Referentenentwurf
Entwurf
eines Zweiten Gesetzes zur Erhöhung der Sicherheit informati- onstechnischer
Systeme
(Zweites IT-Sicherheitsgesetz – IT-SiG 2.0)
Die Gewährleistung der Cyber- und Informationssicherheit ist ein Schlüsselthema für Staat, Wirtschaft und Gesellschaft. Gerade mit Blick auf die zunehmende Digitalisierung aller Le- bensbereiche sind sie auf funktionierende Informations- und Kommunikationstechnik ange- wiesen - sei es für den Informationsaustausch, die Produktion, den Konsum, Dienstleistun- gen oder zur Pflege privater Kontakte. Voraussetzung hierfür ist eine sichere Infrastruktur.
Cyber-Angriffe stellen für Staat, Wirtschaft und Gesellschaft daher ein großes Gefahrenpo- tential dar. Die Angriffe werden qualitativ immer ausgefeilter und somit für alle Betroffenen auch gefährlicher. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobach- tet einen stetigen Anstieg von Schadprogrammen, jährlich kommen mehr als 100 Millionen neue Varianten hinzu. Die Schadsoftware Emotet dominiert bereits seit Jahren die Gefähr- dungslage.
Vorfälle wie die Ransomware „WannaCry“ verdeutlichen die Situation. Mittlerweile werden Daten bei Ransomwareangriffen nicht mehr nur verschlüsselt, sondern zudem vorher ko- piert und ausgeleitet. Auch die Aufdeckung von Schwachstellen in Computerchips wie
„Meltdown“ und „Spectre“ machen die Anfälligkeit für Sicherheitslücken besonders deutlich. Daneben hat der zu Beginn des Jahres 2018 in den Medien bekanntgewordene Angriff auf die Kommunikationsinfrastrukturen des Auswärtigen Amtes deutlich gemacht, dass der Staat seine Schutzmaßnahmen anpassen muss. Vorfälle, bei denen persönliche Daten un- ter anderem aus sozialen Netzwerken, Kunden- oder Patientendateien ohne Einverständnis und Wissen der Betroffenen offengelegt und weit verbreitet werden (z.B. Datenleak-Vorfall Anfang des Jahres 2019) zeigen, dass nicht nur Staat, Wirtschaft und Gesellschaft, sondern auch Individualinteressen betroffen sind.
Die zunehmende Verbreitung von Internet of Things (IoT)-Geräten verschärft die Situation zusätzlich. Diese Geräte werden teilweise nicht unter Sicherheitsaspekten entwickelt und lassen sich hierdurch zu großen Bot-Netzen zusammenschalten. Dieser Gefahr gilt es zu begegnen.
Insgesamt ist Cyber-Sicherheit nicht statisch, ein aktuelles Schutzniveau ist daher kein Ga- rant für eine erfolgreiche Abwehr der Angriffe von morgen. Daher bedarf es einer ständigen Anpassung und Weiterentwicklung der Schutzmechanismen und der Abwehrstrategien.
Entsprechend dem Auftrag aus dem Koalitionsvertrag für die 19. Legislaturperiode wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicher- heitsgesetz) vom 17. Juli 2015 (BGBl. I 2015 S. 1324) geschaffene Ordnungsrahmen durch das Zweite IT-Sicherheitsgesetz erweitert (IT-SiG 2.0). Schwerpunktmäßig werden fol- gende Änderungen vorgenommen:
– Verbesserung des Schutzes der IT der Bundesverwaltung u.a. durch weitere Prüf- und Kontrollbefugnisse des BSI und Festlegung von Mindeststandards durch das BSI.
– Schaffung von Befugnissen zur Detektion von Schadprogrammen zum Schutz der Re- gierungsnetze.
– Abfrage von Bestandsdaten bei Anbietern von Telekommunikationsdienstleistungen, um Betroffene über Sicherheitslücken zu informieren.
– Befugnis für das BSI, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen TK-Netzen zu detektieren sowie Einsatz von Systemen und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden.
– Schaffung einer Anordnungsbefugnis des BSI gegenüber Telekommunikations- und Telemedienanbietern zur Abwehr spezifischer Gefahren für die Informationssicherheit.
– Ausweitung der Pflichten für Betreiber Kritischer Infrastrukturen und weiterer Unterneh- men im besonderen öffentlichen Interesse.
– Schaffung von Eingriffsbefugnissen für den Einsatz und Betrieb von kritischen Kompo- nenten.
– Pflicht der Telemediendiensteanbieter, Fälle von rechtswidrig verbreiteten Daten an das BKA als Zentralstelle zu melden.
– Etablierung von Verbraucherschutz im Bereich der Informationssicherheit als zusätzli- che Aufgabe des BSI.
– Schaffung der Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen, das die IT-Sicherheit der Produkte sichtbar macht.
– Überarbeitung des Bußgeldregimes.
Keine.
Keine.
E.1
Erfüllungsaufwand
für Bürgerinnen und Bürger
Es entsteht kein Erfüllungsaufwand für die Bürgerinnen und Bürger.
Der Wirtschaft entsteht für die Erfüllung der im Gesetz vorgesehenen zusätzlichen Aufga- ben ein Aufwand von einmaligen Personalkosten in Höhe von ca. 69.654 Euro, jährlichen
Personalkosten in Höhe von ca. 2.913.022 Euro und jährlichen Sachkosten in Höhe von rund 6 Millionen Euro.
Die Ermittlung des Erfüllungsaufwands für die Wirtschaft ist von deutlichen Unsicherheiten geprägt, da zu einer Reihe von Vorschriften noch untergesetzliche Ausführungen erforder- lich sind und die von der Wirtschaft genutzte IT nur in Teilen bekannt ist.
Der Verwaltung entsteht für die Erfüllung der im Gesetz vorgesehenen zusätzlichen Aufga- ben insgesamt ein Aufwand von insgesamt 948 Panstellen/Stellen mit Personalkosten in Höhe von jährlich rund 68,6 Millionen Euro.
Davon entfallen auf:
– das Bundesamt für Sicherheit in der Informationstechnik 799 Planstellen/Stellen mit Personalkosten in Höhe von jährlich rund 56,9 Millionen Euro. Darin ist bereits eine OPH-Quote enthalten. Zusätzlich entstehen Sachkosten in Höhe von einmalig 28 Mio. Euro und jährlich in Höhe von rund 47,5 Mio. Euro;
– das Bundeskriminalamt 90 Planstellen/Stellen mit Personalkosten in Höhe von jährlich rund 7,3 Mio. Euro. Zusätzlich sind zur Umsetzung des Gesetzes Sachkosten in Höhe von einmalig 765.000 Euro und jährlich in Höhe von rund 9,5 Mio. Euro zu berücksich- tigen;
– die Bundesnetzagentur rund 34 Planstellen/Stellen mit jährlichen Personalkosten in Höhe von 2,4 Mio. Euro;
– die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicher- heitsaufgaben 21 Planstellen/Stellen mit jährlichen Personalkosten in Höhe von 1,7 Mio. Euro;
– das Bundesministerium des Innern, für Bau und Heimat 4 Planstellen/Stellen mit jähr- lichen Personalkosten in Höhe von 284.724 Euro.
Dezentral werden bei den Ressorts für ein Ineinandergreifen des Sicherheitsmanagements und den erforderlichen Ausbau der Informationssicherheit in der Bundesverwaltung weitere Planstellen/Stellen mit Personalkosten und gegebenenfalls weitere Sachkosten erforderlich werden, die im jeweiligen Haushaltsaufstellungsverfahren geltend gemacht werden.
Keine.
Referentenentwurf
der Bundesregierung
(Zweites IT-Sicherheitsgesetz – IT-SiG 2.0)
Der Bundestag hat das folgende Gesetz beschlossen:
Änderung des Gesetzes über das Bundesamt für
Sicherheit in der Informationstechnik (BSIG)
Das BSIG vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist, wird wie folgt geän- dert:
1. § 2 wird wie folgt geändert:
a) Absatz 3 Satz 1 wird wie folgt gefasst:
„Kommunikationstechnik des Bundes im Sinne dieses Gesetzes ist die Informati- onstechnik, die von einer oder mehreren Bundesbehörden oder im Auftrag einer oder mehrerer Bundesbehörden betrieben wird und der Kommunikation oder der Datenverarbeitung innerhalb einer Bundesbehörde, der Bundesbehörden unterei- nander oder mit Dritten dient.“
b) In Absatz 3 Satz 2 werden vor den Worten „der Bundesgerichte“ die Wörter „des Bundesverfassungsgerichts“ und ein Komma eingefügt.
c) Nach Absatz 8 wird folgender Absatz 8a eingefügt:
„(8a) Protokollierungsdaten im Sinne dieses Gesetzes sind Aufzeichnungen über technische Ereignisse oder Zustände innerhalb informationstechnischer Sys- teme. Protokollierungsdaten dienen der Erkennung, Eingrenzung oder Beseitigung von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder der Erkennung, Eingrenzung oder Beseitigung von Angriffen auf die Kommunikations- technik des Bundes.“
d) Nach Absatz 9 werden die folgenden Absätze 9a und 9b eingefügt:
„(9a) IT-Produkte im Sinne dieses Gesetzes sind Softwareprodukte sowie alle einzelnen oder miteinander verbundenen Hardwareprodukte.
(9b) Systeme zur Angriffserkennung im Sinne dieses Gesetzes sind durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffser-
kennung erfolgt dabei durch Abgleich der in einem informationstechnischen Sys- tem verarbeiteten Daten mit Informationen und technischen Mustern, die auf An- griffe hindeuten.“
e) In Absatz 10 Satz 1 Nummer 1 wird das Wort „sowie“ durch ein Komma ersetzt und es werden nach dem Wort „Versicherungswesen“ die Wörter „sowie Sied- lungsabfallentsorgung“ eingefügt.
f) Die folgenden Absätze 13 und 14 werden angefügt:
„(13) Kritische Komponenten im Sinne dieses Gesetzes werden für Betreiber nach § 8d Absatz 2 Nummer 1 durch den Katalog von Sicherheitsanforderungen nach § 109 Absatz 6 des Telekommunikationsgesetzes näher bestimmt. Alle übri- gen kritischen Komponenten werden gesetzlich festgelegt.
(14) Unternehmen im besonderen öffentlichen Interesse sind Unternehmen, die nicht Betreiber Kritischer Infrastrukturen nach Absatz 10 sind und,
1. die Güter nach § 60 Absatz 1 Nummer 1 bis 5 der Außenwirtschaftsverord- nung in der jeweils geltenden Fassung herstellen oder entwickeln,
2. die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeu- tung für die Bundesrepublik Deutschland sind oder
3. die Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall- Verordnung in der jeweils geltenden Fassung sind, oder nach § 1 Absatz 2 der Störfall-Verordnung diesen gleichgestellt sind.
Die Unternehmen im besonderen öffentlichen Interesse nach Nummer 2 werden durch die Rechtsverordnung nach § 10 Absatz 5 bestimmt, in der festgelegt wird, welche wirtschaftlichen Kennzahlen bei der Berechnung der inländischen Wert- schöpfung heranzuziehen sind, mit welcher Methodik die Berechnung zu erfolgen hat und welche Schwellenwerte maßgeblich dafür sind, dass ein Unternehmen zu den größten Unternehmen in Deutschland im Sinne der Nummer 2 gehört.“
2. § 3 Absatz 1 Satz 2 wird wie folgt geändert:
a) In Nummer 2 wird das Wort „oder“ gestrichen.
b) Nach Nummer 5 wird die folgende Nummer 5a eingefügt:
„5a. Wahrnehmung der Aufgaben und Befugnisse nach Artikel 58 Absatz 7 und 8 der Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cy- bersicherheit) und über die Zertifizierung der Cybersicherheit von Informa- tions- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (ABl. L 151 vom 7.6.2019, S. 15) als nationale Behörde für die Cybersicherheitszertifizierung;“.
c) Nummer 14 wird wie folgt gefasst:
„14. Beratung, Information und Warnung der Stellen des Bundes, der Länder so- wie der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik, insbesondere unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen;“.
d) Nach Nummer 14 wird folgende Nummer 14a eingefügt:
„14a. Verbraucherschutz und Verbraucherinformation im Bereich der Sicherheit in der Informationstechnik, insbesondere durch Beratung und Warnung von Verbrauchern in Fragen der Sicherheit in der Informationstechnik und unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Si- cherheitsvorkehrungen;“.
e) Nummer 17 wird wie folgt gefasst:
„17. Aufgaben nach den §§ 8a bis 8c und 8f als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen, digitaler Dienste und der Unternehmen im besonderen öffentlichen Interesse;“.
f) In Nummer 18 wird der Punkt am Ende durch ein Semikolon ersetzt.
g) Die folgenden Nummern 19 und 20 werden angefügt:
„19. Empfehlungen für Identifizierungs- und Authentisierungsverfahren und Be- wertung dieser Verfahren im Hinblick auf die Informationssicherheit;
20. Entwicklung und Veröffentlichung eines Stands der Technik bei sicherheits- technischen Anforderungen an IT-Produkte.“
3. Nach § 4 werden die folgenden §§ 4a und 4b eingefügt:
„§ 4a
Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte
(1) Das Bundesamt ist befugt, die Sicherheit der Kommunikationstechnik des Bundes und ihrer Komponenten, einschließlich technischer Infrastrukturen, die zu de- ren Betrieb erforderlich sind, zu kontrollieren. Es kann hierzu die Bereitstellung der zur Erfüllung der Aufgaben nach § 2 Absatz 1 Satz 2 Nummer 1 und 14 erforderlichen Informationen, insbesondere zu technischen Details, zu Strategien, Planungen und Re- gelungen mit Bezug zur Kommunikationstechnik des Bundes einschließlich Aufbau- und Ablauforganisation verlangen sowie Unterlagen und Datenträger des Betreibers der jeweiligen Kommunikationstechnik des Bundes oder eines mit Betriebsleistungen beauftragten Dritten einsehen und die unentgeltliche Herausgabe von Kopien davon, auch in elektronischer Form, verlangen, soweit nicht Geheimschutzinteressen oder überwiegende Sicherheitsinteressen entgegenstehen.
(2) Dem Bundesamt ist in den Zeiten, zu denen die Räume normalerweise für die jeweilige geschäftliche oder betriebliche Nutzung zur Verfügung stehen, zu den Grund- stücken und Betriebsräumen, einschließlich Datenverarbeitungsanlagen und -geräten, die für die Kommunikationstechnik des Bundes verwendet werden, Zugang zu gewäh- ren, soweit dies zur Erfüllung der Zwecke nach Absatz 1 erforderlich ist.
(3) Bei Einrichtungen eines Dritten, bei dem eine Schnittstelle zur Kommunikati- onstechnik des Bundes besteht, kann das Bundesamt auf der Schnittstellenseite der Einrichtung nur im Einvernehmen mit dem Dritten die Sicherheit der Schnittstelle kon- trollieren. Es kann hierzu im Einvernehmen mit dem Dritten die zur Aufgabenerfüllung erforderlichen Informationen, insbesondere zu technischen Details, zu Strategien, Pla- nungen und Regelungen sowie Unterlagen und Datenträger des Betreibers einsehen und unentgeltlich Kopien, auch in elektronischer Form, anfertigen.
(4) Das Bundesamt teilt sein Ergebnis der Überprüfung und Kontrolle nach Absatz 1 der jeweiligen überprüften Stelle sowie im Falle einer öffentlichen Stelle des Bundes
ihrer jeweiligen Rechts- und Fachaufsicht mit. Mit der Mitteilung soll es Vorschläge zur Verbesserung der Informationssicherheit, insbesondere zur Beseitigung der festge- stellten Mängel, verbinden.
(5) Ausgenommen von den Befugnissen nach Absatz 1 bis 3 sind die Auslands- Informations- und Kommunikationstechnik im Sinne des § 9 Absatz 2 des Gesetzes über den Auswärtigen Dienst, soweit sie nicht ausschließlich für das Inland oder An- wender im Inland betrieben wird. Die Bestimmungen für die Schnittstellen der Kommu- nikationstechnik des Bundes im Inland bleiben davon unberührt. Näheres zu Satz 1 regelt eine Verwaltungsvereinbarung zwischen dem Bundesministerium des Innern, für Bau und Heimat und dem Auswärtigen Amt.
(6) Die Befugnisse nach Absatz 1 bis 3 gelten im Geschäftsbereich des Bundes- ministeriums der Verteidigung nicht für Informations- und Kommunikationstechnik, die für die Bundeswehr und ihre Zwecke betrieben wird. Näheres regelt eine Verwaltungs- vereinbarung zwischen dem Bundesministerium des Innern, für Bau und Heimat und dem Bundesministerium der Verteidigung.
§ 4b
Allgemeine Meldestelle für die Sicherheit in der Informationstechnik
(1) Zur Wahrnehmung der Aufgaben nach § 3 nimmt das Bundesamt als zentrale Stelle für Meldungen Dritter Informationen über Sicherheitsrisiken in der Informations- technik entgegen und wertet diese aus.
(2) Das Bundesamt kann zur Wahrnehmung der Aufgaben nach Absatz 1 Infor- mationen zu Sicherheitslücken, Schadprogrammen, erfolgten oder versuchten Angrif- fen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorge- hensweisen entgegennehmen. Das Bundesamt richtet hierzu geeignete Meldemöglich- keiten ein. Die Meldungen können anonym erfolgen. Soweit die Meldung nicht anonym erfolgt, kann der Meldende im Rahmen der Meldung verlangen, dass seine personen- bezogenen Daten nur anonymisiert weitergegeben werden dürfen. Dies gilt nicht in den Fällen des § 5 Absatz 5 und Absatz 6 Satz 1. Eine Übermittlung der personenbezoge- nen Daten in den Fällen von § 5 Absatz 5 und Absatz 6 Satz 1 hat zu unterbleiben, wenn für das Bundesamt erkennbar ist, dass die schutzwürdigen Interessen des Mel- denden das Allgemeininteresse an der Übermittlung überwiegen. Zu berücksichtigen ist dabei auch die Art und Weise, mittels derer der Meldende die Erkenntnisse gewon- nen hat. Die Entscheidung nach Satz 6 muss dem oder der behördlichen Datenschutz- beauftragten des Bundesamtes sowie einem oder einer weiteren Bediensteten des Bundesamts, der oder die die Befähigung zum Richteramt hat, zur vorherigen Prüfung vorgelegt werden.
(3) Das Bundesamt kann die gemäß Absatz 2 gemeldeten Informationen verar- beiten, um:
1. Dritte über bekanntgewordene Sicherheitslücken, Schadprogramme, erfolgte oder versuchte Angriffe auf die Sicherheit in der Informationstechnik zu informieren, so- weit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist,
2. im Benehmen mit der zuständigen Aufsichtsbehörde die Öffentlichkeit gemäß § 7 zu warnen,
3. Bundesbehörden gemäß § 4 Absatz 2 Nummer 2 über die sie betreffenden Infor- mationen zu unterrichten,
4. Betreiber Kritischer Infrastrukturen gemäß § 8b Absatz 2 Nummer 4 Buchstabe a) über die sie betreffenden Informationen zu unterrichten.
(4) Eine Weitergabe nach Absatz 3 Nummern 1, 2 und 4 erfolgt nicht, soweit die gemäß Absatz 2 gemeldeten Informationen:
1. Betriebs- und Geschäftsgeheimnisse von Dritten beinhalten und die Maßnahmen nach Absatz 3 nicht ohne Bekanntgabe dieser Betriebs- und Geschäftsgeheim- nisse durchgeführt werden können oder
2. auf Grund von Vereinbarungen mit Dritten nicht übermittelt werden dürfen.
