Begründung zu § 2 BSIG

Begründung der Bundesregierung

Die Begriffsbestimmungen werden zur Steigerung der Übersichtlichkeit in Nummern anstatt von einzelnen Absätzen gestaltet, welche alphabetisch sortiert werden. Dies war infolge der Einführung zahlreicher neuer Begriffsbestimmungen, bedingt durch die Vorgaben der NIS-2-Richlinie, erforderlich geworden. Eine thematische Sortierung scheidet aufgrund der großen Anzahl der Begriffe aus, eine Übersichtlichkeit für den Rechtsanwender könnte dann nicht mehr gewährleistet werden.

Zu Nummer 1

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 5 der NIS-2-Richtlinie. Die Legaldefinition eines Beinahevorfalls ist hier bewusst weit gefasst, da grundsätzlich vielfältige Vorfälle im Kontext der Cybersicherheit als Beinahevorfall gewertet werden können. Demnach kann beispielsweise eine professionell gestaltete Phishingmail, die nur aufgrund entsprechender besonders intensiver Sensibilisierung der Mitarbeiter oder aufgrund einer erhöhten Aufmerksamkeit der Belegschaft als solche erkannt wurde, durchaus als Beinahevorfall gewertet werden, wenn diese unter sonst üblichen Bedingungen nicht erkannt worden wäre. Nicht als Beinahevorfall anzusehen sind jedoch regelmäßige und alltägliche Störungen und Belästigungen wie Spam E-Mails oder offenkundig auch für ungeschultes Personal als Phishingmail erkennbare E-Mails

Die Begriffsbestimmung enthält die Trias Verfügbarkeit, Integrität und Vertraulichkeit der bisherigen Begriffsbestimmung des § 2 Absatz 2 Satz 4 BSI-Gesetz (Sicherheit in der Informationstechnik). Der Begriff Authentizität stellt im deutschen Recht einen Unterfall der Integrität dar, daher erfolgt anders als z. B. in Artikel 6 Nummer 5 der NIS-2-Richtlinie keine ausdrückliche Nennung des Begriffs.

Zu Nummer 2

Die Begriffsbestimmung dient der Umsetzung von Artikel 28 Absatz 5 der NIS-2-Richtlinie und definiert den „berechtigten Zugangsnachfrager“ für die Zwecke des § 50.

Zu Nummer 3

Der Sektor Weltraum umfasst insbesondere Einrichtungen, deren Funktionsfähigkeit für die Erbringung verschiedener kritischen Dienstleistungen zwingend erforderlich sind. Dazu werden die Begriffe „Bodeninfrastruktur“ und „weltraumgestützte Dienste“ (Nummer 45) definiert. Bodeninfrastruktur umfasst dabei Einrichtungen wie etwa Satellitenkontrollzentren und Bodenstationen während weltraumgestützte Dienste zum Beispiel Globale Navigationssatellitensysteme (GNSS) oder hochgenaue Zeitservices umfassen. Von der Kontrolle in der Begriffsbestimmung „Bodeninfrastruktur“ umfasst sind insbesondere die Kommunikation, Beobachtung und Steuerung.

Zu Nummer 4

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 30 der NIS-2-Richtlinie. Ausweislich des Erwägungsgrunds 33 der NIS-2-Richtlinie können Cloud-Computing Dienste unter anderem IaaS (Infrastructure as a Service), PaaS (Platform as a Service), SaaS (Software as a Service) sowie NaaS (Network as a Service) umfassen. Ein skalierbarer elastischer Pool beschreibt Rechenressourcen, die je nach Arbeitsaufkommen erhöht oder reduziert werden können. Dienste bei denen die verfügbaren Ressourcen ohne Änderungsmöglichkeit vorab festgelegt werden – wie z. B. bei einfachen Webhosting-Angeboten üblich – werden demnach nicht erfasst.

Zu Nummer 5

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 32 der NIS-2-Richtlinie. Die Bereitstellung digitaler Inhalte und Dienste für Internetnutzer im Auftrag von Inhalte- und Diensteanbietern umfasst insbesondere das sogenannte Caching. Bei dem Wort „Zustellung“ ist eine tatsächliche und keine formelle Zustellung gemeint.

Zu Nummer 6

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 10 der NIS-2-Richtlinie.

Zu Nummer 7

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 9 fort.

Zu Nummer 8

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 20 der NIS-2-Richtlinie. Werden DNS-Dienste als untrennbarer Teil eines Internetzugangsdienstes angeboten, ist der entsprechende Anbieter in der Regel nicht als eigenständiger DNS-Diensteanbieter zu betrachten. Autoritative DNS-Server zur Nutzung durch Dritte sind insbesondere solche, die nicht durch den zugehörigen Domaininhaber selbst betrieben werden, sondern grundsätzlich einer Vielzahl von Domaininhabern offensteht.

