Seite wählen

BSI-Gesetz – BSIG

Gesetz über das Bundesamt für Sicherheit in der Informations- technik und über die Sicherheit in der Informationstechnik von Einrichtungen

Teil 1

§ 1 - Bundesamt für Sicherheit in der Informationstechnik

    Das Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) ist eine Bundes- oberbehörde im Geschäftsbereich des Bundesministeriums des Innern und für Heimat. Es ist die zentrale Stelle für Informationssicherheit auf nationaler Ebene. Aufgaben gegenüber den Bundesministerien führt das Bundesamt auf Grundlage wissenschaftlich-technischer Erkenntnisse durch.

    § 2 - Begriffsbestimmungen

    Im Sinne dieses Gesetzes ist oder sind

    1. Beinahevorfall“ ein Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit ge- speicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über informa- tionstechnische Systeme, Komponenten und Prozesse angeboten werden oder zu- gänglich sind, beeinträchtigt haben könnte, dessen Eintritt jedoch erfolgreich verhindert worden ist oder aus anderen Gründen nicht erfolgt ist;
    2. Bodeninfrastruktur“ betreffend den Sektor Weltraum Einrichtungen, die der Kontrolle, Kommunikation, Beobachtung oder Steuerung des Startes, Fluges oder eventuellen Landung von Weltraumgegenständen dienen;
    3. Cloud-Computing-Dienst“ ein digitaler Dienst, der auf Abruf die Verwaltung eines ska- lierbaren und elastischen Pools gemeinsam nutzbarer Rechenressourcen sowie den umfassenden Fernzugang zu diesem Pool ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind;
    4. Content Delivery Network“ oder „CDN“ eine Gruppe geographisch verteilter, zusam- mengeschalteter Server, die mit dem Internet verbunden sind, mitsamt der hierfür er- forderlichen Infrastruktur, die der Bereitstellung – also Caching – digitaler Inhalte und Dienste für Internetnutzer im Auftrag von Inhalte- und Diensteanbietern dienen, mit dem Ziel, die Gewährleistung einer hohen Verfügbarkeit, Zugänglichkeit oder Zustel- lung mit möglichst niedriger Latenz;
    5. Cyberbedrohung“ eine Cyberbedrohung nach Artikel 2 Nummer 8 der Verordnung (EU) 2019/881;
    6. Datenverkehr“ mittels technischer Protokolle übertragene Daten; Telekommunikati- onsinhalte nach § 3 Absatz 1 des Telekommunikation-Telemedien-Datenschutz-Ge- setzes und Nutzungsdaten nach § 2 Absatz 2 Nummer 3 des Telekommunikation-Te- lemedien-Datenschutz-Gesetzes können enthalten sein;
    7. DNS-Diensteanbieter“ eine natürliche oder juristische Person, die
      1. für Internet-Endnutzer öffentlich verfügbare rekursive Dienste zur Auflösung von Domain-Namen anbietet oder

     

    1. autoritative Dienste zur Auflösung von Domain-Namen zur Nutzung durch Dritte, mit Ausnahme von Root- Namenservern, anbietet;
    1. Domain-Name-Registry-Dienstleister“ ein Registrar oder eine Stelle, die im Namen von Registraren tätig ist, insbesondere Anbieter oder Wiederverkäufer von Daten- schutz- oder Proxy-Registrierungsdiensten;
    2. erhebliche Cyberbedrohung“ eine Cyberbedrohung, die das Potenzial besitzt, die in- formationstechnischen Systeme, Komponenten und Prozesse aufgrund der besonde- ren technischen Merkmale der Cyberbedrohung erheblich zu beeinträchtigen; eine Be- einträchtigung ist erheblich, wenn sie erheblichen materiellen oder immateriellen Scha- den verursachen kann;
    3. erheblicher Sicherheitsvorfall“ ein Sicherheitsvorfall, der
      1. schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann; oder
      2. andere natürliche oder juristische Personen durch erhebliche materielle oder im- materielle Schäden beeinträchtigt hat oder beeinträchtigen kann,

    soweit nach Absatz 2 keine weitergehende Begriffsbestimmung erfolgt;

    1. Forschungseinrichtung“ eine Einrichtung, deren primäres Ziel es ist, angewandte For- schung oder experimentelle Entwicklung im Hinblick auf die Nutzung der Ergebnisse dieser Forschung für kommerzielle Zwecke durchzuführen, die jedoch Bildungseinrich- tungen nicht einschließt;
    2. Geschäftsleitung“ eine natürliche Personen, die nach Gesetz, Satzung oder Gesell- schaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichti- gen Einrichtung oder wichtigen Einrichtung berufen ist; Leiterinnen und Leiter von Ein- richtungen der Bundesverwaltung nach 29 gelten nicht als Geschäftsleitung;
    3. IKT-Dienst“ ein IKT-Dienst nach Artikel 2 Nummer 13 der Verordnung (EU) 2019/881;
    4. IKT-Produkt“ ein IKT-Produkt nach Artikel 2 Nummer 12 der Verordnung (EU) 2019/881;
    5. IKT-Prozess“ ein IKT-Prozess nach Artikel 2 Nummer 14 der Verordnung (EU) 2019/881;
    6. Informationssicherheit“ der angemessene Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen;
    7. Informationstechnik“ ein technisches Mittel zur Verarbeitung von Informationen;
    8. Institutionen der Sozialen Sicherung“ Körperschaften gemäß 29 des Vierten Buches Sozialgesetzbuch, Arbeitsgemeinschaften gemäß § 94 des Zehnten Buches Sozialge- setzbuch, die Versorgungsanstalt der deutschen Bühnen, die Versorgungsanstalt der deutschen Kulturorchester und die Versorgungsanstalt der bevollmächtigten Bezirks- schornsteinfeger sowie die Deutsche Post AG, soweit sie mit der Berechnung oder Auszahlung von Sozialleistungen betraut ist;
    9. „Internet Exchange Point“ oder „IXP“ eine Infrastruktur, die
      1. die Zusammenschaltung von mehr als zwei unabhängigen autonomen Systemen ermöglicht, die in erster Linie zum Austausch von Internet-Datenverkehr genutzt wird,

     

    1. nur der Zusammenschaltung autonomer Systeme dient, und
    2. nicht voraussetzt, dass
      1. der Internet-Datenverkehr zwischen zwei beliebigen teilnehmenden autono- men Systemen über ein drittes autonomes System läuft, oder
      2. den betreffenden Datenverkehr verändert oder diesen anderweitig beeinträch- tigt;
    3. Kommunikationstechnik des Bundes“ Informationstechnik, die von einer oder mehre- ren Einrichtungen der Bundesverwaltung oder im Auftrag einer oder mehrerer Einrich- tungen der Bundesverwaltung betrieben wird und der Kommunikation oder dem Daten- austausch innerhalb einer Einrichtung der Bundesverwaltung, der Einrichtungen der Bundesverwaltung untereinander oder der Einrichtungen der Bundesverwaltung mit Dritten dient; davon ausgenommen ist die Kommunikationstechnik des Bundesverfas- sungsgerichts, der Bundesgerichte, soweit sie nicht öffentlich-rechtliche Verwaltungs- aufgaben wahrnehmen, des Bundestages, des Bundesrates, des Bundespräsidenten und des Bundesrechnungshofes, soweit sie ausschließlich in deren eigener Zuständig- keit betrieben wird;
    4. kritische Anlage“ eine Anlage, die für die Erbringung einer kritischen Dienstleistung erheblich nach 28 Absatz 7 ist;
    5. kritische Komponenten“ IKT-Produkte,
      1. die in kritischen Anlagen eingesetzt werden,
      2. bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähig- keit kritischer Anlagen oder zu Gefährdungen für die öffentliche Sicherheit führen können und
      3. die auf Grund eines Gesetzes unter Verweis auf diese Vorschrift
        1. als kritische Komponente bestimmt werden oder
        2. eine auf Grund eines Gesetzes als kritisch bestimmte Funktion realisieren,

    werden für einen der in § 28 Absatz 7 genannten Sektoren keine kritischen Komponen- ten und keine kritischen Funktionen, aus denen kritische Komponenten abgeleitet wer- den können, auf Grund eines Gesetzes unter Verweis auf diese Vorschrift bestimmt, gibt es in diesem Sektor keine kritischen Komponenten im Sinne von dieser Nummer;

    1. kritische Dienstleistung“ eine Dienstleistung zur Versorgung der Allgemeinheit in den Sektoren nach 28 Absatz 7, deren Ausfall oder Beeinträchtigung zu erheblichen Ver- sorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde;
    2. Managed Security Service Provider“ oder „MSSP“ ein MSP, der Unterstützung für Tä- tigkeiten im Zusammenhang mit dem Risikomanagement im Bereich der Cybersicher- heit durchführt oder erbringt;
    3. Managed Service Provider“ oder „MSP“ ein Anbieter von Diensten im Zusammenhang mit der Installation, der Verwaltung, dem Betrieb oder der Wartung von IKT-Produkten, -Netzen, -Infrastruktur, -Anwendungen oder jeglicher anderer Netz- und Informations- systeme durch Unterstützung oder aktive Verwaltung in den Räumlichkeiten der Kun- den oder aus der Ferne;
    4. „NIS-2-Richtlinie“ die Richtlinie 2022/2555 des Europäischen Parlaments und des Ra- tes vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersi- cherheitsniveau in der Union, zur Änderung der Verordnung (EU) 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27.12.2022, S. 80) in der jeweils geltenden Fassung;
    5. „Online-Marktplatz“ ein Dienst nach 312l Absatz 3 BGB;
    6. „Online-Suchmaschine“ ein digitaler Dienst nach Artikel 2 Nummer 5 der Verordnung (EU) 2019/1150;
    7. „Plattform für Dienste sozialer Netzwerke“ eine Plattform, auf der Endnutzer mit unter- schiedlichen Geräten insbesondere durch Chats, Posts, Videos und Empfehlungen mit- einander in Kontakt treten und kommunizieren sowie Inhalte teilen und entdecken kön- nen;
    8. „Protokolldaten“ Steuerdaten eines informationstechnischen Protokolls zur Datenüber- tragung, die
      1. zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwen- dig sind und
      2. unabhängig vom Inhalt des Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden;

    Protokolldaten können Verkehrsdaten nach § 3 Nummer 70 des Telekommunikations- gesetzes und Nutzungsdaten nach § 2 Absatz 2 Nummer 3 des Telekommunikation- Telemedien-Datenschutz-Gesetzes enthalten;