(5) Sonstige gesetzliche Meldepflichten, Regelungen zum Geheimschutz, Über- mittlungshindernisse und Übermittlungsregelungen bleiben unberührt.“
4. § 5 wird wie folgt geändert:
a) Absatz 2 wird wie folgt gefasst:
„(2) Protokolldaten nach Absatz 1 Satz 1 Nummer 1 dürfen über den für die automatisierte Auswertung nach Absatz 1 Satz 1 Nummer 1 erforderlichen Zeit- raum hinaus, längstens jedoch für 12 Monate, gespeichert werden, soweit tatsäch- liche Anhaltspunkte bestehen, dass diese im Falle der Bestätigung eines Ver- dachts nach Absatz 3 Satz 2 zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer Schadpro- gramme erforderlich sein können. Durch organisatorische und technische Maß- nahmen ist sicherzustellen, dass eine Auswertung der nach diesem Absatz ge- speicherten Daten nur automatisiert erfolgt und dass ein Zugriff auf Daten, die län- ger als drei Monate gespeichert sind, nur beim Vorliegen tatsächlicher Erkennt- nisse über die Betroffenheit des Bundes mit einem Schadprogramm erfolgt. Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. Eine nicht automatisierte Verarbeitung ist nur nach Maßgabe der nachfolgenden Absätze zu- lässig. Soweit hierzu die Wiederherstellung pseudonymisierter Protokolldaten er- forderlich ist, muss diese durch die Präsidentin oder den Präsidenten des Bundes- amtes oder der Vertretung im Amt angeordnet werden. Die Entscheidung ist zu dokumentieren.“
b) Nach Absatz 2 wird folgender Absatz 2a eingefügt:
„(2a) Protokolldaten dürfen vor ihrer Pseudonymisierung und Speicherung nach Absatz 2 zur Sicherstellung einer fehlerfreien automatisierten Auswertung manuell verarbeitet werden. Liegen Hinweise vor, dass die fehlerfreie automati- sierte Auswertung wegen eines erheblichen Fehlers erschwert wird, darf der Per- sonenbezug von Protokolldaten zur Sicherstellung der fehlerfreien automatisierten Auswertung wiederhergestellt werden, sofern dies im Einzelfall erforderlich ist. Ab- satz 2 Satz 5 bis 8 gilt entsprechend.“
5. Nach § 5 wird folgender § 5a eingefügt:
„§ 5a
Verarbeitung behördeninterner Protokollierungsdaten
Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes Protokollierungsdaten, die durch den Betrieb von Kommunikationstechnik des Bundes anfallen, verarbeiten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen
von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von An- griffen auf die Informationstechnik des Bundes erforderlich ist und Geheimschutzinte- ressen oder überwiegende Sicherheitsinteressen nicht entgegenstehen. Die Bundes- behörden sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstüt- zen und hierbei den Zugang des Bundesamtes zu behördeninternen Protokollierungs- daten nach Satz 1 sicherzustellen. Hierzu dürfen sie dem Bundesamt die entsprechen- den Protokollierungsdaten übermitteln. § 5 Absatz 1 Satz 5, Absatz 2 bis 4, 8 und 9 gilt entsprechend. § 4a Absatz 6 gilt für die Verpflichtung nach § 5a Satz 2 entsprechend.“
6. Der bisherige § 5a wird § 5b und wie folgt geändert:
a) In Absatz 1 Satz 1 werden nach den Wörtern „Kritischen Infrastruktur“ die Wörter
„oder eines Unternehmens im besonderen öffentlichen Interesse nach § 2 Absatz 14 Nummer 1, 2 oder 3“ eingefügt.
b) Dem Absatz 7 wird folgender Satz angefügt:
„Ein begründeter Einzelfall liegt in der Regel vor, wenn eine Stelle eines Landes betroffen ist.“
7. Nach § 5b wird folgender § 5c eingefügt:
„§ 5c Bestandsdatenauskunft
(1) Das Bundesamt darf von demjenigen, der geschäftsmäßig Telekommunikati- onsdienste erbringt oder daran mitwirkt, über die nach den §§ 95 und 111 des Tele- kommunikationsgesetzes erhobenen Daten (§ 113 Absatz 1 Satz 1 des Telekommuni- kationsgesetzes) Auskunft verlangen. Die Auskunft nach Satz 1 darf nur verlangt wer- den, um im Einzelfall
1. weitergehende Angriffe auf die Sicherheit oder Funktionsfähigkeit informations- technischer Systeme Kritischer Infrastrukturen, digitaler Dienste oder von Unter- nehmen im besonderen öffentlichen Interesse zu verhindern oder
2. sonstige erhebliche Schäden vom betroffenen Dritten abzuwenden,
und wenn das Bundesamt im Rahmen der Erfüllung seiner gesetzlichen Aufgaben nach
§ 3 Absatz 1 Satz 2 Nummer 1, 2 oder 14 von ziel- und zweckgerichteten Beeinträch- tigungen der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme Drit- ter Kenntnis erlangt hat und die schutzwürdigen Interessen des betroffenen Dritten eine unmittelbare Kontaktaufnahme durch das Bundesamt mit ihm als erforderlich erschei- nen lassen. Die Auskunft desjenigen, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, muss für die Kontaktaufnahme erforderlich sein.
(2) Die Auskunft nach Absatz 1 darf nach Maßgabe des Absatzes 1 Satz 3 auch anhand einer zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokoll-Adresse verlangt werden (§§ 113 Absatz 1 Satz 3, 113c Absatz 1 Nummer 3 des Telekommu- nikationsgesetzes). Die rechtlichen und tatsächlichen Grundlagen des Auskunftsver- langens sind aktenkundig zu machen.
(3) Aufgrund eines Auskunftsverlangens nach den Absätzen 1 bis 2 hat derjenige, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, die zur Auskunftserteilung erforderlichen Daten unverzüglich zu übermitteln.
(4) Nach erfolgter Auskunft weist das Bundesamt die betroffene Person auf die bei ihr festgestellten Beeinträchtigungen hin. Nach Möglichkeit weist das Bundesamt die betroffene Person auf technische Mittel hin, mittels derer die festgestellten Beein- trächtigungen durch die betroffene Person selbst beseitigt werden können.
(5) Das Bundesamt kann personenbezogene Daten, die es im Rahmen dieser Vorschrift verarbeitet, entsprechend § 5 Absatz 5 und 6 übermitteln.
(6) In den Fällen des Absatzes 2 ist die betroffene Person über die Auskunft zu benachrichtigen. Im Falle der Weitergabe der Information nach § 5 Absatz 5 oder wenn Tatsachen die Annahme rechtfertigen, dass die Voraussetzungen einer Weitergabe nach § 5 Absatz 5 vorliegen, ergeht darüber keine Benachrichtigung an die betroffene Person, sofern und solange überwiegende schutzwürdige Belange Dritter entgegen- stehen. Wird nach Satz 4 die Benachrichtigung zurückgestellt oder von ihr abgesehen, sind die Gründe aktenkundig zu machen.
(7) Das Bundesamt unterrichtet die Bundesbeauftragte oder den Bundesbeauf- tragten für den Datenschutz und die Informationsfreiheit jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über
1. die Gesamtzahl der Vorgänge, in denen Daten nach Absatz 1 oder Absatz 2 an das Bundesamt übermittelt wurden,
2. Übermittlungen nach Absatz 5.“
8. § 7 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) Nach der Angabe „§ 3 Absatz 1 Satz 2 Nummer 14“ werden die Wörter „und Nummer 14a“ angefügt.
bb) In Nummer 1 werden nach dem Wort „Warnungen“ die Wörter „und Informati- onen“ eingefügt.
cc) In Nummer 1 Buchstabe c) werden die Wörter „im Falle eines Verlustes oder eines unerlaubten Zugriffs“ durch die Wörter „bei einem Verlust oder unerlaub- ten Zugriff“ ersetzt.
dd) Nach Nummer 1 Buchstabe c) wird folgender Buchstabe d) angefügt:
„ d)
Informationen über sicherheitsrelevante IT-Eigenschaften von Produk- ten.“
ee) Satz 3 und 4 werden gestrichen.
b) Nach Absatz 1 wird folgender Absatz 1a eingefügt:
„(1a) Die Hersteller betroffener Produkte sind rechtzeitig vor Veröffentlichung der Warnungen zu informieren. Diese Informationspflicht besteht nicht,
1. wenn hierdurch die Erreichung des mit der Maßnahme verfolgten Zwecks ge- fährdet wird oder,
2. wenn berechtigterweise davon ausgegangen werden kann, dass der Herstel- ler an einer vorherigen Benachrichtigung kein Interesse hat.
Soweit entdeckte Sicherheitslücken oder Schadprogramme nicht allgemein be- kannt werden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit ver- pflichtet ist, kann es den Kreis der zu warnenden Personen einschränken; Kriterien hierfür sind insbesondere die besondere Gefährdung bestimmter Einrichtungen o- der die besondere Zuverlässigkeit des Empfängers.“
c) Absatz 2 Satz 1 wird wie folgt gefasst:
„Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 14 und Nummer 14a kann das Bundesamt die Öffentlichkeit unter Nennung der Bezeichnung und des Herstellers des betroffenen Produkts vor Sicherheitslücken in informations- technischen Produkten und Diensten und vor Schadprogrammen warnen, wenn hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik hiervon ausgehen, oder Sicherheitsmaßnahmen sowie den Einsatz bestimmter informationstechnischer Produkte und Dienste empfeh- len.“
9. § 7a wird wie folgt gefasst:
„§ 7a
Untersuchung der Sicherheit in der Informationstechnik
(1) Das Bundesamt kann zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 14, 14a, 17 und 18 auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte und Systeme untersu- chen. Es kann sich hierbei der Unterstützung Dritter bedienen, soweit berechtigte Inte- ressen des Herstellers der betroffenen Produkte und Systeme dem nicht entgegenste- hen.
(2) Soweit erforderlich kann das Bundesamt für Untersuchungen nach Absatz 1 von Herstellern informationstechnischer Produkte und Systeme alle notwendigen Aus- künfte, insbesondere auch zu technischen Details, verlangen. In dem Auskunftsverlan- gen gibt das Bundesamt die Rechtsgrundlage, den Zweck des Auskunftsverlangens und die benötigten Auskünfte an und legt eine angemessene Frist für die Übermittlung der Auskünfte fest. Das Auskunftsverlangen enthält ferner einen Hinweis auf die in § 14 vorgesehenen Sanktionen.
(3) Das Bundesamt gibt Auskünfte sowie die aus den Untersuchungen gewonnen Erkenntnisse unverzüglich an die zuständigen Aufsichtsbehörden des Bundes, oder sofern keine Aufsichtsbehörde vorhanden ist, an das jeweilige Ressort weiter, wenn Anhaltspunkte bestehen, dass diese sie zur Erfüllung ihrer Aufgaben benötigen.
(4) Die Auskünfte und die aus den Untersuchungen gewonnenen Erkenntnisse dürfen nur zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 14, 14a, 17 und 18 genutzt werden. Das Bundesamt darf seine Erkenntnisse weitergeben und veröffentlichen, soweit dies zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Num- mer 1, 14, 14a, 17 und 18 erforderlich ist. Zuvor ist dem Hersteller der betroffenen Produkte und Systeme mit angemessener Frist Gelegenheit zur Stellungnahme zu ge- ben.
(5) Kommt ein Hersteller der Aufforderung des Bundesamtes nach Absatz 2 Satz 1 nicht oder nur unzureichend nach, kann das Bundesamt hierüber die Öffentlichkeit informieren. Es kann hierbei den Namen des Herstellers sowie die Bezeichnung des betroffenen Produkts oder Systems angeben, und darlegen inwieweit der Hersteller
seiner Auskunftspflicht nicht nachgekommen ist. Zuvor ist dem Hersteller mit angemes- sener Frist Gelegenheit zur Stellungnahme zu gewähren. § 7 Absatz 2 Satz 2 gilt ent- sprechend.“
10. Nach § 7a werden die folgenden §§ 7b, 7c und 7d eingefügt:
„§ 7b
Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsme- thoden
(1) Das Bundesamt kann im Rahmen seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 2, 14 oder 17 zur Detektion von Sicherheitslücken und anderen Sicher- heitsrisiken an den Schnittstellen öffentlich erreichbarer informationstechnischer Sys- teme zu öffentlichen Telekommunikationsnetzen Maßnahmen (Portscans) durchfüh- ren, wenn Tatsachen die Annahme rechtfertigen, dass diese ungeschützt im Sinne des Absatzes 2 sein können und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefähr- det sind. Die Maßnahmen müssen sich auf das zur Detektion von Sicherheitslücken oder anderen Sicherheitsrisiken in der Informationstechnik
1. des Bundes oder
2. Kritischer Infrastrukturen, digitaler Dienste und der Unternehmen im besonderen öffentlichen Interesse
Notwendige beschränken. Erlangt das Bundesamt dabei Informationen, die durch Arti- kel 10 des Grundgesetzes geschützt sind, darf es diese nur zum Zwecke der Übermitt- lung nach § 5 Absatz 5 und 6 verarbeiten. Sofern die Voraussetzungen des § 5 Absatz 5 und 6 nicht vorliegen, sind Informationen, die nach Artikel 10 des Grundgesetzes geschützt sind, unverzüglich zu löschen. Maßnahmen nach Satz 1 dürfen nur durch eine Bedienstete oder einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet werden.
(2) Ein informationstechnisches System ist ungeschützt im Sinne des Absatzes 1, wenn auf diesem öffentlich bekannte Sicherheitslücken bestehen oder wenn auf Grund sonstiger offensichtlich unzureichender Sicherheitsvorkehrungen unbefugt von Dritten auf das System zugegriffen werden kann.
(3) Wird durch Maßnahmen gemäß Absatz 1 eine Sicherheitslücke oder ein an- deres Sicherheitsrisiko eines informationstechnischen Systems erkannt und stehen überwiegende Sicherheitsinteressen nicht entgegen, sind die für das informationstech- nische System Verantwortlichen darüber zu informieren. Das Bundesamt soll dabei auf bestehende Abhilfemöglichkeiten hinweisen. Sind dem Bundesamt die Verantwortli- chen nicht bekannt oder ist ihre Identifikation nur mit unverhältnismäßigen Aufwand möglich und stehen überwiegende Sicherheitsinteressen nicht entgegen, ist hilfsweise der betreibende Dienstleister des jeweiligen Netzes oder Systems unverzüglich zu be- nachrichtigen. Das Bundesamt unterrichtet die Bundesbeauftragte oder den Bundes- beauftragten für den Datenschutz und die Informationsfreiheit jeweils bis zum 30. Juni des Folgejahres über die Anzahl der gemäß Absatz 1 ergriffenen Maßnahmen.
(4) Das Bundesamt darf zur Erfüllung seiner Aufgaben Systeme und Verfahren einsetzen, welche einem Angreifer einen erfolgreichen Angriff vortäuschen, um den Einsatz von Schadprogrammen oder andere Angriffsmethoden zu erheben und auszu- werten. Das Bundesamt darf dabei die zur Auswertung der Funktionsweise der Schad- programme und Angriffsmethoden erforderlichen Daten verarbeiten.
§ 7c
Anordnungen des Bundesamtes gegenüber Diensteanbietern
(1) Zur Abwehr konkreter erheblicher Gefahren für die in Absatz 2 genannten Schutzziele kann das Bundesamt gegenüber einem Anbieter von Telekommunikations- diensten im Sinne des Telekommunikationsgesetzes (Diensteanbieter) mit mehr als
100.000 Kunden anordnen, dass er
1. die in § 109a Absätze 5 oder 6 des Telekommunikationsgesetzes bezeichneten Maßnahmen trifft, oder
2. technische Befehle zur Bereinigung von einem konkret benannten Schadpro- gramm an betroffene informationstechnische Systeme verteilt,
sofern und soweit der Diensteanbieter dazu technisch in der Lage ist und es ihm wirt- schaftlich zumutbar ist. Vor der Anordnung der Maßnahmen durch das Bundesamt ist Einvernehmen mit der Bundesnetzagentur herzustellen. Vor der Anordnung der Maß- nahme nach Satz 1 Nummer 2 durch das Bundesamt ist zusätzlich Einvernehmen mit dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit herzustellen. Die Daten, auf die mit der Maßnahme nach Satz 1 Nummer 2 zugegriffen werden soll, sind in der Anordnung zu benennen. § 5 Absatz 7 Satz 2 bis 8 gilt entspre- chend. Widerspruch und Anfechtungsklage gegen die Anordnungen nach Satz 1 haben keine aufschiebende Wirkung.
(2) Schutzziele gemäß Absatz 1 Satz 1 sind
1. die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit der Kommunikationstechnik des Bundes, eines Betreibers Kritischer Infrastrukturen, eines Unternehmens im besonderen öffentlichen Interesse, oder eines Anbieters Digitaler Dienste, oder
2. die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informations- oder Kom- munikationsdiensten, oder
3. Informationen, deren Verfügbarkeit, Unversehrtheit oder Vertraulichkeit einge- schränkt wird durch unerlaubte Zugriffe auf eine erhebliche Anzahl von telekom- munikations- oder informationstechnischen Systemen von Nutzern.
(3) Ordnet das Bundesamt eine Maßnahme nach Absatz 1 Satz 1 Nummer 1 an, so kann es gegenüber dem Diensteanbieter auch anordnen, den Datenverkehr an eine vom Bundesamt benannte Anschlusskennung umzuleiten.
(4) Das Bundesamt darf Daten, die von einem Diensteanbieter nach Absatz 1 Satz 1 Nummer 1 und Absatz 3 umgeleitet wurden, verarbeiten, um Informationen über Schadprogramme oder andere Sicherheitsrisiken in informationstechnischen Syste- men zu erlangen. Die übermittelten Daten dürfen durch das Bundesamt so lange ge- speichert werden, wie dies für die Erfüllung des in Satz 1 genannten Zwecks erforder- lich ist, längstens jedoch für drei Monate. Das Bundesamt unterrichtet die Bundesbe- auftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfrei- heit jeweils bis zum 30. Juni des Folgejahres über die Gesamtzahl der empfangenen Datenumleitungen.
§ 7d
Anordnungen des Bundesamtes gegenüber Anbietern von Telemediendiensten Das Bundesamt kann in begründeten Einzelfällen zur Abwehr konkreter, erhebli-
cher Gefahren für informationstechnische Systeme einer Vielzahl von Nutzern, die von Telemedienangeboten von Diensteanbietern im Sinne des § 2 Nummer 1 des Tele- mediengesetzes ausgehen, die durch ungenügende technische und organisatorische Vorkehrungen im Sinne des § 13 Absatz 7 des Telemediengesetzes dergestalt unzu- reichend gesichert sind, dass sie keinen hinreichenden Schutz bieten vor
1. unerlaubten Zugriffen auf die für diese Telemedienangebote genutzten techni- schen Einrichtungen oder
2. Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gegenüber dem jeweiligen Diensteanbieter im Sinne des § 2 Nummer 1 des Telemedi- engesetzes anordnen, dass dieser die jeweils zur Herstellung des ordnungsgemäßen Zustands seiner Telemedienangebote erforderlichen technischen und organisatori- schen Maßnahmen ergreift, um den ordnungsgemäßen Zustand seiner Telemedienan- gebote herzustellen.“
11. § 8 wird wie folgt geändert:
a) Absatz 1 wird durch die folgenden Absätze 1 und 1a neu gefasst:
„(1) Das Bundesamt legt im Benehmen mit den Ressorts Mindeststandards für die Sicherheit der Informationstechnik des Bundes fest, die von
1. Stellen des Bundes,
2. Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie ihrer Vereinigungen ungeachtet ihrer Rechtsform auf Bundesebene, soweit von der jeweils zuständigen obersten Bundesbehörde angeordnet, sowie von
3. öffentlichen Unternehmen, die mehrheitlich im Eigentum des Bundes stehen und die IT-Dienstleistungen für die Bundesverwaltung erbringen,
umzusetzen sind. Abweichungen von den Mindeststandards sind nur in sach- lich gerechtfertigten Fällen zulässig, sie sind zu dokumentieren und zu begrün- den.
