Begründung der Bundesregierung
Die neue Vorschrift dient der Umsetzung von Artikel 29 der NIS-2-Richtlinie. Das Bundesamt ermöglicht den Informationsaustausch zu Cyberbedrohungen (§ 2 Nummer 6), Beinahevorfällen (§ 2 Nummer 1), Schwachstellen (§ 2 Nummer 38), Techniken und Verfahren (techniques and procedures), Kompromittierungsindikatoren (indicators of compromise), gegnerische Taktiken (adversarial tactics), bedrohungsspezifische Informationen (threat-actor-specific information), Cybersicherheitswarnungen und Empfehlungen für die Konfiguration von Cybersicherheitsinstrumenten sowie zur Aufdeckung von Cyberangriffen. Dieser Informationsaustausch ermöglicht den teilnehmenden Einrichtungen einen verbesserten Zugang zu Lageinformationen sowie den bidirektionalen Austausch von Informationen und ermöglicht den Teilnehmern auch untereinander frühzeitig zu beobachteten Bedrohungen in Austausch zu treten und fördert damit die Cybersicherheit und Resilienz der Einrichtungen.
Durch die Erstellung von Teilnahmebedingungen kann das Bundesamt die organisatorischen Rahmenbedingungen des Informationsaustausches regeln um den geordneten und sicheren Betrieb des Informationsaustauschs bzw. des dafür vorgesehenen Online-Portals sicherzustellen.
In diesem Zusammenhang kann etwa der Umgang mit vertraulichen Informationen (z. B. durch Einhaltung des sog. „Traffic Light Protocols“ oder den Einsatz verschlüsselter E-Mail-Kommunikation) geregelt werden.
Stellungnahme des Bundesrates
Zu § 6 Absatz 1, Absatz 3
- Absatz 1 ist durch den folgenden Absatz 1 zu ersetzen:
- „(1) Das Bundesamt betreibt ab dem sechsten Monat nach Inkrafttreten dieses Gesetzes eine Online-Plattform zum Informationsaustausch mit wichtigen Einrichtungen, besonders wichtigen Einrichtungen, Einrichtungen der Bundesverwaltung und der Länder. Es kann die beteiligten Hersteller, Lieferanten oder Dienstleister zum Austausch über Cyberbedrohungen, Schwachstellen, Beinahevorfälle und IT-Sicherheitsmaßnahmen sowie zur Aufdeckung und Abwehr von Cyberangriffen mittels bedrohungsspezifischer Informationen, Cybersicherheitswarnungen, Kompromittierungsindikatoren und Empfehlungen für die Konfiguration von Cybersicherheitsinstrumenten hinzuziehen. Das Bundesamt ermöglicht weiteren Stellen auf Antrag die Teilnahme, soweit ein berechtigtes Interesse vorliegt und übergeordnete Bedenken nicht entgegenstehen.“
- Nach Absatz 2 ist der folgende Absatz 3 einzufügen:
- „(3) Die Online-Plattform nach Absatz 1 ermöglicht in geeigneter Weise zugleich Zugang zu Informationen zur physischen Sicherheit und Resilienz kritischer Infrastrukturen, die vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe in Erfüllung von Vorgaben des Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 bereitgestellt werden.“
Begründung
Dem Erfüllungsaufwand für die betroffenen Unternehmen und Einrichtungen sollte entsprechender Mehrwert für diese gegenüberstehen, um die Akzeptanz der neuen Infrastrukturen zu erhöhen und dadurch ihren Erfolg zu sichern.
Um den Unternehmen Planungssicherheit zu geben, ist eine klare Vorgabe hinsichtlich der Frist wünschenswert, mit der die Informationsplattform zur Verfügung gestellt werden muss.
Bei den in der Informationsplattform bereitgestellten Inhalten weicht der Gesetzentwurf vom Wortlaut der Richtlinie ab und lässt beispielsweise die für die Unternehmen wichtigen Kompromittierungsindikatoren und Empfehlungen für die Konfiguration von Cybersicherheitsinstrumenten unerwähnt. Gerade weil diese Themen in der Begründung sehr wohl erwähnt werden, erscheint ihre Auslassung im Gesetzestext unverständlich. Daher sollte die Vorschrift entsprechend ergänzt werden.
Ferner sollte klargestellt werden, dass Betroffene mit berechtigtem Interesse Zugang erhalten, soweit keine übergeordneten Bedenken entgegenstehen. Genauere Bestimmungen können dann vom BSI im Rahmen der Teilnahmebedingungen gemäß § 6 Absatz 2 BSIG-E geregelt werden.
Die Aufnahme der Länder dient der Sicherstellung effizienter Informationsflüsse zwischen den zuständigen Behörden des Bundes und der Länder.
Eine solche gesetzliche Klarstellung dient nicht nur der Transparenz und Nachvollziehbarkeit behördlicher Kommunikationsprozesse, sondern ist auch im Hinblick auf die Anforderungen der NIS-2-Richtlinie geboten.
Schließlich sollte der im NIS-2-Umsetzungsgesetz vorgesehene Zugang der Einrichtungen zu Informationen und unterstützenden Handlungsempfehlungen zu digitalen Bedrohungen, entsprechend den Bedürfnissen der Unternehmen, mit dem Zugang zu Informationen zu physischer Sicherheit und Resilienz kritischer Infrastrukturen gemäß KRITIS-Dachgesetz verknüpft werden. Eine entsprechende Klarstellung würde eine leider auch in den unionsrechtlichen Grundlagen bestehende Lücke schließen.
Gegenäußerung der Bundesregierung
Zu § 6 Absatz 1, Absatz 3
Die Bundesregierung lehnt den Vorschlag ab.
Die in § 6 Absatz 1 BSIG-E genannten Informationen umfassen die des Artikel 29 der NIS-2-Richtlinie (vgl. dazu auch die entsprechende Gesetzesbegründung), insofern wird die Richtlinie vollständig umgesetzt. Die Authentifizierungsmodalitäten für die Online-Plattform zum Informationsaustausch nach § 6 BSIG-E können im Rahmen der Teilnahmebedingungen gemäß § 6 Absatz 2 BSIG-E festgelegt werden.
Eine mögliche Erweiterung des Teilnehmerkreises ist bereits in § 6 Absatz 1 Satz 3 BSIG-E vorgesehen, eine weitere Qualifizierung zusätzlicher Teilnehmer erscheint entbehrlich. Der Austausch von Informationen zur physischen Sicherheit geht über die angestrebte 1:1-Umsetzung der NIS-2-Richtlinie hinaus und ist auch nicht Gegenstand der CER-Richtlinie. Zur Umsetzung der Registrierungs- und Meldevorschriften der NIS-2-Richtlinie sieht der Regierungsentwurf in § 32 Absatz 1 und § 33 Absatz 2 BSIG-E jedoch bereits ein gemeinsames Meldeportal von BSI und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) vor, das gegebenenfalls zukünftig als Ausgangspunkt für ein solches Angebot dienen kann.