Begründung zu § 41 BSIG

Begründung der Bundesregierung

Zu Absatz 1

Absatz 1 führt den bisherigen § 9b Absatz 1 fort

Zu Absatz 2

Absatz 2 führt den bisherigen § 9b Absatz 2 fort.

Zu Absatz 3

Absatz 3 führt den bisherigen § 9b Absatz 3 fort.

Zu Absatz 4

Absatz 4 führt den bisherigen § 9b Absatz 4 fort.

Zu Absatz 5

Absatz 5 führt den bisherigen § 9b Absatz 5 fort.

Zu Absatz 6

Absatz 6 führt den bisherigen § 9b Absatz 6 fort.

Zu Absatz 7

Absatz 7 führt den bisherigen § 9b Absatz 7 fort.

Beschlussempfehlung und Bericht des Innenausschusses

Zu § 41:

§ 41 wird durch den folgenden § 41 ersetzt:

㤠41

Untersagung des Einsatzes von kritischen Komponenten

  1. Das Bundesministerium des Innern kann gegenüber dem Betreiber kritischer Anlagen den Einsatz von kritischen Komponenten eines Herstellers im Benehmen mit dem Bundesministerium für Wirtschaft und Energie im Sektor Energie, dem Bundesministerium für Wirtschaft und Energie sowie dem Bundesministerium für Forschung, Technologie und Raumfahrt im Sektor Weltraum, dem Bundesministerium für Digitales und Staatsmodernisierung in den Sektoren Informationstechnik und Telekommunikation, dem Bundesministerium für Verkehr in den Sektoren Transport und Verkehr, dem Bundesministerium für Gesundheit im Sektor Gesundheit, dem Bundesministerium für Ernährung und Landwirtschaft im Sektor Ernährung, dem Bundesministerium der Finanzen im Sektor Finanzwesen, dem Bundesministerium für Arbeit und Soziales in den Sektoren Sozialversicherungsträger sowie Grundsicherung für Arbeitsuchende und dem Bundesministerium für Umwelt, Klimaschutz, Naturschutz und nukleare Sicherheit in den Sektoren Wasser sowie Siedlungsabfallentsorgung sowie dem Auswärtigen Amt untersagen oder Anordnungen dazu erlassen, wenn der Einsatz die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt.
  2. Hat das Bundesministerium des Innern einem Betreiber kritischer Anlagen den Einsatz einer kritischen Komponente untersagt oder eine Anordnung dazu erlassen, kann es im Benehmen mit dem in Absatz 1 genannten Bundesministerium
    1. dem Betreiber kritischer Anlagen auch den zukünftigen Einsatz weiterer kritischer Komponenten desselben Herstellers und desselben Komponententyps untersagen oder Anordnungen dazu erlassen,
    2. allen Betreibern kritischer Anlagen den Einsatz derselben kritischen Komponente desselben Herstellers sowie von weiteren kritischen Komponenten desselben Komponententyps desselben Herstellers untersagen oder Anordnungen dazu erlassen.
    3. Die Entscheidung nach Satz 1 Nummer 2 ergeht als Allgemeinverfügung.
  3. Widerspruch und Klage gegen eine Untersagung oder Anordnung nach den Absätzen 1 und 2 Satz 1 haben keine aufschiebende Wirkung.
  4. Bei der Prüfung einer voraussichtlichen Beeinträchtigung der öffentlichen Ordnung oder Sicherheit nach Absatz 1 kann insbesondere berücksichtigt werden, ob
    1. der Hersteller unmittelbar oder mittelbar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert wird oder zur Zusammenarbeit mit staatlichen Stellen oder Streitkräften eines Drittstaates verpflichtet ist oder von dem Drittstaat hierzu verpflichtet werden kann,
    2. der Hersteller an Aktivitäten beteiligt war oder ist, die geeignet waren oder sind, nachteilige Auswirkungen auf die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland oder eines anderen Mitgliedstaates der Europäischen Union, der Europäischen Freihandelsassoziation oder des Nordatlantikvertrages oder auf deren Einrichtungen zu haben,
    3. hinreichende Anhaltspunkte dafür bestehen, dass der Hersteller aus sonstigen Gründen nicht vertrauenswürdig ist,
    4. Der Einsatz der kritischen Komponente im Einklang mit den sicherheitspolitischen Interessen der Bundesrepublik Deutschland, der Europäischen Union oder des Nordatlantikvertrages steht.
  5. Der Betreiber kritischer Anlagen ist zur Mitwirkung bei der Ermittlung des Sachverhalts verpflichtet. Dafür hat er auf Verlangen alle für das Verfahren erheblichen Tatsachen vollständig und wahrheitsgemäß mitzuteilen und die ihm bekannten Beweismittel anzugeben.“

Begründung

Zu § 41:

Die Neuregelung beruht auf Erkenntnissen, die im Rahmen der Verwaltungspraxis mit Prüfungen nach § 9b des BSI-Gesetzes (alt) gewonnen wurden und dient nicht der Umsetzung der NIS-2-Richtlinie; § 9b des BSI-Gesetzes (alt) war bereits Gegenstand des IT-Sicherheitsgesetzes 2.0.