(1a) Das Bundesministerium des Innern, für Bau und Heimat kann im Beneh- men mit der Konferenz der IT-Beauftragten der Ressorts bei bedeutenden Min- deststandards die Überwachung und Kontrolle ihrer Einhaltung durch das Bundes- amt anordnen. Das Bundesamt teilt das Ergebnis seiner Kontrolle der jeweiligen überprüften Stelle, deren zuständiger Aufsichtsbehörde sowie der Konferenz der IT-Beauftragten der Ressorts mit. Für andere öffentlich- oder privatrechtlich orga- nisierte Stellen dürfen nur dann Schnittstellen zur Kommunikationstechnik des Bundes eingerichtet werden, soweit die für die Einrichtung verantwortliche Stelle vertraglich sicherstellt, dass die öffentlich- oder privatrechtlich organisierte Stelle sich zur Einhaltung der Mindeststandards verpflichtet. Das Bundesamt kann im Einvernehmen mit dem Dritten die Einhaltung der Mindeststandards überprüfen und kontrollieren. Das Bundesamt berät die unter Satz 1 genannten Stellen auf Ersuchen bei der Umsetzung und Einhaltung der Mindeststandards. Für die in § 2 Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane haben die Vorschrif-
ten nach diesem Absatz empfehlenden Charakter. Von der Verpflichtung ausge- nommen ist im Geschäftsbereich des Bundesministeriums der Verteidigung die In- formations- und Kommunikationstechnik im Sinne des § 4a Absatz 6.“
b) In Absatz 3 Satz 4 wird das Wort „Bundesbehörden“ durch die Wörter „Stellen des Bundes oder von ihnen beauftragte Dritte“ ersetzt.
c) Folgender Absatz 4 wird angefügt:
„(4) Zur Gewährleistung der Sicherheit in der Informationstechnik bei der Pla- nung und Umsetzung von Digitalisierungsvorhaben des Bundes soll die jeweils verantwortliche Stelle das Bundesamt frühzeitig beteiligen und dem Bundesamt Gelegenheit zur Stellungnahme geben.“
12. § 8a wird wie folgt geändert:
a) Nach Absatz 1 werden die folgenden Absätze 1a und 1b eingefügt:
„(1a) Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst spätestens ein Jahr nach Inkraft- treten dieses Gesetzes auch den Einsatz von Systemen zur Angriffserkennung. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter bzw. Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfas- sen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen. Absatz 1 Satz 2 und 3 gelten entsprechend.
(1b) Betreiber Kritischer Infrastrukturen müssen für die Angriffserkennung und
-nachverfolgung relevante nicht personenbezogene Daten, die beim Betrieb einer Kritischen Infrastruktur anfallen, mindestens vier Jahre speichern.“
b) In Absatz 2 Satz 1 und 2 wird die Angabe „Absatz 1“ jeweils durch die Angabe
„Absatz 1 bis 1b“ ersetzt.
c) Absatz 3 Satz 1 wird wie folgt gefasst:
„Betreiber Kritischer Infrastrukturen haben die Erfüllung der Anforderungen nach Absatz 1 bis 1b spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 und anschließend alle zwei Jahre auf geeignete Weise nach- zuweisen.“
d) In Absatz 4 Satz 1 und 3 wird die Angabe „Absatz 1“ jeweils durch die Angabe
„Absatz 1 bis 1b“ ersetzt.
13. § 8b wird wie folgt geändert:
a) Absatz 2 wird wie folgt geändert:
aa) In Nummer 3 werden nach den Wörtern „Kritischen Infrastrukturen“ die Wörter
„oder Unternehmen im besonderen öffentlichen Interesse“ angefügt. bb) Absatz 2 Nummer 4 Buchstabe a wird wie folgt gefasst:
„a) die Betreiber Kritischer Infrastrukturen und Unternehmen im besonde- ren öffentlichen Interesse über sie betreffende Informationen nach den Num- mern 1 bis 3“.
b) Der Absatz 3 wird wie folgt gefasst:
„(3) Betreiber Kritischer Infrastrukturen sind verpflichtet, die von ihnen betrie- benen Kritischen Infrastrukturen beim Bundesamt zu registrieren und eine Kon- taktstelle zu benennen. Die Registrierung eines Betreibers einer Kritischen Infra- struktur kann das Bundesamt auch selbst vornehmen, wenn der Betreiber seine Pflicht zur Registrierung nicht erfüllt. Die Betreiber haben sicherzustellen, dass sie über die benannte oder durch das Bundesamt festgelegte Kontaktstelle jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle.“
c) Nach Absatz 3 wird der folgende Absatz 3a eingefügt:
„(3a) Rechtfertigen Tatsachen die Annahme, dass ein Betreiber seine Pflicht zur Registrierung nach Absatz 3 nicht erfüllt, so hat der Betreiber dem Bundesamt auf Verlangen die für die Bewertung aus Sicht des Bundesamtes erforderlichen Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vor- zulegen und Auskunft zu erteilen.“
d) Nach Absatz 4 wird folgender Absatz 4a eingefügt:
„(4a) Während einer erheblichen Störung gemäß Absatz 4 Satz 1 Nummer 2,
§ 8f Absatz 7 Nummer 2 oder § 8f Absatz 8 Nummer 2 kann das Bundesamt im Einvernehmen mit der jeweils zuständigen Aufsichtsbehörde des Bundes von den betroffenen Betreibern Kritischer Infrastrukturen oder Unternehmen im besonde- ren öffentlichen Interesse die Herausgabe der zur Bewältigung der Störung not- wendigen Informationen einschließlich personenbezogener Daten verlangen.“
e) In Absatz 6 Satz 1 werden nach den Wörtern „Störung nach Absatz 4“ ein Komma und die Wörter „oder § 8f Absatz 7 oder 8“ eingefügt.
f) In Absatz 6 Satz 2 wird die Angabe „§ 8c Absatz 3“ durch die Angabe „§ 8d Absatz 3“ ersetzt.
14. In § 8c Absatz 3 Satz 4 wird die Angabe „Absatz 3“ durch die Angabe „Absatz 4“ ersetzt.
15. In § 8d Absatz 2 werden im Satzteil vor Nummer 1 nach der Angabe „§ 8a“ die Wörter
„Absatz 1 bis 5“ eingefügt.
16. § 8e Absatz 1 und 2 wird wie folgt gefasst:
„(1) Das Bundesamt kann Dritten auf Antrag Auskunft zu den im Rahmen von § 8a Absatz 2 und 3, § 8c Absatz 4 und § 8f erhaltenen Informationen sowie zu den Mel- dungen nach § 8b Absatz 4, 4a und 4b sowie § 8c Absatz 4 nur erteilen, wenn
1. schutzwürdige Interessen des betroffenen Betreibers einer Kritischen Infrastruktur, des Unternehmens im besonderen öffentlichen Interesse oder des Anbieters digi- taler Dienste dem nicht entgegenstehen
2. und durch die Auskunft keine Beeinträchtigung von Sicherheitsinteressen eintreten kann. Zugang zu personenbezogenen Daten wird nicht gewährt.
(2) Zugang zu den Akten des Bundesamtes in Angelegenheiten nach den §§ 8a bis 8c und § 8f wird bei Vorliegen der Voraussetzungen des § 29 des Verwaltungsver- fahrensgesetzes nur gewährt, wenn
1. schutzwürdige Interessen des betroffenen Betreibers einer Kritischen Infrastruktur, des Unternehmens im besonderen öffentlichen Interesse oder des Anbieters digi- taler Dienste dem nicht entgegenstehen und
2. durch den Zugang zu den Akten keine Beeinträchtigung von Sicherheitsinteressen eintreten kann.“
17. Nach § 8e wird folgender § 8f eingefügt:
„§ 8f
Sicherheit in der Informationstechnik bei Unternehmen im besonderen öffentlichen In- teresse
(1) Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Num- mer 1 und 2 sind verpflichtet, eine Selbsterklärung zur IT-Sicherheit beim Bundesamt vorzulegen aus der hervorgeht,
1. welche Zertifizierungen im Bereich der IT-Sicherheit in den letzten zwei Jahren durchgeführt wurden und welche Prüfgrundlage und welcher Geltungsbereich hier- für festgelegt wurden,
2. welche sonstigen Sicherheitsaudits oder Prüfungen im Bereich der IT-Sicherheit in den letzten zwei Jahren durchgeführt wurden und welche Prüfgrundlage und wel- cher Geltungsbereich hierfür festgelegt wurden oder
3. wie sichergestellt wird, dass die für das Unternehmen besonders schützenswerten IT-Systeme, Komponenten und Prozesse angemessen geschützt werden und ob dabei der Stand der Technik eingehalten wird.
(2) Das Bundesamt kann verbindliche Formulare für die Selbsterklärung nach Ab- satz 1 einführen.
(3) Das Bundesamt kann auf Grundlage der Selbsterklärung nach Absatz 1 Hin- weise zu angemessenen organisatorischen und technischen Vorkehrungen nach Ab- satz 1 Nummer 3 zur Einhaltung des Stands der Technik geben.
(4) Für Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Nummer 1 gilt die Pflicht nach Absatz 1 erstmalig zwei Jahre nach Inkrafttreten dieses Gesetzes und danach mindestens alle zwei Jahre. Für Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Nummer 2 gilt diese Pflicht erstmalig zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 5 und danach min- destens alle zwei Jahre.
(5) Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Num- mer 1 und 2 sind verpflichtet, sich binnen ab sechs Monate nach Inkrafttreten dieses Gesetzes beim Bundesamt zu registrieren und eine zu den üblichen Geschäftszeiten erreichbare Stelle zu benennen. Die Übermittlung von Informationen durch das Bun- desamt nach § 8b Absatz 2 Nummer 4 erfolgt an diese Stelle.
(6) Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Num- mer 3 können eine freiwillige Registrierung beim Bundesamt und Benennung einer zu den üblichen Geschäftszeiten erreichbaren Stelle vornehmen. Die Übermittlung von Informationen durch das Bundesamt nach § 8b Absatz 2 Nummer 4 erfolgt an diese Stelle.
(7) Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Num- mer 1 und 2 haben spätestens ab sechs Monate nach Inkrafttreten dieses Gesetzes die folgenden Störungen unverzüglich über die nach Absatz 5 benannte Stelle an das Bundesamt zu melden:
1. Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulich- keit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Erbringung der Wert- schöpfung geführt haben,
2. erhebliche Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Pro- zesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Erbrin- gung der Wertschöpfung führen können.
Die Meldung muss Angaben zu der Störung, zu den technischen Rahmenbedingung- gen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Infor- mationstechnik und der Art der betroffenen Einrichtung oder Anlage enthalten.
(8) Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Num- mer 3 haben spätestens ab sechs Monate nach Inkrafttreten dieses Gesetzes die fol- genden Störungen unverzüglich an das Bundesamt zu melden:
1. Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulich- keit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Störfall nach der Störfall-Verordnung in der jeweils geltenden Fassung ge- führt haben,
2. erhebliche Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Pro- zesse, die zu einem Störfall nach der Störfall-Verordnung in der jeweils geltenden Fassung führen können.
Die Meldung muss Angaben zu der Störung, zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informati- onstechnik und der Art der betroffenen Einrichtung oder Anlage enthalten.
(9) Rechtfertigen Tatsachen die Annahme, dass ein Unternehmen ein Unterneh- men im besonderen öffentlichen Interesse nach § 2 Absatz 14 Nummer 2 ist, aber seine Pflichten nach Absatz 5 nicht erfüllt, so kann das Bundesamt verlangen:
1. eine rechnerische Darlegung, wie hoch die vom Unternehmen erbrachte inländi- sche Wertschöpfung nach der in der Rechtsverordnung nach § 10 Absatz 5 fest- gelegten Berechnungsmethode ist, oder
2. eine Bestätigung einer anerkannten Wirtschaftsprüfungsgesellschaft, dass das Unternehmen nach der in der Rechtsverordnung nach § 10 Absatz 5 festgelegten Berechnungsmethode kein Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Nummer 2 ist.“
18. § 9 wird wie folgt gefasst:
a) § 9 Absatz 4 wird wie folgt gefasst:
„(4) Das Sicherheitszertifikat wird erteilt, wenn
1. informationstechnische Systeme, Komponenten, Produkte oder Schutzprofile den vom Bundesamt festgelegten Kriterien entsprechen;
2. das Bundesministerium des Innern, für Bau und Heimat die Erteilung des Zer- tifikats nach Absatz 4a nicht untersagt hat.
Vor Erteilung des Sicherheitszertifikates legt das Bundesamt den Vorgang dem Bundesministerium des Innern, für Bau und Heimat zur Prüfung nach Absatz 4a vor.“
b) Nach § 9 Absatz 4 wird folgender Absatz 4a eingefügt:
„Das Bundesministerium des Innern, für Bau und Heimat kann eine Zertifikats- erteilung nach Absatz 4 im Einzelfall untersagen, wenn überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung entgegenstehen.“
19. Nach § 9 werden folgende §§ 9a bis 9c eingefügt:
„§ 9a
Nationale Behörde für die Cybersicherheitszertifizierung
(1) Das Bundesamt ist die nationale Behörde für die Cybersicherheitszertifizie- rung im Sinne des Artikels 58 Absatz 1 der Verordnung (EU) 2019/881.
(2) Das Bundesamt erteilt auf Antrag Konformitätsbewertungsstellen, die im An- wendungsbereich der Verordnung (EU) 2019/881 sowie des § 9 dieses Gesetzes tätig werden, eine Befugnis, als solche tätig zu werden, wenn die Voraussetzungen des maßgeblichen europäischen Schemas für die Cybersicherheitszertifizierung nach Arti- kel 54 Verordnung (EU) 2019/881 oder des § 9 dieses Gesetzes erfüllt sind. Ohne eine Befugniserteilung durch das Bundesamt dürfen Konformitätsbewertungsstellen im An- wendungsbereich der Verordnung (EU) 2019/881 nicht tätig werden.
(3) Soweit dies zur Erfüllung seiner Aufgaben nach Artikel 58 Absatz 7 der Ver- ordnung (EU) 2019/881 sowie des § 9 dieses Gesetzes erforderlich ist, kann das Bun- desamt von Konformitätsbewertungsstellen, denen eine Befugnis nach Absatz 2 erteilt wurde, Inhabern europäischer Cybersicherheitszertifikate und Ausstellern von EU-Kon- formitätserklärungen im Sinne von Artikel 56 Absatz 8 der Verordnung (EU) 2019/881 die erforderlichen Auskünfte und sonstige Unterstützung, insbesondere die Vorlage von Unterlagen oder Mustern, verlangen. § 3 Absatz 1 Satz 1 und 3 des Akkreditie- rungsstellengesetzes gilt entsprechend.
(4) Das Bundesamt kann Untersuchungen in Form von Auditierungen nach Artikel 58 Absatz 8 Buchstabe b der Verordnung (EU) 2019/881 bei Konformitätsbewertungs- stellen, denen eine Befugnis nach Absatz 2 erteilt wurde, Inhabern europäischer Cy- bersicherheitszertifikate und Ausstellern von EU-Konformitätserklärungen im Sinne von Artikel 56 Absatz 8 der Verordnung (EU) 2019/881 durchführen, um die Einhaltung der Bestimmungen des Titels III der Verordnung (EU) 2019/881 zu überprüfen. § 3 Absatz 1 Satz 1 bis 3 des Akkreditierungsstellengesetzes gilt entsprechend.
(5) Das Bundesamt ist befugt, Betriebsstätten, Geschäfts- und Betriebsräume von Konformitätsbewertungsstellen, denen eine Befugnis nach Absatz 2 erteilt wurde, und Inhabern europäischer Cybersicherheitszertifikate im Sinne von Artikel 56 Absatz 8 der Verordnung (EU) 2019/881 zu betreten, zu besichtigen und zu prüfen, soweit dies zur Erfüllung seiner Aufgaben nach Artikel 58 Absatz 7 der Verordnung (EU) 2019/881 sowie des § 9 dieses Gesetzes erforderlich ist. § 3 Absatz 1 Satz 1 bis 3 des Akkredi- tierungsstellengesetzes gilt entsprechend.
(6) Das Bundesamt kann von ihm ausgestellte Cybersicherheitszertifikate oder durch eine Konformitätsbewertungsstelle, der eine Befugnis nach Absatz 2 erteilt
wurde, nach Artikel 56 Absatz 6 der Verordnung (EU) 2019/881 ausgestellte Cybersi- cherheitszertifikate widerrufen oder EU-Konformitätserklärungen im Sinne der Verord- nung (EU) 2019/881 für ungültig erklären, sofern diese Zertifikate oder EU-Konformi- tätserklärungen die Anforderungen nach der Verordnung (EU) 2019/881 oder eines europäischen Schemas für die Cybersicherheitszertifizierung nach Artikel 54 der Ver- ordnung (EU) 2019/881 nicht erfüllen oder wenn das Bundesamt die Erfüllung nicht feststellen kann, weil der Inhaber des europäischen Cybersicherheitszertifikats oder der Aussteller der EU-Konformitätserklärung seinen Mitwirkungspflichten nach Absatz 3 nicht nachgekommen ist oder weil dieser das Bundesamt bei der Wahrnehmung sei- ner Befugnisse nach Absatz 4 oder im Falle eines Inhabers eines europäischen Cyber- sicherheitszertifikates auch nach Absatz 5 behindert hat.
(7) Das Bundesamt kann von ihm erteilte Befugnisse nach Absatz 2 widerrufen, sofern die Voraussetzungen des maßgeblichen europäischen Schemas für die Cyber- sicherheitszertifizierung nach Artikel 54 Verordnung (EU) 2019/881 oder des § 9 dieses Gesetzes nicht erfüllt sind oder wenn das Bundesamt die Erfüllung dieser Vorausset- zungen nicht feststellen kann, weil die Konformitätsbewertungsstelle ihren Mitwir- kungspflichten nach Absatz 3 nicht nachgekommen ist oder weil diese das Bundesamt bei der Wahrnehmung seiner Befugnisse nach Absatz 4 und 5 behindert hat.
§ 9b
Untersagung des Einsatzes kritischer Komponenten
(1) Der Einsatz von kritischen Komponenten (§ 2 Absatz 13), für die auf Grund einer gesetzlichen Regelung eine Zertifizierungspflicht besteht, ist durch den Betreiber einer Kritischen Infrastruktur dem Bundesministerium des Innern, für Bau und Heimat vor Einsatz anzuzeigen. In der Anzeige ist die kritische Komponente und die Art ihres Einsatzes anzugeben. Die Pflicht aus Satz 1 besteht bereits dann, wenn zur Vorlage von Zertifikaten Übergangsfristen gewährt werden.
(2) Kritische Komponenten nach Absatz 1 dürfen nur eingesetzt werden, wenn der Hersteller eine Erklärung über seine Vertrauenswürdigkeit gegenüber dem Betreiber der Kritischen Infrastruktur abgeben hat (Garantieerklärung). Diese Erklärung erstreckt sich auf die gesamte Lieferkette des Herstellers. Die Garantieerklärung des Herstellers der kritischen Komponente ist der Anzeige nach Absatz 1 beizufügen. Aus der Garan- tieerklärung muss unter anderem hervorgehen, ob und wie der Hersteller hinreichend sicherstellen kann, dass die kritische Komponente über keine technischen Eigenschaf- ten verfügt, die geeignet sind, missbräuchlich, insbesondere zu Zwecke von Sabotage, Spionage oder Terrorismus auf die Sicherheit, Integrität, Verfügbarkeit oder Funktions- fähigkeit der Kritischen Infrastruktur, einwirken zu können. Das Bundesministerium des Innern, für Bau und Heimat legt die Mindestanforderungen für die Garantieerklärung im Einvernehmen mit den betroffenen Ressorts unter Berücksichtigung überwiegender öf- fentlicher Interessen, insbesondere sicherheitspolitischer Belange, durch Allgemein- verfügung fest, die im Bundesanzeiger bekannt zu machen ist. Die Verpflichtung in Satz 1 gilt ab der Bekanntmachung der Allgemeinverfügung nach Satz 5. Soweit Än- derungen der Allgemeinverfügung erfolgen, sind diese für bereits nach Absatz 1 abge- gebene Garantieerklärungen unbeachtlich.
(3) Das Bundesministerium des Innern, für Bau und Heimat kann den Einsatz ei- ner kritischen Komponente gegenüber dem Betreiber der Kritischen Infrastruktur im Einvernehmen mit dem jeweils betroffenen Ressort bis zum Ablauf von einem Monat nach Eingang der Anzeige nach Absatz 1 untersagen oder Anordnungen erlassen, wenn überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Be- lange der Bundesrepublik Deutschland, dem Einsatz entgegenstehen. Vor Ablauf der Frist von einem Monat nach Anzeige nach Absatz 1 ist der Einsatz nicht gestattet.
(4) Das Bundesministerium des Innern, für Bau und Heimat kann den weiteren Betrieb einer kritischen Komponente gegenüber dem Betreiber der Kritischen Infra- struktur im Einvernehmen mit dem jeweils betroffenen Ressort untersagen oder Anord- nungen erlassen, wenn der Hersteller der kritischen Komponente sich als nicht vertrau- enswürdig erwiesen hat.