    1. „Protokollierungsdaten“ Aufzeichnungen über technische Ereignisse oder Zustände in- nerhalb informationstechnischer Systeme;
    2. „qualifizierter Vertrauensdienst“ ein qualifizierter Vertrauensdienst nach Artikel 3 Num- mer 17 der Verordnung (EU) Nr. 910/2014;
    3. „qualifizierter Vertrauensdiensteanbieter“ ein qualifizierter Vertrauensdiensteanbieter nach Artikel 3 Nummer 20 der Verordnung (EU) Nr. 910/2014;
    4. „Rechenzentrumsdienst“ ein Dienst, ein Dienst, der Strukturen oder Gruppen von Strukturen umfasst, die dem vorrangigen Zweck der zentralen Unterbringung, der Zu- sammenschaltung und dem Betrieb von IT- oder Netzwerkausrüstungen dienen, die Datenspeicherungs-, Datenverarbeitungs- o-der Datentransportdienste erbringen, mit- samt aller benötigten Anlagen und Infrastrukturen, insbesondere für die Stromvertei- lung und die Umgebungskontrolle;
    5. „Schadprogramme“ Programme und sonstige informationstechnische Routinen und Verfahren, die dazu dienen, unbefugt Daten zu nutzen oder zu löschen oder unbefugt auf sonstige informationstechnische Abläufe einzuwirken;
    6. „Schnittstellen der Kommunikationstechnik des Bundes“ sicherheitsrelevante Netzwer- kübergänge innerhalb der Kommunikationstechnik des Bundes sowie zwischen dieser und der Informationstechnik der einzelnen Einrichtungen der Bundesverwaltung, Grup- pen von Einrichtungen der Bundesverwaltung oder Dritter; nicht als Schnittstellen der Kommunikationstechnik des Bundes gelten die Komponenten an den Netzwerküber- gängen, die in eigener Zuständigkeit der in Nummer 20 genannten Gerichte und Ver- fassungsorgane betrieben werden;
    1. „Schwachstelle“ eine Eigenschaft von IKT-Produkten oder IKT-Diensten, die von Drit- ten ausgenutzt werden kann, um sich gegen den Willen des Berechtigten Zugang zu den IKT-Produkten oder IKT-Diensten zu verschaffen oder die Funktion der IKT-Pro- dukte oder IKT-Dienste zu beeinflussen;
    2. „Sicherheit in der Informationstechnik“ die Einhaltung bestimmter Sicherheitsstan- dards, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen
      1. in informationstechnischen Systemen, Komponenten oder Prozessen oder
      2. bei der Anwendung informationstechnischer Systeme, Komponenten oder Pro- zesse;
    3. „Sicherheitsvorfall“ ein Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über infor- mationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zu- gänglich sind, beeinträchtigt;
    4. „Systeme zur Angriffserkennung“ durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstech- nische Systeme; wobei die Angriffserkennung durch Abgleich der in einem informati- onstechnischen System verarbeiteten Daten mit Informationen und technischen Mus- tern, die auf Angriffe hindeuten, erfolgt;
    5. „Top Level Domain Name Registry“ ein Unternehmen, das die Registrierung von Inter- net-Domain-Namen innerhalb einer spezifischen Top Level Domain (TLD) verwaltet und betreibt, einschließlich des Betriebs ihrer Namenserver, der Pflege ihrer Daten- banken und der Verteilung von TLD-Zonendateien über die Namenserver, unabhängig davon, ob der Betrieb durch das Unternehmen selbst erfolgt oder ausgelagert wird; keine Top Level Domain Name Registry sind Register, die TLD-Namen nur für eigene Zwecke verwenden;
    6. „Vertrauensdienst“ ein Vertrauensdienst nach Artikel 3 Nummer 16 der Verordnung (EU) Nr. 910/2014;
    7. „Vertrauensdiensteanbieter“ ein Vertrauensdiensteanbieter nach Artikel 3 Nummer 19 der Verordnung (EU) Nr. 910/2014;
    8. „Weltraumgestützte Dienste“ betreffend den Sektor Weltraum Dienste, die auf Daten und Informationen beruhen, die entweder von Weltraumgegenständen erzeugt oder über diese weitergegeben werden und deren Störung zu breiteren Kaskadeneffekten, die weitreichende und lang anhaltende negative Auswirkungen auf die Erbringung von Diensten im gesamten Binnenmarkt haben können, führen kann;
    9. „Zertifizierung“ die Feststellung einer Zertifizierungsstelle, dass ein Produkt, ein Pro- zess, ein System, ein Schutzprofil (Sicherheitszertifizierung), eine Person (Perso- nenzertifizierung) oder ein IT-Sicherheitsdienstleister bestimmte Anforderungen erfüllt.
    • Das Bundesministerium des Innern und für Heimat kann im Benehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz, dem Bundesministerium der Justiz, dem Bundesministerium der Finanzen, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Ge- sundheit, dem Bundesministerium für Digitales und Verkehr, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz durch Rechtsverordnung, die nicht der Zustimmung des Bundesra- tes bedarf, bestimmen, wann ein Sicherheitsvorfall im Hinblick auf seine technischen oder organisatorischen Ursachen oder seine Auswirkungen auf die Einrichtung, Staat, Wirtschaft und Gesellschaft oder die Anzahl der von den Auswirkungen Betroffenen als erheblich im Sinne von Absatz 1 Nummer 10 anzusehen ist. Das Bundesministerium kann die Ermäch- tigung durch Rechtsverordnung auf das Bundesamt übertragen. Für den Fall, dass die Eu- ropäische Kommission einen oder mehrere Durchführungsrechtsakte gemäß Artikel 23 Ab- satz 11 Unterabsatz 2 der NIS-2-Richtlinie erlässt, worin näher bestimmt wird, in welchen Fällen ein Sicherheitsvorfall als erheblich anzusehen ist, geht dieser oder gehen diese der Rechtsverordnung nach Satz 1 und 2 insoweit vor.
    § 3 - Aufgaben des Bundesamtes
    • Das Bundesamt fördert die Sicherheit in der Hierzu nimmt es folgende wichtige im öffentlichen Interesse liegende Aufgaben wahr:
    1. Gefahren für die Sicherheit in der Informationstechnik des Bundes abwehren;
    2. Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen sammeln und aus- werten und die gewonnenen Erkenntnisse anderen Stellen zu Verfügung stellen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist, und Dritten zur Verfügung stellen, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist;
    3. Aufgaben in der Kooperationsgruppe und im CSIRTs-Netzwerk nach Artikel 14 und 15 der NIS-2-Richtlinie wahrnehmen;
    4. Sicherheitsrisiken bei der Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen untersuchen, insbesondere von informationstechnischen Verfahren und Geräten für die Sicherheit in der Informationstechnik (IT-Sicherheitspro- dukte), soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist, einschließ- lich der Forschung im Rahmen seiner gesetzlichen Aufgaben;
    5. Kriterien, Verfahren und Werkzeuge für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und für die Prüfung und Bewer- tung der Konformität im Bereich der IT-Sicherheit entwickeln;
    6. Peer Reviews nach Artikel 19 der NIS-2-Richtlinie durchführen;
    7. Sicherheitsanforderungen für die Kommunikationsinfrastruktur der ressortübergreifen- den Kommunikationsnetze sowie weiterer staatlicher Kommunikationsinfrastrukturen des Bundes im Benehmen mit den jeweiligen Betreibern festlegen sowie Einhaltung dieser Sicherheitsanforderungen überprüfen;
    8. Sicherheit von informationstechnischen Systemen oder Komponenten prüfen und be- werten sowie Sicherheitszertifikate erteilen;

     

    1. Aufgaben und Befugnisse nach Artikel 58 Absatz 7 und 8 der Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizie- rung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Auf- hebung der Verordnung (EU) 526/2013 (Rechtsakt zur Cybersicherheit, ABl. L 151 vom 7.6.2019, S. 15) als nationale Behörde für die Cybersicherheitszertifizierung wahr- nehmen;
    2. Konformität im Bereich der IT-Sicherheit von informationstechnischen Systemen und Komponenten mit technischen Richtlinien des Bundesamtes prüfen und bestätigen;
    3. informationstechnische Systeme oder Komponenten, die für die Verarbeitung amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes im Bereich des Bundes oder bei Unternehmen im Rahmen von Aufträgen des Bundes eingesetzt werden sollen prüfen, bewerten und zulassen;
    4. Schlüsseldaten und Betrieb von Krypto- und Sicherheitsmanagementsystemen für in- formationssichernde Systeme des Bundes herstellen, die im Bereich des staatlichen Geheimschutzes oder auf Anforderung der betroffenen Behörde auch in anderen Be- reichen eingesetzt werden;
    5. bei organisatorischen und technischen Sicherheitsmaßnahmen unterstützen und bera- ten sowie technische Prüfungen zum Schutz amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes gegen die Kenntnisnahme durch Un- befugte durchführen;
    6. sicherheitstechnische Anforderungen an die einzusetzende Informationstechnik des Bundes und an die Eignung von Auftragnehmern im Bereich von Informationstechnik des Bundes mit besonderem Schutzbedarf entwickeln;
    7. IT-Sicherheitsprodukte und IT-Sicherheitsdienstleistungen für Einrichtungen der Bun- desverwaltung bereitstellen;
    8. die für die Sicherheit in der Informationstechnik zuständigen Stellen des Bundes, ins- besondere soweit sie Beratungs- oder Kontrollaufgaben wahrnehmen unterstützen; dies gilt vorrangig für die Bundesbeauftragte oder den Bundesbeauftragten für den Da- tenschutz und die Informationsfreiheit, dessen Unterstützung im Rahmen der Unab- hängigkeit erfolgt, die ihm bei der Erfüllung seiner Aufgaben nach der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Da- tenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverord- nung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom

    23.5.2018, S. 2) und dem Bundesdatenschutzgesetz zusteht;

    1. Einrichtungen der Bundesverwaltung in Fragen der Informationssicherheit, einschließ- lich der Behandlung von Sicherheitsvorfällen, beraten und unterstützen sowie konkrete, praxisnahe Hilfsmittel zur Umsetzung von Informationssicherheitsvorgaben, insbeson- dere der Vorgaben nach 30 und § 44, bereitstellen;
    2. Unterstützung
      1. der Polizeien und Strafverfolgungsbehörden des Bundes bei der Wahrnehmung ihrer gesetzlichen Aufgaben,
      2. des Bundesamtes für Verfassungsschutz und des Militärischen Abschirmdienstes bei der Auswertung und Bewertung von Informationen, die bei der Beobachtung von Bestrebungen, die gegen die freiheitliche demokratische Grundordnung, den Bestand des Staates oder die Sicherheit des Bundes oder eines Landes gerichtet

     

    sind oder bei der Beobachtung sicherheitsgefährdender oder geheimdienstlicher Tätigkeiten im Rahmen der gesetzlichen Befugnisse nach den Verfassungsschutz- gesetzen des Bundes beziehungsweise dem MAD-Gesetz anfallen,

    1. des Bundesnachrichtendienstes bei der Wahrnehmung seiner gesetzlichen Aufga- ben;

    die Unterstützung darf nur gewährt werden, soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen; die Unterstützungs- ersuchen sind durch das Bundesamt aktenkundig zu machen;

    1. die zuständigen Stellen der Länder in Fragen der Abwehr von Gefahren für die Sicher- heit in der Informationstechnik auf deren Ersuchen unterstützen;
    2. Einrichtungen der Bundesverwaltung sowie Hersteller, Vertreiber und Anwender in Fra- gen der Sicherheit in der Informationstechnik, insbesondere unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen, beraten, informieren und warnen;
    3. Verbraucherschutz und Verbraucherinformation im Bereich der Sicherheit in der Infor- mationstechnik, insbesondere Beratung und Warnung von Verbrauchern in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen feh- lender oder unzureichender Sicherheitsvorkehrungen;
    4. geeignete Kommunikationsstrukturen zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung aufbauen sowie Zusammenarbeit zum Schutz der Sicherheit in der Informationstechnik kritischer Anlagen im Verbund mit der Privatwirtschaft koordinie- ren;
    5. Aufgaben als zentrale Stelle im Bereich der Sicherheit in der Informationstechnik im Hinblick auf die Zusammenarbeit mit den zuständigen Stellen im Ausland, unbeschadet besonderer Zuständigkeiten anderer Stellen;
    6. Aufgaben nach 40 als zentrale Stelle für die Sicherheit in der Informationstechnik besonders wichtiger Einrichtungen und wichtiger Einrichtungen einschließlich des Er- suchens und Erbringens von Amtshilfe nach Artikel 37 der NIS-2-Richtinie;
    7. bei der Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechni- scher Systeme in herausgehobenen Fällen nach 11 unterstützen;
    8. Empfehlungen für Identifizierungs- und Authentisierungsverfahren und Bewertung die- ser Verfahren im Hinblick auf die Informationssicherheit erarbeiten;
    9. einen Stand der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte, unter Berücksichtigung bestehender Normen und Standards sowie Einbeziehung der betroffenen Wirtschaftsverbände, beschreiben und veröffentlichen;
    10. mit nationalen Computer-Notfallteams von Drittländern oder gleichwertigen Stellen von Drittländern kooperieren sowie diese Teams oder Stellen unterstützen; Einsätze des Bundesamtes in Drittländern dürfen nicht gegen den Willen des Staates erfolgen, auf dessen Hoheitsgebiet die Maßnahme stattfinden soll; die Entscheidung über einen Ein- satz des Bundesamtes in Drittländern trifft das Bundesministerium des Innern und für Heimat im Einvernehmen mit dem Auswärtigen Amt.
    • Das Bundesamt kann die Länder auf Ersuchen bei der Sicherung ihrer Informati- onstechnik unterstützen.

