Begründung zu § 45 BSIG

Begründung der Bundesregierung

Die neue Vorschrift führt auf gesetzlicher Ebene Informationssicherheitsbeauftragte (ISBs) in Einrichtungen der Bundesverwaltung als notwendige Funktion ein, wie sie bisher bereits im Umsetzungsplan Bund vorgesehen sind. Damit wird die herausgehobene Bedeutung der Informationssicherheit in allen Bereichen moderner Verwaltungstätigkeit unterstrichen. Eine klare gesetzliche Definition ihrer Aufgaben und Befugnisse erleichtert auch eine verbesserte Zusammenarbeit mit der jeweiligen Leitung sowie mit anderen Verantwortungsbereichen und deren Beauftragten, etwa Datenschutz und Geheimschutz. Im Umsetzungsplan Bund wurde bisher die inzwischen überholte Bezeichnung IT-Sicherheitsbeauftragter (IT-SiBe) verwendet, diese wird hiermit zugunsten des ISB überwunden.

Zu Absatz 1

Absatz 1 verankert die Bedeutung der Funktion der Informationssicherheitsbeauftragten in den Einrichtungen der Bundesverwaltung und stellt sicher, dass die Funktion auch im Fall der Verhinderung der primär damit betrauten Person wahrgenommen werden kann, damit etwa bei Digitalisierungsvorhaben abwesenheitsbedingte Verzögerungen vermieden werden können.

Zu Absatz 2

Absatz 2 regelt die Voraussetzungen, unter denen Einrichtungs-ISBs ihre Funktion ausüben. Zur Befähigung der ISBs dienen unter anderem ein bedarfsgerechter Mitteleinsatz, auch unter Berücksichtigung des Schadenspotenzials von Sicherheitsvorfällen oder Störungen, sowie die erforderliche Fachkunde. Fachkunde ist zwar nicht Voraussetzung für die Übertragung der Tätigkeit, muss jedoch wenigstens tätigkeitsbegleitend erworben werden. Dadurch wird einerseits die Besetzung entsprechender Funktionen vor dem Hintergrund des herrschenden Fachkräftemangels erleichtert. Andererseits müssen auch etablierte Funktionsträger ihre Fachkunde so kontinuierlich an die sich wandelnden Erfordernisse anpassen. Zum Nachweis der Fachkunde innerhalb der Bundesverwaltung kann eine Zertifizierung bei der Bundesakademie für öffentliche Verwaltung (BAköV) zur bzw. zum Informationssicherheitsbeauftragten dienen. Die Fachaufsicht wird zum Zwecke der notwendigen operativen Unabhängigkeit für die effektive Vertretung von Sicherheitsbelangen durch die fachkundigen Ressort-ISBs ausgeübt. In obersten Bundesbehörden ohne Geschäftsbereich bzw. nachgeordnete Behörden werden die Rollen des Einrichtungs-ISB und des Ressort-ISB in Personalunion wahrgenommen.

Zu Absatz 3

Absatz 3 regelt die Aufgaben der Einrichtungs-ISBs, die im Auftrag ihrer Einrichtungsleitung für die operative Umsetzung und Kontrolle von Maßnahmen im Rahmen des Informationssicherheitsmanagements zuständig sind. Indem sie die Anforderungen des Bundesamtes nach § 44 Absatz 1 erfüllen, also die Vorgaben des IT-Grundschutzes und der Mindeststandards, erfüllen sie die Pflicht zur Erstellung und Umsetzung des Informationssicherheitskonzepts vollumfänglich. Darüberhinausgehende Sicherheitsmaßnahmen, die ISBs im Einzelfall für erforderlich halten, können sie ergänzend im Informationssicherheitskonzept aufnehmen, ohne dass ein Weglassen solcher Maßnahmen eine Pflichtverletzung im Rahmen ihrer individuellen Verantwortung darstellen würde. Die Verantwortung der Einrichtungsleitung wird hierdurch nicht berührt. Es handelt sich bei der Konzepterstellung nicht um eine höchstpersönliche Aufgabe. Insbesondere kann das Gesamt-Informationssicherheitskonzept für die Einrichtung auch eine Auslagerung bzw. eine Beauftragung Dritter mit der Erstellung von Informationssicherheitskonzepten vorsehen. Die Berichtspflicht soll Compliance erwirken, für deren kontinuierliche Aufrechterhaltung eine mindestens quartalsweise Berichterstattung förderlich ist. Welche Häufigkeit für Regelmäßigkeit konkret angemessen ist, hängt darüber hinaus von den Umständen des jeweiligen Einzelfalls unter Abwägung des Schadenspotenzials ab. Aus den Aufgaben ergeben sich zugleich einrichtungsintern entsprechende Befugnisse, wie beispielsweise die Befugnis zur Überprüfung des Umsetzungsstands von Maßnahmen aus dem Sicherheitskonzept durch andere Organisationseinheiten der Einrichtung sowie die Befugnis, deren Umsetzung einzufordern. Um Interessens- und Rollenkonflikte, bspw. zwischen der Informationssicherheit und dem IT-Management, zu vermeiden, müssen die Einrichtungs-ISBs ihre Berichts- und Beratungsaufgaben unabhängig und weisungsfrei erfüllen können.

Zu Absatz 4

Absatz 4 räumt den Einrichtungs-ISBs Beteiligungs- und Vortragsrechte ein und stellt sicher, dass sie wegen der Erfüllung ihrer Aufgaben nicht abberufen oder benachteiligt werden dürfen. Zur Vermeidung von Parallel-/Doppelzuständigkeiten gilt die Beteiligungspflicht nicht für Maßnahmen, die primär verwandten Bereichen der Informationssicherheit zuzuordnen sind, für die gesonderte Regelungs-Regimes und Zuständigkeiten bestehen (z. B. Datenschutz, Geheimschutz, Notfall-/Krisenmanagement, Arbeitsschutz, Brandschutz). Die Vortragsrechte gegenüber der Einrichtungsleitung und dem jeweiligen Ressort-ISB dienen dazu, die Position der ISBs fachlich so unabhängig von der Organisation der Einrichtung zu gestalten, wie es für die Aufgabe zur Vermeidung von Interessenskonflikten erforderlich ist.