Um die Sicherheit und Souveränität der kritischen digitalen Infrastruktur weiter zu stärken, entwickelt das Bundesministerium für Digitales und Staatsmodernisierung ein Gesamtkonzept mit Maßnahmen zur Verbesserung der Wettbewerbsfähigkeit und Resilienz der gesamten Wertschöpfungskette.

Die bisherige Anzeigepflicht nach § 9b Absatz 2 des BSI-Gesetzes (alt) entfällt ersatzlos. Damit entfällt auch die Regelung, wonach vor Ablauf einer Frist von zwei Monaten nach einer Anzeige der Einsatz der betreffenden kritischen Komponenten nicht gestattet war. Auch die bislang in § 9b Absatz 3 des BSI-Gesetzes vorgesehene Garantieerklärung des Herstellers über seine Vertrauenswürdigkeit gegenüber dem Betreiber entfällt ersatzlos. Dies bedeutet einerseits eine erhebliche Reduzierung der Aufwände für die betroffenen Betreiber kritischer Anlagen.

Andererseits kann das Bundesministerium des Innern künftig unabhängig von einer Anzeige durch Betreiber kritischer Anlagen prüfen, ob der Einsatz von kritischen Komponenten, also IKT-Produkten, die die Voraussetzungen von § 2 Nummer 23 in Verbindung mit § 56 Absatz 7 und 8 des BSI-Gesetzes erfüllen, die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt. Das Bundesministerium des Innern kann damit flexibel auf ihm vorliegende Erkenntnisse reagieren. Mit Blick auf die Frage, ob das Bundesministerium des Innern ein Prüfverfahren nach § 41 Absatz 1 einleitet, werden Hinweise und Vorschläge der dort aufgeführten Bundesministerien berücksichtigt.

Entscheidungen des Bundesministeriums des Innern nach den Absätzen 1 und 2 erfolgen im Benehmen mit dem für den jeweiligen Sektor in § 41 Absatz 1 BSIG-Gesetz genannten Bundesministerium. Für Entscheidungen nach Absatz 2 gilt § 41 Absatz 1 des BSI-Gesetzes insoweit entsprechend. Das Benehmen dient u. a. dazu, die Fachkompetenz und die Perspektive der betreffenden Bundesministerien mit in das Verwaltungsverfahren und den Entscheidungsprozess einzubeziehen. Die Zusammenarbeit der Bundesministerien ist wegen der Tragweite möglicher Untersagungen und Anordnungen des Bundesministeriums des Innern besonders wichtig. Um eine mögliche Entscheidung im Benehmen mit den im Einzelfall betroffenen Ressorts zu unterstützen und vorzubereiten, ist ein fortlaufender und regelmäßiger Austausch geboten. Diese Zusammenarbeit kann insoweit z. B. im Rahmen eines fortlaufenden und regelmäßigen „interministeriellen Jour fixes“ erfolgen.

Die in § 9b des BSI-Gesetzes (alt) ist die Untersagungs- und Anordnungsbefugnis hinsichtlich kritischer Komponenten, nunmehr im Sinne von § 2 Nummer 23 in Verbindung mit § 56 Absatz 7 und Absatz 8, beschränkt.

Zu § 41 Absatz 1:

Gemäß § 41 Absatz 1 kann das Bundesministerium des Innern gegenüber dem Betreiber kritischer Anlagen den Einsatz von kritischen Komponenten eines Herstellers im Benehmen mit den für den jeweiligen Sektor genannten Bundesministerien sowie dem Auswärtigen Amt untersagen oder Anordnungen erlassen, wenn der Einsatz die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt. Untersagung ist das Verbot des weiteren Einsatzes der betreffenden kritischen Komponente. Das Verbot kann auch so gestaltet werden, dass es erst nach Ablauf einer bestimmen Umsetzungsfrist gilt. Unter Anordnungen sind alle weiteren möglichen Maßnahmen zur Gewährleistung der öffentlichen Ordnung oder Sicherheit zu verstehen, z. B. kann eine Diversifizierung verschiedener Hersteller durch Vorgabe prozentualer Anteile vorgegeben werden, der Einsatz nur in bestimmten Bereichen zulässig bleiben oder Ähnliches.

