Begründung zu § 56 BSIG

Begründung der Bundesregierung

Die Vorschrift führt zum Teil den bisherigen § 10 BSI-Gesetz fort. Nach § 62 Absatz 2 Satz 1 in Verbindung mit § 47 Absatz 1 der Gemeinsamen Geschäftsordnung der Bundesministerien (GGO) sind bei dem Erlass von Rechtsverordnungen u.a. Fachkreise und Verbände zu beteiligen, was neben Vertretern der Wirtschaft auch die Beteiligung von Vertretern der Wissenschaft und Zivilgesellschaft zulässt.

Zu Absatz 1

Absatz 1 führt den bisherigen § 10 Absatz 2 fort. In der auf Basis dieses Absatzes erlassenen Rechtsverordnung können insbesondere jeweils für die Zertifizierung von Produkten oder Komponenten, informationstechnischen Systemen, Schutzprofilen sowie Personen und Anerkennung von sachverständigen Stellen die Modalitäten des Zertifizierungsverfahrens, wie etwa Antragsstellung und eventuelle Mitwirkungspflichten, sowie mögliche Nebenbestimmungen (wie zum Beispiel Befristungen) von Zertifikaten und Anerkennungen geregelt werden.

Zu Absatz 2

Absatz 2 führt den bisherigen § 10 Absatz 3 fort. Gemäß der Begründung zum IT-Sicherheitsgesetz 2.0 können in der Verordnung etwa die Details der Ausgestaltung (grafische Darstellung usw.) festgelegt werden. Auch die Verfahren zu Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben sowie zu Antragsstellung auf Freigabe durch einen Hersteller können darin näher geregelt werden. Insbesondere ist dort das genaue Verfahren und die Gestaltung des Verweises auf Sicherheitsinformationen (zum Beispiel zu verfügbaren Sicherheitsupdates oder bekanntgewordenen Schwachstellen), der Teil des Etiketts des IT-Sicherheitskennzeichens sein soll, zu regeln.

Zu Absatz 3

Absatz 3 dient der Umsetzung von Artikel 24 der NIS-2-Richtlinie. Wenn informationstechnische Produkte, Dienste oder Prozesse für die Erbringung von Diensten der Einrichtung maßgeblich sind, können verpflichtende Zertifizierungen von diesen Produkten, Diensten oder Prozessen dazu beitragen, das Risiko für Sicherheitsvorfälle in diesen Bereichen zu verringern. Sofern Art und Ausmaß der Risikoexposition der Einrichtung diesen Eingriff rechtfertigen, ist daher vorgesehen, dass das BMI in Umsetzung des Artikel 24 Absatz 4 der NIS-2-Richtlinie eine Zertifizierung in diesen Bereichen verpflichtend vorschreiben kann. Diese Vorschrift greift nur, insoweit auch entsprechende Zertifizierungsschemata vorhanden sind. Vor Erlass der Rechtsverordnung ist durch das BMI und unter Beteiligung der potenziell betroffenen Einrichtungen zu prüfen, dass für die einzubeziehenden Produkte, Dienste oder Prozesse eine ausreichende Verfügbarkeit am Markt sichergestellt ist.

Zu Absatz 4

Absatz 4 führt den bisherigen § 10 Absatz 1 fort. Die Ergebnisse der Evaluierung dieser Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme wurden berücksichtigt. Die bisherige Praxis wird beibehalten, eine Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und Wirtschaftsverbände durchzuführen (vgl. § 62 Absatz 2 i.V.m. § 47 Absatz 3 GGO).

er vorliegende Gesetzentwurf sieht vor, dass zusätzlich zu den gemäß den Vorgaben der NIS-2-Richtlinie verbindlichen Einrichtungskategorien innerhalb der Kategorie der besonders wichtigen Einrichtungen weiterhin KRITIS-Betreiber anhand von Schwellenwerten mit einem Bezug zur Versorgungsrelevanz definiert werden. Dies ist zum einen erforderlich, um einen Gleichklang mit dem KRITIS-Dachgesetz und dem dort in Umsetzung der CER-Richtlinie vorgesehenen Verfahren zur KRITIS Bestimmung zu erreichen. Gleichzeitig hat die Evaluierung der KRITIS bezogenen Bestandteile des IT-Sicherheitsgesetzes 2.0 ergeben, dass aufgrund der starken Ausweitung des Anwendungsbereichs des BSI-Gesetzes im Zuge der NIS-2-Umsetzung auch weiterhin eine Bestimmung von kritischen Infrastrukturen mit einem Fokus auf die Versorgungsrelevanz erfolgen sollte. Gemäß dieser Verordnung als KRITIS-Betreiber bestimmte Unternehmen gelten gleichzeitig als besonders wichtige Einrichtungen.

KRITIS-Betreiber werden in Zukunft weiterhin mit Schwellenwerten anhand ihrer Versorgungsrelevanz bestimmt.

