweiterung des gesetzlich normierten Katalogs der Grundsatz- und Quer- schnittsaufgaben der Deutschen Rentenversicherung Bund um die Koordinierung der In- formationstechnik der Rentenversicherung soll die Grundlage für inhaltliche und organisa- torische Maßnahmen geschaffen werden, die die Stärkung der IT-Sicherheit zum Ziel ha- ben, ohne das gleichwertige Ziel der Wirtschaftlichkeit des Handelns aus den Augen zu verlieren. Zur Koordinierung der Informationstechnik Querschnitts- aufgaben der Deutschen Rentenversicherung Bund in § 138 Absatz 1 Satz 2 Nummer 17 um die Organisation der Sicherheit und Wirtschaftlichkeit der Informationstechnik der Ren- tenversicherung soll die Grundlage für die Vorgabe inhaltlicher und organisatorischer Maß- nahmen geschaffen werden, die die Gewährleistung der IT-Sicherheit der Deutschen Ren- tenversicherung zum Ziel haben. Dazu gehört auch, Fortschritte in der tech- nischen Entwicklung aufzugreifen. Die nähere Ausgestaltung der Koordinierungstätigkei- ten die Informationstechnologie zukunfts- orientiert weiter zu entwickeln. Die nähere Ausgestaltung der sich hieraus ergebenden Auf- gaben ergibt sich aus den Buchstaben a bis d. Die Aufzählung ist nicht abschließend, um insbesondere dem stetig voranschreitenden Wandel in der Informationstechnik und ihrer Sicherheit entsprechen zu können.

Die Umsetzung der inhaltlichen und organisatorischen Maßnahmen verbleibt, soweit nicht anders bestimmt, in der Zuständigkeit und Verantwortung der einzelnen Träger der Ren- tenversicherung. den sich hieraus ergebenden Anforderungen an ihre Sicherheit entsprechen zu können.

Die Umsetzung der erforderlichen inhaltlichen und organisatorischen Maßnahmen müssen dabei die einzelnen Träger der gesetzlichen Rentenversicherung auf Grundlage der Vorga- ben hierzu gewährleisten. Dies gilt auch für Aufgabenstellungen aus dem Bereich der Informations- technik, In- formationstechnik, die der neuen Grundsatz- und Querschnittsaufgabe nicht zuzuordnen sind.

Die differenzierten Zuständigkeiten sollen verhindern, dass einerseits bei dezentraler Ver- antwortung durch abweichende Einschätzungen oder Missverständnisse wichtige Sicher- heitsmaßnahmen nicht oder nur verspätet aufgegriffen werden und andererseits Entschei- dungen in IT-Sicherheitsfragen, die organisatorisch weit entfernt von den jeweiligen IT- Einrichtungen gefällt werden, aufgrund einer unvollständigen Kenntnis des Sachverhalts zu unerwünschten Nebenfolgen führen.

- 162 - Bearbeitungsstand: 22.12.2023 09:58

Zu Nummer 3 Buchstabe a

Mit dieser Befugnis soll es möglich werden, einheitliche Grundsätze in der Informations- technik und Informationssicherheit festzulegen, die für alle Träger der Rentenversicherung verbindlich sind. Die Notwendigkeit, auch im Bereich der Informationssicherheit für alle Träger der Rentenversicherung ein einheitliches Sicherheitsniveau sicherzustellen, wird durch die Aufnahme in den Gesetzestext betont. Ein einheitliches Sicherheitsniveau kann durch einheitliche Sicherheitsstandards und Sicherheitskonzepte erreicht werden. Bei den Grundsätzen handelt es sich um Mindestanforderungen, die die eigene Verantwortlichkeit der einzelnen Träger insbesondere als Betreiber kritischer Infrastrukturen nicht aufheben sollen.

Der eingeräumten Befugnis entspricht die Verpflichtung, Fortschritte in der Entwicklung der Informationstechnik auf Nutzen und Umsetzbarkeit in der Rentenversicherung zu be- werten und Risiken für die Informationstechnik zu beobachten und zu analysieren.

Mit der Befugnis kann nur der Gestaltungsspielraum der Rentenversicherung ausgefüllt werden, den die bestehenden gesetzlichen Regelungen für die Informationssicherheit wesentlicher Einrichtungen und Einrichtungen der Bundesverwaltung belassen.

