Begründung der Bundesregierung
§ 29 bezieht Einrichtungen der Bundesverwaltung als Kategorie in das Regelungsregime ein, das mit Umsetzung der NIS-2-Richtlinie etabliert wird. In vielen Einrichtungen der Bundesverwaltung besteht ein Defizit bei der Umsetzung von Maßnahmen zum Eigenschutz im Bereich der Informationssicherheit. Die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis (etwa Umsetzungsplan Bund) haben sich als nicht ausreichend effektiv erwiesen, um eine flächendeckende wirksame Steigerung des Sicherheitsniveaus zu erreichen. Vor dem Hintergrund der durch aktuelle geopolitische Entwicklungen („Zeitenwende“) abermals verschärften Bedrohungslage hat sich das Risiko für staatliche Einrichtungen zudem weiter erhöht, durch Gefährdungen aus dem Cyberraum in ihrer Handlungsfähigkeit eingeschränkt zu werden. Die Umsetzung der NIS-2-Richtlinie wird deshalb durch diese und weitere Bestimmungen begleitet mit weiteren Regelungen für die Bundesverwaltung, die über die reine Umsetzung der NIS-2-Richtlinie hinausgehen. Um auf Bundesebene auch vor dem Hintergrund von Verflechtung und Konsolidierung der IT insgesamt ein gemeinsames, kohärentes und handhabbares Regime zu erreichen, werden in nationaler Verantwortung Anforderungen formuliert, die inhaltlich an denjenigen für besonders wichtige Einrichtungen orientiert sind.
Zu Absatz 1
Absatz 1 bestimmt die Kategorie der Einrichtungen der Bundesverwaltung im Sinne dieses Gesetzes. Vor dem Hintergrund des Schutzzwecks der Informationssicherheit des Bundes und zum Zwecke der Begriffskonsolidierung ist die Definition grundsätzlich orientiert am Anwendungsbereich des bisherigen § 8 Absatz 1 sowie dem Geltungsbereich des Umsetzungsplans Bund, mit dem der Begriff der Einrichtungen der Bundesverwaltung bereits etabliert worden ist. Die Verwaltung des Bundestags sowie das Sekretariat des Bundesrats sind als Bundesbehörden von Nummer 1 mit umfasst. Nicht umfasst sind die Versorgungsanstalt der deutschen Bühnen, die Versorgungsanstalt der deutschen Kulturorchester und die Versorgungsanstalt der bevollmächtigten Bezirksschornsteinfeger, die von einer Landesbehörde verwaltet werden. Mit Nummer 3 wird das bisherige Anordnungserfordernis („Opt-In“) beibehalten. Grundsätzlich sollte eine Anordnung weiterer unmittelbarer Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie ihrer Vereinigung erfolgen, wenn die betroffene Einrichtung öffentlich-rechtliche Verwaltungsaufgaben wahrnimmt und sich durch eine Nicht-Anordnung der Einrichtung erkennbare nachteilige Auswirkungen für die Informationssicherheit des Bundes ergeben könnten. Erkennbare nachteilige Auswirkungen für die Informationssicherheit des Bundes können insbesondere dann entstehen, wenn die Einrichtung ein potentielles Verbundrisiko für andere Einrichtungen des Bundes darstellt; bspw. falls die Einrichtung an die Netze des Bundes angebunden ist oder Leistungen der IT-Konsolidierung des Bundes nutzt. Um die potentiellen nachteiligen Auswirkungen angemessen einschätzen zu können, erfolgt die Anordnung durch das Bundesamt im Einvernehmen mit dem jeweils zuständigen Ressort. Zusätzlich werden die öffentlich-rechtlich organisierten IT-Dienstleister der Bundesverwaltung explizit in den Anwendungsbereich mit einbezogen, d.h. der Verbund der IT-Dienstleister des Bundes (VITD) mit Ausnahme der privatrechtlich organisierten BWI GmbH und der als KRITIS regulierten Bundesagentur für Arbeit und Deutsche Rentenversicherung als Institutionen der Sozialen Sicherung.
Zu Absatz 2
Absatz 2 dient als Generalklausel zur grundsätzlichen Erweiterung des Anwendungsbereichs auf Einrichtungen der Bundesverwaltung, die selbst weder besonders wichtige Einrichtungen noch wichtige Einrichtungen sind, sowie zur Festlegung von Abweichungen für Einrichtungen der Bundesverwaltung von den Regelungen für (besonders) wichtige Einrichtungen.
Für Einrichtungen der Bundesverwaltung finden die Regelungen für besonders wichtige Einrichtungen Anwendung, soweit keine Abweichungen für Einrichtungen der Bundesverwaltung geregelt sind. D.h. folgende Regelungen für besonders wichtige Einrichtungen finden Anwendung: §§ 6, 12, 13 Absatz 1 Nummer 1 Buchstabe e, § 30, 32, 33, 35, 36, 37, 56 und 59, wobei § 30 durch die Einhaltung von § 44 Absatz 1 erfüllt wird. Folgende Regelungen für besonders wichtige oder wichtige Einrichtungen finden keine Anwendung: §§ 38, 40 Absatz 3, § 61 und 65, da stattdessen folgende abweichende Regelungen Anwendung finden: §§ 4, 7, 10, 43 Absatz 1, 2, 4 und 5.
Zu Absatz 3
Absatz 3 dient der Festlegung der in der NIS-2-Richtlinie angelegten Ausnahme für den Bereich der Verteidigung und den Bereich der nationalen Sicherheit.
Beschlussempfehlung und Bericht des Innenausschusses
Zu § 29 Absatz 2 Satz 2:
§ 29 Absatz 2 Satz 2 wird gestrichen.
Begründung
Zu § 29 Absatz 2 Satz 2:
Der Anwendungsbereich wird auf die gesamte Bundesverwaltung erstreckt. Die Geschäftsbereichsbehörden werden umfasst.
Absatz 2 dient der grundsätzlichen Erweiterung des Anwendungsbereichs dieses Gesetzes auf Einrichtungen der Bundesverwaltung, die selbst weder besonders wichtige Einrichtungen noch wichtige Einrichtungen sind, sowie zur Festlegung von Abweichungen für Einrichtungen der Bundesverwaltung von den Regelungen für (besonders) wichtige Einrichtungen.
Für Einrichtungen der Bundesverwaltung finden die Regelungen für besonders wichtige Einrichtungen Anwendung, soweit keine Abweichungen für Einrichtungen der Bundesverwaltung geregelt sind. D.h. folgende Regelungen für besonders wichtige Einrichtungen finden Anwendung: §§ 6, 12, 13 Absatz 1 Nummer 1 Buchstabe e, §§ 30, 32, 33, 35, 36, 37, 56 und 59, wobei § 30 durch die Einhaltung von § 44 Absatz 1 erfüllt wird. Folgende Regelungen für besonders wichtige oder wichtige Einrichtungen finden keine Anwendung: §§ 38, 40 Absatz 3, §§ 61 und 65, da stattdessen folgende abweichende Regelungen Anwendung finden: §§ 4, 7, 10, 43 Absatz 1, 2, 4 und 5.