Für den in der Rechtsverordnung festzusetzenden als bedeutend anzusehenden Versorgungsgrad anhand von branchenspezifischen Schwellenwerten soll das bereits in mehrjähriger Verwaltungspraxis etablierte Verfahren der Verordnung zu Bestimmung Kritischer Infrastrukturen (BSI-KritisV) weiter fortgeführt werden. Hierbei werden durch BMI gemeinsam mit den jeweils zuständigen Ressorts sowie unter Beteiligung der KRITIS-Betreiber und ihrer Branchenverbände geeignete Bemessungsgrößen für kritische Anlagen bestimmt, anhand derer der Versorgungsgrad im Sinne der durch die Anlage versorgten Personen näherungsweise bestimmt werden kann. Diese Bemessungsgrößen stellen typischerweise quantitative oder qualitative anlagenspezifische Eigenschaften wie Kapazitäten, Größen, Typ oder Art der Anlage dar, die entweder den Betreibern bereits bekannt sind oder zumindest mit möglichst geringem Aufwand für die jeweiligen Anlagen ermittelt werden können. Anschließend werden für die so gefundenen Bemessungsgrößen Schwellenwerte bestimmt, bei deren Überschreitung der Versorgungsgrad der betreffenden Anlage als bedeutend im Sinne dieses Gesetzes gilt und damit die Anlage eine kritische Anlage darstellt.

Zu Absatz 5

Absatz 5 dient der Umsetzung von Artikel 23 Absatz 11 Unterabsatz 2 der NIS-2-Richtlinie. Das Bundesamt kann Vorgaben dazu machen, wann Sicherheitsvorfälle als erheblich gelten. Soweit die Europäische Kommission dahingehende Durchführungsrechtsakte erlässt, genießen diese Vorrang. Die Vorgaben des Bundesamtes haben dann nur noch konkretisierende Wirkung, soweit die Durchführungsrechtsakte Auslegungsspielräume lassen. Auch Rückmeldungen der Wirtschaft im Zuge der Erarbeitung des Referentenentwurfs lassen den Schluss zu, dass eine weitere Konkretisierung des Erheblichkeitskriteriums im Rahmen einer Rechtsverordnung sinnvoll ist. Da hierzu bis Oktober 2024 auch ein Durchführungsrechtsakt der Europäischen Kommission geplant ist, sollte jedoch von weitergehenden Konkretisierungen auf Gesetzesebene Abstand genommen werden. Dies würde sonst zu Unklarheiten bzw. Missverständnissen für die Rechtsanwender führen, wenn die Bestimmungen im BSI-Gesetz stünden, aber ggf. aufgrund anderweitiger Festlegungen im Durchführungsrechtsakt ungültig wären. Durch die Möglichkeit, mit einer nachgelagerten Rechtsverordnung hier auch ergänzend zum Durchführungsrechtsakt weitergehende Klarstellungen zu geben, ergibt sich dieses Problem nicht.

Zu Absatz 6

Absatz 6 sieht die Möglichkeit einer Verkürzung der in § 61 Absatz 3 Satz 5 geregelten Frist im Wege einer Rechtsverordnung vor. Sollte etwa der Gesundheitssektor vermehrt zum Ziel von Cyberkriminellen werden oder sollten durch neue Schwachstellen erfolgreiche Angriffe wahrscheinlicher werden, kann so auf die geänderte Cyberbedrohungslage reagiert werden.

Stellungnahme des Bundesrates

Zu § 56 Absatz 4

Der Bundesrat stellt fest, dass die Länder im Hinblick auf die Cyber- und Informationssicherheit einer besonderen Bedrohungslage ausgesetzt sind. Zur Gewährleistung eines hohen Sicherheitsniveaus ist es daher unabdingbar, dass den Ländern angemessene Mitwirkungsrechte eingeräumt werden. Hierbei gilt es sicherzustellen, dass die Länder frühzeitig, umfassend und verpflichtend in für sie relevante Entscheidungsprozesse eingebunden werden und die Interessen der Länder somit gewahrt werden können. Die Berücksichtigung dieses Erfordernisses hält der Bundesrat deshalb auch im Rahmen der Ermächtigung zum Erlass von Rechtsverordnungen für geboten. Der vorliegende Gesetzentwurf enthält umfangreiche Ermächtigungen zur Festlegung technischer Detailregelungen sowie von Systematik und Methodik zur Identifizierung von KRITIS. Besonders hervorzuheben ist § 56 Absatz 4 BSIG-E, der dem BMI im Einvernehmen mit den Fachressorts erlaubt, durch Rechtsverordnung kritische Dienstleistungen sowie sektorale Versorgungskennzahlen (Anlagenkategorien und Schwellenwerte) festzulegen. Eine solche Festlegung ist jedoch nur möglich, wenn Erfahrungswerte aus den Ländern hinreichende Berücksichtigung finden. Maßgeblich ist mithin ein Zusammenwirken von Bund und Ländern. Der Bundesrat fordert daher, dass die Länder, vor einem Gebrauchmachen der Verordnungsermächtigung in § 56 BSIG-E, hinreichend informiert und eingebunden werden.