(5) Ein Hersteller einer kritischen Komponente ist nicht vertrauenswürdig, wenn
1. er gegen die in der Garantieerklärung eingegangen Verpflichtungen und Versiche- rungen verstoßen hat,
2. seine in der Garantieerklärung angegebenen Tatsachen unwahr sind,
3. er Sicherheitsüberprüfungen und Penetrationsanalysen nicht im erforderlichen Umfang an seinem Produkt und in der Produktionsumgebung in angemessener Weise unterstützt,
4. er bekannte bzw. bekannt gewordene Schwachstellen oder Manipulationen nicht unverzüglich dem Betreiber der Kritischen Infrastruktur meldet und solche nicht beseitigt, oder
5. die kritische Komponente über technische Eigenschaften verfügt oder verfügt hat, die geeignet sind oder waren, missbräuchlich auf die Sicherheit, Integrität, Verfüg- barkeit oder Funktionsfähigkeit der Kritischen Infrastruktur einwirken zu können.
Ein Verstoß nach Nummer 5 liegt nicht vor, wenn der Hersteller nachweisen kann, dass er die technische Eigenschaft im Sinne von Nummer 5 nicht implementiert hat und er diese jeweils ordnungsgemäß beseitigt hat.
(6) Wurde nach Absatz 4 der Einsatz einer kritischen Komponente untersagt, kann das Bundesministerium des Innern, für Bau und Heimat im Einvernehmen mit dem be- troffenen Ressort ohne erneute Prüfung eines Herstellers nach Absatz 3
1. den angezeigten Einsatz weiterer kritischer Komponenten desselben Typs und desselben Herstellers untersagen und
2. die Nutzung im Einsatz befindlicher kritischer Komponenten desselben Typs und desselben Herstellers nach Ablauf einer angemessenen Frist untersagen.
(7) Bei wiederholter Feststellung nicht vorliegender Vertrauenswürdigkeit nach Ab- satz 5 Nummer 1 bis 3 kann das Bundesministerium des Innern, für Bau und Heimat den Einsatz aller kritischen Komponenten des Herstellers untersagen.
§ 9c
Freiwilliges IT-Sicherheitskennzeichen
(1) Das Bundesamt führt zur Information von Verbrauchern über die IT-Sicherheit von Produkten bestimmter vom Bundesamt festgelegter Produktkategorien ein einheit- liches IT-Sicherheitskennzeichen ein. Das IT-Sicherheitskennzeichen trifft keine Aus- sage über die den Datenschutz betreffenden Eigenschaften eines Produktes.
(2) Das IT-Sicherheitskennzeichen besteht aus
1. einer Zusicherung des Herstellers oder Diensteanbieters, dass das Produkt für eine festgelegte Dauer bestimmte IT-Sicherheitsanforderungen erfüllt (Hersteller- erklärung), und
2. einer Information des Bundesamtes über sicherheitsrelevante IT-Eigenschaften des Produktes (Sicherheitsinformation).
(3) Die IT-Sicherheitsanforderungen, auf die sich die Herstellererklärung bezieht, ergeben sich aus einer vom Bundesamt veröffentlichten Technischen Richtlinie, die die jeweilige Produktkategorie umfasst, sofern das Bundesamt eine solche Richtlinie be- reits veröffentlicht hat. Wird ein Produkt von mehr als einer Technischen Richtlinie um- fasst, richten sich die Anforderungen nach der jeweils spezielleren Technischen Richt- linie. Liegt für die jeweilige Produktkategorie keine Technische Richtlinie vor, ergeben sich die IT-Sicherheitsanforderungen aus branchenabgestimmten IT-Sicherheitsvorga- ben, sofern das Bundesamt festgestellt hat, dass diese Vorgaben geeignet sind, aus- reichende IT-Sicherheitsanforderungen für die Produktkategorie abzubilden. Ein An- spruch auf diese Feststellung besteht nicht. Die Dauer, für die der Hersteller oder Diensteanbieter die Erfüllung der IT-Sicherheitsanforderungen zusichert, wird durch Rechtsverordnung nach § 10 Absatz 3 geregelt. Die Rechtsverordnung kann vorsehen, dass die für die jeweilige Produktkategorie maßgebliche Technische Richtlinie oder die branchenabgestimmten IT-Sicherheitsvorgaben eine abweichende Dauer festlegen können.
(4) Das IT-Sicherheitskennzeichen darf für ein Produkt verwendet werden, nach- dem das Bundesamt das IT-Sicherheitskennzeichen für dieses Produkt freigegeben hat. Das Bundesamt prüft die Freigabe des IT-Sicherheitskennzeichens für ein Produkt auf Antrag des Herstellers oder Diensteanbieters. Dem Antrag sind die Herstellererklä- rung zu dem Produkt sowie alle Unterlagen beizufügen, die die Angaben in der Her- stellererklärung belegen. Das Bundesamt bestätigt den Eingang des Antrags und prüft die Plausibilität der Herstellererklärung anhand der beigefügten Unterlagen. Die Plau- sibilitätsprüfung kann auch durch einen vom Bundesamt beauftragten qualifizierten Dritten erfolgen. Für die Antragsbearbeitung kann das Bundesamt eine Verwaltungs- gebühr erheben.
(5) Das Bundesamt erteilt die Freigabe des IT-Sicherheitskennzeichens für das jeweilige Produkt, wenn
1. das Produkt zu einer der Produktkategorien gehört, die das Bundesamt durch im Bundesanzeiger veröffentlichte Allgemeinverfügung bekannt gegeben hat,
2. die Herstellererklärung plausibel und durch die beigefügten Unterlagen ausrei- chend belegt ist und
3. die gegebenenfalls erhobene Verwaltungsgebühr beglichen wurde.
Die Erteilung der Freigabe erfolgt schriftlich und innerhalb einer angemessenen Frist, die in der Rechtsverordnung nach § 10 Absatz 3 bestimmt wird. Den genauen Ablauf des Antragsverfahrens und die beizufügenden Unterlagen regelt die Rechtsverordnung nach § 10 Absatz 3.
(6) Hat das Bundesamt die Freigabe erteilt, ist das Etikett des IT-Sicherheitskenn- zeichens auf dem jeweiligen Produkt oder auf dessen Umverpackung anzubringen, so- fern dies nach der Beschaffenheit des Produktes möglich ist. Das IT-Sicherheitskenn- zeichen kann auch elektronisch veröffentlicht werden. Wenn nach der Beschaffenheit des Produktes das Anbringen nicht möglich ist, muss die Veröffentlichung des IT-Si- cherheitskennzeichens elektronisch erfolgen. Das Etikett des IT-Sicherheitskennzei- chens verweist auf eine Internetseite des Bundesamtes, auf der die Herstellererklärung
und die Sicherheitsinformationen abrufbar sind. Das genaue Verfahren und die Gestal- tung des Verweises sind in der Rechtsverordnung nach § 10 Absatz 3 festzulegen.
(7) Nach Ablauf der festgelegten Dauer nach Absatz 3 Satz 5 oder 6 oder Rück- nahmeerklärung des Herstellers oder Diensteanbieters gegenüber dem Bundesamt er- lischt die Freigabe. Das Bundesamt nimmt einen Hinweis auf das Erlöschen der Frei- gabe in die Sicherheitsinformation auf.
(8) Das Bundesamt kann prüfen, ob die Anforderungen an die Freigabe des IT- Sicherheitskennzeichens für ein Produkt eingehalten werden. Werden bei der Prüfung Abweichungen von der abgegebenen Herstellererklärung oder Sicherheitslücken fest- gestellt, kann das Bundesamt die geeigneten Maßnahmen treffen, insbesondere kann es
1. Informationen über die Abweichungen oder Sicherheitslücken in geeigneter Weise in der Sicherheitsinformation veröffentlichen oder
2. die Freigabe des IT-Sicherheitskennzeichens widerrufen.
Absatz 7 Satz 2 gilt entsprechend.
(9) Bevor das Bundesamt eine Maßnahme nach Absatz 8 trifft, räumt es dem Her- steller oder Diensteanbieter Gelegenheit ein, die festgestellten Abweichungen oder Si- cherheitslücken innerhalb eines angemessenen Zeitraumes zu beseitigen, es sei denn, gewichtige Gründe der Sicherheit der Produkte erfordern eine sofortige Maßnahme. Die Befugnis des Bundesamtes zur Warnung nach § 7 bleibt davon unberührt.“
20. § 10 wird wie folgt geändert:
a) Nach Absatz 2 wird folgender Absatz 3 eingefügt:
„(3) Das Bundesministerium des Innern, für Bau und Heimat bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, nach An- hörung der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundes- ministerium für Wirtschaft und Energie und dem Bundesministerium der Justiz und für Verbraucherschutz, Einzelheiten der Gestaltung, des Inhalts und der Verwen- dung des IT-Sicherheitskennzeichens nach § 9a Absatz 1 Satz 1, um eine einheit- liche Gestaltung des Kennzeichens und eine eindeutige Erkennbarkeit der gekenn- zeichneten informationstechnischen Produkte zu gewährleisten. Die Einzelheiten des Verfahrens zur Feststellung der Eignung branchenabgestimmter IT-Sicher- heitsvorgaben und des Antragsverfahrens auf Freigabe einschließlich der diesbe- züglichen Fristen, der beizufügenden Unterlagen und der Verwaltungsgebühren sowie das Verfahren und die Gestaltung des Verweises auf Sicherheitsinformatio- nen werden ebenfalls durch eine Rechtsverordnung geregelt.“
b) Nach Absatz 4 wird folgender Absatz 5 angefügt:
„(5) Das Bundesministerium des Innern, für Bau und Heimat bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, nach An- hörung von Vertretern der Wissenschaft, der betroffenen Betreiber und der be- troffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium der Justiz und für Verbraucher- schutz, dem Bundesministerium für Verkehr und digitale Infrastruktur, dem Bun- desministerium der Verteidigung und dem Bundesministerium für Umwelt, Natur- schutz und nukleare Sicherheit, bei welchen Unternehmen ein besonderes öffent- liches Interesse nach § 2 Absatz 14 Nummer 2 besteht.“
21. § 11 wird wie folgt gefasst:
„§ 11
Einschränkung von Grundrechten
Das Fernmeldegeheimnis (Artikel 10 des Grundgesetzes) wird durch die §§ 4a, 5, 5a, 5b, 5c Absatz 2, 7b und 7c eingeschränkt. Das Grundrecht der Unverletzlichkeit der Wohnung (Artikel 13 des Grundgesetzes) wird durch § 9a Absatz 5 eingeschränkt.“
22. § 14 wird wie folgt gefasst:
„§ 14
Bußgeldvorschriften
(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1. einer vollziehbaren Anordnung nach
a) § 5b Absatz 6, § 7c Absatz 1 Satz 1 Nummer 1 oder Nummer 2 oder Absatz 3,
§ 7d, § 8a Absatz 3 Satz 5, § 8b Absatz 6 Satz 1 in Verbindung mit Absatz 4 Satz 1 Nummer 2, § 8b Absatz 6 Satz 2 in Verbindung mit Absatz 4 Satz 1
Nummer 2, § 8c Absatz 4 Satz 1 Nummer 2, oder
b) § 7a Absatz 2 Satz 1, § 8b Absatz 6 Satz 1 in Verbindung mit Absatz 4 Satz 1 Nummer 1, § 8b Absatz 6 Satz 2 in Verbindung mit Absatz 4 Satz 1 Nummer 1, § 8c Absatz 4 Satz 1 Nummer 1
zuwiderhandelt,
2. entgegen § 8a Absatz 1 Satz 1, Absatz 1a oder Absatz 1b eine dort genannte Vorkehrung oder Maßnahme nicht, nicht richtig, nicht vollständig oder nicht recht- zeitig trifft,
3. entgegen § 8a Absatz 3 Satz 1 einen Nachweis nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erbringt,
4. entgegen § 8a Absatz 4 Satz 2 das Betreten eines dort genannten Raums nicht gestattet, eine dort genannte Unterlage nicht oder nicht rechtzeitig vorlegt, oder eine Auskunft nicht, nicht richtig nicht vollständig oder nicht rechtzeitig erteilt oder die sonst erforderliche Unterstützung nicht oder nicht rechtzeitig gewährt,
5. entgegen § 8b Absatz 3 Satz 1 eine Kontaktstelle nicht oder nicht rechtzeitig be- nennt oder eine Registrierung nicht oder nicht rechtzeitig vornimmt,
6. entgegen § 8b Absatz 3 Satz 4 nicht sicherstellt, dass er erreichbar ist,
7. einer vollziehbaren Anordnung nach § 8b Absatz 3a Satz 1 zuwiderhandelt,
8. entgegen § 8b Absatz 4 Satz 1 Nummer 1 oder 2 oder § 8c Absatz 3 Satz 1 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht,
9. entgegen § 8c Absatz 1 Satz 1 eine dort genannte Maßnahme nicht trifft,
10. entgegen § 8f Absatz 1 in Verbindung mit Absatz 4 eine Selbsterklärung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vorlegt,
11. entgegen § 8f Absatz 5 Satz 1 eine Registrierung nicht, nicht vollständig oder nicht rechtzeitig vornimmt oder eine Stelle nicht oder nicht rechtzeitig benennt,
12. entgegen § 8f Absatz 7 Satz 1 Nummer 1 oder Nummer 2 oder Absatz 8 Satz 1 Nummer 1 oder Nummer 2 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht,
13. entgegen § 9a Absatz 2 ohne Befugnis als Konformitätsbewertungsstelle tätig wird,
14. entgegen § 9a Absatz 6 ein nicht gültiges Cybersicherheitszertifikat verwendet,
15. entgegen § 9c Absatz 4 Satz 1 das IT-Sicherheitskennzeichen ohne Freigabe für ein Produkt verwendet,
16. entgegen Artikel 53 Absatz 2 der Verordnung (EU) 2019/881 eine EU-Konformi- tätserklärung für eines der in Artikel 53 Absatz 2 der Verordnung (EU) 2019/881 genannten Produkte, Dienste oder Prozesse ausstellt, das den im maßgeblichen Schema festgelegten Anforderungen nicht entspricht oder eine solche EU-Konfor- mitätserklärung verwendet,
17. entgegen Artikel 55 Absatz 1 Buchstaben a, b, c und d der Verordnung (EU) 2019/881 die dort genannten Angaben nicht binnen eines Monats nach Ausstel- lung der Öffentlichkeit richtig und vollständig zugänglich macht,
18. entgegen Artikel 56 Absatz 8 Satz 1 der Verordnung (EU) 2019/881 nicht unver- züglich, richtig und vollständig informiert.
(2) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 1 Nummer 1 Buch- stabe a, Nummern 2, 9, 13, 14, 16, 17 und 18 mit einer Geldbuße bis zu 2 Millionen Euro geahndet werden, auf § 30 Absatz 2 Satz 3 des Gesetzes über Ordnungswidrig- keiten wird verwiesen. Die Ordnungswidrigkeit kann in den Fällen des Absatzes 1 Num- mer 1 Buchstabe b und Nummern 3, 5, 8, 10, 11, 12 und 15 mit einer Geldbuße bis zu 1 Million Euro geahndet werden. In den übrigen Fällen kann die Ordnungswidrigkeit mit einer Geldbuße bis zu 100.000 Euro geahndet werden.
(3) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist das Bundesamt.
(4) Gegen Körperschaften gemäß § 29 des Vierten Buches Sozialgesetzbuch, Ar- beitsgemeinschaften gemäß § 94 des Zehnten Buches Sozialgesetzbuch sowie die Deutsche Post AG, soweit sie mit der Berechnung oder Auszahlung von Sozialleistun- gen betraut ist (Institutionen der Sozialen Sicherung), werden keine Geldbußen ver- hängt. Bei Ordnungswidrigkeiten nach Absatz 1 von Institutionen der Sozialen Siche- rung in Trägerschaft des Bundes stellt das Bundesamt das Einvernehmen über die zu ergreifenden Maßnahmen mit der für die Institution zuständigen Aufsichtsbehörde her. Bei Ordnungswidrigkeiten nach Absatz 1 von Institutionen der Sozialen Sicherung in Trägerschaft der Länder informiert das Bundesamt die zuständige Aufsichtsbehörde und schlägt geeignete Maßnahmen vor. Die jeweils zuständige Aufsichtsbehörde infor- miert das Bundesamt über die Einleitung und Umsetzung von Aufsichtsmitteln und sorgt für deren Durchsetzung.“
Änderungen des Telekommunikationsgesetzes
Das Telekommunikationsgesetz vom 3. Mai 2013 (BGBl. I S. 1084), das zuletzt durch Artikel 319 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht werden bei der Angabe zu § 109 hinter dem Wort „technische“ die Wörter „und organisatorische“ eingefügt.
2. § 109 wird wie folgt geändert:
a) In der Überschrift werden nach dem Wort „technische“ die Wörter „und organisa- torische“ eingefügt.
b) Absatz 2 wird wie folgt geändert:
aa) In Absatz 2 Satz 2 werden nach dem Wort „Nutzer“ ein Komma und die Wörter
„für Dienste“ eingefügt.
bb) Nach Absatz 2 Satz 3 wird folgender Satz eingefügt:
„Kritische Komponenten im Sinne des § 2 Absatz 13 BSIG dürfen nur einge- setzt werden, wenn sie von einer anerkannten Prüfstelle überprüft und von einer anerkannten Zertifizierungsstelle zertifiziert wurden.“
cc) In dem neuen Satz 9 wird die Angabe „§ 11“ durch die Angabe „§ 62“ ersetzt.
c) Absatz 4 Satz 1 Nummer 3 wird wie folgt gefasst:
„3. welche technischen Vorkehrungen oder sonstigen Schutzmaßnahmen zur Er- füllung der durch die Vorgaben des Katalogs von Sicherheitsanforderungen nach Absatz 6 konkretisierten Verpflichtungen aus den Absätzen 1 und 2 getroffen oder geplant sind; sofern der Katalog lediglich Sicherheitsziele vorgibt, ist darzulegen, dass mit den ergriffenen Maßnahmen das jeweilige Sicherheitsziel vollumfänglich erreicht wird.“
d) In Absatz 5 Satz 5 und Satz 8 werden jeweils die Wörter „Europäische Agentur für Netz- und Informationssicherheit“ durch die Wörter „Agentur der Europäischen Union für Cybersicherheit“ ersetzt.
e) Absatz 6 wird wie folgt geändert: aa) Satz 1 wird wie folgt gefasst:
„Die Bundesnetzagentur legt im Einvernehmen mit dem Bundesamt für Si- cherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit durch Verfügung in einen Kata- log von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezo- gener Daten fest:
1. Einzelheiten der nach den Absätzen 1 und 2 zu treffenden technischen Vorkehrungen und sonstigen Maßnahmen unter Beachtung der verschie- denen Gefährdungspotenziale der öffentlichen Telekommunikationsnetze und öffentlich zugänglichen Telekommunikationsdienste,
2. Vorgaben zur Bestimmung der kritischen Komponenten im Sinne von § 2 Absatz 13 BSIG sowie
3. wer als Betreiber öffentlicher Telekommunikationsnetze mit erhöhtem Ge- fährdungspotenzial einzustufen ist.“
bb) Nach Satz 2 wird folgender Satz eingefügt:
„Die nach den Absätzen 1, 2 und 4 Verpflichteten haben die Vorgaben des Katalogs spätestens ein Jahr nach dessen Inkrafttreten zu erfüllen, es sei denn, in dem Katalog ist eine davon abweichende Umsetzungsfrist festgelegt worden.“
f) Absatz 7 wird wie folgt geändert:
aa) Nach Satz 1 werden die folgenden Sätze eingefügt:
„Unbeschadet von Satz 1 haben sich Betreiber öffentlicher Telekommunikati- onsnetze mit erhöhtem Gefährdungspotenzial alle zwei Jahre einer Überprü- fung durch eine qualifizierte unabhängige Stelle oder eine zuständige natio- nale Behörde zu unterziehen, in der festgestellt wird, ob die Anforderungen nach den Absätzen 1 bis 3 erfüllt sind. Die Bundesnetzagentur legt den Zeit- punkt der erstmaligen Überprüfung nach Satz 2 fest.“
bb) In dem neuen Satz 4 wird nach der Angabe „Satz 1“ die Angabe „und 2“ ein- gefügt und nach dem Wort „Bundesnetzagentur“ die Wörter „und an das Bun- desamt für Sicherheit in der Informationstechnik, sofern dieses die Überprü- fung nicht vorgenommen hat“ und ein Komma eingefügt.
cc) Nach dem neuen Satz 5 wird folgender Satz eingefügt:
„Die Bewertung der Überprüfung sowie eine diesbezügliche Feststellung von Sicherheitsmängeln im Sicherheitskonzept erfolgt durch die Bundesnetzagen- tur im Einvernehmen mit dem Bundesamt für Sicherheit in der Informations- technik.“
3. § 113 Absatz 3 wird wie folgt geändert:
a) In Nummer 3 wird der Punkt durch ein Semikolon ersetzt.
b) Der Nummer 3 wird folgende Nummer 4 angefügt:
„4. das Bundesamt für die Sicherheit in der Informationstechnik.“
Änderung des Telemediengesetzes
Das Telemediengesetz vom 26. Februar 2007 (BGBl. I S. 179), das zuletzt durch Artikel 11 des Gesetzes vom 11. Juli 2019 (BGBl. I S. 1066) geändert worden ist, wird wie folgt geändert:
1. Nach § 15c wird folgender § 15d eingefügt:
„§ 15d
Meldepflicht bei unrechtmäßiger Übermittlung oder unrechtmäßiger Kenntniserlan- gung von Daten
(1) Diensteanbieter unterrichten unverzüglich das Bundeskriminalamt als Zentral- stelle für das polizeiliche Auskunfts- und Nachrichtenwesen und für die Kriminalpolizei, wenn konkrete Anhaltspunkte die Annahme rechtfertigen, dass durch die Begehung einer Straftat nach § 202a, § 202b oder § 202c StGB oder zur Begehung einer Straftat nach § 202d StGB eine unrechtmäßige Übermittlung oder unrechtmäßige Kenntniser- langung von Daten erfolgte und eine große Zahl von Personen, einen Datenbestand von großem Ausmaß oder einen Datenbestand von Behörden oder Einrichtungen des Bundes oder deren Mitgliedern oder sicherheitsempfindlicher Stellen von lebenswich- tigen Einrichtungen, bei deren Ausfall oder Zerstörung eine erhebliche Bedrohung für die Gesundheit oder das Leben von Menschen zu befürchten ist oder die für das Funk- tionieren des Gemeinwesens unverzichtbar sind, oder fremde Geheimnisse, nament- lich Betriebs- oder Geschäftsgeheimnisse, betrifft. § 7 Absatz 2 bleibt unberührt.