     

    • Das Bundesamt kann besonders wichtige Einrichtungen auf deren Ersuchen bei der Sicherung ihrer Informationstechnik beraten und unterstützen oder auf qualifizierte Si- cherheitsdienstleister verweisen.
    § 4 - Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes
    • Das Bundesamt ist die zentrale Meldestelle für die Zusammenarbeit der Einrich- tungen der Bundesverwaltung in Angelegenheiten der Sicherheit in der Informationstech-
    • Das Bundesamt hat zur Wahrnehmung dieser Aufgabe
    1. alle für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik erforder- lichen Informationen, insbesondere zu Schwachstellen, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweise, zu sammeln und auszuwerten,
    2. die Einrichtungen der Bundesverwaltung unverzüglich über die sie betreffenden Infor- mationen nach Nummer 1 und die in Erfahrung gebrachten Zusammenhänge zu unter- richten,
    3. den Einrichtungen der Bundesverwaltung Empfehlungen zum Umgang mit den Gefah- ren bereitzustellen.
    • Ausgenommen von den Unterrichtungspflichten nach Absatz 2 Nummer 2 sind In- formationen, die aufgrund von Regelungen zum Geheimschutz oder Vereinbarungen mit Dritten nicht weitergegeben werden dürfen oder deren Weitergabe im Widerspruch zu der verfassungsrechtlichen Stellung eines Abgeordneten des Bundestages oder eines Verfas- sungsorgans oder der gesetzlich geregelten Unabhängigkeit einzelner Stellen stünde.

     

    § 5 - Allgemeine Meldestelle für die Sicherheit in der Informationstechnik
    • Zur Wahrnehmung der Aufgaben nach 3 nimmt das Bundesamt als zentrale Stelle für Meldungen von Dritten Informationen über Sicherheitsrisiken in der Informations- technik entgegen und wertet diese Informationen aus. Das Bundesamt ist dabei der natio- nale Koordinator für die Zwecke einer koordinierten Offenlegung von Schwachstellen nach Artikel 12 Absatz 1 der NIS-2-Richtlinie.
    • Das Bundesamt nimmt zur Wahrnehmung der Aufgaben nach Absatz 1 Informati- onen zu Schwachstellen, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweisen sowie zu Sicherheitsvorfällen, Cyberbedrohungen und Beinahevorfällen entgegen. Das Bundes- amt richtet hierzu geeignete Meldemöglichkeiten Die Meldungen können anonym erfol- gen. Erfolgt die Meldung nicht anonym, kann der Meldende mit der Meldung oder später verlangen, dass seine personenbezogenen Daten nur anonymisiert weitergegeben werden dürfen. Dies gilt nicht in den Fällen des § 8 Absatz 6 und 7 Satz 1. Eine Übermittlung der personenbezogenen Daten in den Fällen von § 8 Absatz 6 und 7 Satz 1 hat zu unterblei- ben, wenn für das Bundesamt erkennbar ist, dass die schutzwürdigen Interessen des Mel- denden das Allgemeininteresse an der Übermittlung überwiegen. Zu berücksichtigen ist da- bei auch die Art und Weise, in der der Meldende die Erkenntnisse gewonnen hat. Die Ent- scheidung nach Satz 6 muss dem oder der behördlichen Datenschutzbeauftragten des

     

    Bundesamtes sowie einem oder einer weiteren Bediensteten des Bundesamtes, der oder die die Befähigung zum Richteramt hat, zur vorherigen Prüfung vorgelegt werden.

    • Das Bundesamt soll die gemäß Absatz 2 gemeldeten Informationen nutzen, um
    1. Dritte über bekannt gewordene Schwachstellen, Schadprogramme, erfolgte oder ver- suchte Angriffe auf die Sicherheit in der Informationstechnik zu informieren, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist,
    2. die Öffentlichkeit oder betroffene Kreise gemäß 13 zu warnen und zu informieren,
    3. Einrichtungen der Bundesverwaltung gemäß 4 Absatz 2 Nummer 2 über die sie be- treffenden Informationen zu unterrichten,
    4. besonders wichtige      Einrichtungen      und      wichtige      Einrichtungen      gemäß
    • 40 Absatz 3 Nummer 4 Buchstabe a über die sie betreffenden Informationen zu un- terrichten,
    1. seine Aufgaben als zuständige Behörde, CSIRT und zentrale Anlaufstelle im Sinne der NIS-2-Richtlinie wahrzunehmen.
    • Eine Weitergabe nach Absatz 3 Nummer 1, 2 oder 4 erfolgt nicht, soweit die ge- mäß Absatz 2 gemeldeten Informationen
    1. Betriebs- und Geschäftsgeheimnisse von Dritten beinhalten und die Maßnahmen nach Absatz 3 nicht ohne Bekanntgabe dieser Betriebs- und Geschäftsgeheimnisse durch- geführt werden können oder
    2. auf Grund von Vereinbarungen des Bundesamtes mit Dritten nicht übermittelt werden dürfen.
    • Sonstige gesetzliche Meldepflichten, Regelungen zum Geheimschutz, gesetzliche Übermittlungshindernisse und Übermittlungsregelungen bleiben unberührt.

     

    § 6 - Informationsaustausch
    • Das Bundesamt betreibt eine Online-Plattform zum Informationsaustausch mit wichtigen Einrichtungen, besonders wichtigen Einrichtungen und Einrichtungen der Bun- desverwaltung. Es kann die beteiligten Hersteller, Lieferanten oder Dienstleister zum Aus- tausch über Cyberbedrohungen, Schwachstellen, Beinahevorfällen, IT-Sicherheitsmaß- nahmen sowie zur Aufdeckung und Abwehr von Cyberangriffen Das Bundes- amt kann weiteren Stellen die Teilnahme ermöglichen.
    • Das Bundesamt gibt Teilnahmebedingungen für den Informationsaustausch und die Plattformnutzung zwischen den Teilnehmenden vor.
    § 7 - Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte
    • Das Bundesamt ist befugt, die Sicherheit der Kommunikationstechnik des Bundes und ihrer Komponenten, einschließlich technischer Infrastrukturen, die zum Betrieb der Kommunikationstechnik des Bundes erforderlich sind, zu kontrollieren. Es kann hierzu die

     

    Bereitstellung der zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1 und 20 erforderlichen Informationen, insbesondere zu technischen Details, zu Strategien, Planun- gen und Regelungen mit Bezug zur Kommunikationstechnik des Bundes einschließlich Auf- bau- und Ablauforganisation verlangen sowie Unterlagen und Datenträger des Betreibers der jeweiligen Kommunikationstechnik des Bundes oder eines mit Betriebsleistungen be- auftragten Dritten einsehen und die unentgeltliche Herausgabe von Kopien dieser Unterla- gen und Dokumente, auch in elektronischer Form, verlangen, soweit nicht Geheimschutz- interessen oder überwiegende Sicherheitsinteressen des Betreibers entgegenstehen.

    • Dem Bundesamt ist in den Zeiten, zu denen die Räume normalerweise für die je- weilige geschäftliche oder betriebliche Nutzung zur Verfügung stehen, zu den Grundstü- cken und Betriebsräumen, einschließlich Datenverarbeitungsanlagen und -geräten, die für die Kommunikationstechnik des Bundes verwendet werden, Zugang zu gewähren, soweit dies zur Erfüllung der Zwecke nach Absatz 1 erforderlich ist.
    • Bei Anlagen eines Dritten, bei dem eine Schnittstelle zur Kommunikationstechnik des Bundes besteht, kann das Bundesamt auf der Schnittstellenseite der Einrichtung nur mit Zustimmung des Dritten die Sicherheit der Schnittstelle Es kann hierzu mit Zustimmung des Dritten die zur Aufgabenerfüllung erforderlichen Informationen, insbeson- dere zu technischen Details, zu Strategien, Planungen und Regelungen sowie Unterlagen und Datenträger des Betreibers einsehen und unentgeltlich Kopien, auch in elektronischer Form, anfertigen.
    • Das Bundesamt teilt das Ergebnis seiner Kontrolle nach den Absätzen 1 bis 3 dem jeweiligen überprüften Betreiber, im Falle einer Einrichtung der Bundesverwaltung zusätz- lich der oder dem Informationssicherheitsbeauftragten des Ressorts sowie der zuständigen Rechts- und Fachaufsicht sowie dem Koordinator oder der Koordinatorin für Informations- sicherheit mit. Das Bundesamt führt vor der Finalisierung des Prüfberichts eine Sachver- haltsklärung mit der geprüften Einrichtung durch. Mit der Mitteilung soll das Bundesamt Vorschläge zur Verbesserung der Informationssicherheit, insbesondere zur Beseitigung der festgestellten Mängel, Für die Mitteilung an Stellen außerhalb des Betreibers gilt
    • 4 Absatz 3 entsprechend.
    • Ausgenommen von den Befugnissen nach den Absätzen 1 bis 3 sind Kontrollen der Auslandsinformations- und -kommunikationstechnik nach § 9 Absatz 2 des Gesetzes über den Auswärtigen Dienst, soweit sie im Ausland belegen ist oder für das Ausland oder für Anwender im Ausland betrieben Die Bestimmungen für die Schnittstellen der Kom- munikationstechnik des Bundes im Inland bleiben davon unberührt. Näheres zu Satz 1 re- gelt eine Verwaltungsvereinbarung zwischen dem Bundesministerium des Innern und für Heimat und dem Auswärtigen Amt.
    • Die Befugnisse nach den Absätzen 1 bis 3 gelten im Geschäftsbereich des Bun- desministeriums der Verteidigung nicht für die Kontrolle der Informations- und Kommunika- tionstechnik, die von den Streitkräften für ihre Zwecke oder dem Militärischen Abschirm- dienst genutzt wird. Nicht ausgenommen ist die Informations- und Kommunikationstechnik von Dritten, insbesondere von IT-Dienstleistern, soweit sie nicht ausschließlich für die Zwe- cke der Streitkräfte betrieben wird. Die Bestimmungen für die Schnittstellen der Kommuni- kationstechnik des Bundes bleiben von den Sätzen 1 und 2 unberührt. Näheres regelt eine Verwaltungsvereinbarung zwischen dem Bundesministerium des Innern und für Heimat und dem Bundesministerium der Verteidigung.
    • Stellt das Bundesamt im Rahmen seiner Kontrollen fest, dass ein Verstoß gegen die Verpflichtungen dieses Gesetzes eine offensichtliche Verletzung des Schutzes perso- nenbezogener Daten im Sinne von Artikel 4 Nummer 12 der Verordnung (EU) 2016/679 zur Folge hat, die gemäß Artikel 33 dieser Verordnung zu melden ist, unterrichtet es unverzüg- lich die zuständigen Aufsichtsbehörden.

     

    • Das Bundesamt unterrichtet den Haushaltsausschuss des Deutschen Bundesta- ges kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über die Anwendung dieser Vorschrift.
    § 8 - Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes
    • Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes
    1. Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, er- heben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Be- seitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist,
    2. die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten, soweit dies für die Erkennung und Abwehr von Schadpro- grammen und sonstigen erheblichen Gefahren für die Kommunikationstechnik des Bundes erforderlich ist.

    Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, müssen die automatisierte Auswertung dieser Daten und deren anschließende vollständige und nicht wiederherstellbare Löschung unverzüglich erfolgen. Die Verwendungsbeschränkungen gel- ten nicht für Protokolldaten, sofern diese weder personenbezogene noch dem Fernmelde- geheimnis unterliegende Daten beinhalten. Die Einrichtungen der Bundesverwaltung sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu einrichtungsinternen Protokolldaten nach Satz 1 Nummer 1 sowie zu Schnittstellendaten nach Satz 1 Nummer 2 sicherzustellen. Protokolldaten der Bundesgerichte dürfen nur in deren Einvernehmen erhoben werden.

    • Protokolldaten nach Absatz 1 Satz 1 Nummer 1 dürfen über den für die automati- sierte Auswertung nach Absatz 1 Satz 1 Nummer 1 erforderlichen Zeitraum hinaus, längs- tens jedoch für 18 Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte dafür bestehen, dass diese im Falle der Bestätigung eines Verdachts nach Absatz 4 Satz 2 zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen, oder zur Er- kennung und Abwehr anderer Schadprogramme oder sonstiger Gefahren für die Kommu- nikationstechnik des Bundes erforderlich sein können. Durch organisatorische und techni- sche Maßnahmen ist sicherzustellen, dass eine Auswertung der nach diesem Absatz ge- speicherten Daten nur automatisiert erfolgt und dass ein Zugriff auf Daten, die länger als drei Monate gespeichert sind, nur bei Vorliegen tatsächlicher Erkenntnisse über die Betrof- fenheit des Bundes mit einem Schadprogramm oder einer sonstigen erheblichen Gefahr für die Kommunikationstechnik des Bundes erfolgt. Die Daten sind zu pseudonymisieren, so- weit dies automatisiert möglich Eine nicht automatisierte Verarbeitung ist nur nach Maß- gabe der nachfolgenden Absätze zulässig. Soweit hierzu die Wiederherstellung pseudony- misierter Protokolldaten erforderlich ist, muss diese durch die Präsidentin oder den Präsi- denten des Bundesamtes oder die Vertretung im Amt angeordnet werden. Die Entschei- dung ist zu dokumentieren.
    • Protokolldaten dürfen vor ihrer Pseudonymisierung und Speicherung nach Absatz 2 zur Sicherstellung einer fehlerfreien automatisierten Auswertung manuell verar- beitet Liegen Hinweise vor, dass die fehlerfreie automatisierte Auswertung wegen eines erheblichen Fehlers erschwert wird, darf der Personenbezug von Protokolldaten zur Sicherstellung der fehlerfreien automatisierten Auswertung wiederhergestellt werden, so- fern dies im Einzelfall erforderlich ist. Absatz 2 Satz 3 bis 6 gilt entsprechend.