Zu Nummer 3 Buchstabe b

Mit dieser Ergänzung erhält die Deutsche Rentenversicherung Bund die gesetzliche Be- fugnis, einen einheitlichen organisatorischen Rahmen zu schaffen. Mit der Mit dieser Befugnis erhält die Deutsche Rentenversicherung Bund den Auftrag, einheitliche Grundsätze für den Einsatz und den sicheren Betrieb von Informationstechnik sowie dem Notfallmanagement bei der Deutschen Rentenversicherung festzulegen, die für alle Träger der gesetzlichen Rentenversicherung verbindlich sind. Die Notwendigkeit, im Bereich der Informationssicherheit für alle Träger der gesetzlichen Rentenversicherung ein einheitliches hohes Sicherheitsniveau sicherzustellen, wird durch die Aufnahme in den Gesetzestext be- tont und als Ziel definiert. Ein einheitliches Sicherheitsniveau kann insbesondere durch ein- heitliche und verbindliche Sicherheitsstandards und Sicherheitskonzepte erreicht wer-den. Der eingeräumten Befugnis entspricht die Verpflichtung, Fortschritte in der Entwick-lung der Informationstechnik auf Nutzen und Umsetzbarkeit in der Rentenversicherung zu bewerten und Risiken für die Informationstechnik zu beobachten und zu analysieren, um hieraus Maßnahmen zur Sicherstellung der IT-Sicherheit abzuleiten.

Zu Buchstabe a

Mit dieser Befugnis erhält die Deutsche Rentenversicherung Bund den Auftrag, einheitliche Grundsätze für den Einsatz und den sicheren Betrieb von Informationstechnik sowie dem Notfallmanagement bei der Deutschen Rentenversicherung festzulegen, die für alle Träger der gesetzlichen Rentenversicherung verbindlich sind. Die Notwendigkeit, im Bereich der Informationssicherheit für alle Träger der gesetzlichen Rentenversicherung ein einheitliches hohes Sicherheitsniveau sicherzustellen, wird durch die Aufnahme in den Gesetzestext be- tont und als Ziel definiert. Ein einheitliches Sicherheitsniveau kann insbesondere durch ein- heitliche und verbindliche Sicherheitsstandards und Sicherheitskonzepte erreicht wer-den. Der eingeräumten Befugnis entspricht die Verpflichtung, Fortschritte in der Entwick-lung der Informationstechnik auf Nutzen und Umsetzbarkeit in der Rentenversicherung zu bewerten und Risiken für die Informationstechnik zu beobachten und zu analysieren, um hieraus Maßnahmen zur Sicherstellung der IT-Sicherheit abzuleiten.

Zu Buchstabe b

Mit dieser Ergänzung erhält die Deutsche Rentenversicherung Bund die gesetzliche Befug- nis, einen einheitlichen organisatorischen Rahmen für den Betrieb der informationstechni- schen Infrastruktur und des Netzwerkes der Rentenversicherung zu schaffen. Mit der

- 187 - Bearbeitungsstand: 07.05.2024 10:19

Errichtung ei- nes eines Gemeinsamen Rechenzentrums wurde von den Trägern der Rentenversicherung Rentenversi- cherung ein erster Schritt getan. Die gesamte informationstechnische Infrastruktur der gesetzlichen Rentenversicherung wird künftig bei der Deutschen in diese Richtung gegangen. In Umsetzung der Regelung in Buch- stabe b wird künftig die Zuständigkeit für den Betrieb der gesamten informationstechni- schen Infrastruktur und des Netzwerks der gesetzlichen Rentenversicherung bei der Deut- schen Rentenversicherung Bund liegen. Zu Nummer 3 Im Hinblick auf die vorhandenen Strukturen und Zuständigkeiten und den zu klärenden komplexen technischen und organisatorischen Fra- gestellungen wird es sich um einen gestuften Prozess des Übergangs handeln.

Zu Buchstabe c

Die Träger der gesetzlichen Rentenversicherung greifen zur Erfüllung ihrer Aufgaben auf von ihnen entwickelte Softwareanwendungen und -dienste zurück. Deren Entwicklung erfolgt arbeitstei- lig er- folgt arbeitsteilig durch die IT-Einrichtungen verschiedener Träger. Dies erschwert die Weiterentwick- lung Wei- terentwicklung nach einheitlichen Maßstäben und zu einheitlichen Zeitpunkten und hat zur Verwen- dung von untereinander nichtkompatiblen Verwendung von untereinander inkompatiblen Versionen der Anwendungen geführt. Die Entwicklung von Anwendungen und Diensten, die unmittelbar für die Aufgaben und die Erbringung der Leistungen der Rentenversicherung erforderlich sind oder auf die zur Ge- währleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Infor- mationssystemen der Sicherheit der IT-Infrastruktur der Deutschen Rentenversicherung die ge- setzlichen Anforderungen des BSIG anzuwenden sind, sollen daher bei der Deutschen Rentenversicherung Bund gebündelt werden.

Die Verantwortung für Betrieb und Nutzung der Anwendungen verbleibt bei den einzelnen Trägern.