(2) Die Übermittlung nach Absatz 1 an das Bundeskriminalamt muss enthalten:
1. den Inhalt,
2. sofern vorhanden, die für eine retrograde Identifizierung des jeweiligen Anschlus- sinhabers erforderlichen Daten, insbesondere die IP-Adresse einschließlich der Portnummer und des Zeitstempels, die genutzt wurden, um die Kenntnisnahme oder Datenübermittlung nach Absatz 1 zu veranlassen unter Angabe der zu Grunde liegenden Zeitzone.
Die Übermittlung an das Bundeskriminalamt hat in elektronischer, weiterverwertbarer, vom Bundeskriminalamt vorgegebener Form zu erfolgen. Wer mehr als 100.000 Kun- den hat, hat für die Übermittlung der Benachrichtigung an das Bundeskriminalamt eine gesicherte, elektronische Schnittstelle bereitzuhalten und zu nutzen.“
2. In § 16 Absatz 2 wird in Nummer 5 der Punkt durch ein Komma ersetzt und der Nummer 5 die folgende Nummer 6 angefügt:
„6. Entgegen § 15d das Bundeskriminalamt nicht unverzüglich von der unrechtmäßigen Übermittlung oder unrechtmäßigen Kenntniserlangung unterrichtet.“
Änderung des Gesetzes über die Elektrizitäts- und
Gasversor- gung (EnWG)
In § 11 des Gesetzes über die Elektrizitäts- und Gasversorgung vom 7. Juli 2015 (BGBl. I S. 1970, S. 3621), zuletzt geändert durch Artikel 4 des Gesetzes vom 8. August 2020 (BGBl. I S. 1818), werden nach Absatz 1c die folgenden Absätze 1d bis 1f eingefügt:
„(1d) Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes als Kritische Infrastruktur bestimmt wurden, haben spätestens ein Jahr nach Inkrafttre- ten dieses Gesetzes in ihren informationstechnischen Systemen, Komponenten oder Prozessen, die für die Funktionsfähigkeit der von ihnen betriebenen Energieversor- gungsnetze oder Energieanlagen maßgeblich sind, in angemessener Weise Systeme zur Angriffserkennung einzusetzen. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter bzw. Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwäh- rend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störun- gen geeignete Beseitigungsmaßnahmen vorsehen. Dabei soll der Stand der Technik eingehalten werden. Der Einsatz von Systemen zur Angriffserkennung ist angemes- sen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den möglichen Folgen eines Ausfalls oder einer Beeinträchtigung des betroffenen Energieversor- gungsnetzes oder der betroffenen Energieanlage steht.
(1e) Nach Absatz 1d Verpflichtete müssen für die Angriffserkennung und -nach- verfolgung relevante nicht personenbezogene Daten, die beim Betrieb eines Energie- versorgungsnetzes oder einer Energieanlage anfallen, mindestens vier Jahre spei- chern.
(1f) Betreiber von Energieversorgungsnetzen und Energieanlagen, die durch In- krafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes als Kritische Infrastruktur bestimmt wurden, haben dem Bundesamt für Sicherheit in der Informati- onstechnik erstmalig ein Jahr nach Inkrafttreten dieses Gesetzes und danach alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1d auf geeignete Weise nachzu- weisen. Das Bundesamt für Sicherheit in der Informationstechnik hat die hierfür einge- reichten Nachweisdokumente unverzüglich an die Bundesnetzagentur weiterzuleiten. Das Bundesamt für Sicherheit in der Informationstechnik und die Bundesnetzagentur haben sicherzustellen, dass die unbefugte Offenbarung der ihnen nach Satz 1 zur Kenntnis gelangten Angaben ausgeschlossen wird. Das Bundesamt für Sicherheit in der Informationstechnik kann bei Mängeln in der Umsetzung der Anforderungen nach Absatz 1d oder in den Nachweisdokumenten nach Satz 1 im Einvernehmen mit der Bundesnetzagentur die Beseitigung der Mängel verlangen.“
Änderung der Außenwirtschaftsverordnung
§ 55 Absatz 1 der Außenwirtschaftsverordnung vom 2. August 2013 (BGBl. I S. 2865), die zuletzt durch Artikel 1 der Verordnung vom 26. Oktober 2020 (BAnz AT 28.10.2020 VI) geändert worden ist, wird wie folgt geändert:
1. Nach Nummer 1 wird folgende Nummer 2 eingefügt:
„ 2.
kritische Komponenten im Sinne des § 2 Absatz 13 des BSI-Gesetzes entwickelt oder herstellt,“.
2. Die bisherigen Nummern 2 bis 11 werden die Nummern 3 bis 12.
Änderung des Zehnten Buches Sozialgesetzbuch
In § 67c Absatz 3 Satz 1 des Zehnten Buches Sozialgesetzbuch – Sozialverwaltungs- verfahren und Sozialdatenschutz – in der Fassung der Bekanntmachung vom 18. Januar 2001 (BGBl. I S. 130), das zuletzt durch Artikel 8 des Gesetzes vom 12. Juni 2020 (BGBl. I
S. 1248) geändert worden ist, werden nach dem Wort „Verantwortlichen“ die Wörter „oder für die Wahrung oder Wiederherstellung der Sicherheit und Funktionsfähigkeit eines infor- mationstechnischen Systems durch das Bundesamt für Sicherheit in der Informationstech- nik“ eingefügt.
(1) Die §§ 2 Absatz 10, 8a, 8b, 8d und 8e sowie 10 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (Artikel 1) sind zum 31. Dezember 2022 unter Ein- beziehung eines wissenschaftlichen Sachverständigen, der im Einvernehmen mit dem deutschen Bundestag bestellt wird, zu evaluieren.
(2) Der Artikel 10 des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I S. 1324) ist aufgehoben.
Dieses Gesetz tritt am Tag nach der Verkündung in Kraft.
I.
Zielsetzung und Notwendigkeit der Regelungen
Bereits in der vergangenen Legislaturperiode wurden verschiedene Vorhaben zur Erhö- hung der IT-Sicherheit umgesetzt. Hervorzuhaben ist das erste Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), das im Jahr 2015 ver- kündet wurde. Ergänzt wurde dieses Gesetz durch die BSI-Kritisverordnung und die Um- setzung der EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsa- men Sicherheitsniveaus von Netz- und Informationssystemen (NIS-Richtlinie).
Maßnahmen zur Gewährleistung von Cyber-Sicherheit können jedoch nicht statisch sein. Ein ausreichendes Schutzniveau heute ist kein Garant für adäquate Schutzmechanismen und die erfolgreiche Abwehr von Angriffen morgen. Eine ständige Anpassung und Weiter- entwicklung der Abwehrstrategien ist daher erforderlich. Entsprechend dem Auftrag aus dem Koalitionsvertrag für die 19. Legislaturperiode, Zeile 1969 ff., wird daher das IT-Sicher- heitsgesetz fortgeschrieben und der Ordnungsrahmen erweitert, um neuen Gefährdungen angemessen zu begegnen. Die Anpassungen bestehender Regelungen und die Schaffung neuer Regelungen dienen dem Schutz von Staat, Wirtschaft und Gesellschaft.
Das Gesetz basiert auf Erfahrungen mit der Anwendung der im ersten IT-Sicherheitsgesetz geregelten Befugnisse sowie weiteren Erkenntnissen, z.B. aus Cyber-Angriffen und ande- ren Sicherheitsvorfällen. Diese betreffen Staat, Wirtschaft und Gesellschaft gleichermaßen. Wesentlicher Inhalt des Gesetzentwurfs ist:
– Die besonders hohen Sicherheitsanforderungen an die Kommunikationstechnik der Bundesverwaltung erfordern eine effektive und schnelle Prüf- und Kontrollmöglichkeit. Zu diesem Zweck werden dem Bundesamt weitere Kontrollbefugnisse eingeräumt und die Verarbeitung von Daten ermöglicht, die für die Bewertung der Netz- und Informati- onssicherheit von Bedeutung sein können. Pseudonymisierte Protokolldaten können künftig über einen Zeitraum von maximal zwölf Monaten gespeichert werden, da Cyber- Vorfälle in der Vergangenheit gezeigt haben, dass sich Angriffe oft über einen mehr- jährigen Zeitraum erstrecken können. Veränderte Angriffsszenarien haben es zudem erforderlich gemacht, dass der Begriff der Protokollierungsdaten aufgenommen wird. Diese helfen bei der Erkennung von Schadsoftware. Darüber hinaus werden die Ver- bindlichkeit der Mindeststandards und der Adressatenkreis erweitert. Neben den Stel- len des Bundes gelten die Mindeststandards künftig auch für IT-Dienstleister, die Dienstleistungen für die Kommunikationstechnik des Bundes erbringen. So soll bei je- der Einrichtung des Bundes ein einheitliches IT-Sicherheitsniveau gewährleistet wer- den.
– Außerdem kann das BSI künftig Auskunft über Bestandsdaten verlangen, um mittels einer IP-Adresse Betreiber Kritischer Infrastrukturen, Unternehmen im besonderen öf- fentlichen Interesse und Anbieter Digitaler Dienste über Sicherheitslücken informieren zu können, sofern erhebliche Schäden in informationstechnischen Systemen, die auf- grund ihrer gesellschaftlichen Bedeutung besonders schutzwürdig sind, drohen.
– Das BSI erhält die Befugnis, Sicherheitslücken an den Schnittstellen informationstech- nischer Systeme zu öffentlichen Telekommunikationsnetzen zu detektieren (sog. Port- scans). Damit soll dem BSI ermöglicht werden, unter bestimmten Voraussetzungen nach Sicherheitslücken zu suchen und die Betroffenen zu informieren, damit diese die Sicherheitslücken schließen. Darüber hinaus darf das BSI künftig Systeme und Verfah- ren zur Analyse von Schadprogrammen und Angriffsmethoden einsetzen (Honeypots). Wird das System von einer Schadsoftware infiziert, ist es dem BSI durch Analyse des Systems möglich, insbesondere Art, Funktionsweise und Infektionsweg nachzuvollzie- hen. Diese Erkenntnis kann genutzt werden, um Nutzer informationstechnischer Sys- teme im Rahmen der gesetzlichen Aufgaben des Bundesamtes zu warnen und Sys- teme Kritischer Infrastrukturen oder des Bundes geeignet zu schützen.
– Mit dem Gesetz wird zudem eine Anordnungsbefugnis des BSI gegenüber Telekom- munikations- und Telemediendiensteanbietern zur Abwehr spezifischer Gefahren für die Informationssicherheit geschaffen. Diese müssen die erforderlichen technischen und organisatorischen Maßnahmen ergreifen, um einen ordnungsgemäßen Zustand ihrer Angebote wiederherzustellen, wenn diese Angebote unzureichend gesichert sind.
– Die bestehenden Meldepflichten und verpflichtenden Mindeststandards für Betreiber Kritischer Infrastruktur werden auf weitere Teile der Wirtschaft ausgeweitet. Neben Kri- tischen Infrastrukturen gibt es weitere Unternehmen, die von besonderem öffentlichen Interesse sind: hierzu zählen Unternehmen der Rüstungsindustrie, Unternehmen, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung ha- ben sowie Unternehmen, die der Regulierung durch die Störfallanordnung unterfallen. Durch eine Rechtsverordnung wird konkretisiert werden, welche Unternehmen eine be- sondere volkswirtschaftliche Bedeutung haben.
– Kritische Infrastrukturen sind auf Grund der voranschreitenden Digitalisierung und der damit einhergehenden Vernetzung oft auf Komponenten angewiesen, die von hoher Kritikalität sind, weil Störungen ebendieser zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit oder Integrität der Kritischen Infrastrukturen – etwa der öffentlichen Telekommunikationsnetze – führen können. Für derartige kriti- sche Komponenten wird die Möglichkeit geschaffen, durch eine umfassende Prüfmög- lichkeit deren Einsatz ggf. auch vorab untersagen zu können, soweit überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange diesem entgegen- stehen. Ferner werden über eine verpflichtende Garantieerklärung bestimmte Maßnah- men von den Herstellern der kritischen Komponenten eingefordert, welche den laufen- den Betrieb der Komponenten betreffen.
– Zum Schutz der Bürgerinnen und Bürger wird der Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des BSI ergänzt. Das BSI wird als un- abhängige und neutrale Beratungsstelle für Fragen der IT-Sicherheit etabliert; u.a. soll das BSI-Angebot um eine Verbraucherschutz-Onlineplattform ergänzt werden.
– Zum Schutz der Bürgerinnen und Bürger werden außerdem die Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen geschaffen, welches die IT-Sicherheit von Produkten erstmals sichtbar macht. Hierdurch wird eine besser fundierte Kaufentschei- dung ermöglicht. Außerdem wird Verbraucherschutz als zusätzliche Aufgabe des BSI gesetzlich etabliert.
– Das Bußgeldregime des BSIG wird insgesamt überarbeitet. Die Bußgeldtatbestände werden überarbeitet und ergänzt und so ausgestaltet, dass sie europarechtlichen An- forderungen genügen. Der Bußgeldrahmen wurde erhöht; auf diesem Wege werden auch Wertungswidersprüche bei Verstößen gegen die DSGVO und die NIS-Richtlinie behoben.
– Eingeführt wird schließlich für Telemediendiensteanbieter die Verpflichtung, Fälle von rechtswidrig verbreiteten Daten an das Bundeskriminalamt als Zentralstelle zu melden. Abgestellt wird auf ein strafbares Verhalten nach §§ 202a bis 202d des Strafgesetzbu- ches sowie die Betroffenheit einer großen Zahl von Personen, eines Datenbestands von großem Ausmaß oder eines Datenbestands von Behörden oder Einrichtungen des Bundes oder deren Mitgliedern oder sicherheitsempfindlicher Stellen von lebenswich- tigen Einrichtungen, bei deren Ausfall oder Zerstörung ein erhebliche Bedrohung für die Gesundheit oder das Leben von Menschen zu befürchten ist oder die für das Funk- tionieren des Gemeinwesens unverzichtbar sind.
Keine.
Für die Änderungen des BSIG (Artikel 1), die den rein technischen Schutz der Informati- onstechnik von und für Unternehmen und sonstige Einrichtungen im besonderen öffentliche Interesse betreffen, folgt die Gesetzgebungskompetenz des Bundes aus Artikel 73 Absatz 1 Nummer 7 (Telekommunikation) Grundgesetz (GG) sowie aus Artikel 74 Absatz 1 Num- mer 11 GG (Recht der Wirtschaft, einschließlich gefahrenabwehrrechtlicher Annexkompe- tenz) in Verbindung mit Artikel 72 Absatz 2 GG.
Die gefahrenabwehrrechtliche Annexkompetenz besteht für die Anordnungsbefugnisse des Bundesamtes für Sicherheit in der Informationstechnik (Bundesamt) gegenüber Telekom- munikations- und Telemediendiensteanbietern mit Blick auf die Notwendigkeit der näheren Überwachung der im Telekommunikationsgesetz sowie im Telemediengesetz verankerten gewerberechtlichen Pflichten dieser Anbieter. Hier ist zur Aufrechterhaltung sicherer IT- Strukturen und -anwendungen eine bundesweit einheitliche Gefahrenabwehr erforderlich.
Für Änderungen, welche die Befugnisse des Bundesamtes zum Schutz der Bundesverwal- tung erweitern, hat der Bund eine Gesetzgebungskompetenz kraft Natur der Sache.
Die Zuständigkeit des Bundes für Regelungen zur bundesweiten Information einschließlich eventueller Empfehlungen und Warnungen von Verbraucherinnen und Verbrauchern auf dem Gebiet der Informationssicherheit folgt mit Blick auf die gesamtstaatliche Verantwor- tung der Bundesregierung ebenfalls aus der Natur der Sache (Staatsleitung), denn Fragen zur Sicherheit in der Informationstechnik haben bei stetig zunehmender Digitalisierung und Vernetzung aller Lebensbereiche regelmäßig überregionale Auswirkungen. Der Bund hat darüber hinaus die ausschließliche Gesetzgebungskompetenz nach Artikel 73 Absatz 1 Nummer 8 GG für die Rechtsverhältnisse der im Dienst des Bundes und der bundesunmit- telbaren Körperschaften des öffentlichen Rechts stehenden Personen.
Die Änderungen des Telekommunikationsgesetzes (TKG) in Artikel 2 beruhen auf der Ge- setzgebungskompetenz des Bundes aus Artikel 73 Absatz 1 Nummer 7 GG und auf Artikel 74 Absatz 1 Nummer 11 GG (Recht der Wirtschaft) in Verbindung mit Artikel 72 Absatz 2 GG.
Die Gesetzgebungskompetenz des Bundes für die Regelungen der Bußgeldvorschriften und Ordnungswidrigkeiten in den Artikeln 1 und 2 folgt aus Artikel 74 Absatz 1 Nummer 1 GG (Strafrecht).
Die Gesetzgebungskompetenz für die Änderung des Telemediengesetzes (TMG) in Artikel 3 ergibt sich aus der Gesetzgebungskompetenz für das Recht der Wirtschaft (Artikel 74 Absatz 1 Nummer 11 GG) in Verbindung mit Artikel 72 Absatz 2 GG.
Soweit die Regelungen auf Artikel 74 Absatz 1 Nummer 11 GG beruhen, ist eine bundes- gesetzliche Regelung zur Wahrung der Wirtschaftseinheit im Bundesgebiet im gesamtstaat- lichen Interesse erforderlich (vgl. Artikel 72 Absatz 2 GG). Eine Regelung durch den Lan- desgesetzgeber würde zu erheblichen Nachteilen für die Gesamtwirtschaft führen, die so- wohl im Interesse des Bundes als auch der Länder nicht hingenommen werden können. Insbesondere wäre zu befürchten, dass unterschiedliche landesrechtliche Behandlungen gleicher Lebenssachverhalte, z. B. unterschiedliche Voraussetzungen für die Vergabe von Sicherheitszertifikaten, erhebliche Wettbewerbsverzerrungen und störende Schranken für die innerdeutsche Wirtschaftstätigkeit zur Folge hätten. Internationale Abkommen zur ge- genseitigen Anerkennung von IT-Sicherheitszertifikaten setzen voraus, dass in jedem Staat nur eine hoheitliche Zertifizierungsstelle existiert.
Der Gesetzentwurf ist mit dem Recht der Europäischen Union und völkerrechtlichen Ver- trägen vereinbar. Er ergänzt die Umsetzung der Richtlinie (EU) 2016/1148 des Europäi- schen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union.
