Begründung zu § 44 BSIG

Begründung der Bundesregierung

Zu Absatz 1

Die Vorschrift führt den bisherigen § 8 Absatz 1 fort. Es wurden rechtsförmliche Anpassungen vorgenommen, um die Vorschrift nicht als Ermächtigungs- sondern als Verweisungsnorm zu formulieren. Maßgebend für die einzuhaltenden Mindestanforderungen ist die jeweils geltenden Fassungen der Mindeststandards, die auf der BSI-Internetseite (aktuelle URL: https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Mindeststandards/Mindeststandards_node.html) veröffentlicht werden und dauerhaft zugänglich sind.

Zu Absatz 2

Die Vorschrift knüpft an den bisherigen § 8 Absatz 1 an und verankert neben den dort bereits geregelten Mindeststandards gleichrangig für das Bundeskanzleramt und die Bundesministerien auch den IT-Grundschutz, der bereits bisher durch Kabinettsbeschluss zum Umsetzungsplan Bund verpflichtend umzusetzen ist. Der IT-Grundschutz besteht derzeit aus den BSI-Standards 200-1, 200-2, 200-3 und dem IT-Grundschutzkompendium. Die entwicklungsoffene Formulierung im Tatbestand ohne Nummerierung schließt deren Nachfolgestandards sowie eine darüberhinausgehende Fortentwicklung der Bestandteile des IT-Grundschutzes mit ein. Maßgebend für die einzuhaltenden Mindestanforderungen ist die jeweils geltenden Fassungen der Bestandteile des IT-Grundschutzes, die auf der BSI-Internetseite (aktuelle URL: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html) veröffentlicht werden und dauerhaft zugänglich sind. Die Begrifflichkeit der „Mindestanforderungen“ wurde entsprechend aus dem Umsetzungsplan Bund übernommen. Über diese Mindestanforderungen hinaus kann jede Einrichtung individuell je nach Risikoeinschätzung weitere Informationssicherheitsmaßnahmen umsetzen. Der IT-Grundschutz erhält hiermit – neben den Mindeststandards – für die Bundesministerien und das Bundeskanzleramt mittelbar Gesetzesrang. Für die restlichen Einrichtungen der Bundesverwaltung ergibt sich die Umsetzung des IT-Grundschutz unverändert aus dem bestehenden untergesetzlichen Kabinettbeschluss UP Bund. Um die Nachweisfrist von fünf Jahren ab Inkrafttreten (§ 43 Absatz 4 Satz 2) bei weiterhin knappen finanziellen und personellen Ressourcen umsetzen zu können, muss sichergestellt werden, dass der IT-Grundschutz so effizient und unbürokratisch wie möglich ausgestaltet ist. Das Bundesamt wird den IT-Grundschutz daher modernisieren, mit der Maßgabe, den Umfang und die bei der Umsetzung entstehenden Dokumentationspflichten auf das notwendige Mindestmaß zu reduzieren, eine Priorisierung der Anforderungen vorzunehmen und die Anwendung von Automatisierungstools weitestgehend zu ermöglichen.

Zu Absatz 3

Unter Berücksichtigung der Erwägungsgründe der NIS-2-Richtlinie zu den Anforderungen an ein Risikomanagement, insbesondere Erwägungsgründe 78 bis 82, sowie der Tatsache, dass eine Institution mit einem ISO 27001- Zertifikat auf der Basis des IT-Grundschutzes belegen kann, dass die umgesetzten Maßnahmen zur Informationssicherheit anerkannten internationalen Standards entsprechen, wird festgestellt, dass der IT-Grundschutz in Kombination mit den vom Bundesamt bereitgestellten Mindeststandards die Anforderungen an das Risikomanagement nach § 30 erfüllt und folglich auch bei Vorliegen voneinander abweichender technischer Termini materiell das dort vorgegebene Schutzniveau erreicht wird. Soweit die Europäische Kommission Durchführungsrechtsakte hierzu erlässt, genießen diese bis zu deren Integration in den IT-Grundschutz oder die Mindeststandards Vorrang. Die bestehenden Vorgaben des Bundesamtes entfalten dann nur noch konkretisierende Wirkung, soweit die Durchführungsrechtsakte Auslegungsspielräume lassen.

Zu Absatz 4

Die Beratung des Bundesamtes wird ergänzt um die Erstellung von Hilfsmitteln gemäß § 3 Absatz 1 Nummer 17 und die Unterstützung der Bereitstellung entsprechender Lösungen durch die IT-Dienstleister des Bundes. Bei Ergänzungen der genannten Vorgaben nimmt das Bundesamt im Rahmen des Konsultationsverfahrens eine grobe Aufwandsschätzung vor.

Zu Absatz 5

Die Vorschrift führt den bisherigen § 8 Absatz 2 fort, ergänzt um die Bereitstellung von Referenzarchitekturen.

