Begründung der Bundesregierung
§ 33 dient der Umsetzung von Artikel 3 Absatz 3 der NIS-2-Richtlinie. In § 43 Absatz 4 wird ergänzend geregelt, dass die Registrierung bei Einrichtungen der Bundesverwaltung der Einrichtungsleitung obliegt.
Die Benennung der für die Tätigkeit, aufgrund derer die Registrierung erfolgt, zuständigen Aufsichtsbehörden des Bundes ist erforderlich, damit das Bundesamt den Beteiligungs- und Informationserfordernissen im Bezug auf diese Behörden nachkommen kann.
Zu Absatz 1
Absatz 1 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 2 Satz 1 der NIS-2-Richtlinie. Gemäß § 29 trifft die Registrierungspflicht entsprechend auch Einrichtungen der Bundesverwaltung im gleichen Umfang. Dies wird in § 43 Absatz 4 Satz 1 klargestellt.
Für Konzernstrukturen kann unter Effizienzgesichtspunkten die Benennung einer oder mehrere einheitlicher Kontaktstellen innerhalb des Konzerns für mehrere Unternehmensteile sinnvoll sein. Dies ist grundsätzlich möglich, sofern sichergestellt ist, dass für alle registrierungspflichten Einrichtungen bzw. Anlagen die in Absatz 1 genannten Informationen vorliegen, und die benannte übergeordnete Kontaktstelle innerhalb des Konzerns auch auf anlagen- oder einrichtungsspezifische Rückfragen des Bundesamt Auskunft geben kann.
Zu Nummer 1
Nummer 1 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 1 Buchstabe a der NIS-2-Richtlinie. Die Vorgabe wird um die Handelsregisternummer erweitert, da die Firma allein nicht eindeutig ist.
Zu Nummer 2
Nummer 2 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 1 Buchstabe b der NIS-2-Richtlinie.
Zu Nummer 3
Nummer 3 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 1 Buchstabe c der NIS-2-Richtlinie.
Zu Nummer 4
Nummer 4 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 1 Buchstabe d der NIS-2-Richtlinie.
Zu Nummer 5
Die Vorschrift dient der Erleichterung der Zusammenarbeit mit den im Einzelfall zuständigen Aufsichtsbehörden.
Zu Absatz 2
Absatz 2 regelt für Betreiber kritischer Anlagen zusätzlich zu übermittelnden Angaben bei der Registrierung. Absatz 3 führt den bisherigen § 8b Absatz 3 Satz 1 und 3 fort. Es wird ergänzt, dass Betreiber kritischer Anlagen auch die Versorgungskennzahlen ihrer kritischen Anlage übermitteln müssen.
Zu Absatz 3
Absatz 3 regelt, dass eine Registrierung von Einrichtungen und Diensteanbietern auch durch das Bundesamt selbst vorgenommen werden kann, wenn eine Einrichtung oder ein Anbieter ihre oder seine Pflicht zur Registrierung nicht erfüllt. Absatz 3 führt den bisherigen § 8b Absatz 3 Satz 2 fort und erweitert diesen auf die hier genannten Einrichtungsarten.
Zu Absatz 4
Absatz 4 führt den bisherigen § 8b Absatz 3a fort. Die hier genannten Geheimschutzinteressen oder überwiegenden Sicherheitsinteressen beziehen sich auf entsprechende Interessen der Bundesrepublik Deutschland. Betriebs- und Geschäftsgeheimnisse beteiligter Unternehmen allein begründen hiernach keine rechtmäßige Ablehnung einer Vorlage der Informationen.
Zu Absatz 5
Absatz 5 dient der Umsetzung von Artikel 3 Absatz 4 Unterabsatz 2 Satz 2 der NIS-2-Richtlinie.
Zu Absatz 6
Um einheitliche Registrierungsprozesse zu ermöglichen und somit den Verwaltungsaufwand für das Bundesamt sowie den Erfüllungsaufwand für die Wirtschaft effizient zu gestalten, ist vorgesehen, dass das Bundesamt einheitliche Vorgaben zum Registrierungsverfahren festlegt.
Beschlussempfehlung und Bericht des Innenausschusses
Zu § 33:
§ 33 wird wie folgt geändert:
aa) Absatz 2 wird durch den folgenden Absatz 2 ersetzt:
„(2) Betreiber kritischer Anlagen übermitteln mit den Angaben nach Absatz 1 die kritische Dienstleistung, die bei ihnen zum Einsatz kommenden Typen von kritischen Komponenten, die öffentlichen IP-Adressbereiche der von ihnen betriebenen Anlagen sowie die für die von ihnen betriebenen kritischen Anlagen ermittelte Anlagenkategorie und die ermittelten Versorgungskennzahlen gemäß der Rechtsverordnung nach § 56 Absatz 4 sowie den Standort der Anlagen und eine Kontaktstelle. Die Betreiber stellen sicher, dass sie über ihre in Satz 1 genannte Kontaktstelle jederzeit erreichbar sind.“
bb) Absatz 5 wird durch den folgenden Absatz 5 ersetzt:
„(5) Bei Änderungen der nach Absatz 1 oder 2 zu übermittelnden Angaben sind dem Bundesamt geänderte Versorgungskennzahlen sowie Änderungen der bei Betreibern kritischer Anlagen zum Einsatz kommenden Typen von kritischen Komponenten einmal jährlich zu übermitteln und alle anderen Angaben unverzüglich, spätestens jedoch zwei Wochen ab dem Zeitpunkt, zu dem die Einrichtung Kenntnis von der Änderung erhalten hat, zu übermitteln.“
Begründung
Zu § 33 Absatz 2:
Absatz 2 wird um die Verpflichtung der Betreiber kritischer Anlagen ergänzt, im Zuge der Registrierung auch Angaben zu den bei ihnen zum Einsatz kommenden Typen von kritischen Komponenten an das Bundesamt zu übermitteln. Der Begriff „Typen von kritischen Komponenten“ meint ein bestimmtes Produkt unter Angabe der entsprechenden Versionsnummer. Dies dient u. a. als Ausgleich für den Wegfall der bisherigen Anzeigepflicht nach § 9b des BSI-Gesetzes (alt). Da die entsprechende Übermittlung dieser Informationen im Rahmen der nach § 33 ohnehin bestehenden Registrierungspflicht erfolgt, ist der zusätzliche Aufwand für die Betreiber kritischer Anlagen gering.
Zu § 33 Absatz 5:
Um die beim Bundesamt vorliegenden Informationen über die bei den Betreibern kritischer Anlagen zum Einsatz kommenden Typen von kritischen Komponenten einerseits aktuell zu halten, andererseits aber auch den hierdurch entstehenden Mehraufwand möglichst gering zu halten, sieht Absatz 5 vor, dass Änderungen in diesem Bereich von den Betreibern einmal jährlich an das Bundesamt zu übermitteln sind.