Begründung

Nach aktuellen Planungen des Bundes sollen die o. g. Detailregelungen durch eine gemeinsame KRITIS-Verordnung erfolgen, die sich auf die Ermächtigungen aus dem BSIG-E und dem KRITIS-Dachgesetz-E stützt. Allerdings sind die geplanten Detailregelungen derzeit weder den Ländern bekannt noch sind deren Auswirkungen auf die Länder abschätzbar. Deshalb ist die Ermächtigung zum Erlass solcher Verordnungen ohne Beteiligung der Länder abzulehnen.

Es wird deshalb eine stärkere Einbindung der Länder in die Festlegung von KRITIS-Detailregelungen sowie die Entwicklung einer einheitlichen, an den tatsächlichen Versorgungssicherheiten orientierten Identifikationsmethodik, die den Schutz Kritischer Infrastrukturen erheblich verbessert, gefordert. Diese Methodik sollte eine Gesamtbetrachtung unter Einbeziehung mehrerer Faktoren vorsehen, wobei der grundlegende Maßstab die tatsächliche Sicherstellung der Versorgung im jeweiligen Bereich sein muss.

Denn die bloße Übernahme der bisherigen Systematik zur KRITIS-Identifizierung mit einem Regelschwellenwert von 500 000 zu versorgenden Personen, wie sie im BSIG-E bzw. der bestehenden BSI-KritisV verankert ist, ist nicht ausreichend. Diese Regelung schließt wesentliche Bereiche Kritischer Infrastrukturen aus und erfüllt somit nicht den tatsächlichen Schutzbedarf.

Gegenäußerung der Bundesregierung

Zu § 56 Absatz 4

Die Bundesregierung lehnt den Vorschlag ab. Eine sachgerechte Einbindung der Länder ist bereits durch andere Regelungen im BSIG-E sichergestellt.

Beschlussempfehlung und Bericht des Innenausschusses

Zu § 56:

§ 56 wird wie folgt geändert:

aa) Nach Absatz 6 werden die folgenden Absätze 7 und 8 eingefügt:

„ Das Bundesministerium des Innern kann durch Rechtsverordnungen, die nicht der Zustimmung des Bundesrates bedürfen, für jeweils einen der in § 2 Nummer 24 aufgeführten Sektoren im Einvernehmen mit dem in § 41 Absatz 1 für den jeweiligen Sektor genannten Bundesministerium kritische Komponenten im Sinne des § 2 Nummer 23 bestimmen. In der Rechtsverordnung kann eine Komponente als kritische Komponente bestimmt werden, wenn

  1. es sich bei der Komponente um ein IKT-Produkt handelt,
  2. die Komponente in kritischen Anlagen eingesetzt wird,
  3. die Komponente eine kritische Funktion realisiert und
  4. eine Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit der Komponente zu einer Beeinträchtigung der Funktionsfähigkeit kritischer Anlagen oder zu anderen Beeinträchtigungen der öffentlichen Ordnung oder Sicherheit führen könnte.

(8) Die in § 41 Absatz 1 genannten Bundesministerien können dem Bundesministerium des Innern einen Vorschlag für den Erlass einer Rechtsverordnung im Sinne des Absatzes 7 vorlegen. Das Vorschlagsrecht betrifft nur den Sektor im Sinne des § 2 Nummer 24, für den das jeweilige Bundesministerium in § 41 Absatz 1 genannt wird.“

Begründung

Zu § 56 Absatz 7:

Die Rechtsverordnungen zur Bestimmung, welche Komponenten kritische Komponenten im Sinne des § 2 Nummer 23 sind und somit der Prüfung nach § 41 Absatz 1 unterfallen, erlässt das Bundesministerium des Innern gemäß Satz 1 im jeweiligen Einvernehmen mit dem für den Sektor in § 41 Absatz 1 genannten Bundesministerium. Dadurch wird gewährleistet, dass die Expertise des für den jeweiligen Sektor zuständigen Bundesministeriums bei der Bestimmung von kritischen Komponenten angemessen berücksichtigt wird

Ein IKT-Produkt kann gemäß Satz 2 als kritische Komponente im Sinne von § 2 Nummer 23 bestimmt werden, wenn die Komponente in kritischen Anlagen im Sinne von § 2 Nummer 22 eingesetzt wird, sie eine kritische Funktion realisiert und eine Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit der Komponente zu einer Beeinträchtigung der Funktionsfähigkeit kritischer Anlagen oder zu anderen Beeinträchtigungen der öffentlichen Ordnung oder Sicherheit führen könnte.

Zu § 56 Absatz 8:

Hinsichtlich der Rechtsverordnung, in der kritische Komponenten bestimmt werden, kommt den Einvernehmensministerien im Sinne von § 56 Absatz 7 in Verbindung mit § 41 Absatz 1 ein Vorschlagsrecht zu.