     

    • Eine über die Absätze 1 und 2 hinausgehende Verwendung personenbezogener Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass
    1. diese Daten ein Schadprogramm enthalten,
    2. diese Daten durch ein Schadprogramm übermittelt wurden,
    3. diese Daten im Zusammenhang mit einer sonstigen erheblichen Gefahr für die Kom- munikationstechnik des Bundes stehen oder
    4. sich aus diesen Daten Hinweise auf ein Schadprogramm oder eine sonstige Gefahr für die Kommunikationstechnik des Bundesergeben können ergeben können,

    und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen. Im Falle der Bestätigung des Verdachts ist die weitere Verarbeitung personen- bezogener Daten zulässig, soweit dies erforderlich ist

    1. zur Abwehr des Schadprogramms der sonstigen erheblichen Gefahren für die Kommu- nikationstechnik des Bundes,
    2. zur Abwehr von Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder
    3. zur Erkennung und Abwehr anderer Schadprogramme oder Gefahren für die Kommu- nikationstechnik des Bundes.

    Ein Schadprogramm kann beseitigt oder in seiner Funktionsweise gehindert werden. Es dürfen die erforderlichen technischen Maßnahmen getroffen werden, um eine sonstige Ge- fahr für die Kommunikationstechnik des Bundes zu beseitigen. Das Bundesamt kann die Daten an die betroffene Einrichtung der Bundesverwaltung übermitteln soweit dies für eine Verwendung nach den Sätzen 1 bis 4 erforderlich ist. Die nicht automatisierte Verwendung der Daten nach den Sätzen 1 und 2 darf nur durch einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet werden.

    • Die Beteiligten des Kommunikationsvorgangs sind spätestens nach dem Erkennen und der Abwehr eines Schadprogramms oder seiner Wirkungen oder von sonstigen erheb- lichen Gefahren für die Kommunikationstechnik des Bundes die von einem Schadpro- gramm ausgehen, zu benachrichtigen, wenn sie bekannt sind oder ihre Identifikation ohne unverhältnismäßige weitere Ermittlungen möglich ist und nicht überwiegende schutzwür- dige Belange Dritter entgegenstehen. Die Unterrichtung kann unterbleiben, wenn die Per- son nur unerheblich betroffen wurde und wenn anzunehmen ist, dass sie an einer Benach- richtigung kein Interesse Das Bundesamt legt Fälle, in denen es von einer Benachrich- tigung absieht, dem behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem weiteren Bediensteten des Bundesamtes, der die Befähigung zum Richteramt hat, zur Kon- trolle vor. Wenn der behördliche Datenschutzbeauftragte der Entscheidung des Bundesam- tes widerspricht, ist die Benachrichtigung nachzuholen. Die Entscheidung über die Nicht- benachrichtigung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist nach zwölf Monaten zu löschen. In den Fällen der Absätze 6 und 7 erfolgt die Benachrichtigung durch die dort genannten Behör- den in entsprechender Anwendung der für diese Behörden geltenden Vorschriften. Enthal- ten diese Vorschriften keine Bestimmungen zu Benachrichtigungspflichten, sind die Vor- schriften der Strafprozessordnung entsprechend anzuwenden.
    • Das Bundesamt kann die nach Absatz 4 verwendeten personenbezogenen Daten an die Strafverfolgungsbehörden zur Verfolgung einer mittels eines Schadprogramms oder im Rahmen einer sonstigen erheblichen Gefahr für die Kommunikationstechnik des Bundes begangenen Straftat nach den §§ 202a, 202b, 303a oder 303b des Strafgesetzbuches übermitteln. Es kann diese Daten ferner übermitteln

     

    1. an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für die öffentliche Sicherheit, die unmittelbar von einem Schadprogramm ausgeht,
    2. an das Bundesamt für Verfassungsschutz zur Unterrichtung über Tatsachen, die si- cherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht erken- nen lassen, sowie an den Militärischen Abschirmdienst, wenn sich diese Tätigkeiten gegen Personen, Dienststellen oder Einrichtungen im Geschäftsbereich des Bundes- ministeriums der Verteidigung richten,
    3. an den Bundesnachrichtendienst zur Unterrichtung über Tatsachen, die einen interna- tionalen kriminellen, terroristischen oder staatlichen Angriff mittels Schadprogrammen oder vergleichbarer schädlich wirkender informationstechnischer Mittel auf die Vertrau- lichkeit, Integrität oder Verfügbarkeit von IT-Systemen in Fällen von erheblicher Bedeu- tung mit Bezug zur Bundesrepublik Deutschland erkennen lassen,.
    • Für sonstige Zwecke kann das Bundesamt die Daten übermitteln
    1. an die Strafverfolgungsbehörden zur Verfolgung einer Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere einer in § 100a Absatz 2 der Strafprozessord- nung bezeichneten Straftat,
    2. an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person oder Sa- chen von bedeutendem Wert, deren Erhalt im öffentlichen Interesse geboten ist,
    3. an die Verfassungsschutzbehörden des Bundes und der Länder sowie an den Militäri- schen Abschirmdienst, wenn tatsächliche Anhaltspunkte für Bestrebungen in der Bun- desrepublik Deutschland vorliegen, die durch Anwendung von Gewalt oder darauf ge- richtete Vorbereitungshandlungen gegen die in § 3 Absatz 1 des Bundesverfassungs- schutzgesetzes beziehungsweise 1 Absatz 1 des MAD-Gesetzes genannten Schutz- güter gerichtet sind,
    4. an den Bundesnachrichtendienst, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand Straftaten nach § 3 Absatz 1 Nummer 8 des Artikel 10-Geset- zes plant, begeht oder begangen hat und dies von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland ist,

    Die Übermittlung nach Satz 1 Nummer 1 und 2 bedarf der vorherigen gerichtlichen Zustim- mung. Für das Verfahren nach Satz 1 Nummer 1 und 2 gelten die Vorschriften des Geset- zes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Ge- richtsbarkeit entsprechend. Zuständig ist das Amtsgericht, in dessen Bezirk das Bundesamt seinen Sitz hat. Die Übermittlung nach Satz 1 Nummer 3 und 4 erfolgt nach Zustimmung des Bundesministeriums des Innern und für Heimat; die §§ 9 bis 16 des Artikel 10-Gesetzes gelten entsprechend.

    • Eine über die vorstehenden Absätze hinausgehende inhaltliche Auswertung zu an- deren Zwecken und die Weitergabe von personenbezogenen Daten an Dritte sind unzuläs- sig. Soweit möglich, ist technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben Werden aufgrund der Maßnahmen der Absätze 1 bis 4 Erkenntnisse aus dem Kernbereich privater Lebensgestaltung oder Daten nach Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 erlangt, dürfen diese Erkenntnisse und Daten nicht verwendet werden. Erkenntnisse aus dem Kernbereich privater Lebensge- staltung sind unverzüglich zu löschen. Dies gilt auch in Zweifelsfällen. Die Tatsache der Erlangung und Löschung dieser Erkenntnisse ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu lö- schen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des Kalenderjahres, das dem Jahr folgt, in dem die der Dokumentation erstellt worden ist. Werden im Rahmen der Absatz 5 oder 6 Inhalte oder Umstände der Kommunikation von in

     

    • 53 Absatz 1 Satz 1 der Strafprozessordnung genannten Personen übermittelt, auf die sich das Zeugnisverweigerungsrecht dieser Personen erstreckt, ist die Verwertung dieser Daten zu Beweiszwecken in einem Strafverfahren nur insoweit zulässig, als Gegenstand dieses Strafverfahrens eine Straftat ist, die im Höchstmaß mit mindestens fünf Jahren Freiheits- strafe bedroht ist.
    • Vor Aufnahme der Datenerhebung und -verwendung hat das Bundesamt ein Da- tenerhebungs- und -verwendungskonzept zu erstellen und für Kontrollen durch die Bundes- beauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bereitzuhalten. Das Konzept hat dem besonderen Schutzbedürfnis der Regierungskommu- nikation Rechnung zu Die für die automatisierte Auswertung verwendeten Kriterien sind zu dokumentieren. Die oder der Bundesbeauftragte für den Datenschutz und die Infor- mationsfreiheit teilt das Ergebnis seiner Kontrollen nach § 16 des Bundesdatenschutzge- setzes auch den Ressorts mit.
    • Das Bundesamt unterrichtet die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über
    1. die Anzahl  der  Vorgänge,  in  denen  Daten  nach  Absatz 6 Satz 1, Absatz 6 Satz 2 Nummer 1 oder Absatz 7 Nummer 1 übermittelt wurden, aufgegliedert nach den einzelnen Übermittlungsbefugnissen,
    2. die Anzahl der personenbezogenen Auswertungen nach Absatz 4 Satz 1, in denen der Verdacht widerlegt wurde,
    3. die Anzahl der Fälle, in denen das Bundesamt nach Absatz 5 Satz 2 oder 3 von einer Benachrichtigung der Betroffenen abgesehen hat.
    • Das Bundesamt unterrichtet kalenderjährlich jeweils bis zum Juni des dem Be- richtsjahr folgenden Jahres den Ausschuss für Inneres und Heimat des Deutschen Bundes- tages über die Anwendung dieser Vorschrift.
    § 9 - Verarbeitung von Protokollierungsdaten der Kommunikationstechnik des Bundes

     

    • Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes und ihrer Komponenten, einschließlich technischer Infrastrukturen, die zum Betrieb der Kommunikationstechnik des Bundes erforderlich sind, Protokollierungsdaten, die durch den Betrieb von Kommunikationstechnik des Bundes anfallen, verarbeiten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen, Fehlern oder Sicherheitsvorfällen in der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist und Geheimschutzinteressen oder überwiegende Sicherheitsinte- ressen der betroffenen Stellen nicht entgegenstehen.
    • Die Einrichtungen der Bundesverwaltung sind verpflichtet, das Bundesamt bei Maßnahmen nach Absatz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu einrichtungsinternen Protokollierungsdaten nach Satz 1 sicherzustellen. Hierzu dürfen sie dem Bundesamt   die   entsprechenden   Protokollierungsdaten   übermitteln.
    • 8 Absatz 1 Satz 5, Absatz 2 bis 5, 9 und 10 gilt entsprechend. § 7 Absatz 8 gilt für die Verpflichtung nach Satz 1entsprechend.

       

       

         

         

         

        • 10

        Anordnungen von Maßnahmen zur Abwendung oder Behebung von Sicherheitsvor- fällen

        Das Bundesamt kann im Einzelfall gegenüber Einrichtungen der Bundesverwaltung Maßnahmen anordnen, die zur Abwendung oder Behebung eines gegenwärtigen Sicher- heitsvorfalls erforderlich sind. Ferner kann das Bundesamt die Einrichtungen der Bundes- verwaltung zur Berichterstattung innerhalb einer angemessenen Frist zu den nach Satz 1 angeordneten Maßnahmen auffordern. Der oder die jeweils zuständige Informationssicher- heitsbeauftragte des Ressorts wird über Anweisungen und Aufforderungen nach Satz 1 und 2 durch das Bundesamt informiert. Der Bericht ist dem Bundesamt und zugleich dem oder der Informationssicherheitsbeauftragten des jeweils zuständigen Ressorts zu übermitteln. Für die Berichterstattung gilt § 4 Absatz 3 entsprechend.