Zu Absatz 6

Die Vorschrift führt Teile des bisherigen § 8 Absatz 3 fort. Hier enthalten ist die Befugnis, Nutzungsvorgaben für die Einrichtungen der Bundesverwaltung zu machen. Die allgemeine Befugnis des Bundesamts zur Bereitstellung von IT-Sicherheitsprodukten verbleibt mit § 19 in Teil 2. Die Zuständigkeit für die Nutzungsvorgaben wird aus sachlichen Gründen auf das Bundesministerium des Innern im Einvernehmen mit den anderen Ressorts (z. B. durch Mehrheitsbeschluss in einem geeigneten Gremium) verlagert und die Begrifflichkeiten werden vereinheitlichend erweitert zu „Einrichtungen der Bundesverwaltung“. Die Erweiterung erfolgt vor dem Hintergrund, dass eine Abrufverpflichtung über das Bundesamt nur dann erfolgen kann, wenn sachliche Gründe es erfordern, sodass im Ergebnis das Schutzgut der Sicherheit in der Informationstechnik des Bundes schwerer wiegt als Autonomie der Einrichtungen der Bundesverwaltung. Vergaberechtliche Aspekte bleiben unberührt und sind in die Entscheidungsfindung einzubeziehen. Auf Grundlage des Kabinettbeschlusses zur IT-Konsolidierung können IT-Sicherheitsprodukte auch durch andere Einrichtungen der Bundesverwaltung bereitgestellt werden.

Stellungnahme des Bundesrates

Zu § 44 Absatz 2 Satz 4

Artikel 1 § 44 Absatz 2 Satz 4 ist zu streichen.

Begründung

Die Frist zur Modernisierung und Fortentwicklung „des IT-Grundschutzes“ vom absehbar frühestmöglichen Zeitpunkt des Inkrafttretens der Novellierung des BSIG bis zum 1. Januar 2026 ist nicht sachgerecht einhaltbar. Hiervon wären auch die Länder betroffen, die aufgrund der bestehenden rechtsverbindlichen Beschlussfassung des IT-Planungsrates (Informationssicherheitsleitlinie für die öffentliche Verwaltung) ihr Informationssicherheitsmanagement auf Basis der BSI-Standards und der IT-Grundschutz-Methodik aufgebaut haben und betreiben. Die derzeit bereits stattfindende Modernisierung und Fortentwicklung des sogenannten BSI-Kompendiums unter dem Arbeitstitel „Grundschutz++“ umfasst nur einen Teil „des IT-Grundschutzes“, namentlich die Konsolidierung bestehender Maßnahmen-Bausteine samt deren Überführung in ein maschinenlesbares Format. Weitere zwingend erforderliche Bestandteile „des IT-Grundschutzes“ wie etwa eine Fortschreibung der BSI-Standards oder die Festlegung verbindlicher Mindestniveaus fehlen hingegen noch und lassen sich absehbar nicht bis zum 1. Januar 2026 ergänzen. Zudem enthält § 44 Absatz 2 Satz 3 BSIG-E bereits die entsprechende Verpflichtung des BSI: „Der IT-Grundschutz wird durch das Bundesamt regelmäßig evaluiert und entsprechend dem Stand der Technik sowie unter Berücksichtigung der Erfahrungen aus der Praxis und aus der Beratung und Unterstützung nach Absatz 4 fortentwickelt; dabei wird der Umsetzungsaufwand soweit möglich minimiert“.

Gegenäußerung der Bundesregierung

Zu § 44 Absatz 2 Satz 4

Die Bundesregierung lehnt den Vorschlag ab. Das BSI hat mit der Modernisierung und Fortentwicklung des IT-Grundschutzes („Grundschutz++“) bereits begonnen und deutliche Fortschritte erreicht. Die Anforderungen des Grundschutz++ sind vollständig aus dem alten IT-Grundschutz überführt und sollen noch 2025 veröffentlicht werden. Auch die Entwicklung der Methodik des Grundschutz++ wird im BSI mit sehr großer Priorität vorangetrieben und erste Ergebnisse wurden bereits präsentiert. Anforderungen und Methodik zu Grundschutz++, aber auch die BSI-Mindeststandards, werden in agiler Arbeitsweise auch nach dem 1. Oktober 2026 sukzessive gepflegt und weiterentwickelt.

