Begründung zu § 48 BSIG

Begründung der Bundesregierung

Die neue Vorschrift regelt die Bestellung eines Koordinators oder einer Koordinatorin der Bundesregierung für Informationssicherheit (CISO Bund). Die konkrete organisatorische Anbindung sowie die Einbindung in relevante Gremien bleiben dem umsetzenden Kabinettbeschlusses vorbehalten. Um Interessenskonflikte zu vermeiden, sollte die Funktion möglichst unabhängig organisiert werden.

Beschlussempfehlung und Bericht des Innenausschusses

Zu § 48:

§ 48 wird durch den folgenden § 48 ersetzt:

㤠48

Amt des Koordinators für Informationssicherheit

  1. Die Leitung des Bundesamtes für Sicherheit in der Informationstechnik nimmt die Aufgaben der Koordinatorin oder des Koordinators der Bundesregierung für Informationssicherheit wahr. Die Fachaufsicht über das Bundesamt in Bezug auf seine Rolle als Koordinatorin oder Koordinator für Informationssicherheit liegt beim Bundesministerium für Digitales und Staatsmodernisierung.
  2. Die Koordinatorin oder der Koordinator koordiniert das operative Informationssicherheitsmanagement des Bundes. Im Benehmen mit den obersten Bundesbehörden entwickelt sie oder er Programme zur Gewährleistung der Informationssicherheit des Bundes und schreibt diese fort.
  3. Auf Basis der durch das Bundesamt erhaltenen Informationen wahrt die Koordinatorin oder der Koordinator den Überblick über den Stand der Informationssicherheit in der Bundesverwaltung. Auf dieser Grundlage beaufsichtigt sie oder er die Umsetzung der Programme zur Gewährleistung der Informationssicherheit des Bundes.
  4. Die Koordinatorin oder der Koordinator unterstützt die Ressorts bei der Umsetzung der Vorgaben nach diesem Gesetz und wirkt gemeinsam mit dem Bundesministerium für Digitales und Staatsmodernisierung im Benehmen mit dem Bundesministerium des Innern auf ein angemessenes Verhältnis zwischen dem Einsatz von Informationstechnik und Informationssicherheit hin.
  5. Zur Wahrnehmung ihrer oder seiner Aufgaben hat die Koordinatorin oder der Koordinator ein direktes halbjährliches Vortragsrecht vor den zuständigen Ausschüssen des Deutschen Bundestages zu den in den Absätzen 1 bis 3 benannten Themen.
  6. Die Koordinatorin oder der Koordinator wird bei allen Gesetzes-, Verordnungs- und sonstigen wichtigen Vorhaben beteiligt, soweit sie Fragen der Informationssicherheit berühren.“

Begründung

Zu § 48:

Die neue Vorschrift regelt die Einrichtung einer Koordinatorin oder eines Koordinators der Bundesregierung für Informationssicherheit (so genannter „Chief Information Security Officer“ der Bundesregierung, kurz „CISO Bund“).

Zu § 48 Absatz 1:

Absatz 1 regelt die Wahrnehmung der Rolle des CISO Bund durch die Leitung des Bundesamtes sowie die diesbezügliche Fachaufsicht.

Zu § 48 Absatz 2 und 3:

Absätze 2 und 3 dienen der Festlegung der Aufgaben und Befugnisse des CISO Bund. Der CISO greift auf die Durchsetzungsbefugnisse des Bundesamtes zurück, insbesondere das Inkraftsetzen von Vorgaben für die Bundesverwaltung gemäß den §§ 30 und 40, die Überwachung von Risiken in der Informationssicherheit des Bundes mittels Kontrollen nach § 7 und zur Abwendung oder Behebung von Sicherheitsvorfällen nach § 10. Deren operativ unabhängige Wahrnehmung wird dadurch gewährleistet, dass dafür kein Einvernehmen mit den beaufsichtigten Einrichtungen der Bundesverwaltung herzustellen ist. Wie in § 1 geregelt, führen das Bundesamt und damit auch dessen Leitung in der Rolle des CISO Bund die Aufgaben auf Grundlage wissenschaftlich-technischer Erkenntnisse durch.

Zu § 48 Absatz 4:

Absatz 4 legt die Pflicht des CISO Bund zur Unterstützung der Ressorts unter Berücksichtigung eines angemessenen Verhältnisses zwischen dem Einsatz von Informationstechnik und Informationssicherheit fest. Die Unterstützung durch die Ressorts erfolgt in einem angemessenen Umfang, u. a. aus der Bereitstellung von Hilfsmitteln, bewährten Methoden und Vorgehensweisen („Best Practice“) sowie Erfahrungsaustausch und -dokumentation zur Nachnutzung. Zudem ist die Einrichtung eines „Kompetenzzentrums operative Sicherheitsberatung des Bundes“ (KoSi Bund) geplant. Diese Unterstützungspflicht wird gemeinsam mit dem Bundesministerium für Digitales und Staatsmodernisierung und im Benehmen mit dem Bundesministerium des Innern umgesetzt, um einen fachlichen Austausch zu den betroffenen Themen der Informationstechnik und Informationssicherheit sicherzustellen.

Zu § 48 Absatz 5:

Absatz 5 definiert ein halbjährliches Vortragsrecht vor den zuständigen Ausschüssen des Deutschen Bundestages.

Zu § 48 Absatz 6:

Absatz 6 sieht Beteiligungsrechte für den CISO Bund zur effektiven Wahrnehmung der Aufgaben vor.