         

         

        • 11

        Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen

        • Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines informationstechnischen Systems einer Einrichtung der Bundesverwaltung oder einer besonders wichtigen Einrichtung oder einer wichtigen Einrichtung um einen herausgehobe- nen Fall, so kann das Bundesamt auf Ersuchen der betroffenen Einrichtung oder des be- troffenen Betreibers oder einer anderen für die Einrichtung oder den Betreiber zuständigen Behörde die Maßnahmen treffen, die zur Wiederherstellung der Sicherheit oder Funktions- fähigkeit des betroffenen informationstechnischen Systems erforderlich sind. Soweit das Bundesamt erste Maßnahmen zur Schadensbegrenzung und Sicherstellung des Notbetrie- bes vor Ort ergreift, werden hierfür keine Gebühren oder Auslagen für die Tätigkeit des Bundesamtes erhoben. Hiervon unberührt bleiben etwaige Kosten für die Hinzuziehung qualifizierter Dritter.
        • Ein herausgehobener Fall nach Absatz 1 liegt insbesondere dann vor, wenn es sich um einen Angriff von besonderer technischer Qualität handelt oder wenn die zügige Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstech- nischen Systems von besonderem öffentlichem Interesse ist.
        • Das Bundesamt darf bei Maßnahmen nach Absatz 1 personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten verarbeiten, soweit dies zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich und angemessen Die Daten sind unverzüglich zu löschen, sobald sie für die Wiederherstellung der Sicherheit oder Funktionsfähigkeit des informationstechnischen Sys- tems nicht mehr benötigt werden. Wenn die Daten in Fällen des Absatzes 4 an eine andere Behörde zur Erfüllung von deren gesetzlichen Aufgaben weitergegeben worden sind, darf das Bundesamt die Daten abweichend von Satz 2 bis zur Beendigung der Unterstützung dieser Behörden weiterverarbeiten. Eine Nutzung zu anderen Zwecken ist unzulässig.
        • 8 Absatz 8 ist entsprechend anzuwenden.
        • Das Bundesamt darf Informationen, von denen es im Rahmen dieser Vorschrift Kenntnis erlangt, nur mit Einwilligung des Ersuchenden weitergeben, es sei denn, die In- formationen lassen keine Rückschlüsse auf die Identität des Ersuchenden zu oder die In- formationen können entsprechend 8 Absatz 6 und 7 übermittelt werden. Hiervon sind er- forderliche Informationsaustausche zwischen dem Bundesamt und dem Bundesamt für Be- völkerungsschutz und Katastrophenhilfe nach § 3 Absatz 5 des Dachgesetzes zur Stärkung der physischen Resilienz von Betreibern kritischer Anlagen (KRITIS-Dachgesetz)

         

        ausgenommen. Zugang zu den in Verfahren nach Absatz 1 geführten Akten wird Dritten nicht gewährt.

        • Das Bundesamt kann sich bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden der Hilfe qualifizierter Dritter bedienen, wenn dies zur rechtzeitigen oder voll- ständigen Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen infor- mationstechnischen Systems erforderlich ist. Die hierdurch entstehenden Kosten hat der Ersuchende zu Das Bundesamt kann den Ersuchenden auch auf qualifizierte Dritte verweisen. Das Bundesamt und vom Ersuchenden oder vom Bundesamt nach Satz 1 be- auftragte Dritte können einander bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden Daten übermitteln. Hierfür gilt Absatz 3 entsprechend.
        • Soweit es zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des infor- mationstechnischen Systems erforderlich ist, kann das Bundesamt vom Hersteller des in- formationstechnischen Systems verlangen, an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit mitzuwirken.
        • In begründeten Einzelfällen kann das Bundesamt auch bei anderen als den in Absatz 1 genannten Einrichtungen tätig werden, wenn das Bundesamt darum ersucht wurde und wenn es sich um einen herausgehobenen Fall nach Absatzes 2 Ein begründeter Einzelfall liegt in der Regel vor, wenn eine Stelle eines Landes betroffen ist.
        • Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atom- gesetz bedürfen, ist in Fällen der Absätze 1, 4, 5 und 7 vor Tätigwerden des Bundesamtes das Benehmen mit den zuständigen atomrechtlichen Aufsichtsbehörden des Bundes und der Länder herzustellen. Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atomgesetz bedürfen, haben bei Maßnahmen des Bundesamtes nach diesem
        • 11 die Vorgaben aufgrund des Atomgesetzes Vorrang.

         

         

        • 12

        Bestandsdatenauskunft

        • Das Bundesamt  darf  zur  Erfüllung  seiner  gesetzlichen  Aufgabe  nach
        • 3 Absatz 1 Satz 1 Nummer 1, 2, 20, 24 oder 25 von demjenigen, der geschäftsmäßig Te- lekommunikationsdienste erbringt oder daran mitwirkt, über Bestandsdaten gemäß § 3 Nummer 6 des Telekommunikationsgesetzes und über die nach § 172 des Telekommuni- kationsgesetzes erhobenen Daten (§ 174 Absatz 1 Satz 1 des Telekommunikationsgeset- zes) Auskunft verlangen. Die Auskunft nach Satz 1 darf nur verlangt werden zum Schutz der Versorgung der Bevölkerung in den Sektoren des § 28 Absatz 7 oder der öffentlichen Sicherheit, um damit eine Beeinträchtigung der Sicherheit oder Funktionsfähigkeit informa- tionstechnischer Systeme einer besonders wichtigen Einrichtung oder wichtigen Einrich- tung abzuwenden, wenn Tatsachen den Schluss auf ein wenigstens seiner Art nach kon- kretisiertes und zeitlich absehbares Geschehen zulassen, das auf die informationstechni- schen Systeme bestimmbarer Infrastrukturen oder Unternehmen abzielen wird, und wenn die in die Auskunft aufzunehmenden Daten im Einzelfall erforderlich sind, um die Betroffe- nen nach Absatz 4 vor dieser Beeinträchtigung zu warnen, über diese Beeinträchtigung zu informieren oder bei der Beseitigung zu beraten oder zu unterstützen.
        • Die Auskunft nach Absatz 1 darf auch anhand einer zu einem bestimmten Zeit- punkt zugewiesenen Internetprotokoll-Adresse verlangt werden (§ 174 Absatz 1 Satz 3,
        • 177 Absatz 1 Nummer 3 des Telekommunikationsgesetzes). Die rechtlichen und tatsäch- lichen Grundlagen des Auskunftsverlangens sind aktenkundig zu machen.
        • Der auf Grund eines Auskunftsverlangens Verpflichtete hat die zur Auskunftsertei- lung erforderlichen Daten unverzüglich und vollständig zu übermitteln.

         

        • Nach erfolgter Auskunft weist das Bundesamt die besonders wichtige Einrichtung oder die wichtige Einrichtung auf die bei ihr drohenden Beeinträchtigungen Nach Mög- lichkeit weist das Bundesamt die besonders wichtige Einrichtung oder die wichtige Einrich- tung auf technische Mittel hin, mittels derer die festgestellten Beeinträchtigungen durch die besonders wichtige Einrichtung oder die wichtige Einrichtung selbst beseitigt werden kön- nen.
        • Das Bundesamt kann personenbezogene Daten, die es im Rahmen dieser Vor- schrift verarbeitet, entsprechend 8 Absatz 6 und 7 übermitteln.
        • In den Fällen des Absatzes 2 ist die betroffene Person über die Auskunft zu be- nachrichtigen. Im Falle der Weitergabe der Information nach 8 Absatz 6 oder wenn Tat- sachen die Annahme rechtfertigen, dass die Voraussetzungen einer Weitergabe nach
        • 8 Absatz 6 vorliegen, ergeht darüber keine Benachrichtigung an die betroffene Person, sofern und solange überwiegende schutzwürdige Belange Dritter entgegenstehen. Wird nach Satz 2 die Benachrichtigung zurückgestellt oder wird von ihr abgesehen, sind die Gründe aktenkundig zu machen.
        • Das Bundesamt unterrichtet die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit jeweils bis zum Juni des dem Berichts- jahr folgenden Jahres über
        1. die Gesamtzahl der Vorgänge, in denen Daten nach Absatz 1 oder Absatz 2 an das Bundesamt übermittelt wurden, und
        2. die Übermittlungen nach Absatz 5.
        • Das Bundesamt hat den Verpflichteten für ihm erteilte Auskünfte eine Entschädi- gung zu gewähren. Der Umfang der Entschädigung bemisst sich nach § 23 und Anlage 3 des Justizvergütungs- und -entschädigungsgesetzes; die Vorschriften über die Verjährung in 2 Absatz 1 und 4 des Justizvergütungs- und -entschädigungsgesetzes finden entspre- chende Anwendung.

         

         

        • 13

        Warnungen

        • Zur Erfüllung seiner Aufgaben nach 3 Absatz 1 Satz 2 Nummer 20 und 21 kann das Bundesamt
        1. die folgenden Warnungen und Informationen an die Öffentlichkeit oder an die betroffe- nen Kreise richten:
          1. Warnungen vor Schwachstellen und anderen Sicherheitsrisiken in informations- technischen Produkten und Diensten,
          2. Warnungen vor Schadprogrammen,
          3. Warnungen bei einem Verlust oder einem unerlaubten Zugriff auf Daten,
          4. Informationen über sicherheitsrelevante IT-Eigenschaften von Produkten und
          5. Informationen über Verstöße besonders wichtiger Einrichtungen oder wichtiger Einrichtungen gegen die Pflichten aus diesem Gesetz sowie
        2. Sicherheitsmaßnahmen und Einsatz bestimmter Sicherheitsprodukte

         

        Das Bundesamt kann zur Wahrnehmung der Aufgaben nach Satz 1 Dritte einbeziehen, wenn dies für eine wirksame und rechtzeitige Warnung erforderlich ist.

        • Die Hersteller betroffener Produkte sind rechtzeitig vor Veröffentlichung der War- nungen zu informieren. Diese Informationspflicht besteht nicht,
        1. wenn hierdurch die Erreichung des mit der Maßnahme verfolgten Zwecks gefährdet würde oder
        2. wenn berechtigterweise davon ausgegangen werden kann, dass der Hersteller an einer vorherigen Benachrichtigung kein Interesse hat.

        Soweit entdeckte Schwachstellen oder Schadprogramme nicht allgemein bekannt werden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist, kann es den Kreis der zu warnenden Personen einschränken. Kriterien für die Auswahl des zu warnenden Perso- nenkreises nach Satz 3 sind insbesondere die besondere Gefährdung bestimmter Einrich- tungen oder die besondere Zuverlässigkeit des Empfängers.

        • Zur Erfüllung seiner Aufgaben nach 3 Absatz 1 Satz 2 Nummer 20 und 21 kann das Bundesamt die Öffentlichkeit unter Nennung der Bezeichnung und des Herstellers des betroffenen Produkts und Dienstes
        1. vor Schwachstellen in informationstechnischen Produkten und Diensten und vor Schadprogrammen warnen, wenn hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik hiervon ausgehen, oder
        2. Sicherheitsmaßnahmen sowie den Einsatz bestimmter informationstechnischer Pro- dukte und Dienste empfehlen.

        Stellen sich die an die Öffentlichkeit gegebenen Informationen im Nachhinein als falsch heraus oder stellen sich die zugrunde liegenden Umstände als unzutreffend wiedergegeben heraus, ist dies unverzüglich öffentlich bekannt zu machen. Warnungen nach Satz 1 sind sechs Monate nach der Veröffentlichung zu entfernen, wenn nicht weiterhin hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik bestehen. Wird eine Warnung nach Satz 3 nicht entfernt, so ist diese Entscheidung regel- mäßig zu überprüfen.

         

         

        • 14

        Untersuchung der Sicherheit in der Informationstechnik, Auskunftsverlangen

        • Das Bundesamt   kann   zur   Erfüllung   seiner   Aufgaben   nach
        • 3 Absatz 1 Satz 2 Nummer 1, 20, 21, 24 oder 25 auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte und Systeme untersuchen. Es kann sich hierbei der Unterstützung Dritter bedienen, soweit berechtigte Interessen des Herstellers der betroffenen Produkte und Systeme dem nicht entgegenste- hen.
        • Soweit erforderlich, kann das Bundesamt für Untersuchungen nach Absatz 1 von Herstellern informationstechnischer Produkte und Systeme alle notwendigen Auskünfte, insbesondere auch zu technischen Details, In dem Auskunftsverlangen gibt das Bundesamt die Rechtsgrundlage, den Zweck des Auskunftsverlangens und die benötigten Auskünfte an und legt eine angemessene Frist für die Übermittlung der Auskünfte fest. Das Auskunftsverlangen enthält ferner einen Hinweis auf die in § 61 vorgesehenen Sanktionen.

