Begründung zu § 61 BSIG

Begründung der Bundesregierung

Zu Absatz 1

Die Vorschrift dient der Umsetzung von Artikel 32 sowie Artikel 31 Absatz 1 in Verbindung mit Artikel 20 Absatz 2 der NIS-2-Richtlinie. Da eine regelmäßige Nachweispflicht für die Umsetzung von Risikomanagementmaßnahmen ausschließlich für Betreiber kritischer Anlagen gilt, ist vorgesehen, dass das Bundesamt die hier vorgesehenen Aufsichtsmaßnahmen in Bezug auf einzelne Einrichtungen ausüben kann. Demnach ist das Bundesamt unter Anderem befugt, Einrichtungen zu verpflichten, Audits, Prüfungen oder Zertifizierungen von unabhängigen Stellen durchführen zu lassen. Auch ohne verpflichtend durchzuführende Audits, Prüfungen oder Zertifizierungen kann das Bundesamt von einzelnen Einrichtungen Nachweise über die Erfüllung einzelner oder aller Anforderungen nach den §§ 30, 31 und 32 verlangen. Sofern durch die Einrichtung keine Audits, Prüfungen oder Zertifizierungen durchgeführt wurden, kann das Bundesamt hiernach auch andere Nachweisunterlagen verlangen. Hierzu gehören beispielsweise unternehmenseigene Richtlinien und Dokumentationen, Berichte oder Selbsterklärungen. Das Bundesamt kann ferner die Erfüllung der Schulungspflicht (§ 38 Absatz 3) überprüfen.

Gemäß den Anforderungen der NIS-2-Richtlinie ist es bei der Ausübung dieser Aufsichtsmaßnahmen in Bezug auf besonders wichtige Einrichtungen nicht erforderlich, dass dem Bundesamt Hinweise oder Informationen vorliegen, welche die Annahme rechtfertigen, dass eine Einrichtung die Anforderungen der §§ 30, 31 und 32 nicht oder nicht richtig umgesetzt hat. Stattdessen hat das Bundesamt bei der Auswahl der Einrichtungen im Sinne einer Priorisierung die in Absatz 4 genannten Kriterien zu berücksichtigen. Der Ermessensspielraum des Bundesamts bei der Auswahl von Einrichtungen ist im Sinne der NIS-2-Richtlinie entsprechend weit auszulegen. Die in Absatz 4 genannten Kriterien dienen insoweit der Priorisierung, in Bezug auf welche Einrichtungen die Aufsichtsmaßnahmen prioritär angewendet werden sollten. Die in Absatz 4 genannten Kriterien eignen sich dagegen nicht zum Ausschluss, beispielsweise um zu begründen, dass bestimmte Aufsichtsmaßnahmen nicht auf einzelne Einrichtungen anzuwenden sein sollten, da sie zum Beispiel besonders klein sind oder die Eintrittswahrscheinlichkeit von Sicherheitsvorfällen als niedrig eingeschätzt wird. Denn nach den Anforderungen der NIS-2-Richtlinie muss das Bundesamt befugt sein, die hier genannten Aufsichtsmaßnahmen in Bezug auf alle besonders wichtige Einrichtungen ausüben zu können.

Die Zuständigkeit des Bundesamtes für Einrichtungen der Bundesverwaltung richtet sich nach den Befugnissen des Bundesamtes in Teil 2 Kapitel 1 sowie Teil 3.

Zu Absatz 6

Absatz 6 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe b der NIS-2-Richtlinie.

Zu Absatz 7

Absatz 7 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe c, d und f der NIS-2-Richtlinie. Die Nachweise können durch dokumentierte IT-Sicherheitskonzepte, Prozessbeschreibungen, Richtlinien, Daten, Dokumente und sonstige Informationen, die für die Bewertung der von der betreffenden Einrichtung ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit erforderlich sind.

Zu Absatz 8

Absatz 8 Satz 1 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe e der NIS-2-Richtlinie. Absatz 8 Satz 2 dient der Umsetzung von Artikel 32 Absatz 4 Buchstabe h der NIS-2-Richtlinie.