Zu Nummer 9

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 22 der NIS-2-Richtlinie.

Zu Nummer 10

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 11 der NIS-2-Richtlinie.

Zu Nummer 11

Die Begriffsbestimmung dient der Umsetzung von Artikel 23 Absatz 3 und Absatz 11 Unterabsatz 2 der NIS-2- Richtlinie. Bei den hier genannten finanziellen Verlusten sind Bagatellschäden regelmäßig ausgeschlossen.

Zu Nummer 12

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 41 der NIS-2-Richtlinie. Ein primäres Ziel im Sinne der Vorschrift dürfte ab einem Überschreiten von 50 % der Gesamttätigkeit gegeben sein.

Zu Nummer 13

Die Begriffsbestimmung dient der Umsetzung von Artikel 20 der NIS-2-Richtlinie. Da die Pflichten und Befugnisse der Leitungen von Einrichtungen des Bundes nach § 29 abweichend in § 43 geregelt sind, werden diese hier explizit von der Definition ausgenommen.

Zu Nummer 14

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 13 der NIS-2-Richtlinie. Mit „IKT-Dienst“ ist in der Verordnung (EU) 2019/881 ein Dienst gemeint, der vollständig oder überwiegend aus der Übertragung, Speicherung, Abfrage oder Verarbeitung von Informationen mittels informationstechnischer Systeme, Komponenten und Prozessen besteht.

Zu Nummer 15

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 12 der NIS-2-Richtlinie. Mit „IKT-Produkt“ ist in der Verordnung (EU) 2019/881 ein Element oder eine Gruppe von Elementen eines Netz- oder Informationssystems gemeint. Der Begriff wird zur europaweiten Vereinheitlichung der Terminologie im Rahmen der Umsetzung der NIS-2-Richtlinie eingeführt und ersetzt den alten Begriff des IT-Produkts in § 2 Absatz 9a BSI-Gesetz a. F. Inhaltlich ergeben sich zwischen beiden Begriffen keine Unterschiede. Die hier referenzierte Definition beinhaltet sowohl Hardwareprodukte als auch Softwareprodukte.

Zu Nummer 16

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 14 der NIS-2-Richtlinie. Mit dem Begriff „IKT-Prozess“ meint die Verordnung (EU) 2019/881 jegliche Tätigkeiten, mit denen ein ITK-Produkt oder -Dienst konzipiert, entwickelt, bereitgestellt oder gepflegt werden soll.

Zu Nummer 17

Der Begriff Informationssicherheit wurde auch bisher bereits im BSI-Gesetz verwendet, jedoch nicht gesetzlich definiert. Aus Klarstellungsgründen erfolgt daher nunmehr eine entsprechende Legaldefinition, die sich an den bereits etablierten Definitionen des BSI IT-Grundschutzes orientiert.

Zu Nummer 18

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 1 fort.

Zu Nummer 19

Die Begriffsbestimmung führt die Legaldefinition im bisherigen § 14a Satz 1 fort, der Begriff wird nunmehr in §§ 29 und 64 verwendet. Zur Vervollständigung der bisherigen Legaldefinition wurde die Deutsche Gesetzliche Unfallversicherung e. V. ergänzt.

Zu Nummer 20

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 18 der NIS-2-Richtlinie.

Zu Nummer 21

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 3 fort. Es wurde eine Begriffskonsolidierung vorgenommen – statt „Bundesbehörden“ nun „Einrichtungen der Bundesverwaltung“. Der Begriff wird über den Anwendungsbereich von § 29 definiert. Die Erweiterung der Definition ist vor dem Hintergrund der Zeitenwende geboten und ist mit Rücksicht darauf erforderlich, dass angesichts der komplexen digitalen Infrastruktur auch Informationstechnik schutzbedürftig sein kann, die nicht unmittelbar von Bundesbehörden betrieben oder verwendet wird. Eine Kompromittierung der Systeme einer Einrichtung der Bundesverwaltung ist geeignet, ein Risiko für alle damit vernetzten Einrichtungen darzustellen, auch wenn die konkret betroffene IT nur mittelbar z. B. durch Handeln Einzelner gefährdet ist.

Zu Nummer 22

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 10 BSI-Gesetz mit Änderungen aufgrund der neuen Regelungssystematik fort. Die Ergebnisse der Evaluierung dieser Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme wurden berücksichtigt. Die Vorschrift wird in absehbarer Zeit geändert, vgl. Artikel 2.