1. Rechts- und Verwaltungsvereinfachung
Der Gesetzentwurf trägt zur Rechts- und Verwaltungsvereinfachung bei, indem er die Pflichten und Rechte des Bundesamtes für Sicherheit in der Informationstechnik schärft und somit dazu beiträgt die jeweiligen Verantwortungen klarzustellen. Durch einheitliche Min- deststandards für die IT der öffentlichen Bundesverwaltung wird zudem ein einheitliches Niveau an IT-Sicherheit geschaffen.
Der Gesetzentwurf steht im Einklang mit dem Leitprinzip der Bundesregierung zur nachhal- tigen Entwicklung hinsichtlich Lebensqualität und sozialem Zusammenhalt. Der Geset- zesentwurf folgt den Leitgedanken der Bundesregierung zur Berücksichtigung der Nach- haltigkeit, indem zur Stärkung von Lebensqualität ein hohes Niveau an Cyber-Sicherheit in Deutschland geschaffen wird. Der verbesserte Schutz kritischer Infrastrukturen gewährleis- tet ein hohes Maß an Versorgungssicherheit der Bürgerinnen und Bürger und verbessert den sozialen Zusammenhalt und die gleichberechtigte Teilhabe an der wirtschaftlichen Ent- wicklung im Sinne der Deutschen Nachhaltigkeitsstrategie. Der Gesetzentwurf wurde unter Berücksichtigung der Prinzipien der nachhaltigen Entwicklung im Hinblick auf die Nachhal- tigkeit geprüft. Hinsichtlich seiner Wirkungen entspricht er insbesondere den Indikatoren 2.2, 6.2 und 16.2 der Deutschen Nachhaltigkeitsstrategie, indem ein sicheres Leben für alle Menschen jeden Alters gewährleistet und ihr Wohlergehen gefördert werden.
Keine.
a.
Erfüllungsaufwand für die Bürgerinnen und Bürger
Für die Bürgerinnen und Bürger entsteht kein Erfüllungsaufwand.
Der Erfüllungsaufwand für die Wirtschaft ist nur unter hoher Unsicherheit quantifizierbar. Da die Entwicklung der IT-Strukturen sowie möglicher Bedrohungen kaum abzuschätzen sind und teilweise noch konkretisierende Rechtsnormen ausstehen, können nur grobe An- haltspunkte für den Erfüllungsaufwand benannt werden. Zur Schätzung wurden in Erman- gelung empirischer Daten in großem Umfang Annahmen getroffen. Schätzwerte, die im Wesentlichen auf Annahmen basieren, bilden den unteren Rand der Spannbreite möglicher Belastungen ab und sind somit als Mindestwerte zu verstehen.
– § 7a BSIG-E: Hersteller von informationstechnischen Produkten und Systemen müs- sen dem BSI auf Verlangen Informationen hierzu zur Verfügung stellen, auch zu tech- nischen Details. Bei den Anfragen des BSI wird es in der Regel um Informationen ge- hen, die die Software des Produktes, den internen Programmablauf und die Schal- tungsdetails der zugrundeliegenden Elektronik betreffen. Der Hersteller muss also zu- nächst recherchieren, wer im Unternehmen für den entsprechenden Teil des Produkts zuständig ist und ob zur Beantwortung der Fragen die selbst entwickelten, eigenen Bestandteilte oder evtl. fremde bzw. hinzugekaufte von Bedeutung sind. Anschließend müssen die Daten so aufbereitet werden, dass sie dem BSI in "lesbarer Form" zur Ver- fügung gestellt werden können. Vor einer Herausgabe der Informationen an das BSI muss unternehmensintern geklärt werden, ob betriebliche Gründe gegen die Weiter- gabe sprechen. Hierfür entstehen der Wirtschaft jährliche Personalkosten in Höhe von circa 153.328 Euro.
– § 7c BSIG-E: Umsetzung angeordneter Maßnahmen im Falle erheblicher Gefahr bei Telekommunikationsdiensten. Zur Abwehr konkreter erheblicher Gefahr kann das BSI die Umsetzung verschiedener Maßnahmen bei Anbietern von Telekommunikations- diensten anordnen. Betreiber von Telekommunikationsdiensten, die mehr als 100.000 Kunden haben, werden z. B. auf Anordnung des BSI verpflichtet, sogenannte Malwa- redomänen bzw. IP-Adressen von C&C-Servern zu sperren oder auf Sinkholes umzu- leiten, um infizierte Nutzersysteme zu schützen. Bei diesem Vorgang handelt es sich um einen ständigen, tagesaktuellen Prozess. Die gelieferten Informationen können auf Anbieterseite im Wesentlichen automatisiert verarbeitet werden. Hierfür entstehen der Wirtschaft jährliche Personalkosten in Höhe von circa 92.467 Euro.
– § 8a Absatz 1a und 1b BSIG-E: Betreiber Kritischer Infrastrukturen werden verpflichtet, in Kritischen Infrastrukturen Systeme zur Angriffserkennung einzusetzen und be- stimmte Daten für mindestens vier Jahre zu speichern. Eine Schätzung des Erfüllungs- aufwands, im Wesentlichen die Kosten für die Systeme zur Angriffserkennung selbst sowie Personal, ist insoweit nicht möglich. Denn zum einen sind solche Systeme teil- weise bereits bei Betreibern Kritischer Infrastrukturen im Einsatz, sodass für diese Be- treiber durch die Neuregelung überhaupt keine zusätzlichen Kosten entstehen. Zum anderen sind die Kosten für diese Systeme sehr unterschiedlich. Der Einsatz bestimm- ter Systeme wird aber nicht vorgeschrieben, sodass der Erfüllungsaufwand auch von Entscheidungen der Verpflichteten abhängt.
– § 8b Absatz 3 Satz 1 BSIG-E: Registrierung als Betreiber Kritischer Infrastruktur. Be- treiber Kritischer Infrastrukturen müssen sich beim BSI registrieren und eine Kontakt- stelle benennen. Die Pflicht zur Benennung einer Kontaktstelle für Betreiber Kritischer Infrastrukturen wurde bereits mit dem ersten IT-Sicherheitsgesetz 2015 eingeführt, neu eingeführt wurde lediglich die Registrierung der Kritischen Infrastruktur. Dies ist jedoch für die benannten Kontaktstellen der Betreiber Kritischer Infrastrukturen im Regelfall bereits heute erfüllt, sodass hier für die bestehenden Betreiber Kritischer Infrastruktu- ren keine zusätzlichen Erfüllungsaufwände entstehen. Lediglich für die neu im Sektor Siedlungsabfallentsorgung hinzukommenden Betreiber Kritischer Infrastrukturen ist hier mit einem erstmaligen Erfüllungsaufwand zu rechnen. Bei einer geschätzten An-
zahl von ca. 100 zusätzlichen Betreibern Kritischer Infrastrukturen im Sektor Siedlungs- abfallentsorgung werden daher für die Wirtschaft einmalige Personalkosten in Höhe von 6.110 € erwartet.
– § 8b Absatz 3 Satz 2 BSIG-E: Sicherstellen der Erreichbarkeit der Kontaktstelle. Be- treiber Kritischer Infrastrukturen sind verpflichtet die durchgehende Erreichbarkeit einer Kontaktstelle sicherzustellen. Diese Pflicht wurde bereits mit dem ersten IT-Sicher- heitsgesetz 2015 eingeführt, sodass hier für die bestehenden Betreiber Kritischer Inf- rastrukturen keine zusätzlichen Erfüllungsaufwände entstehen. Lediglich für die neu im Sektor Siedlungsabfallentsorgung hinzukommenden Betreiber Kritischer Infrastruktu- ren im Bereich der Wirtschaft ist hier mit jährlichen Personalkosten in Höhe von ca. 28.895 € zu rechnen.
– § 8b Absatz 4a BSIG-E: Für die Pflicht von Betreibern Kritischer Infrastrukturen und Unternehmen im besonderen öffentlichen Interesse, im Falle erheblicher Störungen gemäß § 8b Abs. 4 Nr. 2, § 8f Abs. 7 Nr. 2 oder § 8f Abs. 8 Nr. 2 BSIG-E dem BSI die zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezo- gener Daten zu übermitteln, entstehen der Wirtschaft geschätzte Personalkosten von jährlich 49.350 €.
– § 8f Absatz 1 BSIG-E: Für die Pflicht von Unternehmen im besonderen öffentlichen Interesse nach § 2 Abs. 14 Nummer 1 und 2 BSIG-E, gegenüber dem BSI eine Selbst- erklärung zur IT-Sicherheit vorzulegen entstehen den betroffenen Unternehmen bei der erstmaligen Vorlage Erfüllungsaufwände von ca. 15.886 €, danach jährliche Erfüllungs- aufwände von ca. 6.110€.
– § 8f Absatz 5 BSIG-E: Für die Pflicht von Unternehmen im besonderen öffentlichen Interesse nach § 2 Abs. 14 Nummer 1 und 2 BSIG-E, sich einmalig beim BSI zu regist- rieren und eine zu den üblichen Geschäftszeiten erreichbare Stelle zu benennen, ent- stehen der Wirtschaft einmalige Erfüllungsaufwände in Höhe von 15.886 Euro.
– § 8f Absatz 7 und 8 BSIG-E: Die Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Nummer 1, 2 und 3 BSIG-E sind verpflichtet, bestimmte Störungen ihrer informationstechnischen Systeme, Komponenten und Prozesse unverzüglich an das BSI zu melden. Die Anzahl der meldepflichtigen Vorfälle pro Unternehmen hierbei nur schwer im Vorhinein abschätzen. Aufgrund von Erfahrungswerten aus dem Bereich der Meldungen von Betreibern Kritischer Infrastrukturen wird ein jährlicher Erfüllungs- aufwand von ca. 19.552 Euro für die Wirtschaft geschätzt.
– § 9a Absatz 2 BSIG-E: Den Konformitätsbewertungsstellen entsteht für das Antrags- verfahren nach § 9 Absatz 2 BSIG-E ein jährlicher Erfüllungsaufwand in Form von Per- sonalkosten in Höhe von 13.200 Euro.
– § 109 Absatz 2 TKG-E: Kritische Komponenten im Bereich Telekommunikationsnetze und –dienste dürfen von Betreibern Kritischer Infrastrukturen nur eingesetzt werden, wenn Sie ein Zertifizierungsverfahren durchlaufen haben. Das Zertifizierungsverfahren muss hierbei eng durch Hersteller begleitet werden. Deshalb entstehen der Wirtschaft hier jährliche Personalkosten in Höhe von circa 2.280.000 Euro und jährliche Sachkos- ten in Höhe von circa 6.000.000 Euro.
– Für die folgenden §§ wurden jeweils geringe Erfüllungsaufwände ermittelt, so dass diese zusammengefasst aufgeführt werden um die Darstellung nicht zu stark zu zer- gliedern: § 4a Absatz 1 und Absatz 3, § 4b Absatz 4, § 5c, § 7d, § 8a Absatz 1b, § 8b Absatz 4a Nr. 2, § 8f Absatz 1, § 8f Absatz 5, § 8f Abs. 7 und Absatz 8, § 8f Absatz 9,
§ 9b Absatz 1, § 9b Absatz 2 BSIG-E- sowie § 109 Absatz 7, § 113 Absatz 3 TKG und
§ 15d Absatz 1 TMG. Der Erfüllungsaufwand welcher durch die vorgenannten §§ für die Wirtschaft entsteht setzt sich zusammen aus verschiedenen Informations- und Mel- dungspflichten der Wirtschaft gegenüber dem BSI. Hierfür entstehen der Wirtschaft
einmalige Personalkosten in Höhe von ca. 31.772 Euro und jährliche Personalkosten in Höhe von ca. 270.120 Euro.
Der Verwaltung entsteht für die Erfüllung der im Gesetz vorgesehenen zusätzlichen Aufga- ben ein Aufwand von insgesamt 948 Planstellen/Stellen mit Personalkosten in Höhe von jährlich rund 68,6 Millionen Euro.
Bundesministerium des Innern, für Bau und Heimat (BMI)
Beim BMI entsteht ein Erfüllungsaufwand in Höhe von 4 Planstellen/Stellen mit jährlichen Personalkosten in Höhe von 284.724 Euro.
– § 9b Absatz 3 BSIG-E, Untersagen der Verwendung angezeigter kritischer Komponen- ten in einer kritischen Infrastruktur: Die Verwendung kritischer Komponenten ist durch den Betreiber einer kritischen Infrastruktur vor der Inbetriebnahme anzuzeigen. Die In- betriebnahme der Komponenten ist für die Dauer von drei Monaten untersagt. Inner- halb dieser Frist entscheidet das BMI, ob die Elemente zu untersagen sind. Hierfür benötigt das Ministerium 4 Planstellen/Stellen.
Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufga- ben (BDBOS)
Die BDBOS ist verantwortlich für die Kommunikationswege des Bundes. Dort ist ein Erfül- lungsaufwand in Höhe von rund 21 Planstellen/Stellen mit jährlichen Personalkosten in Höhe von 1,7 Mio. Euro.
– §§ 4a und 4b BSIG-E, Begleitung der Kontrollen des BSI zur Feststellung der Sicherheit von Kommunikationstechnik von Bundesbehörden: Die BDBOS hat die Kontrollen und die Informationsanforderungen zu koordinieren, die Prüfungen zu begleiten, Ergeb- nisse zusammenzufassen und Folgemaßnahmen zu bearbeiten oder anzustoßen. Dies gilt für alle Niederlassungen und Außenstellen der Behörden. Hierfür entsteht ein Per- sonalbedarf in Höhe von 6 Planstellen/Stellen.
– § 5 Absatz 2 und Absatz 2a i. V. m. § 5a BSIG, Verarbeitung behördeninterner Proto- kolldaten: Mit der Neufassung des BSIG erhält das BSI die Befugnis, zur Abwehr von Gefahren für die Kommunikationstechnik behördeninterne Protokolldaten auszuwer- ten. Der BDBOD entsteht dadurch schätzungsweise durch die verlängerte Speicherfrist der Daten, der für die Verarbeitung zunächst notwendigen Pseudonymisierung und den sonstigen geforderten Zuarbeiten ein zusätzlicher Stellenbedarf von 2 Planstellen/Stel- len.
– § 8 Absatz 1 BSIG, Umsetzung der vom BSI vorgegebenen Mindeststandards: Durch die mit § 8 Absatz 1 BSIG geschaffenen Befugnisse des BSI, Mindeststandards vorzu- geben und deren Einhaltung zu überwachen und zu kontrollieren entsteht in der BDBOS ein Mehraufwand von 10 Planstellen/Stellen.
– § 8b Absatz 4a BSIG, Einleiten von Maßnahmen zur Wiederherstellung der Sicherheit und der Funktionsfähigkeit der Systeme: Um die Sicherheit und die Funktionsfähigkeit informationstechnischer Systeme nach einer erheblichen Störung wiederherzustellen, ist ein zusätzlicher Stellenbedarf von 3 Planstellen/Stellen notwendig.
Bundesnetzagentur (BNetzA)
Die BNetzA ist als oberste deutsche Regulierungsbehörde zuständig für die Aufrechterhal- tung und die Förderung des Wettbewerbs in den Netzmärkten. Dort entsteht ein Erfüllungs- aufwand in Höhe von rund 34 Planstellen/Stellen mit jährlichen Personalkosten in Höhe von 2,4 Mio. Euro.
– §§ 4a und 4b BSIG-E, Begleitung der Kontrollen des BSI zur Feststellung der Sicherheit von Kommunikationstechnik von Bundesbehörden: Die BNetzA hat die Kontrollen und die Informationsanforderungen zu koordinieren, die Prüfungen zu begleiten, Ergeb- nisse zusammenzufassen und Folgemaßnahmen zu bearbeiten oder anzustoßen. Dies gilt für alle Niederlassungen und Außenstellen der Behörden. Hierfür entsteht ein Per- sonalbedarf in Höhe von 4,5 Planstellen/Stellen.
– § 5 Absatz 2 und Absatz 2a in Verbindung mit § 5a BSIG, Verarbeitung behördeninter- ner Protokolldaten: Mit der Neufassung des BSIG erhält das BSI die Befugnis, zur Ab- wehr von Gefahren für die Kommunikationstechnik behördeninterne Protokolldaten auszuwerten. Der BNetzA entsteht dadurch schätzungsweise durch die verlängerte Speicherfrist der Daten, der für die Verarbeitung zunächst notwendigen Pseudonymi- sierung und den sonstigen geforderten Zuarbeiten ein zusätzlicher Stellenbedarf von 21 Planstellen/Stellen.
– § 8 Absatz 1 BSIG, Umsetzung der vom BSI vorgegebenen Mindeststandards: Durch die mit § 8 Absatz 1 BSIG geschaffenen Befugnisse des BSI, Mindeststandards vorzu- geben und deren Einhaltung zu überwachen und zu kontrollieren entsteht ein Mehrauf- wand von 2,7 Planstellen/Stellen.
– § 8b Absatz 4a BSIG, Einleiten von Maßnahmen zur Wiederherstellung der Sicherheit und der Funktionsfähigkeit der Systeme: Um die Sicherheit und die Funktionsfähigkeit informationstechnischer Systeme nach einer erheblichen Störung wiederherzustellen, ist ein zusätzlicher Stellenbedarf von 1 Planstellen/Stellen notwendig.
– § 109 TKG, Überprüfung und Überwachung getroffener technischer Maßnahmen durch die BNetzA: Die Aufgabenerweiterung im Rahmen der Überprüfung von Sicherheits- konzepten von Telekommunikationsnetzbetreibern oder Anbietern von Telekommuni- kationsdiensten, erfordert bei der Aufrechterhaltung der aktuellen Stichprobensystema- tik und der Frequenz der Besuche einen zusätzlichen Personalbedarf von 5 Planstel- len/Stellen.
Bundeskriminalamt (BKA)
Als Konsequenz aus dem Datenleak-Vorfall, bei dem zwischen Dezember 2018 und Januar 2019 rechtswidrig erlangte persönliche Daten u.a. von Politikern, Personen des öffentlichen Lebens und Journalisten veröffentlicht wurden, soll die Pflicht für Telemediendiensteanbie- ter, die Verbreitung rechtswidrig erlangter persönlicher Daten dem BKA als Zentralstelle für das polizeiliche Auskunfts- und Nachrichtenwesen und für die Kriminalpolizei zu melden, eingeführt werden.
– § 15d TMG-E: Um die dem BKA hierdurch entstehenden zusätzlichen Aufwände be- wältigen zu können, müssen die erforderlichen Strukturen in den Fachbereichen sowie unterstützenden Organisationseinheiten aufgebaut werden, insbesondere zur Aufbe- reitung und Auswertung der Daten. Zusätzlich müssen weitere Ermittlungskapazitäten zur Bewältigung der sich aus den übermittelten Datenbeständen ergebenden Verfah- ren geschaffen werden. Beim BKA entsteht hierdurch ein Erfüllungsaufwand in Höhe von 90 Planstellen/Stellen mit Personalkosten in Höhe von jährlich rund 7,3 Mio. Euro. Zusätzlich sind zur Umsetzung des Gesetzes Sachkosten in Höhe von einmalig
765.000 Euro und jährlich in Höhe von rund 9,5 Mio. Euro zu berücksichtigen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Beim BSI ist ein Erfüllungsaufwand in Höhe von 799 Planstellen/Stellen mit Personalkosten in Höhe von jährlich rund 56,9 Millionen Euro notwendig. Darin ist bereits eine OPH-Quote enthalten. Zusätzlich sind zur Umsetzung des Gesetzes Sachkosten in Höhe von einmalig 28 Mio. Euro und jährlich in Höhe von rund 47,5 Mio. Euro zu berücksichtigen.
Der Bedarf an Sach- und Personalmitteln sowie Planstellen und Stellen wird finanziell und stellenmäßig im Gesamthaushalt ausgeglichen.