Zu Absatz 9

Absatz 9 dient der Umsetzung von Artikel 32 Absatz 5 Unterabsatz 1 der NIS-2-Richtlinie. Die nationale Umsetzung der Durchsetzungsmaßnahmen Aussetzung (Satz 2 Nummer 1) und Untersagung (Satz 2 Nummer 2) ist aufgrund der jeweiligen Schwere der Grundrechtseingriffe im Einklang mit Artikel 32 Absatz 5 Unterabsatz 2 der NIS-2-Richtlinie an zusätzliche Tatbestandsvoraussetzungen geknüpft. Die Anwendung dieser beiden Durchsetzungsmaßnahmen kommt aus Gründen der Verhältnismäßigkeit grundsätzlich nur als letztes Mittel in Betracht. Mithin sind mildere, gleich wirksame Mittel zur Durchsetzung einer Anordnung des Bundesamtes vorher erfolglos auszuschöpfen, insbesondere solche der Verwaltungsvollstreckung nach dem VwVG. Ist dem Bundesamt oder der zuständigen Aufsichtsbehörde die Unzuverlässigkeit der Geschäftsleitung bereits aus vorherigen Verwaltungsverfahren bekannt, so kann sich die erfolglose Ausschöpfung anderer Mittel vor einer Untersagung (Satz 2 Nummer 2) erübrigen. Dies dürfte insbesondere dann der Fall sein, wenn in vorherigen Verwaltungsverfahren nur die Untersagung (Satz 2 Nummer 2) zum Erfolg führte.

Die Tatbestandsvoraussetzung „wenn ein Zusammenhang mitzwischen Durchsetzungsmaßnahme und der Anordnung besteht“ soll sicherstellen, dass z. B. keine Genehmigung ausgesetzt wird, die nicht im Zusammenhang mit der durchzusetzenden informationssicherheitsrechtlichen Anordnung des Bundesamtes steht. Also etwa keine Genehmigung zur – allein physischen – Lagerungen von Gefahrstoffen ausgesetzt wird, weil die Einrichtung die Daten ihrer Kunden einer Tätigkeit im Anwendungsbereich des § 28 Absatz 1 oder 2 ohne IT-Sicherungen speichert.

Zu Absatz 10

Absatz 10 dient der Umsetzung von Artikel 32 Absatz 9 der NIS-2-Richtlinie.

Zu Absatz 11

Absatz 11 dient der Umsetzung von Artikel 35 der NIS-2-Richtlinie und trägt dem Umstand Rechnung, dass bei Verstößen gegen die dort adressierten Pflichten auch Verstöße gegen andere unionsrechtliche Vorgaben vorliegen können. Auch wenn das Bundesamt im Rahmen seiner Kompetenzen technische und keine datenschutzrechtlichen Kontrollen vornimmt, soll damit sichergestellt werden, dass aufgrund der engen Verbindung von Datensicherheit und Datenschutz bei zufällig im Rahmen der Prüfung aufgefundenen, augenscheinlichen Verstößen gegen datenschutzrechtliche Regelungen die zuständigen Behörden unverzüglich in Kenntnis gesetzt werden und eine Prüfung durchführen können. Die NIS-2-Richtlinie bezeichnet dabei den Bereich der Verstöße, die eine Verletzung personenbezogener Daten zur Folge haben können, sowohl bei nicht ausreichenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit, als auch bei einem Zurückbleiben hinter den gesetzlich vorgegebenen Berichtspflichten. Die Unterrichtung ist unverzüglich nach der technischen Kontrolle gegenüber der nach Artikel 55 oder 56 der Verordnung (EU) 2016/679 zuständigen Aufsichtsbehörde für den Datenschutz vorzunehmen.

Zu Absatz 12

Absatz 12 regelt in Umsetzung von Artikel 37 der NIS-2-Richtlinie Einzelheiten zur Amtshilfe für zuständige Aufsichtsbehörden in anderen Mitgliedstaaten der Europäischen Union, wenn Einrichtungen Dienstleistungen in mehreren Mitgliedstaaten erbringen, und hierfür beispielsweise IT-Systeme, Komponenten oder Prozesse eingesetzt werden, die sich in Deutschland befinden.