Zu Nummer 3 Buchstabe d

Durch die Festlegung eines Beschaffungskonzepts soll bei Hardware, Zu Buchstabe d

Durch die Festlegung und Umsetzung eines Beschaffungskonzepts soll bei Hardware, Soft- ware und Infrastrukturkomponenten eine höhere Standardisierung und eine höhere Wirtschaftlichkeit geschaffen werden. Dies muss nicht dazu führen, dass alle Rentenversicherungsträger Wirt- schaftlichkeit geschaffen werden. Dies muss nicht dazu führen, dass alle Rentenversiche- rungsträger mit einheitlichen Produkten ausgestattet sind. Solange die Produkte untereinander kom- patibel sind, können die Träger mit Produkten verschiedener Anwender ausgestattet sein.

unterei- nander kompatibel sind und den Vorgaben des Beschaffungskonzepts entsprechen, kön- nen die Träger mit Produkten verschiedener Anwender ausgestattet sein.

Zu Nummer 2

Die Deutsche Rentenversicherung Knappschaft-Bahn-See hat neben Aufgaben aus der all- gemeinen Rentenversicherung noch weitere ihr gesetzlich übertragene Aufgaben (zum Bei- spiel Kranken- und Pflegeversicherung, Minijob-Zentrale, Bundesfachstelle Barrierefreiheit) und besondere Leistungen (zum Beispiel Leistungszuschlag, Rente für Bergleute, Leistun- gen aus der Seemannskasse) wahrzunehmen. Diese machen eine besondere Regelung erforderlich. Bei den sich aus Satz 2 Nummer 17 ergebenden Grundsätzen und deren Um- setzungen sind die Interessen des Verbundsystems insgesamt und seiner besonderen Leistungen zu wahren und entsprechende Befugnisse sicherzustellen. Deshalb sind not- wendig wendige Abweichungen zulässig.

Zu Artikel 22 (Änderung der Verordnung zum Barrierefreiheitsstärkungsgesetz (FNA 860-9-4-1))

Es handelt sich um eine Folgeänderung. Der Verweis auf die Vorschrift des bisherigen BSI-Gesetzes BSI- Gesetzes wird angepasst.

Zu Artikel 23 (Änderung des Telekommunikationsgesetzes (FNA 900-17))

Es handelt sich um Folgeänderungen. Die Verweise auf Vorschriften und die Begrifflich- keiten des bisherigen BSI-Gesetzes werden angepasst.

Die bisherigen Vorschriften des Telekommunikationsgesetzes (TKG) hinsichtlich der Cy- bersicherheit und Resilienz der Einrichtungen.

Durch die Erstellung von Teilnahmebedingungen kann das BSI die organisatorischen öffentlicher Telekommunikationsnetze werden entsprechend der Vorgaben der NIS-2-Richtline angepasst. Darüber hinaus werden die Verweise auf Vorschriften und die Begrifflichkeiten des bisherigen BSI-Gesetzes angepasst.

- 188 - Bearbeitungsstand: 07.05.2024 10:19

Zu Nummer 1

Die Begriffsbestimmungen des § 3 TKG werden im Hinblick auf die NIS-2-Richtlinie ange- passt: Die bereits in § 3 Nummer 53 TKG bestehende Definition des „Sicherheitsvorfalls“ wird an Artikel 6 Nummer 6 der NIS-2-Richtlinie angepasst. Darüber hinaus wird in Umset- zung von Artikel 6 Nummer 1 der NIS-2-Richtlinie die Begriffsbestimmung für ein „Netz- und Informationssystem“ ergänzt.

Zu Nummer 2

Die Änderungen dienen der Umsetzung der NIS-2-Richtlinie, nach der die Artikel 40 und 41 der Richtlinie (EU) 2018/1972 gestrichen werden (vgl. Artikel 43 der NIS-2-Richtlinie), die in den §§ 165 ff. TKG umgesetzt sind. Die Änderungen in § 165 TKG setzen Artikel 21 der NIS-2-Richtlinie um. Im Übrigen werden redaktionelle Anpassungen vorgenommen.

§ 11 Absatz 6 führt den bisherigen § 5b Absatz 6, § 16 Absatz 1 Satz 1 den bisherigen § 7c Absatz 1 Satz 1, § 17 den bisherigen § 7d und § 39 Absatz 1 Satz 6 den bisherigen § 8a Absatz 3 Satz 5 fort.

Zu Buchstabe b

In Buchstabe b wurde einerseits der Verweis angepasst: § 14 Absatz 2 Satz führt den bisherigen § 7a Absatz 2 Satz 1 fort.

Zum anderen wurden zwei neue Varianten ergänzt:

§ 64 Absatz 8 Satz 1 und 2 oder Absatz 9 Satz 1 oder auch in Verbindung mit § 65 Zu Nummer 3

Es handelt sich um rein redaktionelle Anpassungen.

