Begründung zu § 30 BSIG

Begründung der Bundesregierung

§ 30 dient der Umsetzung von Artikel 21 der NIS-2-Richtlinie. Für Einrichtungen der Bundesverwaltung wird dieser durch § 44 umgesetzt.

Zu Absatz 1

Absatz 1 dient der Umsetzung von Artikel 21 Absatz 1 und 4 NIS-2-Richtlinie. Während das BSIG im Bereich von Cybersicherheitsmaßnahmen bislang für Betreiber Kritischer Infrastrukturen auf diejenigen informationstechnischen Systeme, Komponenten und Prozesse abstellte, die für die Funktionsfähigkeit der Kritischen Infrastruktur maßgeblich sind, sind in Folge der Umsetzung der NIS-2-Richtlinie zukünftig sämtliche informationstechnischen Systeme, Komponenten und Prozesse zu berücksichtigen, die von der jeweiligen Einrichtung für die Erbringung ihrer Dienste genutzt werden. Der Begriff „Erbringung ihrer Dienste“ ist hierbei weit gefasst und insbesondere nicht mit der Erbringung (kritischer) Versorgungsdienstleistungen zu verwechseln. Vielmehr sind die hier gemeinten Dienste sämtliche Aktivitäten der Einrichtung, für die IT-Systeme eingesetzt werden, dies beinhaltet beispielsweise auch Büro-IT oder andere IT-Systeme, die durch die Einrichtung betrieben werden. Risiken sind das Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird. Absatz 1 stellt klar, dass hierbei durch die Einrichtung nur geeignete, verhältnismäßige und wirksame Maßnahmen zu ergreifen sind. In Bezug auf die Verhältnismäßigkeit sind insbesondere die Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen. Dies dient der Umsetzung von Artikel 21 Absatz 1 Unterabsatz 2 NIS-2-Richtlinie. In die Bewertung der Angemessenheit und Verhältnismäßigkeit kann ebenfalls einfließen, ob es sich um eine wichtige Einrichtung, eine besonders wichtige Einrichtung oder einen Betreiber einer kritischen Anlage handelt, da in diesen Einrichtungskategorien grundsätzlich von einem unterschiedlichen Grad der Risikoexposition ausgegangen werden kann. Bei der Bewertung der Angemessenheit und Verhältnismäßigkeit der jeweiligen Maßnahmen kann überdies berücksichtigt werden, ob hierdurch Dienste geschützt werden, die in einem zwingenden betrieblichen Zusammenhang zu den Waren oder Dienstleistungen stehen, die zu einer Zuordnung zu einer der in Anlage 1 oder 2 bestimmten Einrichtungsarten geführt haben.

Vergleichbar zur Rechenschaftspflicht nach Artikel 5 Absatz 2 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung) sind Einrichtungen verpflichtet, die Umsetzung und Einhaltung von Maßnahmen angemessen zu dokumentieren. Durch diese Pflicht wird sichergestellt, dass Einrichtungen nach Anforderungen von Nachweisen des Bundesamts gemäß § 61 Absatz 3 dem Bundesamt entsprechende Nachweisdokumente vorlegen können. Entsprechende Dokumentationen können beispielsweise sein: interne Richtlinien, Handlungsanweisungen, Checklisten, Mitarbeiterschulungen, Vereinbarungen, Merkblätter o.ä., aber auch Auditberichte, Zertifizierungen oder Prüfungen.

Zu Absatz 2

Absatz 2 dient der Umsetzung von Artikel 21 Absatz 2 der NIS-2-Richtlinie. Die hier genannten Vorgaben insbesondere im Bereich der Sicherheit der Lieferkette können auch die Durchführung von External Attack Surface (EAS) Scans beinhalten. Mit der Vorgabe in Nummer 2 ist der Fachbegriff „incident response“ gemeint.

Unter Maßnahmen zur Sicherheit der Lieferkette sind beispielsweise vertragliche Vereinbarungen mit Zulieferern und Dienstleistern zu Risikomanagementmaßnahmen, Bewältigung von Cybersicherheitsvorfällen, Patchmanagement, sowie der Berücksichtigung von Empfehlungen des Bundesamtes in Bezug auf deren Produkten und Dienstleistungen zu nennen. Ebenfalls kann dies beinhalten, Zulieferer und Dienstleister zur Beachtung von grundsätzlichen Prinzipien wie Security by Design oder Security by Default anzuhalten. Bei der Erwägung geeigneter Maßnahmen nach Absatz 4 Nummer 4 sind durch die Einrichtung die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse zu berücksichtigen. Einrichtungen müssen bei der Erwägung geeigneter Maßnahmen nach Satz 1 die Ergebnisse der gemäß Artikel 22 Absatz 1 der NIS-2-Richtlinie durchgeführten koordinierten Risikobewertungen kritischer Lieferketten berücksichtigen.