         

        • Das Bundesamt gibt Auskünfte sowie die aus den Untersuchungen gewonnen Er- kenntnisse unverzüglich an die zuständigen Aufsichtsbehörden des Bundes oder, sofern keine Aufsichtsbehörde vorhanden ist, an das jeweilige Ressort weiter, wenn Anhaltspunkte bestehen, dass diese sie zur Erfüllung ihrer Aufgaben benötigen.
        • Die Auskünfte und die aus den Untersuchungen gewonnenen Erkenntnisse dürfen nur zur Erfüllung der Aufgaben nach 3 Absatz 1 Satz 2 Nummer 1, 20, 21, 24 und 25 ge- nutzt werden. Das Bundesamt darf seine Erkenntnisse weitergeben und veröffentlichen, soweit               dies   zur               Erfüllung    der                       Aufgaben   nach
        • 3 Absatz 1 Satz 2 Nummer 1, 20, 21, 24 und 25 erforderlich ist. Zuvor ist dem Hersteller der betroffenen Produkte und Systeme mit angemessener Frist Gelegenheit zur Stellung- nahme zu geben. Von einer Gelegenheit zur Stellungnahme kann abgesehen werden, wenn die Erkenntnisse ohne erkennbaren Bezug zum Hersteller oder der untersuchten in- formationstechnischen Produkte und Systeme weitergegeben oder veröffentlicht werden.
        • Kommt ein Hersteller der Aufforderung des Bundesamtes nach Absatz 2 Satz 1 nicht oder nur unzureichend nach, kann das Bundesamt hierüber die Öffentlichkeit infor- mieren. Es kann hierbei den Namen des Herstellers sowie die Bezeichnung des betroffenen Produkts oder Systems angeben und darlegen, inwieweit der Hersteller seiner Auskunfts- pflicht nicht nachgekommen Zuvor ist dem Hersteller mit angemessener Frist Gelegen- heit zur Stellungnahme zu gewähren. § 13 Absatz 2 Satz 2 gilt entsprechend.

         

         

        • 15

        Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffs- methoden

        • Das Bundesamt   kann   im   Rahmen   seiner   Aufgaben   nach
        • 3 Absatz 1 Satz 2 Nummer 1, 2, 20 oder 24 zur Detektion von Schwachstellen und ande- ren Sicherheitsrisiken bei Einrichtungen der Bundesverwaltung, besonders wichtigen Ein- richtungen oder wichtigen Einrichtungen Abfragen an den Schnittstellen öffentlich erreich- barer informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen durch- führen, um festzustellen, ob diese Schnittstellen unzureichend geschützt und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sein können, oder wenn die entsprechen- den Einrichtungen darum ersuchen. Erlangt das Bundesamt dabei Informationen, die durch Artikel 10 des Grundgesetzes geschützt sind, darf es diese nur zum Zwecke der Übermitt- lung nach § 8 Absatz 6 und 7  verarbeiten.  Sofern  die  Voraussetzungen  des
        • 8 Absatz 6 und 7 nicht vorliegen, sind Informationen, die nach Artikel 10 des Grundgeset- zes geschützt sind, unverzüglich zu löschen. Abfragen nach Satz 1 dürfen nur durch eine Bedienstete oder einen Bediensteten des Bundesamtes mit der Befähigung zum Richter- amt angeordnet werden.
        • Wird durch Abfragen gemäß Absatz 1 eine bekannte Schwachstelle oder ein an- deres Sicherheitsrisiko eines informationstechnischen Systems erkannt, informiert das Bundesamt darüber unverzüglich die für das informationstechnische System Verantwortli- chen. Gehört das informationstechnische System zu einer Einrichtung der Bundesverwal- tung, sind zugleich die Informationssicherheitsbeauftragten der betroffenen Einrichtung der Bundesverwaltung nach 45 und des übergeordneten Ressorts nach § 46 zu informieren. Das Bundesamt soll dabei auf bestehende Abhilfemöglichkeiten hinweisen. Sind dem Bun- desamt die Verantwortlichen nicht bekannt oder ist ihre Identifikation nur mit unverhältnis- mäßigem Aufwand oder über eine Bestandsdatenabfrage nach § 12 möglich, ist hilfsweise der betreibende Dienstleister des jeweiligen Netzes oder Systems unverzüglich zu benach- richtigen, wenn überwiegende Sicherheitsinteressen nicht entgegenstehen. Das Bundes- amt unterrichtet die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit jeweils bis zum 30. Juni des Folgejahres über die Anzahl der gemäß Absatz 1 ergriffenen Abfragen.

         

        • Das Bundesamt darf zur Erfüllung seiner Aufgaben Systeme und Verfahren ein- setzen, welche einem Angreifer einen erfolgreichen Angriff vortäuschen, um den Einsatz von Schadprogrammen oder andere Angriffsmethoden zu erheben und auszuwerten. Das Bundesamt darf dabei die zur Auswertung der Funktionsweise der Schadprogramme und Angriffsmethoden erforderlichen Daten verarbeiten.

         

         

        • 16

        Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Tele- kommunikationsdiensten

        • Zur Abwehr konkreter erheblicher Gefahren für die in Absatz 2 genannten Schutz- güter kann das Bundesamt anordnen, dass ein Anbieter von öffentlich zugänglichen Tele- kommunikationsdiensten im Sinne des Telekommunikationsgesetzes (Anbieter von öffent- lich zugänglichen Telekommunikationsdiensten) mit mehr als 100 000 Kunden
        1. die in 169 Absatz 6 und 7 des Telekommunikationsgesetzes bezeichneten Maßnah- men trifft oder
        2. technische Befehle zur Bereinigung von einem konkret benannten Schadprogramm an betroffene informationstechnische Systeme verteilt,

        sofern und soweit der Anbieter von öffentlich zugänglichen Telekommunikationsdiensten dazu technisch in der Lage und es ihm wirtschaftlich zumutbar ist. Vor der Anordnung der Maßnahmen nach Satz 1 Nummer 1 oder 2 durch das Bundesamt ist Einvernehmen mit der Bundesnetzagentur herzustellen. Vor der Anordnung der Maßnahme nach Satz 1 Nummer 2 durch das Bundesamt ist zusätzlich Einvernehmen mit der oder dem Bun- desbeauftragten für den Datenschutz und die Informationsfreiheit herzustellen. Die Daten, auf die mit der Maßnahme nach Satz 1 Nummer 2 zugegriffen werden soll, sind in der An- ordnung zu benennen. § 8 Absatz 8 Satz 2 bis 8 gilt entsprechend. Widerspruch und An- fechtungsklage gegen die Anordnungen nach Satz 1 haben keine aufschiebende Wirkung.

        • Schutzgüter gemäß Absatz 1 Satz 1 sind die Verfügbarkeit, Integrität oder Vertrau- lichkeit
        1. der Kommunikationstechnik des Bundes, einer besonders wichtigen Einrichtung oder einer wichtigen Einrichtung,
        2. von Informations- oder Kommunikationsdiensten oder
        3. von Informationen, sofern deren Verfügbarkeit, Unversehrtheit oder Vertraulichkeit durch unerlaubte Zugriffe auf eine erhebliche Anzahl von telekommunikations- oder informationstechnischen Systemen von Nutzern eingeschränkt wird.
        • Ordnet das Bundesamt eine Maßnahme nach Absatz 1 Satz 1 Nummer 1 an, so kann es gegenüber dem Anbieter von öffentlich zugänglichen Telekommunikationsdiensten auch anordnen, den Datenverkehr an eine vom Bundesamt benannte Anschlusskennung
        • Das Bundesamt darf Daten, die von einem Anbieter von öffentlich zugänglichen Telekommunikationsdiensten nach Absatz 1 Satz 1 Nummer 1 und Absatz 3 umgeleitet wurden, verarbeiten, um Informationen über Schadprogramme oder andere Sicherheitsrisi- ken in informationstechnischen Systemen zu erlangen. Die übermittelten Daten dürfen durch das Bundesamt so lange gespeichert werden, wie dies für die Erfüllung des in Satz 1 genannten Zwecks  erforderlich  ist,  längstens  jedoch  für  drei 
        • 8 Absatz 8 Satz 2 bis 8 gilt entsprechend.  Das  Bundesamt  unterrichtet  die

         

        Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informati- onsfreiheit jeweils bis zum 30. Juni des Folgejahres über die Gesamtzahl der angeordneten Datenumleitungen.

         

         

        • 17

        Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Tele- mediendiensten

        Das Bundesamt kann in Einzelfällen zur Abwehr konkreter, erheblicher Gefahren für informationstechnische Systeme einer Vielzahl von Nutzern, die von Telemedienangeboten von Anbietern von Telemedien nach § 2 Absatz 2 Nummer 1 des Telekommunikation-Te- lemedien-Datenschutz-Gesetzes ausgehen, die durch ungenügende technische und orga- nisatorische Vorkehrungen nach § 19 Absatz 4 des Telekommunikation-Telemedien-Da- tenschutz-Gesetzes unzureichend gesichert sind und dadurch keinen hinreichenden Schutz bieten vor

        1. unerlaubten Zugriffen auf die für diese Telemedienangebote genutzten technischen Einrichtungen oder
        2. Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

        gegenüber dem jeweiligen Anbieter von Telemedien nach § 2 Absatz 2 Nummer 1 des Te- lekommunikation-Telemedien-Datenschutz-Gesetzes anordnen, dass dieser die jeweils zur Herstellung des ordnungsgemäßen Zustands seiner Telemedienangebote erforderlichen technischen und organisatorischen Maßnahmen ergreift, um den ordnungsgemäßen Zu- stand seiner Telemedienangebote herzustellen. Die Zuständigkeit der Aufsichtsbehörden der Länder bleibt im Übrigen unberührt.

         

         

        • 18

        Anordnungen von Maßnahmen des Bundesamtes gegenüber Herstellern von IKT- Produkten

        Soweit erforderlich, kann das Bundesamt von einem Hersteller betroffener IKT-Pro- dukte die Mitwirkung an der Beseitigung oder Vermeidung erheblicher Sicherheitsvorfälle bei besonders wichtigen Einrichtungen und wichtigen Einrichtungen verlangen.

         

         

        • 19

        Bereitstellung von IT-Sicherheitsprodukten

        Die  Bereitstellung  von  IT-Sicherheitsprodukten  durch  das  Bundesamt  nach

        • 3 Absatz 1 Satz 2 Nummer 15 erfolgt durch Eigenentwicklung oder nach Durchführung von Vergabeverfahren aufgrund einer entsprechenden Bedarfsfeststellung. IT-Sicherheits- produkte können nur in begründeten Ausnahmefällen durch eine Eigenentwicklung des Bundesamtes zur Verfügung gestellt werden. Die Vorschriften des Vergaberechts und der Bundeshaushaltsordnung bleiben unberührt. Wenn das Bundesamt IT-Sicherheitsprodukte bereitstellt, können die Einrichtungen der Bundesverwaltung oder von ihnen beauftragte Dritte diese Produkte beim Bundesamt abrufen.

         

        Kapitel 2 Datenverarbeitung

         

        • 20

        Verarbeitung personenbezogener Daten

        • Die Verarbeitung personenbezogener Daten durch das Bundesamt ist zulässig, wenn die Verarbeitung zur Erfüllung seiner im öffentlichen Interesse liegenden Aufgaben erforderlich ist.
        • Die Verarbeitung personenbezogener Daten durch das Bundesamt zu anderen Zwecken als demjenigen, zu dem die Daten ursprünglich erhoben wurden, ist unbeschadet von Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung und von § 23 des Bundesdatenschutzgesetzes zulässig, wenn
        1. die Verarbeitung erforderlich ist
          1. zur Sammlung, Auswertung oder Untersuchung von Informationen über Sicher- heitsrisiken oder Sicherheitsvorkehrungen für die Informationstechnik oder
          2. zur Unterstützung, Beratung oder Warnung in Fragen der Sicherheit in der Infor- mationstechnik und
        2. kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.
          • Eine Verarbeitung von besonderen Kategorien personenbezogener Daten durch das Bundesamt ist abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 und unbeschadet des § 22 Absatz 1 des Bundesdatenschutzgesetzes zulässig, wenn
        3. die Verarbeitung erforderlich ist zur Abwehr einer erheblichen Gefahr für die Netz-, Da- ten- oder Informationssicherheit,
        4. ein Ausschluss dieser Daten von der Verarbeitung die Erfüllung der Aufgaben des Bun- desamtes unmöglich machen oder diese erheblich gefährden würde und
        5. kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss dieser Daten von der Verarbeitung überwiegt.
          • Das Bundesamt sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 des Bundesdaten- schutzgesetzes vor.