Für die Umsetzung des Zweiten IT-Sicherheitsgesetzes kommen für das BSI folgende neue Aufgaben und Befugnisse, die zusätzlichen Personalbedarf nach sich ziehen, hinzu:
– Mit den neuen Aufgaben des BSI zur Förderung des Verbraucherschutzes und der Verbraucherinformation im Bereich der Informationssicherheit trägt das Gesetz dem Umstand Rechnung, dass Fragen der IT-Sicherheit durch die Digitalisierung alltäglicher Lebensabläufe – insbesondere durch die steigende Vernetzung der privaten Haushalte
– bei Verbraucherinnen und Verbrauchern eine steigende Bedeutung zukommt. Mit seiner technischen Expertise und Erfahrung kann das BSI einerseits durch Beratung, Sensibilisierung und Unterstützung von Verbraucherinnen und Verbrauchern zum Schutz dieser vor den mit der Digitalisierung verbundenen Gefahren für die IT-Sicher- heit beitragen. Andererseits will das BSI seine Kompetenzen, Fähigkeiten und etablier- ten Arbeitsbeziehungen dazu einsetzen, Security by Design am Markt durchzusetzen, sodass den Verbraucherinnen und Verbrauchern sichere Produkte zur Verfügung ste- hen, was heute oft nicht der Fall ist. Um diese wichtige Aufgabe sachgerecht durchfüh- ren zu können, benötigt das BSI 163 Planstellen/Stellen.
– In diesem Kontext kommen auch die Änderungen in § 3 Absatz 1 Satz 2 Nummer 14 sowie § 7 Absatz 1 Satz 1 Nummer 1d BSIG-E (erweiterte Informationsaufgabe und Warnbefugnis im Hinblick auf Produkte) zum Tragen, die den Aktivitäten des BSI grö- ßere Wirkung verschaffen werden. Um in relevantem Umfang vor unsicheren Produk- ten warnen zu können, müssen die Untersuchungskapazitäten für Produkte deutlich ausgeweitet und die rechtskonformen Prozesse zur Verbraucherinformation und -war- nung ausgebaut und fortentwickelt werden. Hierfür werden 18 Planstellen/Stellen be- nötigt.
– Identitätsdiebstahl entwickelt sich immer mehr zum Massenphänomen und Massen- problem. Der Appell zu sicheren Passwörtern kann das grundlegende Problem nicht mehr lösen, Identifizierungs- und Authentisierungsverfahren müssen nutzerfreundli- cher werden und zugleich das angemessene, notwendige Maß an Sicherheit bieten. Hier gilt es im Rahmen der neuen Aufgabe in § 3 Absatz 1 Satz 2 Nummer 19 BSIG- E, „Pflege und Weiterentwicklung sicherer Identitäten“, bestehende Ansätze fortzuent- wickeln sowie neue Ansätze zu entwickeln und in die Anwendung zu überführen. Hier- für benötigt das BSI 8 Planstellen/Stellen.
– § 4a BSIG-E, Kontrolle der Kommunikationstechnik: Staatliche Stellen sind in beson- derem Maße auf eine zuverlässige und sichere Kommunikation angewiesen. Daher sind an die Kommunikationstechnik des Bundes besonders hohe Sicherheitsanforde- rungen zu stellen. Diese besondere Sicherheit erfordert eine effektive und schnelle Kontrollmöglichkeit des Bundesamtes, um Gefahren für die Kommunikationstechnik früh zu erkennen und in der Folge zu beseitigen. Die Ausübung der neuen Kontroll- und Prüfbefugnisse, die für jede Einrichtung der Bundesverwaltung wahrgenommen werden kann, führt zu einem Personalbedarf von 64 Planstellen/Stellen.
– § 4b BSIG-E, Meldestelle: Die Sammlung von Informationen über Sicherheitslücken, Schadprogramme und IT-Sicherheitsvorfälle ist für ein Gesamtlagebild von besonderer Bedeutung. Um eine zentrale Sammlung und systematische Auswertung der an das Bundesamt gerichteten Hinweise auch angesichts der Vielzahl mit dem IT-SiG 2.0 hin- zukommender Regelungsbereiche in angemessener Weise sicherzustellen, ist der
Ausbau der Meldestelle beim BSI zwingend erforderlich. Der organisatorische und technische Ausbau sowie die kontinuierliche Beobachtung, Entgegennahme sowie Auswertung und Analyse der Meldungen führt zu einem zusätzlichen Personalbedarf von 14 Planstellen/Stellen.
– 5 BSIG-E: Die Gefahr für die Kommunikationstechnik des Bundes ist quantitativ und qualitativ gestiegen. Um dieser eine effektive Abwehr entgegenzusetzen, muss das Bundesamt personell verstärkt werden. Die aktuell zur Verfügung stehenden Personal- ressourcen ermöglichen es nicht, die erforderlichen Detektionsmaßnahmen bei allen Behörden des Bundes in ausreichender Form zum Einsatz zu bringen. Hierfür benötigt das BSI zusätzliche 29 Planstellen/Stellen.
– § 5a BSIG-E: Neben der Analyse von Protokolldaten im Sinne des BSIG ist zukünftig die Auswertung behördeninterner Protokollierungsdaten ein wesentlicher Bestandteil einer umfassenden Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes. Hieraus ergibt sich, dass nun in einem sehr viel größeren Maßstab auch Behörden, die noch nicht von der IT-Konsolidierung erfasst werden, Protokollierungs- daten an das BSI übermitteln müssen und das BSI diese bei dem gesamten Prozess (Planen, Sammeln, Detektieren, Auswerten) nach Mindeststandard zur Protokollierung und Detektion unterstützen muss. Hierbei ist zu beachten, dass eine sehr heterogene IT-Systemlandschaft besteht, welche eine individuelle Betreuung der Behörden erfor- dert. Die Detektion von Cyber-Angriffen durch eine systematische Analyse dieser Da- ten führt zu einem zusätzlichen Personalbedarf von 29 Planstellen/Stellen.
– In der heutigen Bedrohungslage sind präventive Schutz- und Abwehrmaßnahmen al- lein nicht mehr ausreichend. Angriffe werden auch bei bestmöglicher Prävention erfolg- reich sein, sodass die Planung und Durchführung reaktiver Maßnahmen unerlässlich ist. Zu diesen zählt eine möglichst schnelle und sachkundige Zurückführung angegrif- fener Systeme und Netze in einen „sauberen“ Zustand, um die weitere Nutzbarkeit und Sicherheit der betroffenen Systeme und Netze sicherzustellen. Das Bundesamt hat zu diesem Zweck Mobile Incident Response Teams (MIRTs) eingerichtet, die betroffenen Behörden der Bundesverwaltung sowie weiterer Bedarfsträger (andere Verfassungs- organe, Länder oder die Betreiber Kritischer Infrastrukturen) bei der Bewältigung von Sicherheitsvorfällen unterstützen. Durch die Erweiterung des Adressatenkreises ent- steht für das BSI ein personeller Mehrbedarf von 41 Planstellen/Stellen.
– § 5c BSIG-E: Die schnelle Information der Opfer eines Cyber-Angriffs und die Möglich- keit so früh wie möglich Unterstützung bei der Bewältigung anzubieten, ist eine ele- mentare Aufgabe des Bundesamtes. Um die Opfer eines Angriffs identifizieren zu kön- nen, ist eine Bestandsdatenabfrage häufig unerlässlich. Zur effektiven Durchführung der damit verbundenen Aufgaben entsteht ein zusätzlicher Personalbedarf von 2 Plan- stellen/Stellen.
– Das Bundesamt muss in der Lage sein, technische Untersuchungen nach § 7a BSIG- E zur Erfüllung seiner gesetzlichen Aufgaben durchzuführen. Das Bundesamt wird mit Befugnissen ausgestattet, die zugleich auch zu weitergehenden und tieferen Prüfun- gen führen und damit einen Mehraufwand erzeugen. Durch die Erweiterung der Unter- suchungsbefugnis entsteht ein Bedarf von 5 Planstellen/Stellen.
– § 7b BSIG-E: Um schnell und effektiv vor Sicherheitsrisiken für die Netz- und Informa- tionssicherheit zu warnen, ist eine Detektion bestehender Risiken unerlässlich. Insbe- sondere für die Planung, Entwicklung und Wartung der Scanner als auch für die fach- liche Begleitung aller Prüfungen sowie für die notwendigen Auswertungen und die Ein- schätzung der Ergebnisse werden weitere Fachkräfte benötigt. Um diese neue Auf- gabe effektiv umzusetzen, benötigt das BSI 10 Planstellen/Stellen.
– § 8 BSIG-E: Die Digitalisierungsvorhaben der Bundesregierung erfordern eine kon- stante Beratung und Begleitung durch das Bundesamt, um bereits ab der Konzeptions- und Planungsphase die Aspekte der IT-Sicherheit zu berücksichtigen. Angesichts der Vielzahl der anstehenden Digitalisierungsprojekte entsteht, aufgrund des hierdurch entstehenden Beratungsaufwands, ein Personalbedarf von 71 Planstellen/Stellen.
– § 8b Absatz 4a BSIG-E: Kommt es bei Betreibern Kritischer Infrastrukturen oder bei Unternehmen im besonderen öffentlichen Interesse zu größeren (IT-) Störungen, hat dies sehr schnell negative Auswirkungen auf große Teile der Bevölkerung. Zur Auf- rechterhaltung oder Wiederherstellung von IT-Systemen im Falle einer erheblichen Störung ist es notwendig, dass das Bundesamt die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten ver- langen kann. Dafür sind beim BSI 19 Planstellen/Stellen erforderlich.
– Durch die Aufnahme weiterer Branchen in den Regelungsbereich des Gesetzes sowie die Ergänzung des BSIG um den Bereich der Unternehmen im besonderen öffentlichen Interesse entsteht ein personeller Mehrbedarf des BSI von insgesamt 56 Planstel- len/Stellen.
– § 9a BSIG-E: Als Nationale Behörde für die Cybersicherheitszertifizierung im Sinne des Artikels 58 Absatz 1 der Verordnung (EU) 2019/881 führt das Bundesamt Zertifizierun- gen und Auditierungen durch und überwacht Konformitätsbewertungsstellen. Ebenso müssen die europäischen Schemata überprüft, angewendet und durchgesetzt sowie Prüfstellen für die Cybersicherheitszertifizierung überwacht werden Dafür entsteht für das BSI ein personeller Mehrbedarf von 120 Planstellen/Stellen.
– § 9b BSIG-E: Die in § 9b eingefügte Garantieerklärung für kritische Komponenten führt zu einem erhöhten Personalbedarf von 4 Planstellen/Stellen.
– § 9c BSIG-E: Durch die Konzeption und Vergabe eines IT-Sicherheitskennzeichens sollen insbesondere Verbraucherinnen und Verbraucher in die Lage versetzt werden, den Aspekt der IT-Sicherheit bei der Auswahl ihrer IT-Produkte in einfacher Form be- rücksichtigen zu können, indem sie schnell und einfach überprüfen können, ob das jeweilige IT-Produkt bzw. dessen Hersteller aktuelle Sicherheitsstandards in ausrei- chender Form berücksichtigt. Um die für die Vergabe des IT-Sicherheitskennzeichens erforderlichen Arbeiten inklusive der im Sinne einer Marktaufsicht anstehenden Prüfun- gen und Kontrollen durchführen zu können, benötigt das Bundesamt 25 zusätzliche Planstellen/Stellen.
– § 14 BSIG-E: Die Erweiterung der Bußgeldvorschriften führt zu einem erhöhten Prü- fungs- und Verwaltungsaufwand. Das BSI benötigt zur Bewältigung dieses zusätzli- chen Aufwandes 2 weitere Planstellen/Stellen.
– § 109 TKG-E: Durch die Standardisierung und die Sicherstellung der Qualität der Si- cherheitskonzepte der Betreiber sowie der Prüfung und Zertifizierung kritischer Kom- ponenten entsteht dem Bundesamt zudem ein Personalbedarf von 119 Planstel- len/Stellen.
Keine.
Die Cyber- und Informationssicherheit für Verbraucherinnen und Verbraucher wird erhöht. Die ausdrückliche Aufnahme des Verbraucherschutzes in den Aufgabenkatalog des BSI trägt der wachsenden Bedeutung der Cyber- und Informationssicherheit für Verbraucherin- nen und Verbraucher - insbesondere durch die steigende Vernetzung privater Haushalte
und die Verbreitung vernetzter Verbraucherprodukte - Rechnung. Der ganzheitliche Ver- braucherschutz beschränkt sich jedoch nicht auf Maßnahmen, die sich unmittelbar an Ver- braucherinnen und Verbraucher richten und auf die Vermittlung von Risikobewusstsein, Be- urteilungsfähigkeit und Lösungskompetenz gerichtet sind, sondern umfasst u.a. auch das Eintreten für die Verbraucherbelange gegenüber Herstellern oder die Förderung von For- schungsvorhaben mit Verbraucherschutzbezug.
Die Regelungen sind inhaltlich geschlechtsneutral und damit ohne Gleichstellungsrelevanz. Die weitere Stärkung der Cyber- und Informationssicherheit betrifft sowohl mittelbar wie unmittelbar Frauen wie Männer gleichermaßen. § 1 Absatz 2 des Bundesgleichstellungs- gesetzes, der verlangt, dass Rechts- und Verwaltungsvorschriften des Bundes die Gleich- stellung von Frauen und Männern auch sprachlich zum Ausdruck bringen sollen, wurde in die Entwicklung der Gesetzesformulierung miteinbezogen. Gleichzeitig wurde aber auch die Diktion der jeweils zu ändernden Stammgesetze mitberücksichtigt.
Demographische Auswirkungen des Vorhabens − unter anderem auf die Geburtenentwick- lung, Altersstruktur, Zuwanderung, regionale Verteilung der Bevölkerung oder das Genera- tionenverhältnis − sind nicht zu erwarten.
Eine Evaluierung ist vorgesehen (Artikel 7).
Zu Artikel 1 (Änderung des Gesetzes über das Bundesamt
für Sicherheit in der Informationstechnik (BSIG))
Zu Nummer 1 Zu Buchstabe a
Der derzeitige Wortlaut des § 2 Absatz 3 BSIG zur Definition der Kommunikationstechnik des Bundes umfasst bisher nicht die behördeninterne Kommunikation oder den behörden- internen Datenaustausch. Zudem werden allgemeine Datenverarbeitungsvorgänge nicht erfasst. Diese Bereiche sind jedoch, genauso wie die Informationstechnik zur Kommunika- tion und der Datenaustausch der Behörden untereinander oder mit Dritten, gleichermaßen Angriffsziele. Durch die Einbeziehung dieser Bereiche steigt das Sicherheitsniveau insge- samt, da mehr Detektionsmöglichkeiten geschaffen werden. Somit wird insbesondere die Detektion von zielgerichteten und nachrichtendienstlichen Angriffen verbessert. Der Begriff der Datenverarbeitung ist hierbei im Sinne der Datenschutzgrundverordnung (DSGVO) weit zu verstehen. Der Datenaustausch bleibt weiterhin umfasst. Regelungen über den Geheim- schutz bleiben unberührt.
Kommunikationstechnik, die im Rahmen des Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BOS) im Eigentum von nicht dem Bund zuzuordnenden Nutzern steht, ist nicht Kommunikationstechnik des Bundes im Sinne von § 2 Absatz 3 S. 1 BSIG.
Das Bundesverfassungsgericht wurde in § 2 Absatz 3 Satz 2 BSIG bisher unter den Begriff der „Bundesgerichte“ gefasst und nicht namentlich genannt. Der besonderen verfassungs- rechtlichen Stellung des Bundesverfassungsgerichts wird durch die Aufnahme in die Auf- zählung der Verfassungsorgane Rechnung getragen. Die Änderung dient der Klarstellung
der vollständigen Gleichstellung mit den übrigen genannten Verfassungsorganen für die Zwecke dieser Norm.
Aufgrund veränderter Angriffsszenarien wird der Begriff der Protokollierungsdaten einge- führt und in § 2 Absatz 8a legaldefiniert.
Protokollierungsdaten dokumentieren technische Ereignisse und Zustände innerhalb eines IT-Systems, die tatsächliche Anhaltspunkte für die Erkennung und Analyse laufender und die Rekonstruktion vergangener Angriffe auf die Informations- und Kommunikationstechnik des Bundes liefern können. Protokollierungsdaten von IT-Systemen werden auch als Log- Daten bezeichnet. Sie entstehen automatisiert durch die auf dem IT-System laufenden Pro- zesse. Inhaltsdaten sind daher regelmäßig keine Protokollierungsdaten.
Protokollierungsdaten umfassen insbesondere die Protokollierung auf Ebene des Betriebs- systems, also Zustände von Prozessen, Veränderungen an Konfigurationen sowie Verbin- dungsaufbauten zu anderen Systemen. Zudem sind es Daten von Systemprozessen und Programmen.
Der überwiegende Teil der Protokollierungsdaten weist keinen Personenbezug auf. Zu den typischen personenbezogenen Protokollierungsdaten, die für die Analyse von technischen Ereignissen wie Start und Ende eines Programms von Bedeutung sind, gehören etwa Be- nutzerkennung, Hostname/Name des Endsystems, Anschlusskennungen des Endsystems und die Geräteadresse (MAC-Adresse).
Aliase wie die Benutzerkennung oder behördeninterne IP-Adressen sind für das Bundes- amt grundsätzlich pseudonym, da die Auflösungen dem Bundesamt nicht bekannt sind.
Mit der Verarbeitung von Protokollierungsdaten lassen sich unter anderem weit verbreitete Trojaner wie etwa die Schadsoftware „Emotet“ besser erkennen. Durch diesen wird dem Opfer per E-Mail ein manipuliertes Word-Dokument zugestellt, das bei seinem Öffnen den Prozess Powershell ausführt, welcher wiederum weitere Schadfunktionen nachlädt und startet. Anhand der Protokollierungsdaten wird etwa sichtbar, dass eine Datei in Word ge- öffnet wird. Word wiederum startet den Prozess Powershell, der seinerseits Aktionen durch- führt. Allein die Tatsache, dass Powershell von Word gestartet wird, ist bereits ein verdäch- tiges Verhalten, das auf ein Schadprogramm hindeutet. Die Inhalte des Dokuments werden nicht erhoben.
Die Nutzung von Protokollierungsdaten ist zudem das zweckmäßigsten Mittel bei der Er- kennung sogenannter Advanced Persistent Threats (APT). Hier handelt es sich um komplex Angriffe (oftmals von fremden Nachrichtendiensten), deren Spuren regelmäßig nur in den Protokollierungsdaten zu finden sind.
Protokollierungsdaten werden u.a. näher in der Protokollierungsrichtlinie Bund beschrie- ben, die Bestandteil des auf § 8 beruhenden Mindeststandards „Protokollierung und Detek- tion“ ist.
IT-Produkte sind möglichst weitgehend zu definieren, da sich Sicherheitslücken in ver- schiedensten Komponenten ergeben können. Relevant sind sowohl die Hardware an sich als auch die eingesetzte Software, welche das Funktionieren der Hardware erst bedingt. Mit § 8a Absatz 1a bis 1c werden die Betreiber Kritischer Infrastrukturen verpflichtet, Sys- teme zur Angriffserkennung einzurichten. Mit § 2 Absatz 9b wird der Begriff des Systems zur Angriffserkennung definiert.
Die Regelung ergänzt die klassischen KRITIS-Sektoren nach Absatz 10 um den Sektor Siedlungsabfallentsorgung. Aufgabe der Entsorgung von Siedlungsabfällen ist es, die an- fallenden Abfälle zu sammeln und anschließend so zu beseitigen oder zu verwerten, dass es dabei nicht zu einer Gefährdung der Bevölkerung und Umwelt kommt. Ein Ausfall oder eine Beeinträchtigung dieser Dienstleistung führt, ähnlich wie bei der Abwasserentsorgung, sowohl zu einem kurzfristigen Anstieg der Seuchengefahr als auch zu einer Verschmutzung der Umwelt mit gefährlichen Stoffen. Ihr Ausfall führt damit sowohl kurz- als auch langfristig zu einer gesundheitlichen Gefährdung der Bevölkerung.
Die Regelungen ergänzen die Definition der Kritischen Infrastrukturen in § 2 Absatz 10 BSIG und der Digitalen Dienste in § 2 Absatz 11 BSIG.
§ 2 Absatz 13 definiert kritische Komponenten. Diese sind IT-Produkte, die in Kritischen Infrastrukturen eingesetzt werden und die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil Störungen der Verfügbarkeit, Integrität, Authentizität und Vertrau- lichkeit dieser IT-Produkte zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit Kritischer Infrastrukturen oder zu Gefährdungen für die öffentliche Si- cherheit führen können. Die kritischen Komponenten der Kritischen Infrastrukturen, die ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommuni- kationsdienste erbringen, werden durch den Katalog von Sicherheitsanforderungen nach § 109 Absatz 6 des Telekommunikationsgesetzes näher bestimmt. Für die übrigen kritischen Komponenten kann eine Festlegung künftig gesetzlich erfolgen.
