Begründung der Bundesregierung
Zu Absatz 1
Absatz 1 dient der Umsetzung von Artikel 23 Absatz 4 Satz 1 der NIS-2-Richtlinie. Mit „Kenntniserlangung“ ist gemeint, dass eine Mitarbeiterin oder ein Mitarbeiter der Einrichtung innerhalb seiner Arbeitszeit Kenntnis über einen erheblichen Sicherheitsvorfall erlangt. Das Bundesamt ermöglicht im Rahmen seiner Möglichkeiten eine Kommunikation auf Englisch.
Betrifft ein meldepflichtiger Sicherheitsvorfall mehrere Einrichtungen innerhalb einer Konzerngruppe, und sind für diese Einrichtungen innerhalb der Konzerngruppe eine oder mehrere einheitliche, ggf. auch branchenübergreifende Kontaktstellen benannt, so kann bei Abgabe einer Vorfallsmeldung nach Absatz 1 auch unmittelbar im Meldeformular angegeben werden, welche weiteren Einrichtungen innerhalb der Konzerngruppe vom Vorfall betroffen sind. Hierdurch können Mehrfachmeldungen innerhalb einer Konzerngruppe zu ein- und demselben Vorfall mit dem Ziel der Bürokratieminimierung vermieden werden. Innerhalb der Konzerngruppe ist jedoch in diesem Fall sicherzustellen, dass die innerhalb der Konzerngruppe benannten Kontaktstellen auch zu anlagen oder einrichtungsspezifischen Rückfragen des Bundesamts beispielsweise zu Auswirkungen des Sicherheitsvorfalls, Auskunft erteilen oder einen Ansprechpartner benennen können.
Die auf Grund dieser Vorschrift einzurichtende Meldestelle kann perspektivisch erweitert werden, um auch weitere Meldepflichten, etwa nach der Verordnung EU 2022/2554, abzubilden.
Zu Absatz 2
Absatz 2 dient der Umsetzung von Artikel 23 Absatz 4 Satz 1 Buchstabe e der NIS-2-Richtlinie.
Zu Absatz 3
Absatz 3 regelt, dass KRITIS-Betreiber bei der Erfüllung der Meldepflicht für Sicherheitsvorfälle auch weiterhin weitergehende Angaben in Bezug auf die betroffenen Anlagen, die betroffene kritische Dienstleistung sowie den Auswirkungen des Sicherheitsvorfalls auf diese Dienstleistung zu übermitteln haben.
Zu Absatz 4
Um ein effizientes und bürokratiearmes Meldeverfahren sicherzustellen, legt das Bundesamt Einzelheiten des Meldeverfahrens nach Anhörung der betroffenen Betreiber und Wirtschaftsverbände fest. Soweit die Europäische Kommission einen Durchführungsrechtsakt gemäß Artikel 23 Absatz 11 Unterabsatz 1 der NIS-2-Richtlinie erlässt, in dem die Art der Angaben, das Format oder das Verfahren der Meldungen festgelegt ist, sind diese Vorgaben einzuhalten.
Zu Absatz 6
Absatz 6 enthält einen Verweis auf die Rückmeldungen des Bundesamtes gegenüber meldenden Einrichtungen nach § 36 Absatz 1. Ein Rechtsanspruch der meldenden Einrichtung auf eine Unterstützungsleistung des Bundesamtes ist damit nicht verbunden. Das Bundesamt entwickelt seine Unterstützungs- und Informationsangebote für die meldenden Einrichtungen und die Gesamtwirtschaft im Rahmen seiner Möglichkeiten und in Erfüllung seiner bestehenden gesetzlichen Aufgaben fortlaufend adressatengerecht weiter.
Stellungnahme des Bundesrates
Zu § 32 Absatz 5
In Artikel 1 § 32 Absatz 5 ist nach der Angabe „Bundes“ die Angabe „und den für Gefahrenabwehr- und Strafverfolgung originär zuständigen Behörden der Länder“ einzufügen.
Begründung
Der Gesetzentwurf sieht in § 32 BSIG-E keine Verpflichtung für besonders wichtige und wichtige Einrichtungen vor, die Straftat gegenüber den originär zuständigen polizeilichen Gefahrenabwehr- und Strafverfolgungsbehörden der Länder anzuzeigen. Ebenso wenig sind zu Cyberangriffen Meldepflichten der Bundesbehörden gegenüber den Landesbehörden bestimmt. Durch diese nicht berücksichtigten Informations- und Meldepflichten werden die Länder nicht unerheblich bei der Wahrnehmung ihrer originären Zuständigkeit zur Gefahrenabwehr und Strafverfolgung, sofern diese im Einzelfall nicht gemäß § 4 BKAG beim Bundeskriminalamt liegt, beschnitten.
Bei Cyberangriffen auf wichtige und besonders wichtige Einrichtungen besteht die Gefahr, dass diese der Polizei nicht oder erst verzögert bekannt werden, so dass Schadensbegrenzung und Tataufklärung wesentlich erschwert oder verhindert würden.
Gegenäußerung der Bundesregierung
Zu § 32 Absatz 5
Die Bundesregierung lehnt den Vorschlag ab. Es wird insoweit auf § 40 Absatz 3 Nummer 4 Buchstabe d) BSIG-G hingewiesen, wonach das BSI im Rahmen vorab zwischen dem BSI und den Empfängern abgestimmter Prozesse zur Weitergabe und Wahrung der notwendigen Vertraulichkeit die zu diesem Zweck von den Ländern als zentrale Kontaktstellen benannten Behörden oder die zuständigen Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen zu unterrichten hat.