Begründung zu § 7 BSIG

Begründung der Bundesregierung

Zu Absatz 1 bis Absatz 7

Die Vorschrift führt den bisherigen § 4a fort. In Absatz 4 erfolgt eine Anpassung im Rahmen der mit diesem Gesetz vorgesehenen Begriffskonsolidierung zu „Einrichtungen der Bundesverwaltung“ sowie die mit diesem Gesetz geschaffenen verantwortlichen Stellen für das Informationssicherheitsmanagements des Bundes, für deren effektive Aufgabenerfüllung auch eine entsprechende Ausweitung der Mitteilungspflichten des Bundesamtes erforderlich ist. Mit dem Betreiber ist die betroffene Einrichtung gemeint, welche die überprüfte Kommunikationstechnik des Bundes betreibt. Die Ergebnisse der Kontrollen werden der jeweiligen Einrichtungsleitung übermittelt. Zudem wird eine Sachverhaltsklärung ergänzt, um Missverständnissen und Fehlern vorzubeugen. Darüber hinaus steht es jeder geprüften Einrichtung frei, zum Prüfbericht des Bundesamtes eine eigene Stellungnahme gegenüber denjenigen Stellen abzugeben, die den Prüfbericht des Bundesamtes erhalten haben, also insbesondere gegenüber dem eigenen Informationssicherheitsbeauftragten des Ressorts und der eigenen Fach- und Rechtsaufsicht. In Absatz 5 wird die Befugnis des Bundesamtes zur Anweisung der Umsetzung der Verbesserungsvorschläge innerhalb einer angemessenen Frist ergänzt. Diese dient der Umsetzung von Artikel 32 Absatz 4 Buchstaben d und f der NIS-2-Richtlinie. Die Befugnis bildet ein wirksames Element für effektive Nachsteuerung, wenn Anlass dafür gegeben ist. Anlässe können etwa sein, wenn im Rahmen einer Kontrolle beispielsweise eine wiederholte erhebliche Unterschreitung der Anforderungen an das Informationssicherheitsmanagement deutlich wird. Zur Beseitigung der identifizierten Mängel stellt das Bundesamt Beratungs- und Unterstützungsleistungen des Bundesamtes gemäß § 3 Absatz 1 Nummer 17 bereit. Im Übrigen erfolgen redaktionelle Änderungen.

Zu Absatz 8

Absatz 8 dient der Umsetzung von Artikel 35 der NIS-2-Richtlinie. Auf die Begründung zu § 61 Absatz 11 wird verwiesen.

Zu Absatz 9

Die neue Vorschrift dient dem Ziel, mehr Umsetzungsverantwortung zu schaffen. Bislang sind die Prüfungen nach dem bisherigen § 4a BSI-Gesetz ohne greifbare Konsequenz für die überprüften Stellen. Der Bericht erfolgt an den Haushaltsauschuss des Deutschen Bundestages, weil dadurch an diejenige Stelle berichtet wird, die über Mittel verfügt, eine Beseitigung von Missständen zu ermöglichen. Sie soll die Berichtspflicht des Bundesministeriums des Innern an den Haushaltsausschuss des Deutschen Bundestages über die Ergebnisse der Analyse der IT-Sicherheit der Rechenzentren der Bundesverwaltung mittels Hochverfügbarkeits-Benchmark ersetzen (Beschluss des Haushaltsausschusses des Deutschen Bundestages vom 17. Juni 2015, Ausschussdrucksache 18(8)2134). Eine allgemeine Berichtspflicht gegenüber dem Innenausschuss des Deutschen Bundestages besteht gemäß § 58 Absatz 3 ohnehin, sie schließt Berichterstattung über die Anwendung dieser Vorschrift ein.