Der Begriff der „Verwaltung von Systemen, -Produkten und -Prozessen“ umschreibt den Fachbegriff des „Asset Managements“.

Zu Absatz 3

Absatz 3 dient der Umsetzung von Artikel 21 Absatz 5 Unterabsatz 1 der NIS-2-Richtlinie.

Zu Absatz 4

Absatz 4 dient der Umsetzung von Artikel 21 Absatz 5 Unterabsatz 2 der NIS-2-Richtlinie. Soweit die Europäische Kommission einen Durchführungsrechtsakt gemäß Artikel 24 Absatz 2 der NIS-2-Richtlinie erlässt, gehen die darin enthaltenen Vorgaben an den Einsatz zertifizierter IKT-Produkte, IKT-Dienste und IKT-Prozesse denen des Satzes 1 vor.

Zu Absatz 5

Zur angemessenen Berücksichtigung der Bedrohungslage muss das Bundesamt die Möglichkeit haben, über die ggf. von der Europäischen Kommission erlassenen Maßnahmen hinaus, die Umsetzung angemessener Maßnahmen zu fordern.

Zu Absatz 6

Absatz 6 dient der Umsetzung von Artikel 24 der NIS-2-Richtlinie. Gemäß Artikel 24 Absatz 2 der NIS-2-Richtlinie ist die EU-Kommission ebenfalls befugt, delegierte Rechtsakte nach Artikel 290 AEUV zu erlassen, die ebenfalls den verpflichtenden Einsatz nach europäischen Schemata zertifizierter Produkte, Dienste oder Prozesse vorschreiben kann. Diese delegierten Rechtsakte haben entsprechend Vorrang gegenüber einer nach Absatz 6 dieser Regelung erlassen Rechtsverordnung des Bundesministeriums des Innern.

Vor Erlass einer solchen Rechtsverordnung ist durch das Bundesministerium des Innern und die weiteren beteiligten Ressorts sicherzustellen, dass entsprechende Zertifizierungsschemata vorhanden sind und nach diesen zertifizierten Produkten, Dienste oder Prozesse ausreichend am Markt verfügbar sind, um nachgelagerte Probleme durch Lieferengpässe oder -schwierigkeiten zu vermeiden.

Zu Absatz 7

Absatz 7 dient der Umsetzung von Artikel 30 Nummer 2 der NIS-2-Richtlinie.

Zu Absatz 8

Die Möglichkeit für KRITIS-Betreiber, für die Erfüllung der gesetzlichen Anforderungen branchenspezifische Sicherheitsstandards (B3S) vorzuschlagen, die anschließend vom Bundesamt im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sowie der zuständigen Aufsichtsbehörde des Bundes auf ihre Eignung geprüft werden, hat sich in der Umsetzung der NIS-1 Richtlinie aus Sicht der Bundesregierung grundsätzlich sehr bewährt. Da auch aus der Wirtschaft im Zuge der Evaluierung der KRITIS-bezogenen Bestandteile des IT-Sicherheitsgesetzes 2.0 einstimmig eine Einführung eines vergleichbaren Verfahrens angeregt wurde, wird in Absatz 9 eine vergleichbare Regelung für besonders wichtige Einrichtungen eingeführt. Bei der Erarbeitung von branchenspezifischen Sicherheitsstandards durch Betreiber kritischer Anlagen und ihre Branchenverbände zur Erfüllung der Nachweispflichten nach § 39 Absatz 1 kann es sinnvoll sein, die Maßnahmen auf diejenigen informationstechnischen Systeme, Komponenten und Prozesse zu beschränken, die für die Funktionsfähigkeit der kritischen Anlagen maßgeblich sind. Ein solcher branchenspezifischer Sicherheitsstandard ist dann jedoch nur für den Nachweis der Anforderungen nach § 39 Absatz 1 durch Betreiber kritischer Anlagen geeignet. Sofern das Bundesamt gemäß § 61 Absatz 3 Nachweise von besonders wichtigen Einrichtungen verlangt, die gleichzeitig Betreiber kritischer Anlagen sind, sind durch die Einrichtung entsprechend für diejenigen informationstechnischen Systeme, Komponenten und Prozesse, welche die Einrichtung für die Erbringung ihrer Dienste nutzt, die jedoch nicht vom branchenspezifischen Sicherheitsstandard abgedeckt sind, weitere Nachweisunterlagen zu erbringen.