§ 2 Absatz 14 regelt Unternehmen im besonderen öffentlichen Interesse. Zu diesen gehö- ren nach Nummer 1 Rüstungshersteller sowie Hersteller von IT-Produkten für die Verarbei- tung staatlicher Verschlusssachen. Grund dafür ist, dass ein Ausfall der Herstellungs- und Entwicklungstätigkeiten dieser Unternehmen wesentliche Sicherheitsinteressen der Bun- desrepublik Deutschland gefährden könnte. Erhebliche Störungen der IT-Systeme dieser Unternehmen sollten dem Bundesamt daher mitgeteilt werden. Zu den Unternehmen nach Nummer 2 gehören solche, die nach ihrer inländischen Wertschöpfung zu den größten Un- ternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeu- tung für die Bundesrepublik Deutschland sind. Grund dafür ist, dass auch Ausfall und Stö- rung der Geschäftstätigkeit einzelner Unternehmen, die nicht Betreiber Kritischer Infrastruk- turen im Sinne dieses Gesetzes sind, von gesamtgesellschaftlicher Bedeutung sein kön- nen. Das ist zum Beispiel dann der Fall, wenn die IT-Systeme eines der größten Unterneh- men Deutschlands nach inländischer Wertschöpfung durch einen Cyberangriff oder durch anderweitige IT-Störung derart gestört werden, dass das Unternehmen seiner Geschäfts- tätigkeit für einen längeren Zeitraum nicht nachgehen kann. Die Berechnung der inländi- schen Wertschöpfung wird dabei in einer Rechtsverordnung im Einzelnen festgelegt. In der Rechtsverordnung werden dafür abstrakt-generelle Kriterien verbindlich vorgegeben, nach denen Unternehmen selbst feststellen können, ob sie Unternehmen im besonderen öffent- lichen Interesse im Sinne von § 2 Absatz 14 Nummer 2 sind. Die Berechnungsmethodik und auch die erfassten Unternehmen sollen sich dabei an dem Gutachten der Monopol- kommission nach § 44 Absatz 1 GWB (sog. Hauptgutachten) orientieren. Darin werden derzeit alle zwei Jahre die einhundert größten Unternehmend Deutschlands nach inländi- scher Wertschöpfung ermittelt, wobei die Berechnung mithilfe der „direkten Wertschöp- fungsstaffel“ erfolgt. Demnach wird die inländische Wertschöpfung anhand bestimmter Un- ternehmenskennzahlen ermittelt und ein Schwellenwert für eine nach dieser Methodik er- mittelte inländische Wertschöpfung in der Rechtsverordnung ausgewiesen, bei dessen Überschreitung das entsprechende Unternehmen ein Unternehmen im besonderen öffent- lichen Interesse darstellt. Unternehmen können selbst anhand der Berechnungsmethodik und des Schwellenwerts bei Kenntnis der entsprechenden Unternehmenskennzahlen er- mitteln, ob sie von der Regelung betroffen sind.
Die neue Kategorie der Unternehmen im besonderen öffentlichen Interesse haben zwar eine große Bedeutung in Bezug auf die IT-Sicherheit in Deutschland, jedoch ist diese im direkten Vergleich zu Betreibern Kritischer Infrastrukturen deutlich abgestuft. Sowohl die hier neu eingeführte Definition für Unternehmen im besonderen öffentlichen Interesse als auch die sich daraus ergebenden Rechtsfolgen für die betroffenen Unternehmen sind nicht mit denen von Betreibern Kritischer Infrastrukturen vergleichbar. Die neu eingeführten Ver- pflichtungen für diese Unternehmen bleiben dementsprechend weit hinter den Pflichten für die Betreiber Kritischer Infrastrukturen nach diesem Gesetz zurück. Um Unternehmen, die wegen ihrer Eigenschaft als Betreiber einer Kritischen Infrastruktur bereits höheren Schutz- anforderungen unterliegen, nicht unnötig zu belasten, gilt ein Unternehmen nicht als Unter- nehmen im besonderen öffentlichen Interesse im Sinne dieses Gesetzes, wenn es Betrei- ber einer Kritischen Infrastruktur ist (vgl. § 2 Absatz 14). Zu den Unternehmen nach Num- mer 3 gehören die Betreiber von Betriebsbereichen der oberen Klasse im Sinne der Zwölf- ten Verordnung zur Durchführung des Bundes-Immissionsschutzgesetzes (Störfallverord- nung). Diese Verordnung dient dem Schutz von Mensch und Umwelt vor den Folgen plötz- lich auftretender Störfälle bei technischen Anlagen durch Austritt gefährlicher Stoffe. Da betroffene Unternehmen nach der Störfallverordnung ohnehin bereits nach § 9 der Störfall- verordnung einen Sicherheitsbericht vorlegen müssen, sieht dieses Gesetz für diese Un- ternehmen noch weniger Verpflichtungen vor als für Unternehmen im besonderen öffentli- chen Interesse nach den Nummern 1 und 2.
Es handelt sich lediglich um eine redaktionelle Anpassung.
Die Ergänzung bezieht sich auf die Wahrnehmung der Aufgaben und Befugnisse des Bun- desamtes als nationale Behörde für die Cybersicherheitszertifizierung im Sinne des Artikels 58 der Verordnung (EU) 2019/881 vom 17. April 2019.
Die Anpassung dient der Klarstellung, dass es auch Aufgabe des BSI ist, gerade im Zu- sammenhang mit dem Verbraucherschutz, die genannten Adressaten zu informieren. Fer- ner wird mit dem letzten Halbsatz in § 3 Absatz 1 Satze 2 Nummer 14 BSIG-E klargestellt, dass das BSI in dieser Aufgabe nicht eingeschränkt wird.
Mit der Regelung wird das Vorhaben des Koalitionsvertrags der 19. Legislaturperiode um- gesetzt, den Verbraucherschutz im Bereich der Sicherheit in der Informationstechnik als zusätzliche Aufgabe des BSI zu etablieren. Die ausdrückliche Aufnahme des Verbraucher- schutzes in den Aufgabenkatalog des § 3 BSIG trägt der wachsenden Bedeutung der Cy- ber- und Informationssicherheit für Verbraucherinnen und Verbraucher, insbesondere durch die steigende Vernetzung privater Haushalte und die Verbreitung vernetzter Verbrau- cherprodukte - Rechnung. Der Schutz der Verbraucherinnen und Verbraucher stärkt zu- gleich die Sichtbarkeit des BSI als bürger- und verbraucherorientierte Cybersicherheitsbe- hörde im nationalen Bereich.
Das BSI kann mit seiner technischen Expertise und breiten Erfahrung im Bereich des an- wenderbezogenen Schutzes der Informationssicherheit einen wichtigen Beitrag zum Schutz der Verbraucherinnen und Verbraucher vor Gefahren für die Sicherheit der von ihnen eingesetzten Informationstechnik leisten.
Bereits nach geltendem Recht ist es Aufgabe des BSI, die Anwender, also auch Verbrau- cherinnen und Verbraucher, nach § 3 Absatz 1 Satz 2 Nummer 14 BSIG in Fragen der Sicherheit in der Informationstechnik zu beraten, zu warnen und zu sensibilisieren. Hierzu stehen dem BSI insbesondere die Befugnisse der §§ 7, 7a BSIG zur Warnung, Empfehlung und Untersuchung auf dem Markt bereitgestellter oder zur Bereitstellung vorgesehener in- formationstechnischer Produkte und Systeme zur Verfügung.
Der Verweis in § 3 Absatz 1 Satz 2 Nummer 14a BSIG-E auf § 3 Absatz 1 Satz 2 Nummer 14 BSIG stellt klar, dass die Beratung, Information und Warnung von Verbraucherinnen und Verbrauchern in Fragen der IT-Sicherheit substantieller Bestandteil der Verbraucherschutz- aufgabe des BSI ist. Hierdurch kann das BSI seine auf alle Anwender bezogenen Aufgaben und Befugnisse zielgruppenspezifisch auf die Belange der Verbraucherinnen und Verbrau- cher bzw. auf verbrauchernahe Produkte und Dienste fokussieren und ausbauen. Hierzu zählen u.a. stationäre und mobile Betriebssysteme (Windows 10, IOS, Android), Pro- gramme und Apps, Online-Dienste (Homebanking, E-Mail, Hosting-Dienste, Teamviewer), Soziale Netze (z.B. Facebook, Whatsapp), Streaming-Dienste (z.B. Spotify, Netflix), Cloud- Dienste (z.B. Dropbox, Onedrive), IoT (z.B. Alexa, GoogleHome, Smart Home), Hardware- Konsumentenprodukte (z.B. Smartphone, Smart-TV) oder Hardware (z.B. Chips, Grafikkar- ten).
Ein ganzheitlicher Verbraucherschutz im Bereich der Sicherheit in der Informationstechnik beschränkt sich jedoch nicht auf Maßnahmen, die sich unmittelbar an Verbraucherinnen und Verbraucher richten und auf die Vermittlung von Risikobewusstsein, Beurteilungsfähig- keit und Lösungskompetenz gerichtet sind, sondern umfasst u.a. auch das Eintreten für die Verbraucherbelange und die Sicherstellung der IT-Sicherheit gegenüber Herstellern oder die Förderung von Forschungsvorhaben mit Verbraucherschutzbezug. Insbesondere das Eintreten gegenüber den Herstellern von IT-Produkten hinsichtlich IT-Sicherheit und das konsequente Mitdenken der Hersteller der IT-Sicherheit bei Entwicklung und Gestaltung der Produkte und Dienste („security by design“) bietet einen guten Verbraucherschutz. Im Gegensatz zu Verbraucherschutzverbänden ist das BSI jedoch keine Organisation zur aus- schließlichen Vertretung und Durchsetzung von Verbraucherinteressen, sondern hat als nationale Cybersicherheitsbehörde die Interessen aller Stakeholder aus Staat, Wirtschaft und Zivilgesellschaft zu berücksichtigen.
Zur Umsetzung des Verbraucherschutzes im Bereich der im Bereich der Sicherheit in der Informationstechnik soll das BSI mit den Verbraucherorganisationen und weiteren Partnern im Bereich des (digitalen) Verbraucherschutzes eng zusammenarbeiten. Als Maßnahmen für eine effektive Umsetzung des Verbraucherschutzes im Bereich der Sicherheit in der Informationstechnik kommen insbesondere folgende Maßnahmen des BSI in Betracht:
– Beratung und Information von Herstellern von Verbraucherprodukten, um bereits bei der Entwicklung und Gestaltung der Produkte und Dienste das konsequente Mitdenken der IT-Sicherheit ("security by design") zu erreichen.
– Systematische Marktbeobachtung im Bereich Verbraucherprodukte und -dienste (in- ternetfähige IT-Systeme und Online-Dienste) im Hinblick auf Fragen der IT-Sicherheit. Hierdurch wird das BSI in die Lage versetzt, aktuelle Marktentwicklungen zu identifizie- ren und basierend hierauf auch Prognosen im Hinblick auf zukünftige Trends, Entwick- lungen und Auswirkungen auf Verbraucher treffen zu können. Die Ergebnisse der Marktbeobachtung stellen die Grundlage für weitergehende Sicherheitstests und -ana- lysen dar.
– Definition des Stands der Technik für IT-Produktkategorien und Dienste im Verbrau- cherbereich. Der Stand der Technik wird durch das BSI kontinuierlich weiter gepflegt und aktualisiert.
– Sicherheitstests und -analysen mit dem Schwerpunkt „IT-Sicherheitsrisiken für Ver- braucherinnen und Verbraucher“. Durch Sicherheitstests und -analysen von auf dem Markt bereitgestellten IT-Produkten und Systemen kann das BSI aktuelle IT-Sicher- heitsrisiken für Verbraucherinnen und Verbraucher identifizieren. Zum anderen können Sicherheitstests und -analysen zur stichprobenartigen Überprüfung bezüglich der Ein- haltung der Anforderungen nach dem zuvor definierten Stand der Technik dienen.
– Um das Problembewusstsein und die Aufmerksamkeit für die Belange der Informati- onssicherheit zu erhöhen, soll das BSI seine Beratungs- und Unterstützungsangebote, beispielsweise mit einer zielgruppenspezifischen Sensibilisierungskampagne für Ver- braucher intensivieren. Insbesondere kann es auf Basis der Ergebnisse von Marktbe- obachtung, Sicherheitstests und technischen Bewertungen sowie eines durch das BSI definierten Standes der Technik, Verbrauchern allgemeine Empfehlungen zur sicheren Nutzung von informationstechnischen Produkten und Diensten geben und vor Gefah- ren im Zusammenhang mit konkreten informationstechnischen Produkten und Diens- ten sowie vor Herstellern warnen. Hierbei soll auf eine Abstimmung mit bereits vorhan- denen Maßnahmen der Verbraucherinformation geachtet werden.
– Ergänzung des BSI-Bürger-Angebots um eine Verbraucherschutz-Online-Plattform, auf der Verbraucherinnen und Verbraucher auf Empfehlungen, Warnungen und Infor- mationen des BSI zugreifen und sich umfassend zu den für sie relevanten Themen der Cyber-Sicherheit informieren können. Die Plattform dient zudem als Kommunikations- schnittstelle zu den Verbraucherinnen und Verbrauchern. Es soll darauf geachtet wer- den, dass auch bereits vorhandene Strukturen und Plattformen zur Verbraucherinfor- mation genutzt beziehungsweise mit einbezogen werden.
– Aufnahme eines kontinuierlichen Verbraucherschutzdialogs zwischen BSI, Herstellern und Diensteanbietern, um einen frühzeitigen und steten Austausch zur Realisierung eines höchstmöglichen Schutzniveaus der IT-Sicherheit bei Verbraucherprodukten zu erreichen. Hierzu nutzt das BSI seine Erfahrungen aus der Marktbeobachtung, den Sicherheitstests und -analysen sowie dem Dialog mit den Übrigen im Verbraucher- schutz tätigen Akteuren.
– Angebot eines IT-Sicherheitskennzeichens für verbrauchernahe Produkte und Dienste zur Erhöhung der Verbrauchertransparenz und zur Förderung der Sicherheit in der In- formationstechnik. Das Angebot eines Kennzeichens für IT-Sicherheit kann Verbrau- cherinnen und Verbrauchern die Auswahl eines IT-Produktes oder eines Online-Diens- tes erleichtern, indem für sie auf einen Blick feststellbar ist, welches IT-Produkt oder welcher Dienst welches konkrete Sicherheitsniveau aufweist. Hierdurch kann der Markt für sichere IT-Systeme und Online-Dienste (z.B. Cloud-Dienste) positiv beeinflusst wer- den, so dass indirekt zugunsten der Verbraucher ein Beitrag dazu geleistet wird, das Sicherheitsniveau insgesamt zu steigern. Zudem wird ein sichtbares Gütesiegel oder Kennzeichen auch zu einer Sensibilisierung der Verbraucher und damit zu einem Be- wusstsein für IT-Sicherheit führen.
– Unterstützung von Abmahnungen und Klagen bei verbraucherrechtswidrigen Praktiken durch das BSI. Das BSI unterstützt mit seiner fachlichen Expertise im Bereich der IT- Sicherheit Abmahnungen und Klagen bei verbraucherrechtswidrigen Praktiken nach dem Unterlassungsklagegesetz (UKlaG) bzw. dem Gesetz gegen unlauteren Wettbe- werb (UWG). Gemäß § 7a Absatz 2 BSIG darf das BSI informationstechnische Pro- dukte untersuchen und die hieraus gewonnenen Erkenntnisse u.a. auch den im UKlaG genannten Stellen zur Verfügung stellen. Ebenso darf das BSI diese Stellen in Fragen der Sicherheit der Informationstechnik beraten. Im Ergebnis kann das BSI somit die im UKlaG genannten Stellen bei der Durchsetzung von Ansprüchen gegen verbraucher- rechtswidrige Praktiken im Bereich der IT-Sicherheit beraten und unterstützen.
– Förderung fremder Projekte zum Verbraucherschutz im Bereich der Informationssi- cherheit und Durchführung von eigenen Forschungsprojekten zum Verbraucherschutz im Bereich IT-Sicherheit.
Die bestehenden Pflichten zur Einhaltung von Mindeststandards und zur Meldung von Stö- rungen werden auf weitere Teile der Wirtschaft ausgeweitet. In der Folge sind auch die Aufgaben des BSI anzupassen.
Es handelt sich um eine redaktionelle Anpassung wegen der Ergänzung weiterer Aufgaben.
Mit der neu eingefügten Nummer 19 in § 3 Absatz 1 Satz 2 BSIG wird die Zuständigkeit des BSI für die Entwicklung von Vorgaben sowie die abschließende Bewertung von Identifizie- rungs- und Authentisierungsverfahren unter dem Gesichtspunkt der Informationssicherheit gesetzlich klargestellt. Diese sicherheitstechnisch relevanten Verfahren bedürfen gerade mit Blick auf die Vorgaben der eIDAS-VO auf EU-Ebene einer Konkretisierung sowie ab- schließenden Bewertung im nationalen Kontext, um eine sichere, nutzerfreundliche und insbesondere einheitliche Ausgestaltung zu gewährleisten. Das BSI ist kraft seines gesetz- lichen Auftrags innerhalb der Bundesverwaltung für diesen Bereich zuständig, da der Ge- setzgeber mit der Bündelung der Fachkompetenz des Bundes im Bereich der Informations- sicherheit beim BSI (§ 1 Satz 2 BSIG) gerade das Ziel verfolgt hat, eine einheitliche Bewer- tung für sicherheitstechnisch relevante Verfahren und Maßnahmen zu erzielen. Darüber hinaus verfügt das BSI als einzige Behörde innerhalb der Bundesverwaltung über die tech- nische Kompetenz, die für eine abschließende Bewertung solcher Verfahren erforderlich ist. Die neu eingefügte Klarstellung in Nummer 19 stellt daher sicher, dass das gesetzge- berische Ziel erreicht wird.
Mit der neu eingefügten Aufgabe in Nummer 20 in § 3 Absatz 1 Satz 2 BSIG wird die Zu- ständigkeit des BSI für die Entwicklung von Anforderungen und Empfehlungen nebst ent- sprechender Konformitätsprüfung und -bestätigung bei IT-Produkten, insbesondere in Ge- stalt von Technischen Richtlinien, ausdrücklich festgelegt. Mit Blick auf die zunehmende Vernetzung der IT-Produkte sind entsprechende Anforderungen an die IT-Sicherheit zum Zwecke des Verbraucherschutzes unerlässlich. Hierzu müssen durch das Bundesamt ein- heitliche Vorgaben geschaffen und als zentrale Stelle im Markt etabliert werden.
Zu § 4a
(Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte)
Die neue Regelung in § 4a dient der Stärkung der Rolle des Bundesamtes und gleichzeitig der Gewährleistung eines hohen Sicherheitsniveaus für die Kommunikationstechnik des Bundes. Dies ist auch im Koalitionsvertrag der 19. Legislaturperiode (z.B. Zeile 6029) vor- gesehen. Die Umsetzung der besonders hohen Sicherheitsanforderungen bei der Kommu- nikationstechnik des Bundes erfordert eine effektive, schnelle und jederzeitige Prüf- und Kontrollmöglichkeit durch das für die Sicherheit der Kommunikationstechnik des Bundes zuständige Bundesamt. Die Regelung schafft die hierfür erforderliche Ermächtigung und benennt die dem Bundesamt zur Verfügung stehenden Befugnisse.
Anhaltspunkte zu dem aktuellen Sicherheitsniveau für die Sicherheit der Kommunikations- technik können Informationen sein, die sich insbesondere aus Konzepten, Regelungen und Dokumenten, etwa über Netzinfrastrukturen, ergeben.
Sofern sich die Kommunikationstechnik des Bundes nicht in Stellen des Bundes befindet, kann das Bundesamt die Befugnisse nur im Einvernehmen mit den Dritten ausüben.
Das Bundesamt wird neben der jeweils überprüften Stelle und der eigenen Fachaufsicht das Ergebnis auch der jeweiligen Rechts- und Fachaufsicht der geprüften Stelle entspre- chend dem Ressortprinzip mitteilen. Sofern das Bundesamt Vorschläge zur Verbesserung der Informationssicherheit unterbreiten kann, soll es diese mit der Mittei