Begründung zu § 5 BSIG

Begründung der Bundesregierung

Zu Absatz 1

§ 5 Absatz 1 führt den bisherigen § 4b Absatz 1 fort. Anpassungen erfolgen zur Umsetzung von Artikel 12 Absatz 1 Satz 1 der NIS-2-Richtlinie (entsprechend zu § 9a BSI-Gesetz aF.).

Zu Absatz 2

§ 5 Absatz 2 führt den bisherigen § 4b Absatz 2 fort. Ergänzung in Satz 1 erfolgt zur Umsetzung Artikel 30 Absatz 1 der NIS-2-Richtlinie.

Zu Absatz 3

§ 5 Absatz 3 führt den bisherigen § 4b Absatz 3 fort. Die neue Nummer 5 dient der Umsetzung von Artikel 30 Absatz 2 der NIS-2-Richtlinie.

Zu Absatz 4

§ 5 Absatz 4 führt den bisherigen § 4b Absatz 4 fort.

Zu Absatz 5

§ 5 Absatz 5 führt den bisherigen § 4b Absatz 5 fort.

Stellungnahme des Bundesrates

Zu § 5 Absatz 2 Satz 2

In Artikel 1 § 5 Absatz 2 Satz 2 ist nach der Angabe „Meldemöglichkeiten“ die Angabe „ , einschließlich eines medienbruchfrei digitalisierten Meldeverfahrens in der Online-Plattform für den Informationsaustausch nach § 6 Absatz 1,“ einzufügen.

Begründung

Dem Erfüllungsaufwand für die betroffenen Unternehmen und Einrichtungen sollte entsprechender Mehrwert für diese gegenüberstehen, um die Akzeptanz der neuen Infrastrukturen zu erhöhen und dadurch ihren Erfolg zu sichern.

Die in § 5 Absatz 2 Satz 5 BSIG-E normierten „geeigneten Meldemöglichkeiten“ müssen entsprechend § 1a OZG digital angeboten werden. Darüber hinaus sollte das Verfahren jedoch auch durchgehend medienbruchfrei in einem Ende-zu-Ende digitalisierten Verfahren und integriert mit der in § 6 BSIG-E geregelten Informationsplattform realisiert werden.

Gegenäußerung der Bundesregierung

Zu § 5 Absatz 2 Satz 2

Die Bundesregierung lehnt den Vorschlag ab.

Die Meldemöglichkeit nach § 5 Absatz 2 Satz 2 BSIG-E existiert bereits in digitalisierter Form, eine zusätzliche gesetzliche Regelung ist daher nicht notwendig.

Beschlussempfehlung und Bericht des Innenausschusses

Zu § 5:

aa) Absatz 3 wird durch den folgenden Absatz 3 ersetzt:

„ Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 1 (3) gibt das Bundesamt die Informationen zu den nach Absatz 2 gemeldeten Schwachstellen unverzüglich an den verantwortlichen Hersteller oder Produktverantwortlichen zum Zwecke der Schließung der Schwachstelle weiter, sofern diese nicht bereits öffentlich bekannt ist. Das Bundesamt soll die gemäß Absatz 2 gemeldeten Informationen nutzen, um

  1. Dritte über bekannt gewordene Schwachstellen, Schadprogramme oder erfolgte oder versuchte Angriffe auf die Sicherheit in der Informationstechnik zu informieren, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist,
  2. Die Öffentlichkeit oder betroffene Kreise gemäß § 13 zu warnen und zu informieren,
  3. Einrichtungen der Bundesverwaltung gemäß § 4 Absatz 2 Nummer 2 über die sie betreffenden Informationen zu unterrichten,
  4. Besonders wichtige Einrichtungen und wichtige Einrichtungen gemäß § 40 Absatz 3 Nummer 4 Buchstabe a über die sie betreffenden Informationen zu unterrichten,
  5. seine Aufgaben als zuständige Behörde, CSIRT und zentrale Anlaufstelle im Sinne der NIS-2-Richtlinie wahrzunehmen.“

Begründung

Zu § 5 Absatz 3:

§ 5 Absatz 3 Satz 1 normiert die Pflicht des Bundesamtes, ihm bekannt gewordene Schwachstellen unverzüglich an den jeweiligen Verantwortlichen zu melden, sodass dieser auf die Behebung der Schwachstelle hinwirken kann. Über den Verweis auf § 3 Absatz 1 Satz 1 („Das Bundesamt fördert die Sicherheit in der Informationstechnik.“) wird klargestellt, dass die Weitergabe ausschließlich der schnellstmöglichen Schließung der Schwachstelle dienen darf. Sofern im Einzelfall damit zu rechnen ist, dass die Information des Herstellers der Sicherheit in der Informationstechnik nicht dienlich wäre, kann das BSI daher stattdessen von den anderen Instrumenten des § 5 – etwa einer öffentlichen Warnung – Gebrauch machen.

Zu § 5 Absatz 6:

§ 5 Absatz 6 schreibt die bisherige Verwaltungspraxis des Bundesamts, den Prozess der Schwachstellenmeldung in einer sogenannten „CVD-Policy“ öffentlich zu dokumentieren, gesetzlich fest.