In den Fällen, in denen im Sektor Gesundheitswesen keine zuständige Aufsichtsbehörde des Bundes besteht, ist bei der Feststellung der branchenspezifischen Sicherheitsstandards das Benehmen mit dem Bundesministerium für Gesundheit herzustellen. Dadurch soll eine rechtliche Harmonisierung mit den Anforderungen des Fünften Buches Sozialgesetzbuch und des Elften Buches Sozialgesetzbuch sichergestellt werden.

Das Vorhandensein eignungsfestgestellter branchenspezifischer Sicherheitsstandards liegt im öffentlichen Interesse, da bestehende Standards zum einen durch weitere Einrichtungen neben dem ursprünglichen Antragsteller genutzt werden können und die Anwendung eines branchenspezifischen Sicherheitsstandards erfahrungsgemäß zu verringerten Prüf-aufwänden des BSI sowie einem einheitlicheren Sicherheitsniveau der jeweiligen Einrichtungen führt. Daher werden für die Eignungsfeststellung durch das BSI keine Gebühren oder Auslagen erhoben.

Zu Absatz 9

Absatz 9 führt den bisherigen § 8a Absatz 2 fort.

Stellungnahme des Bundesrates

Zu § 30 Absatz 3 Satz 2

Nach Artikel 1 § 30 Absatz 3 ist der folgende Satz einzufügen:

„Dies gilt nicht für Managed Service Provider und Managed Security Service Provider, wenn diese Tätigkeit im Hinblick auf die gesamte Geschäftstätigkeit dieser Einrichtung eine Nebentätigkeit darstellt.“

Begründung

Die Änderung soll eine zu erwartende übermäßige bürokratische Belastung ohne sicherheitsrelevanten Mehrwert vermeiden. Die im Gesetzentwurf vorgesehenen Regelungen würden auch Unternehmen in Gänze berühren, bei denen der eigentlich zu regulierende Bereich nur eine Nebentätigkeit darstellt.

Zu § 30 Absatz 8 Satz 3, § 56 Absatz 4 Satz 1, § 56a

Artikel 1 ist wie folgt zu ändern:

  1. In § 30 Absatz 8 Satz 3 ist die Angabe „gewährleisten und“ durch die Angabe „gewährleisten,“ zu ersetzen und nach der Angabe „Internetseite“ die Angabe „und informiert hierüber die Länder“ einzufügen.
  2. In § 56 Absatz 4 Satz 1 ist die Angabe „nicht“ zu streichen.
  3. Nach § 56 ist der folgende § 56a einzufügen:

㤠56a
Den Ländern und den Kommunen werden die durch die Rechtsverordnungen des Bundes entstehenden Kosten erstattet.“

Begründung

Die Bestimmung besonders wichtiger sowie wichtiger Einrichtungen im Gesetzentwurf orientiert sich im § 28 an den durch die Kommission definierten Größenordnungen von großen, mittleren und kleinen Betrieben. In § 30 Absatz 8 soll besonders wichtigen Einrichtungen und ihren Branchenverbänden erlaubt werden, branchenspezifische Sicherheitsstandards zur Gewährleistung der gestellten Anforderung vorzuschlagen. Der Bund kann gemäß § 56 Absatz 4 per Rechtsverordnung kritische Dienstleistungen und damit kritische Anlagen bestimmen. Diese stufenweise Konkretisierung des Gesetzeszweckes ist sinnvoll, aber bedarf wegen der vielfältigen Betroffenheiten der Länder und der Kommunen ihrer Einbindung, Mitbestimmung und Kostenerstattung.

Gegenäußerung der Bundesregierung

Zu § 30 Absatz 3 Satz 2

Die Bundesregierung lehnt den Vorschlag ab. Die vorgeschlagene Änderung stellt keine richtlinienkonforme Umsetzung der NIS-2-Richtlinie dar.

Zu § 30 Absatz 8 Satz 3, § 56 Absatz 4 Satz 1, § 56a

Die Bundesregierung lehnt den Vorschlag ab.

Zu a)

Die Bundesregierung lehnt den Vorschlag ab. Es wird insoweit auf § 40 Absatz 3 Nummer 4 Buchstabe d) BSIG-E hingewiesen, wonach im Rahmen vorab zwischen dem BSI und den Empfängern abgestimmter Prozesse zur Weitergabe und Wahrung der notwendigen Vertraulichkeit die zu diesem Zweck dem Bundesamt von den Ländern als zentrale Kontaktstellen benannten Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen zu unterrichten hat. Im Übrigen sind die betreffenden Informationen auch für die Länder auf der Internetseite jederzeit abrufbar.

Zu b)

Die Bundesregierung lehnt den Vorschlag ab. Eine sachgerechte Einbindung der Länder ist bereits durch andere Regelungen im BSIG sichergestellt.

Zu c)

Die Bundesregierung lehnt den Vorschlag ab. Auf Artikel 104a GG wird hingewiesen.