Zu Nummer 4

Die Änderungen des § 168 TKG, der bislang Artikel 40 der Richtlinie (EU) 2018/1972 um- setzt, dienen der Umsetzung von Artikel 23 der NIS-2-Richtlinie.

Zu Nummer 5 und 6

Es handelt sich um rein redaktionelle Anpassungen.

Zu Artikel 24 (Änderung der Krankenhausstrukturfonds-Verordnung (FNA 2126-9- 19))

Es handelt sich um Folgeänderungen. Die Verweise auf die Vorschriften des bisherigen BSI-Gesetzes werden angepasst.

Zu Artikel 25 (Änderung der Mess- und Eichverordnung (FNA 7141-8-1))

Es handelt sich um Folgeänderungen. Die Verweise auf die Vorschriften des bisherigen BSI-Gesetzes werden angepasst.

Zu Artikel 26 (Änderung der Außenwirtschaftsverordnung (FNA 7400-4-1))

Es handelt sich um Folgeänderungen. Die Verweise auf die Vorschriften des bisherigen BSI-Gesetzes werden angepasst.

Zu Artikel 27 (Änderung des Vertrauensdienstegesetzes (FNA 9020-13))

Gemäß Artikel 42 der NIS-2-Richtlinie werden die Sicherheitsanforderungen und Melde- pflichten für Vertrauensdiensteanbieter in Artikel 19 der Verordnung (EU) Nr. 910/2014 - 164 - Bearbeitungsstand: 22.12.2023 09:58

(eIDAS) gestrichen. Damit entfällt die Notwendigkeit zur Benennung einer zuständigen Stelle im Sinne des letztgenannten Artikels. Fortan gelten für Vertrauensdiensteanbieter die Vorgaben des BSI-Gesetzes.

Zu Artikel 28 (Evaluierung)

Artikel 28 sieht eine Evaluierungsklausel vor.

Mit der Evaluierungsklausel soll überprüft werden, ob die Zielsetzung des NIS2UmsuCG in Bezug auf die Bundesverwaltung erreicht wird. Gemäß Artikel 40 der NIS2-Richtlinie nimmt

- 189 - Bearbeitungsstand: 07.05.2024 10:19

die EU-Kommission eine eigene Evaluierung der Richtlinie vor. Sie legt den ersten Bericht bis zum 17.Oktober 2027 vor. Um eine Doppelevaluierung zu vermeiden, ist vor- liegend vorliegend eine beschränkte Evaluierung hinsichtlich des Teil 2 Kapitel 1, Teil 3 Kapitel 3 sowie Teil 5 des BSI-Gesetzes (Artikel 1) vorgesehen.

Evaluiert werden sollen, die Aufgaben und Befugnisse des BSI, die Informationssicherheit der Einrichtungen der Bundesverwaltung und die Zertifizierung und Kennzeichen.

Zu Artikel 29 (Inkrafttreten, Außerkrafttreten)

Zu Absatz 1

Bei einer Verkündung im März 2024 stehen den Einrichtungen noch sechs Monate für die Umsetzung der in diesem Gesetz enthaltenen Verpflichtungen zur Verfügung. Der hier genannte Zeitpunkt ist der letzte Quartalsbeginn vor Ablauf der Umsetzungsfrist des Arti- kel Artikel 41 NIS-2-Richtlinie am 17. Oktober 2024. Im Übrigen sind die für die Verpflichtungen von wesentlichen und wichtigen Einrichtungen maßgeblichen Inhalte der NIS-2-Richtlinie Verpflich- tungen von wesentlichen und wichtigen Einrichtungen maßgeblichen Inhalte der NIS-2- Richtlinie bereits seit dem Kommissionsentwurf aus Dezember 2020 bekannt.

Zu Absatz 2

Absatz 2 regelt die zeitliche Verknüpfung der Verschiebung bestimmter Regelungen zu kritischen Anlagen in Artikel 2, die künftig in das Gesetz zur Umsetzung der CER-Richtli - nie kri- tischen Anlagen in Artikel 2, die künftig in das Gesetz zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz) verschoben werden wer- den sollen. Die überarbeitete Ermächtigung zum Erlass einer Rechtsverordnung nach § 10 Absatz 1b BSI-Gesetz muss bereits zuvor in Kraft treten, damit diese zum Tag des Inkrafttretens des Gesetzes im Übrigen bereits erlassen sein kann.

Zu Absatz 3

Der Artikel 19 der Verordnung (EU) Nr. 910/2014 wird durch Artikel 42 der NIS-2-Richtli- nie Inkraft- tretens des Gesetzes im Übrigen bereits erlassen sein kann.

Zu Absatz 3

Der Artikel 19 der Verordnung (EU) Nr. 910/2014 wird durch Artikel 42 der NIS-2-Richtlinie mit Wirkung für den 17. Oktober 2024 gelöscht, daher tritt dieser Änderungsbefehl verzögert in Kraft.