         

         

        • 21

        Beschränkungen der Rechte der betroffenen Person

        Für die Rechte der betroffenen Person gegenüber dem Bundesamt gelten ergänzend zu den in der Verordnung (EU) 2016/679 enthaltenen Ausnahmen die nachfolgenden Be- schränkungen. Soweit dieses Gesetz keine oder geringere Beschränkungen der Rechte der betroffenen Person enthält, gelten für die Beschränkungen im Übrigen die Regelungen des Bundesdatenschutzgesetzes ergänzend.

         

        • 22

        Informationspflicht bei Erhebung von personenbezogenen Daten

        • Die Pflicht zur Information gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 besteht ergänzend zu den in Artikel 13 Absatz 4 und Artikel 14 Absatz 5 der Ver- ordnung (EU) 2016/679 genannten Ausnahmen nicht, wenn
        1. die Informationserteilung die ordnungsgemäße Erfüllung der in der Zuständigkeit des Bundesamtes liegenden Aufgaben gefährden würde oder
        2. die Informationserteilung die öffentliche Sicherheit oder Ordnung oder die Gewährleis- tung der Netz- und Informationssicherheit auf sonstige Weise gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde

        und deswegen das Interesse der betroffenen Person an der Informationserteilung zurück- treten muss.

        • Unterbleibt eine Information der betroffenen Person nach Maßgabe des Absatzes 1, ergreift das Bundesamt geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung der in Artikel 13 Ab- satz 1 und 2 und Artikel 14 Absatz 1 und 2 der Verordnung (EU) 2016/679 genannten In- formationen für die Öffentlichkeit in präziser, transparenter, verständlicher und leicht zu- gänglicher Form in einer klaren und einfachen Das Bundesamt hält schriftlich fest, aus welchen Gründen es von einer Information der betroffenen Person abgesehen hat.

         

         

        • 23

        Auskunftsrecht der betroffenen Person

        • Das Recht auf Auskunft gemäß Artikel 15 Absatz 1 und 2 der Verordnung (EU) 2016/679 besteht nicht, wenn und soweit
        1. die Auskunftserteilung die ordnungsgemäße Erfüllung der Aufgaben gefährden würde, die in der Zuständigkeit des Bundesamtes liegen,
        2. die Auskunftserteilung
          1. die öffentliche Sicherheit oder die Gewährleistung der Netz- und Informationssi- cherheit gefährden würde oder
          2. sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde oder
        3. die Auskunftserteilung strafrechtliche Ermittlungen oder die Verfolgung von Straftaten gefährden würde

        und deswegen das Interesse der betroffenen Person an der Auskunftserteilung zurücktre- ten muss.

        • 34 Absatz 2 bis 4 des Bundesdatenschutzgesetzes gilt entsprechend.

         

        • 24

        Recht auf Berichtigung

        • Das Recht der betroffenen Person auf Berichtigung und Vervollständigung gemäß Artikel 16 der Verordnung (EU) 2016/679 besteht nicht, wenn und soweit die Erfüllung der Rechte der betroffenen Person die ordnungsgemäße Erfüllung der in der Zuständigkeit des Bundesamtes liegenden Aufgaben gefährden würde und deswegen das Interesse der be- troffenen Person an der Ausübung dieser Rechte zurücktreten muss.
        • In den Fällen des Absatzes 1 hat die betroffene Person einen Anspruch darauf, den Daten für die Dauer der Verarbeitung eine Gegendarstellung beizufügen, sofern dies für eine faire und transparente Verarbeitung erforderlich ist.

         

         

        • 25

        Recht auf Löschung

        • Im Fall der nicht automatisierten Verarbeitung besteht die Pflicht des Bundesamtes zur Löschung personenbezogener Daten gemäß Artikel 17 Absatz 1 und 2 der Verordnung (EU) 2016/679 ergänzend zu den in Artikel 17 Absatz 3 genannten Ausnahmen nicht, wenn
        1. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unver- hältnismäßig hohem Aufwand möglich ist und
        2. das Interesse der betroffenen Person an der Löschung als gering anzusehen

        In diesem Fall tritt an die Stelle der Löschung eine Einschränkung der Verarbeitung gemäß Artikel 18 der Verordnung (EU) 2016/679. Die Sätze 1 und 2 sind nicht anzuwenden, wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden.

        • Ist die Löschung lediglich für eine etwaige gerichtliche Überprüfung von Maßnah- men nach 8 Absatz 4 zurückgestellt, dürfen die Daten ohne Einwilligung der betroffenen Person nur zu diesem Zweck verwendet werden. Sie sind für andere Zwecke in der Verar- beitung einzuschränken. § 8 Absatz 8 bleibt unberührt.

         

         

        • 26

        Recht auf Einschränkung der Verarbeitung

        Die Pflicht des Bundesamtes zur Einschränkung der Verarbeitung gemäß Artikel 18 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 besteht für die Dauer der Überprü- fung der Richtigkeit der personenbezogenen Daten nicht, wenn

        1. die Verarbeitung oder Weiterverarbeitung durch dieses Gesetz ausdrücklich geregelt ist oder
        2. die Einschränkung der Verarbeitung die Abwehr von Gefahren für die Sicherheit in der Informationstechnik gefährden würde.

         

        • 27

        Widerspruchsrecht

        Das Recht der betroffenen Person auf Widerspruch gemäß Artikel 21 Absatz 1 der Ver- ordnung (EU) 2016/679 besteht nicht, wenn

        1. an der Verarbeitung ein zwingendes öffentliches Interesse besteht, das die Interessen der betroffenen Person überwiegt, oder
        2. eine Rechtsvorschrift das Bundesamt zur Verarbeitung

        Darüber hinaus darf das Bundesamt die personenbezogenen Daten ergänzend zu Arti- kel 21 Absatz 1 Satz 2 der Verordnung (EU) 2016/679 so lange verarbeiten, bis das Bun- desamt geprüft hat, ob zwingende schutzwürdige Gründe für die Verarbeitung bestehen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.

         

         

        T e i l  3

        S i c h e r h e i t in  d e r I n f o r m a t i o n s t e c h n i k v o n E i n r i c h t u n g e n

         

         

        Kapitel 1 Anwendungsbereich

         

        • 28

        Besonders wichtige Einrichtungen und wichtige Einrichtungen

        • Als besonders wichtige Einrichtung gelten
        1. Betreiber kritischer Anlagen,
        2. qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS- Diensteanbieter
        3. Anbieter öffentlich zugänglicher Telekommunikationsdienste oder öffentliche Telekom- munikationsnetze, die
          1. mindestens 50 Mitarbeiter beschäftigen oder
          2. einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen;
        4. natürliche oder juristische Personen oder rechtlich unselbstständige Organisationsein- heiten einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbieten, die einer der in Anlage 1 bestimmten Einrichtungsarten zuzuordnen ist und die
          1. mindestens 250 Mitarbeiter beschäftigt oder

         

        1. einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanz- summe von über 43 Millionen Euro aufweisen.

        Davon ausgenommen sind Einrichtungen der Bundesverwaltung, insofern sie nicht gleich- zeitig Betreiber kritischer Anlagen sind.

        • Als wichtige Einrichtungen gelten
        1. Vertrauensdiensteanbieter
        2. Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die
          1. weniger als 50 Beschäftigte haben und
          2. einen Jahresumsatz und eine Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger aufweisen.
        3. eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisa- tionseinheit einer Gebietskörperschaft, die anderen natürlichen oder juristischen Per- sonen entgeltlich Waren oder Dienstleistungen anbietet, die einer der in Anlagen 1 und 2 bestimmten Einrichtungsarten zuzuordnen ist und die
          1. mindestens 50 Mitarbeiter beschäftigt oder
          2. einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist.

        Davon ausgenommen sind besonders wichtige Einrichtungen und Einrichtungen der Bun- desverwaltung.

        • Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanz- summe nach den Absätzen 1 und 2 ist auf die der Einrichtungsart zuzuordnende Geschäfts- tätigkeit abzustellen und außer für rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft die Empfehlung 2003/361/EG mit Ausnahme von Artikel 3 Absatz 4 des Anhangs anzuwenden. Die Daten von Partner- oder verbundenen Unternehmen im Sinne der Empfehlung 2003/361/EG sind nicht hinzuzurechnen, wenn das Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Kom- ponenten und Prozesse, unabhängig von seinen Partner- oder verbundenen Unternehmen
        • Die § 31, 32, 35 und 39 gelten nicht für:
        1. Besonders wichtige Einrichtungen und wichtige Einrichtungen, soweit sie
          1. ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Te- lekommunikationsdienste erbringen, und
          2. den Regelungen des Telekommunikationsgesetzes unterliegen;
        2. Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energie- wirtschaftsgesetz vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 1 des Gesetzes vom 5. Februar 2024 (BGBl. 2024 I Nr. 32) geändert worden ist, soweit sie den Regelungen des § 5c des Energiewirtschaftsgesetzes unterliegen.
          • Die § 30, 31, 32, 35, 36, 38 und 39 gelten gilt nicht für

         

        1. Finanzunternehmen nach Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 und Un- ternehmen, für welche die Anforderungen der Verordnung (EU) 2022/2554 auf Grund von 1a Absatz 2 Kreditwesengesetz oder § 293 Absatz 5 Versicherungsaufsichtsge- setz gelten,
        2. die Gesellschaft für Telematik nach 306 Absatz 1 Satz 3 des Fünften Buches Sozial- gesetzbuch, ein Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach § 311 Absatz 6 und § 325 des Fünften Buches Sozialgesetzbuch zugelassenen Dienste und ein Betreiber von Diensten, soweit dieser die Telematikinfrastruktur für nach § 327 Absatz 2 bis 5 des Fünften Buches Sozialgesetzbuch bestätigte Anwen- dungen nutzt.
          • Ein Betreiber kritischer Anlagen ist eine natürliche oder juristische Person oder eine rechtlich unselbständige Organisationseinheit einer Gebietskörperschaft, die unter Be- rücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine oder mehrere kritische Anlagen ausübt.
          • Eine Anlage ist ab dem durch die Rechtsverordnung nach 58 Absatz 4 festge- legten Stichtag erheblich nach § 2 Absatz 1 Nummer 21, wenn sie einer der durch Rechts- verordnung nach § 58 Absatz 4 festgelegten Anlagenarten in den Sektoren Energie, Trans- port und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Wasser, Ernäh- rung, Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsor- gung zuzuordnen ist und diese die durch die Rechtsverordnung nach § 58 Absatz 4 festge- legten Schwellenwerte überschreitet.
          • Eine Anlage ist ab dem nächsten folgenden durch die Rechtsverordnung nach
          • 58 Absatz 4 als Stichtag     festgelegten     Tag     nicht     mehr     erheblich     nach
          • 2 Absatz 1 Nummer 21, wenn sie die durch die Verordnung festgelegten Schwellenwerte unterschreitet.
          • Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Vertrauensdiensteanbieter, Managed Service Provider und Managed Security Services Provider sind keine wichtigen oder besonders wichtigen Einrichtungen im Sinne dieses Ge- setzes, wenn diese
        3. im ausschließlichen mittel- oder unmittelbaren Eigentum von Gebietskörperschaften, ausgenommen des Bundes, stehen,
        4. keine Waren oder Dienstleistungen gegen Entgelt für Einrichtungen der Bundesverwal- tung anbieten und
        5. durch landesrechtliche Vorschriften unter Bezugnahme auf diesen Absatz reguliert

         

         

        • 29

        Einrichtungen der Bundesverwaltung

        • Einrichtungen der Bundesverwaltung im Sinne dieses Gesetzes sind
        1. Stellen des Bundes, sowie
        2. Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie ihre Vereini- gungen, ungeachtet ihrer Rechtsform, auf Bundesebene;

         

        hiervon ausgenommen sind Institutionen der Sozialen Sicherung, berufsständische Körper- schaften des öffentlichen Rechts sowie Industrie- und Handelskammern.