Zu § 41 Absatz 2:

Absatz 2 erweitert die Untersagungs- und Anordnungsbefugnis des Bundesministeriums des Innern. Wurde gemäß Absatz 1 gegenüber dem Betreiber kritischer Anlagen eine Untersagung oder Anordnung ausgesprochen, kann das Bundesministerium des Innern gegenüber diesem Betreiber kritischer Anlagen auch den zukünftigen Einsatz weiterer kritischer Komponenten desselben Herstellers und desselben Komponententyps untersagen (Satz 1 Nummer 1) bzw. gegenüber allen Betreibern kritischer Anlagen den Einsatz der gleichen kritischen Komponente sowie von kritischen Komponenten desselben Komponententyps untersagen oder Anordnungen erlassen (Satz 1 Nummer 2). Auch bei Absatz 2 kann ein Verbot so gestaltet werden, dass es erst nach Ablauf einer bestimmen Umsetzungsfrist gilt.

Da von einer Entscheidung nach Satz 1 Nummer 2 eine Vielzahl von Betreibern kritischer Anlagen betroffen sein kann, ist es praxisgerecht, dass die entsprechende Entscheidung als Allgemeinverfügung ergeht und im Bundesanzeiger bekannt gegeben werden kann.

Zu § 41 Absatz 4:

Einige Aspekte, die im Rahmen der Prüfung einer voraussichtlichen Beeinträchtigung der öffentlichen Ordnung oder Sicherheit berücksichtigt werden können, werden in Absatz 4 konkretisiert und bieten den betroffenen Betreibern dadurch eine bessere Orientierung. Das ist für die Betreiber zum Beispiel im Rahmen von Vergabeentscheidungen von Bedeutung und erhöht auch allgemein die Rechts- und Planungssicherheit der Betreiber. Für Prüfung des Tatbestandsmerkmals der voraussichtlichen Beeinträchtigung der öffentlichen Ordnung oder Sicherheit kann gemäß Nummer 3 auch berücksichtigt werden, ob der Hersteller der kritischen Komponente aus sonstigen Gründen nicht vertrauenswürdig ist. Anhaltspunkte hierfür liefern u. a. die in den Nummern 1 und 2 genannten Aspekte.

Neben einer Kontrolle oder Zusammenarbeit im Sinne von Nummer 1 und einer Beteiligung an Aktivitäten nach Nummer 2 kann bei der Prüfung nach Nummer 3 insbesondere berücksichtigt werden, ob hinreichende Anhaltspunkte dafür bestehen, dass der Hersteller unmittelbar oder mittelbar an Aktivitäten beteiligt war oder ist, die geeignet waren oder sind, nachteilige Auswirkungen auf kritische Anlagen oder Betreiber kritischer Anlagen zu haben. Solche Aktivitäten können beispielsweise dann vorliegen, wenn der Hersteller Schwachstellen oder Manipulationen nicht unverzüglich nachdem er davon Kenntnis erlangt hat, beseitigt und dem Betreiber der kritischen Anlage gemeldet hat oder Hersteller versucht hat, missbräuchlich auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage einzuwirken.

Der Begriff „insbesondere“ verdeutlicht, dass die in Absatz 4 genannten Aspekte nicht abschließend aufgeführt werden.

Zu § 41 Absatz 5:

Die Betreiber kritischer Anlagen sind gemäß Absatz 5 zur Mitwirkung bei der Ermittlung des Sachverhalts verpflichtet. Dafür sind dem Bundesministerium des Innern alle für das Verfahren erheblichen Tatsachen vollständig und wahrheitsgemäß offenzulegen und die den Betreibern kritischer Anlagen bekannten Beweismittel anzugeben.

§ 9b des BSI-Gesetzes (alt) sah keine Mitwirkungspflichten der Betreiber an den Verfahren vor. Dies hat zu Schwierigkeiten in der Prüfpraxis geführt, da es für die Prüfungen insbesondere auf solche Informationen ankommt, die in der Regel nur oder vor allem bei den Betreibern vorliegen. Absatz 5 sieht daher nunmehr eine umfangreiche Pflicht der Betreiber zur Übermittlung von Auskünften und Dokumenten vor. Die Zuwiderhandlung stellt eine Ordnungswidrigkeit dar, für die § 65 ein Bußgeld vorsieht.