Zu Nummer 23

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 13 fort.

Zu Nummer 24

Die Begriffsbestimmung wurde aus § 1 Absatz 1 Nummer 3 in Verbindung mit §§ 2 bis 8 BSI-KritisV übernommen.

Zu Nummer 25

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 40 der NIS-2-Richtlinie. Der MSSP stellt einen Unterfall des MSP dar, seine Dienste können etwa Incident-Response-Dienste oder die Umsetzung von Cyberrisikomanagementmaßnahmen (wie etwa in § 30 beschrieben) umfassen.

Zu Nummer 26

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 39 der NIS-2-Richtlinie. Die Rolle des MSP setzt einen gewissen Grad an tatsächlichem Zugriff auf IKT-Produkte, -Netzwerke oder -Infrastrukturen voraus und ist insofern etwa von reinen Beratungstätigkeiten abzugrenzen. Eine Mindestanzahl an Kunden ist dagegen nicht Voraussetzung für die Einstufung als MSP, so fallen z. B. auch Unternehmen, die ausschließlich den zentralen IT-Betrieb eines Unternehmensverbundes übernehmen, in der Regel unter den Begriff des MSP.

Zu Nummer 27

Die Begriffsbestimmung dient der Vereinfachung der zahlreichen Zitate der NIS-2-Richtlinie im BSI-Gesetz.

Zu Nummer 28

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 28 der NIS-2-Richtlinie.

Zu Nummer 29

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 29 der NIS-2-Richtlinie.

Zu Nummer 30

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 33 der NIS-2-Richtlinie.

Zu Nummer 31

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 8 fort.

Zu Nummer 32

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 8a fort.

Zu Nummer 33

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 26 der NIS-2-Richtlinie.

Zu Nummer 34

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 27 der NIS-2-Richtlinie.

Zu Nummer 35

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 31 der NIS-2-Richtlinie. Die Datenverarbeitung umfasst dabei insbesondere auch Transport und Speicherung.

Zu Nummer 36

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 5 fort.

Zu Nummer 37

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 4 fort. Es wird eine Begriffskonsolidierung/Folgeänderung vorgenommen – statt Bundesbehörden nun Einrichtungen der Bundesverwaltung. Durch die Anpassung erweitert sich die Reichweite des Begriffs – mit Blick auf den Schutzzweck der Informationssicherheit der Netze des Bundes bzw. möglicher weiterer Regierungsnetze bedeutet die Erweiterung die Klarstellung, dass nicht allein Bundesbehörden an diese Netze angeschlossen sein können.

Zu Nummer 38

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 6 fort und dient gleichzeitig der Umsetzung von Artikel 6 Nummer 15 der NIS-2-Richtlinie.

Zu Nummer 39

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 2 Satz 2 fort.

Zu Nummer 40

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 6 der NIS-2-Richtlinie.

Zu Nummer 41

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 9b fort.

Zu Nummer 42

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 21 der NIS-2-Richtlinie.

Zu Nummer 43

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 24 der NIS-2-Richtlinie.

Zu Nummer 44

Die Begriffsbestimmung dient der Umsetzung von Artikel 6 Nummer 25 der NIS-2-Richtlinie.

Zu Nummer 45

Auf die Begründung zu Nummer 3 wird verwiesen.

Zu Nummer 46

Die Begriffsbestimmung führt den bisherigen § 2 Absatz 7 fort.

Beschlussempfehlung und Bericht des Innenausschusses

Zu § 2:

§ 2 wird wie folgt geändert:
aa) Nummer 23 wird durch die folgende Nummer 23 ersetzt:
„23. „kritische Komponenten“ IKT-Produkte, die in einer Rechtsverordnung aufgrund von § 56 Absatz 7 und 8 als kritische Komponenten bestimmt werden;“.
bb) Nummer 27 wird durch die folgende Nummer 27 ersetzt:
„27. „NIS-2-Richtlinie“ die Richtlinie (EU) 2022/2555 in der jeweils geltenden Fassung;“.

Begründung

Zu § 2 Nummer 23:

Kritische Komponenten sind IKT-Produkte im Sinne von § 2 Nummer 15, die aufgrund von § 56 Absatz 7 und 8 in einer Rechtsverordnung als kritische Komponenten bestimmt werden. Die Neuformulierung vereinheitlicht und vereinfacht das Verfahren zur Bestimmung kritischer Komponenten und erleichtert damit die Anwendung der Regelung in der Praxis.

Zu § 2 Nummer 27:

Streichung einer überflüssigen Klammer, redaktionelle Anpassung.