Begründung zu § 46 BSIG

Begründung der Bundesregierung

Die neue Vorschrift gibt ISBs auf Ressortebene (Ressort-ISBs), wie sie schon bisher im Rahmen des Umsetzungsplans Bund angelegt sind, eine gesetzliche Grundlage. Zur Umsetzung von Artikel 31 Absatz 4 der NIS-2-Richtlinie ist operative Unabhängigkeit für die Aufsicht über Einrichtungen öffentlicher Verwaltung sicherzustellen. Diese operative Unabhängigkeit wird hier dadurch erreicht, dass Ressort-ISBs (a) ihre Berichts- und Beratungsaufgaben unabhängig und weisungsfrei erfüllen können müssen, (b) Fachkunde erwerben müssen, es sich also nicht um politische Funktionen handelt, sondern der Fokus bei der Aufgabenausübung auf der fachlichen Expertise liegt, (c) ein eigenes Budgetrecht besitzen, um handlungsfähig zu sein, und (d) wird die Unabhängigkeit im Hinblick auf Fragen der Informationssicherheit dadurch sichergestellt, dass Ressort-ISBs unmittelbar vor dem CISO Bund vortragen dürfen, der seinerseits Vortragsrechte unmittelbar gegenüber Organen der Legislative besitzt. Da es auch oberste Bundesbehörden gibt, die keinem Ressort angehören, ist auch für „ressort-unabhängige“ oberste Bundesbehörden die Rolle eines Ressort-ISB einzurichten. Weitere Regelungen in diesem Paragraphen, die für das jeweilige Ressort des oder der Informationssicherheitsbeauftragten getroffen werden, sind entsprechend auf die „ressort-unabhängige“ oberste Bundesbehörde und ihren Geschäftsbereich anzuwenden.

Zu Absatz 1

Absatz 1 regelt Bestellung und Zuständigkeit von Ressort-ISBs. Sie sind zuständig für ein funktionierendes und effektives Informationssicherheitsmanagement in ihrem Ressort, das die jeweilige oberste Bundesbehörde mitsamt ihrem jeweiligen Geschäftsbereich umfasst. Im Fall oberster Bundesbehörden sind die Funktionen von Ressort-ISB und Einrichtungs-ISB zu unterscheiden, können jedoch derselben Person übertragen werden. Die Angemessenheit der Informationssicherheit ist in Bezug auf Wechselwirkungen mit den Belangen des IT-Betriebs zu bewerten.

Zu Absatz 2

Absatz 2 regelt die Voraussetzungen, unter denen Ressort-ISBs ihre Funktion ausüben. Zur Befähigung der ISBs dienen unter anderem ein bedarfsgerechter Mitteleinsatz sowie die erforderliche Fachkunde. Fachkunde ist zwar nicht Voraussetzung für die Übertragung der Tätigkeit, muss jedoch wenigstens tätigkeitsbegleitend erworben werden, da die Ressort-ISBs die Fachaufsicht über die ISBs der Einrichtungen in ihrem Zuständigkeitsbereich führen können müssen. So wird einerseits die Besetzung entsprechender Funktionen vor dem Hintergrund des herrschenden Fachkräftemangels erleichtert. Andererseits müssen auch etablierte Funktionsträger ihre Fachkunde so kontinuierlich an die sich wandelnden Erfordernisse anpassen.

Zu Absatz 3

Absatz 3 normiert die Aufgaben der Ressort-ISBs, aus denen sich zugleich ressortintern die Befugnis zu Kontrolle und Umsetzungsmaßnahmen ergibt. Da die Einrichtungs-ISBs der fachlichen Aufsicht der Ressort-ISBs unterstehen, sind die Ressort-ISBs insoweit gegenüber dem Geschäftsbereich weisungsbefugt. Um Interessens und Rollenkonflikte, bspw. zwischen der Informationssicherheit und dem IT-Management, zu vermeiden, müssen die Ressort-ISBs ihre Berichts- und Beratungsaufgaben unabhängig und weisungsfrei erfüllen können. Die Berichtspflicht dient als Mittel der Compliance-Förderung.

Zu Absatz 4

Das Veto-Recht zum Einsatz bestimmter IT-Produkte dient dem Zweck, bei Bedarf Informationssicherheitsbelange durchsetzen zu können. Mit der Begründungspflicht wird vermieden, dass mit dieser Möglichkeit andere Vorgaben etwa im Rahmen der IT-Konsolidierung umgangen werden. Die Möglichkeit, eine Nutzung nur teilweise zu untersagen, gestattet zwischen unterschiedlichen Anwendungszwecken zu unterscheiden, soweit etwa Produkte zum Zweck der Überprüfung verwendet werden müssen oder ein Einsatz in bestimmten IT-Umgebungen möglich ist, aus Sicherheitsgründen jedoch keine Nutzung im allgemeinen Geschäftsbetrieb erfolgen soll.

Zu Absatz 5

Absatz 5 regelt die Möglichkeit für Ressort-ISBs, Ausnahmebescheide für Einrichtungen innerhalb ihres Zuständigkeitsbereichs zu erlassen. Einrichtungen, die die Voraussetzungen des § 28 Absatz 1 Satz 1 oder § 28 Absatz 2 Satz 1 erfüllen können hiervon nicht umfasst werden, für diese wären Ausnahmebescheide nach § 37 zu erlassen. Dadurch wird sichergestellt, dass Einrichtungen der Bundesverwaltung, die vom Anwendungsbereich der Umsetzung der NIS-2-Richtlinie zu erfassen sind, nicht von den Verpflichtungen der NIS-2-Richtlinie ausgenommen werden können. Mit einem Ausnahmebescheid kann ein Ressort-ISB Einrichtungen seines Ressorts von den Verpflichtungen nach §§ 28 bis 50 befreien, solange sachliche Gründe für die Erteilung der Ausnahme vorliegen und durch die Befreiung keine erkennbaren nachteiligen Auswirkungen für die Informationssicherheit des Bundes zu befürchten sind. Sachliche Gründe können bspw. vorliegen, wenn eine Einrichtung der mittelbaren Bundesverwaltung eine sehr geringe Anzahl an Mitarbeitern und Standorten aufweist und/oder ihren IT-Betrieb ausgelagert hat. Erkennbare nachteilige Auswirkungen für die Informationssicherheit des Bundes können insbesondere dann entstehen, wenn die Einrichtung ein potentielles Verbundrisiko für andere Einrichtungen des Bundes darstellt; bspw. falls die Einrichtung an die Netze des Bundes angebunden ist oder Leistungen der IT-Konsolidierung des Bundes nutzt.

Zu Absatz 6

Absatz 6 räumt den Ressort-ISBs Beteiligungs- und Vortragsrechte ein und stellt sicher, dass sie wegen der Erfüllung ihrer Aufgaben nicht abberufen oder benachteiligt werden dürfen. Zur Vermeidung von Parallel-/Doppelzuständigkeiten gilt die Beteiligungspflicht nicht für Vorhaben, die primär verwandten Bereichen der Informationssicherheit zuzuordnen sind, für die gesonderte Regelungs-Regimes und Zuständigkeiten bestehen (z. B. Datenschutz, Geheimschutz, Notfall-/Krisenmanagement, Arbeitsschutz, Brandschutz).