Beschlussempfehlung und Bericht des Innenausschusses

Zu § 44:

§ 44 wird durch den folgenden § 44 ersetzt:

㤠44

Vorgaben des Bundesamtes

  1. Die Einrichtungen der Bundesverwaltung müssen Mindestanforderungen zum Schutz der in der Bundesverwaltung verarbeiteten Informationen erfüllen. Die Mindestanforderungen ergeben sich aus den BSI-Standards und dem Grundschutzkompendium (IT-Grundschutz) sowie aus den Mindeststandards für die Sicherheit in der Informationstechnik des Bundes (Mindeststandards) in den jeweils geltenden Fassungen. Die jeweils geltenden Fassungen werden auf der Internetseite des Bundesamtes veröffentlicht. Die Mindeststandards legt das Bundesamt im Benehmen mit den Ressorts und weiteren obersten Bundesbehörden fest. Der IT-Grundschutz und die Mindeststandards werden durch das Bundesamt regelmäßig evaluiert und entsprechend dem Stand der Technik sowie unter Berücksichtigung der Erfahrungen aus der Praxis und aus der Beratung und Unterstützung nach Absatz 3 fortentwickelt; dabei wird der Umsetzungsaufwand soweit möglich minimiert. Das Bundesamt wird den IT-Grundschutz bis zum 1. Januar 2026 modernisieren und fortentwickeln. Für die Verpflichtung nach Satz 1 gelten die Ausnahmen nach § 7 Absatz 6 und 7 entsprechend.
  2. Durch die Umsetzung der Mindestanforderungen nach Absatz 1 Satz 1 ist die Erfüllung der Vorgaben nach § 30 gewährleistet, soweit nicht die Europäische Kommission einen Durchführungsrechtsakt gemäß Artikel 21 Absatz 5 Unterabsatz 2 der NIS-2-Richtlinie erlässt, in dem die technischen und methodischen Anforderungen über die Mindestanforderungen aus Absatz 1 Satz 1 hinausgehen. Falls eine Einrichtung des Bundes gleichzeitig ein Betreiber kritischer Anlagen ist und die Anforderungen des IT-Grundschutzes und der Mindeststandards den Anforderungen nach § 30 Absatz 9 und § 31 widersprechen, genießen Letztere Vorrang.
  3. Das Bundesamt berät die Einrichtungen der Bundesverwaltung auf Ersuchen bei der Umsetzung und Einhaltung der Mindestanforderungen nach Absatz 1 Satz 1, stellt Hilfsmittel zur Verfügung und unterstützt die Bereitstellung entsprechender Lösungen durch die IT-Dienstleister des Bundes über den gesamten Lebenszyklus.
  4. Das Bundesamt stellt im Rahmen seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 10 technische Richtlinien und Referenzarchitekturen bereit, die von den Einrichtungen der Bundesverwaltung als Rahmen für die Entwicklung sachgerechter Anforderungen an Auftragnehmer – im Sinne einer Eignung – und IT-Produkte – im Sinne einer Spezifikation – für die Durchführung von Vergabeverfahren berücksichtigt werden. Die Vorschriften des Vergaberechts und des Geheimschutzes bleiben unberührt.
  5. Für die Einrichtungen der Bundesverwaltung kann das Bundesministerium des Innern im Einvernehmen mit den anderen Ressorts festlegen, dass sie verpflichtet sind, nach § 19 bereitgestellte IT-Sicherheitsprodukte beim Bundesamt abzurufen. Eigenbeschaffungen der Einrichtungen der Bundesverwaltung sind in diesem Fall nur zulässig, wenn das spezifische Anforderungsprofil den Einsatz abweichender Produkte erfordert. Dies gilt nicht für die in § 2 Nummer 21 genannten Gerichte und Verfassungsorgane sowie die Auslandsinformations- und -kommunikationstechnik gemäß § 7 Absatz 6.“

Begründung

Zu § 44:

Es werden Folgeänderungen aufgrund der Erstreckung des Anwendungsbereiches dieses Gesetzes auf die gesamte Bundesverwaltung vorgenommen. Der bisherige Absatz 2 wird gestrichen und es werden inhaltliche Ergänzungen in den übrigen Absätzen vorgenommen.

Zu § 44 Absatz 1:

Absatz 1 knüpft an den bisherigen § 8 Absatz 1 BSIG (alt) an und verankert neben den dort bereits geregelten Mindeststandards gleichrangig für die in § 29 etablierte Kategorie der Einrichtungen der Bundesverwaltung auch den IT-Grundschutz, der bereits bisher durch Kabinettsbeschluss zum Umsetzungsplan Bund verpflichtend umzusetzen ist. Der IT-Grundschutz besteht derzeit aus den BSI-Standards 200-1, 200-2, 200-3 und dem IT-Grundschutzkompendium. Die entwicklungsoffene Formulierung im Tatbestand ohne Nummerierung schließt deren Nachfolgestandards sowie eine darüberhinausgehende Fortentwicklung der Bestandteile des IT-Grundschutzes mit ein. Maßgebend für die einzuhaltenden Mindestanforderungen sind die jeweils geltenden Fassungen der Bestandteile des IT-Grundschutzes und der Mindeststandards, die auf der BSI-Internetseite (aktuelle URLs: www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html und www.bsi.bund.de/DE/Themen/Oeffentliche-Verwal-tung/Mindeststandards/Mindeststandards_node.html) veröffentlicht werden und dauerhaft zugänglich sind. Die Begrifflichkeit der „Mindestanforderungen“ wurde entsprechend aus dem Umsetzungsplan Bund übernommen. Über diese Mindestanforderungen hinaus kann jede Einrichtung individuell je nach Risikoeinschätzung weitere Informationssicherheitsmaßnahmen umsetzen. Um die Nachweisfrist von fünf Jahren ab Inkrafttreten (§ 43 Absatz 1 Satz 2) bei weiterhin knappen finanziellen und personellen Ressourcen einhalten zu können, muss sichergestellt werden, dass der IT-Grundschutz so effizient und unbürokratisch wie möglich ausgestaltet ist. Das Bundesamt wird den IT-Grundschutz daher modernisieren, mit der Maßgabe, den Umfang und die bei der Umsetzung entstehenden Dokumentationspflichten auf das notwendige Mindestmaß zu reduzieren, eine Priorisierung der Anforderungen vorzunehmen und die Anwendung von Automatisierungstools weitestgehend zu ermöglichen. Die im bisherigen § 8 Absatz 1 Satz 3 BSIG (alt) vorgesehene Möglichkeit zur Abweichung wird abgelöst durch die Kompetenz der Ressort-Informationssicherheitsbeauftragten, Ausnahmebescheide gemäß § 46 Absatz 5 zu erlassen.

Zu § 44 Absatz 2:

Unter Berücksichtigung der Erwägungsgründe der NIS-2-Richtlinie zu den Anforderungen an ein Risikomanagement, insbesondere Erwägungsgründe 78 bis 82, sowie der Tatsache, dass eine Institution mit einem ISO 27001- Zertifikat auf der Basis des IT-Grundschutzes belegen kann, dass die umgesetzten Maßnahmen zur Informationssicherheit anerkannten internationalen Standards entsprechen, wird festgestellt, dass der IT-Grundschutz in Kombination mit den vom Bundesamt bereitgestellten Mindeststandards die Anforderungen an das Risikomanagement nach § 30 erfüllt und folglich auch bei Vorliegen voneinander abweichender technischer Termini materiell das dort vorgegebene Schutzniveau erreicht wird. Soweit die Europäische Kommission Durchführungsrechtsakte hierzu erlässt, genießen diese bis zu deren Integration in den IT-Grundschutz oder die Mindeststandards Vorrang. Die bestehenden Vorgaben des Bundesamtes entfalten dann nur noch konkretisierende Wirkung, soweit die Durchführungsrechtsakte Auslegungsspielräume lassen.

Zu § 44 Absatz 3:

Die Beratung durch das Bundesamt wird ergänzt um die Erstellung von Hilfsmitteln gemäß § 3 Absatz 1 Nummer 17 und die Unterstützung der Bereitstellung entsprechender Lösungen durch die IT-Dienstleister des Bundes. Bei Ergänzungen der genannten Vorgaben nimmt das Bundesamt im Rahmen des Konsultationsverfahrens eine grobe Aufwandsschätzung vor.

Zu § 44 Absatz 4:

Die Vorschrift führt den bisherigen § 8 Absatz 2 BSIG (alt) fort, ergänzt um die Bereitstellung von Referenzarchitekturen.

Zu § 44 Absatz 5:

Die Vorschrift führt Teile des bisherigen § 8 Absatz 3 BSIG (alt) fort. Hier enthalten ist die Befugnis, Nutzungsvorgaben für die Einrichtungen der Bundesverwaltung zu machen. Die allgemeine Befugnis des Bundesamts zur Bereitstellung von IT-Sicherheitsprodukten verbleibt mit § 19 in Teil 2. Die Zuständigkeit für die Nutzungsvorgaben wird aus sachlichen Gründen auf das Bundesministerium des Innern im Einvernehmen mit den anderen Ressorts (z. B. durch Mehrheitsbeschluss in einem geeigneten Gremium) verlagert und die Begrifflichkeiten werden vereinheitlichend erweitert zu „Einrichtungen der Bundesverwaltung“. Die Erweiterung erfolgt vor dem Hintergrund, dass eine Abrufverpflichtung über das Bundesamt nur dann erfolgen kann, wenn sachliche Gründe es erfordern, sodass im Ergebnis das Schutzgut der Sicherheit in der Informationstechnik des Bundes schwerer wiegt als Autonomie der Einrichtungen der Bundesverwaltung. Vergaberechtliche Aspekte bleiben unberührt und sind in die Entscheidungsfindung einzubeziehen. Auf Grundlage des Kabinettbeschlusses zur IT-Konsolidierung können IT-Sicherheitsprodukte auch durch andere Einrichtungen der Bundesverwaltung bereitgestellt werden.