Begründung zu § 10 BSIG

Begründung der Bundesregierung

Die neue Vorschrift dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe b sowie Absatz 5 der NIS-2-Richtlinie gegenüber Einrichtungen der Zentralregierung bei der Reaktion auf akute Sicherheitsvorfälle; im Interesse eines kohärenten Regelungsregimes und effektiven operativen Vorfallsmanagements werden die Befugnisse wie in § 29 angelegt auch auf die übrigen Einrichtungen der Bundesverwaltung erstreckt. Wenn das Bundesamt die Gefahr oder das Vorliegen eines Sicherheitsvorfalles feststellt, weist es die Einrichtungen der Bundesverwaltung auf die aus seiner Sicht notwendigen Maßnahmen zur Abwendung oder Behebung hin. Wenn die Einrichtungen diese Maßnahmen nicht innerhalb eines angemessenen Zeitraums umsetzen, obwohl diese nach Ansicht des Bundesamtes erforderlich sind, kann es die Einrichtungen zur Umsetzung anweisen. Dabei wird es die Einrichtungen in der Regel vorher anhören. Bei Gefahr im Verzug kann es die Anordnung auch erlassen, ohne den Einrichtungen zuvor Gelegenheit zur Stellungnahme zu geben. Bei der Erteilung von Anweisungen berücksichtigt das Bundesamt potentielle Auswirkungen auf Dritte, wie Kunden oder Dienstleister. Die Anweisung des Bundesamtes gegenüber Einrichtungen der Bundesverwaltung werden an die jeweilige Einrichtungsleitung adressiert. Mögliche Beispiele für Anweisungen des Bundesamtes können lageabhängig nach sachlicher und rechtlicher Einzelfallprüfung sein: Übergabe von Systemen oder Daten zur Analyse an das Bundesamt; erhöhte Protokollierung zur Anomaliedetektion; Verlängerung von Speicherfristen; Verhindern von Datenlöschung; Installation eines Netzwerksensors des Bundesamtes zur Detektion; Verpflichtung, Mitarbeiter, Dienstleister, Kunden und Partner über bestimmte Tatsachen zu informieren oder nicht zu informieren; Nichtnetztrennung zur Sicherstellung der Analyse von Angreiferverhalten; im Extremfall Netztrennung. Entsprechend der unterschiedlichen Rollen im Aufsichtsgefüge ist eine Berichterstattung gleichermaßen vorgesehen an Bundesamt als operativer Aufsichtsbehörde sowie des Informationssicherheitsbeauftragten des Ressorts als zuständiger Fachaufsicht.