Begründung zu § 43 BSIG

Begründung der Bundesregierung

§ 43 schafft eine neue zentrale Vorschrift zur gesetzlichen Verankerung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung.

Zu Absatz 1

Absatz 1 dient der grundsätzlichen Verantwortungszuweisung für die Informationssicherheit und macht Vorgaben zu den Pflichten, die damit verbunden sind und die in diesem Kapitel weiter konkretisiert werden. Die Verantwortung für die Gewährleistung der Informationssicherheit trägt die Leitung einer Einrichtung als Teil der allgemeinen Leitungsverantwortung. Sie verantwortet die Einhaltung von gesetzlichen und sonstigen Anforderungen. Dazu zählen gemäß § 44 Absatz 2 die BSI-Mindeststandards sowie für Bundesministerien und das Bundeskanzleramtes nach § 44 Absatz 2 zusätzlich der vom Bundesamt vorgegebene IT-Grundschutz, der inhaltlich kompatibel ist mit ISO/IEC 27001, der zur von Erwägungsgrund 79 der NIS-2-Richtlinie referenzierten Reihe ISO/IEC 27000 gehört. Die bestehenden untergesetzlichen Regelungen des Kabinettbeschluss UP Bund bleiben hiervon unberührt. Zudem verantwortet die Einrichtungsleitung interne Regelungen, die Übernahme von Restrisiken und das Bereitstellen von Ressourcen für die Informationssicherheit. Die Einrichtungsleitung ist zuständig für übergreifende Entscheidungen hinsichtlich der Informationssicherheitsziele und der Informationssicherheitsstrategie. Dabei hat sie auch im Einzelfall ein ausgewogenes Verhältnis zwischen IT-Betrieb und Informationssicherheit herzustellen und zu diesem Zweck die Zusammenarbeit zwischen Verantwortlichen für den IT-Betrieb und Informationssicherheitsbeauftragten aktiv zu fördern. Hierzu zählt unter anderem ein bedarfsgerechter Mitteleinsatz zugunsten der Informationssicherheit.

Zu Absatz 2

Absatz 2 dient der Umsetzung Artikel 20 Absatz 2 der NIS-2-Richtlinie. Ein weiterer Bestandteil dieses Absatzes der NIS-2-Richtlinie sieht die stetige Sensibilisierung aller Beschäftigten einer Einrichtung vor. Diese Anforderung, insbesondere bezogen auf Phishing und Social Engineering gemäß Erwägungsgrund 89 der NIS-2-Richtlinie, wird bereits durch § 44 Absatz 2 mit Bezug zum IT-Grundschutz berücksichtigt. Angebote des zentralen Fortbildungsdienstleisters der Bundesverwaltung, der Bundesakademie für öffentliche Verwaltung im Bundesministerium des Innern, werden durch das Bundesamt für alle Einrichtungen der Bundesverwaltung qualitätsgesichert. Damit werden Teile der Anforderungen des Umsetzungsplans Bund 2017 verpflichtend umgesetzt.

Zu Absatz 3

Absatz 3 ist eine Generalklausel zum Zweck der Verantwortungszuweisung an Einrichtungsleitungen im Falle der Beauftragung öffentlicher Dienstleister – beispielsweise auf Landesebene – oder privater Dienstleister, wie sie bisher bereits nach Kapitel 7 des Umsetzungsplans Bund gilt. Er regelt die Notwendigkeit, dass öffentlich-rechtlich oder privatrechtlich organisierte Stellen, die mit Leistungen (z. B. Dienst- oder Betriebsleistung) für die Informationstechnik des Bundes beauftragt werden, auf die Einhaltung der Voraussetzungen zur Gewährleistung der Informationssicherheit verpflichtet werden müssen. Verantwortlich ist die Leitung der beauftragenden Einrichtung der Bundesverwaltung (Auftraggeber). Die Verpflichtung hat im notwendigen und angemessenen Umfang abhängig vom konkreten Auftragsgegenstand bzw. der beauftragten Leistung zu erfolgen. Die Verpflichtung umfasst in der Regel die Umsetzung des IT-Grundschutzes und relevanter Mindeststandards. Es sind außerdem notwendige Einsichts-/Kontrollrechte und die Zusammenarbeit mit dem Auftraggeber oder dem Bundesamt zur Meldung und Behebung von Störungen oder Sicherheitsvorfällen (z. B. Informations- und Mitwirkungspflichten) zu regeln (bei Bedarf verknüpft mit angemessenen Vertragsstrafen). Bei der Beauftragung sind auch die Prüf- und Anordnungsbefugnisse des Bundesamts, die die beauftragende Einrichtung treffen, vertraglich entsprechend auf die Dienstleister zu erstrecken.

Zu Absatz 4

Satz 1 stellt klar, dass die Registrierungspflicht aus § 33 gemäß § 29 auch Einrichtungen der Bundesverwaltung trifft. Die nach Satz 2 zu erbringenden Nachweisen dienen u.a. der Herstellung von Transparenz über die Informationssicherheitslage in der Bundesverwaltung. So wird sichergestellt, dass fünf Jahre nach Inkrafttreten des Gesetzes und danach regelmäßig ein Überblick über den Umsetzungsstand in der Bundesverwaltung geschaffen werden kann. BSI unterstützt bei der Behebung der festgestellten Mängel, ggf. unter Hinzuziehung eines IT-Dienstleister des Bundes. Der Nachweis über die Erfüllung der Anforderungen kann schrittweise gemäß einer durch das Bundesamt vorgegebenen Priorisierung nach Dringlichkeit erfolgen. Die Regelung dient der Umsetzung des Artikels 32 Absatz 2 Buchstabe g der NIS-2-Richtlinie und sieht vor, dass Nachweise nicht nur „auf geeignete Weise“ zu erbringen sind, sondern Einrichtungen der Bundesverwaltung hierzu „nach Vorgaben des Bundesamts“ handeln müssen. Zunächst ist dafür die Form einer standardisierten Selbsterklärung vorgesehen, in der die Einrichtungen die Umsetzung des IT-Grundschutzes und der Mindeststandards nachweisen, soweit dem Bundesamt nicht bereits hinreichend aktuelle Ergebnisse eigener Prüfungen nach § 7 für die jeweilige Einrichtung vorliegen. Damit kann innerhalb der Einrichtungen der Bundesverwaltung die erforderliche Nachweisdichte risikobasiert weiter differenziert und der Prüfaufwand im Rahmen von § 7 für überprüfte Einrichtungen und Bundesamt gleichermaßen reduziert werden, wo die Gefährdungslage dies erlaubt.

Zu Absatz 5

Satz 1 führt den bisherigen § 4 Absatz 3 fort. Satz 2 führt den bisherigen § 4 Absatz 4 fort. Satz 3 wird neu eingefügt, um mit den betreffenden Informationen („Nullmeldungen“) eine erheblich bessere Gesamtbewertung der Gefährdungslage zu ermöglichen. Zur Vermeidung von Rückschlüssen sind der Bundesnachrichtendienst und das Bundesamt für Verfassungsschutz von den Nullmeldungen ausgenommen. Die Begrifflichkeiten der Regelungen werden von Bundesbehörden zu Einrichtungen der Bundesverwaltung konsolidiert und von „IT anderer Behörden“ zu „Kommunikationstechnik des Bundes“, womit das Schutzgut in den Vordergrund der Regelung gerückt wird. Mit Blick auf das Schutzgut und vor dem Hintergrund der sich entwickelnden Bedrohungslage ist die Erweiterung des Anwendungsbereichs durch die Erweiterung auf Einrichtungen der Bundesverwaltung sachgerecht.

Zu Absatz 6

Absatz 6 führt den bisherigen § 4 Absatz 6 fort. Der bisherige Verweis auf den Rat der IT-Beauftragten der Bundesregierung wird durch „die Ressorts“ abgelöst, um die Durchführung des Gesetzes unabhängig von über die Legislaturperioden hinweg unterschiedlichen politischen Entwicklungen bei der Ausgestaltung der Gremienlandschaft der IT-Steuerung zu halten. Die Zustimmung der Ressorts kann durch Mehrheitsentscheidung in einem geeigneten Gremium erfolgen. Wie im Umsetzungsplan Bund wird der Begriff „Ressort“ im Zusammenhang mit Regelungen verwendet, die das Bundeskanzleramt oder ein Bundesministerium jeweils einschließlich des Geschäftsbereichs betreffen.

Beschlussempfehlung und Bericht des Innenausschusses

Zu § 43:

In § 43 Absatz 1 Satz 2 wird die Angabe „Absatz 1“ durch die Angabe „Satz 1“ ersetzt.

Begründung

Zu § 43 Absatz 1 Satz 2

Es wurde eine redaktionelle Korrektur vorgenommen.