        • Für Einrichtungen der Bundesverwaltung finden die Regelungen für besonders wichtige Einrichtungen Davon ausgenommen sind die Regelungen in den
        • § 38, 40 Absatz 3 und § 61, 65.
        • Die Geschäftsbereiche des Auswärtigen Amts und des Bundesministeriums der Verteidigung sowie der Bundesnachrichtendienst und das Bundesamt für Verfassungs- schutz sind             zusätzlich                 von    den      Regelungen    der
        • § 10, 13 Absatz 1 Nummer 1 Buchstabe e, § 30, 33, 35 und 50 Absatz 3 ausgenommen. Das Auswärtige Amt erlässt im Einvernehmen mit dem Bundesministerium des Innern und für Heimat eine allgemeine Verwaltungsvorschrift, um die Ziele der NIS-2-Richtlinie im Ge- schäftsbereich des Auswärtigen Amtes durch ergebnisäquivalente Maßnahmen umzuset- zen.

         

         

        Kapitel 2

        Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten

         

         

        • 30

        Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen

        • Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, ge- eignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informations- technischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu hal- ten. Dabei sind das Ausmaß der Risikoexposition die Größe der Einrichtung, die Umset- zungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen so- wie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen. Die Ein- haltung der Verpflichtung nach Satz 1 ist durch die Einrichtungen zu dokumentieren.
        • Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlä- gigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. Die Maßnahmen müssen zumindest Folgendes umfassen:
        1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informations- technik,
        2. Bewältigung von Sicherheitsvorfällen,
        3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
        4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehun- gen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,

         

        1. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechni- schen Systemen, Komponenten und Prozessen, einschließlich Management und Of- fenlegung von Schwachstellen,
        2. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaß- nahmen im Bereich der Sicherheit in der Informationstechnik,
        3. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik,
        4. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
        5. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,
        6. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebe- nenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
        • Der von der Europäischen Kommission gemäß Artikel 21 Absatz 5 Unterabsatz 1 der NIS-2-Richtlinie erlassene Durchführungsrechtsakt zur Festlegung der technischen und methodischen Anforderungen an die in Absatz 1 genannten Maßnahmen in Bezug auf DNS-Diensteanbieter, Top Level Domain Name Registries, Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Betreiber von Content Delivery Networks, Mana- ged Service Provider, Managed Security Service Provider, Anbieter von Online-Marktplät- zen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrau- ensdiensteanbieter hat für die vorgenannten Einrichtungsarten Vorrang.
        • Soweit die Europäische Kommission einen Durchführungsrechtsakt gemäß Arti- kel 21 Absatz 5 Unterabsatz 2 der NIS-2-Richtlinie erlässt, in dem die technischen und me- thodischen Anforderungen sowie erforderlichenfalls die sektoralen Anforderungen der in Absatz 2 genannten Maßnahmen festgelegt werden, so gehen diese Anforderungen den in Absatz 2 genannten Maßnahmen vor, soweit sie entgegenstehen.
        • Soweit die Durchführungsrechtsakte der Europäischen Kommission nach Arti- kel 21 Absatz 5 der NIS-2-Richtlinie keine abschließenden Bestimmungen über die techni- schen und methodischen Anforderungen sowie erforderlichenfalls die sektoralen Anforde- rungen an die in Absatz 2 genannten Maßnahmen in Bezug auf besonders wichtige Ein- richtungen und wichtige Einrichtungen enthalten, können diese Bestimmungen vom Bun- desministerium des Innern und Heimat im Benehmen mit den jeweils betroffenen Ressorts durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, unter Berück- sichtigung der möglichen Folgen unzureichender Maßnahmen sowie der Bedeutung be- stimmter Einrichtungen präzisiert und erweitert werden.
        • Besonders wichtige Einrichtungen und wichtige Einrichtung dürfen durch Rechts- verordnung nach 58 Absatz 3 bestimmte IKT-Produkte, IKT-Dienste und IKT-Prozesse nur verwenden, wenn diese über eine Cybersicherheitszertifizierung gemäß europäischer Schemata nach Artikel 49 der Verordnung (EU) 2019/881 verfügen.
        • Unbeschadet der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Strafta- ten dürfen der Austausch von Informationen nach 6 oder die freiwillige Meldung nach § 5 nicht dazu führen, dass der meldenden Einrichtung zusätzliche Verpflichtungen auferlegt werden, die nicht für sie gegolten hätten, wenn sie die Meldung nicht übermittelt hätte.
        • Besonders wichtige Einrichtungen und ihre Branchenverbände können branchen- spezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 Diese vorgeschlagenen Sicherheitsstandards müssen Durchführungsrechts- akte der Europäischen Kommission so berücksichtigen, dass sie nicht im Widerspruch zu

         

        den dort genannten Anforderungen stehen sowie darin enthaltende Vorgaben nicht unter- schritten werden. Das Bundesamt stellt auf Antrag fest, ob die vorgeschlagenen Sicher- heitsstandards branchenspezifisch und geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt:

        1. im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe;
        2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des
        • Betreiber kritischer Anlagen können branchenspezifische Sicherheitsstandards zur Gewährleistung  der  Anforderungen  nach  39 Absatz 1  vorschlagen. Absatz 8 Satz 2 bis 4 gelten entsprechend.

         

         

        • 31

        Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen

        • Für Betreiber kritischer Anlagen gelten für die informationstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kriti- schen Anlagen maßgeblich sind, im Vergleich zu anderen informationstechnischen Syste- men, Komponenten und Prozessen besonders wichtiger Einrichtungen auch aufwändigere Maßnahmen nach 30 als verhältnismäßig, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Anlage steht.
        • Betreiber kritischer Anlagen sind verpflichtet, Systeme zur Angriffserkennung ein- zusetzen. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und aus- werten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vor- zusehen. Dabei soll der Stand der Technik eingehalten werden. Der hierfür erforderliche Aufwand soll nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchti- gung der betroffenen kritischen Anlage stehen.

         

         

        • 32

        Meldepflichten

        • Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, fol- gende Informationen an eine vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete gemeinsame Meldestelle zu melden:
        1. unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkun- gen haben könnte;
        2. unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Meldung über diesen Sicherheitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittie- rungsindikatoren angegeben werden;

         

        1. auf Ersuchen des Bundesamtes eine Zwischenmeldung über relevante Statusaktuali- sierungen;
        2. spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Nummer 2, vorbehaltlich Absatz 2, eine Abschlussmeldung, die Folgendes enthält:
          1. eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen;
          2. Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat;
          3. Angaben zu den getroffenen und laufenden Abhilfemaßnahmen;
          4. gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls; Die Verpflichtung nach Satz 1 gilt frühestens ab Einrichtung des Meldewegs.
        • Dauert der Sicherheitsvorfall zum im Absatz 1 Nummer 4 genannten Zeitpunkt noch an, legt die betreffende Einrichtung statt einer Abschlussmeldung zu diesem Zeitpunkt eine Fortschrittsmeldung Die Abschlussmeldung ist dann innerhalb eines Monats nach Abschluss der Bearbeitung des Sicherheitsvorfalls vorzulegen.
        • Betreiber kritischer Anlagen sind zusätzlich verpflichtet, Angaben zur Art der be- troffenen Anlage und der kritischen Dienstleistung sowie zu den Auswirkungen des Sicher- heitsvorfalls auf diese Dienstleistung zu übermitteln, wenn ein erheblicher Sicherheitsvorfall Auswirkungen auf die von ihnen betriebene kritische Anlage hat oder haben könnte.
        • Das Bundesamt legt die Einzelheiten zur Ausgestaltung des Meldeverfahrens und zur Konkretisierung der Meldungsinhalte nach Anhörung der betroffenen Betreiber und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesamt für Bevölkerungs- schutz und Katastrophenhilfe fest, soweit sie möglichen Durchführungsrechtsakten der Eu- ropäischen Kommission nicht Die Informationen nach Satz 1 werden durch das Bundesamt auf dessen Internetseite veröffentlicht.
        • Das Bundesamt informiert die zuständigen Aufsichtsbehörden des Bundes unver- züglich über die bei ihm eingegangenen Meldungen.

         

         

        • 33

        Registrierungspflicht

        • Besonders wichtige Einrichtungen und wichtige Einrichtungen sowie Domain- Name-Registry-Diensteanbieter sind verpflichtet, spätestens drei Monate, nachdem sie erstmals oder erneut als eine der vorgenannten Einrichtungen gelten oder Domain-Name- Registry-Dienste anbieten, dem Bundesamt über eine gemeinsam vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Registrie- rungsmöglichkeit folgenden Angaben zu übermitteln:
        1. Name der Einrichtung, einschließlich der Rechtsform und soweit einschlägig der Han- delsregisternummer;
        2. Anschrift und aktuelle Kontaktdaten, einschließlich E-Mail-Adresse, öffentliche IP-Ad- ressbereiche und Telefonnummern;
        3. relevanter in Anlage 1 oder 2 genannter Sektor oder soweit einschlägig Branche,

         

        1. Auflistung derjenigen Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste der in Anlage 1 oder 2 genannten Einrichtungsarten erbringen, und
        2. die für die Tätigkeiten, aufgrund derer die Registrierung erfolgt, zuständigen Aufsichts- behörden des Bundes und der Länder.
        • Betreiber kritischer Anlagen übermitteln mit den Angaben nach Absatz 1 die kriti- sche Dienstleistung, die öffentlichen IP-Adressbereiche der von ihnen betriebenen Anlagen sowie die für die von ihnen betriebenen kritischen Anlagen ermittelte Anlagenkategorie und ermittelte Versorgungskennzahlen gemäß der Rechtsverordnung nach 58 Absatz 4 sowie den Standort der Anlagen und eine Kontaktstelle. Die Betreiber stellen sicher, dass sie über ihre in Satz 1 genannte Kontaktstelle jederzeit erreichbar sind.
        • Die Registrierung von besonders wichtigen Einrichtungen und wichtigen Einrich- tungen und Domain-Name-Registry-Diensteanbieter kann das Bundesamt im Einverneh- men mit den jeweils zuständigen Aufsichtsbehörden auch selbst vornehmen, wenn ihre Pflicht zur Registrierung nicht erfüllt wird.
        • Rechtfertigen Tatsachen die Annahme, dass eine Einrichtung ihre Pflicht zur Re- gistrierung nach Absatz 1 oder 2 nicht erfüllt, so hat diese dem Bundesamt auf Verlangen die aus Sicht des Bundesamtes für die Bewertung erforderlichen Aufzeichnungen, Schrift- stücke und sonstigen Unterlagen in geeigneter Weise vorzulegen und Auskunft zu erteilen, soweit nicht Geheimschutzinteressen oder überwiegende Sicherheitsinteressen entgegen-
        • Bei Änderungen der nach Absatz 1 oder 2 zu übermittelnden Angaben sind dem Bundesamt geänderte Versorgungskennzahlen einmal jährlich zu übermitteln und alle an- deren Angaben unverzüglich, spätestens jedoch zwei Wochen ab dem Zeitpunkt, zu dem die Einrichtung Kenntnis von der Änderung erhalten hat, zu übermitteln.
        • Das Bundesamt legt die Einzelheiten zur Ausgestaltung des Registrierungsverfah- rens im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe fest. Die Festlegung nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der Internet- seite des Bundesamts.

         

         

        • 34

        Besondere Registrierungspflicht für bestimmte Einrichtungsarten

        • Eine Einrichtung der in 64 Absatz 1 Satz 1 genannten Einrichtungsart ist ver- pflichtet, bis zum 17. Januar 2025 dem Bundesamt die folgenden Angaben zu übermitteln:
        1. Name der Einrichtung;
        2. einschlägiger Sektor, Branche und Einrichtungsart wie in Anlage 1 bestimmt;
        3. Anschrift der Hauptniederlassung in der Europäischen Union nach 64 Absatz 2 und ihrer sonstigen Niederlassungen in der Europäischen Union oder, falls er nicht in der Europäischen Union niedergelassen ist, Anschrift seines nach § 64 Absatz 3 benann- ten Vertreters;
        4. aktuelle Kontaktdaten, einschließlich E-Mail-Adressen und Telefonnummern der Ein- richtung und soweit erforderlich, ihres nach 64 Absatz 3 benannten Vertreters;
        5. die Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste erbringt, und

         

        1. die öffentlichen IP-Adressbereiche der
        • Im Fall einer Änderung der gemäß Absatz 1 übermittelten Angaben unterrichten die Einrichtungen der in 64 Absatz 1 Satz 1 genannten Einrichtungsart das Bundesamt unverzüglich über diese Änderung, jedoch spätestens innerhalb von drei Monaten ab dem Tag, an dem die Änderung eingetreten ist.
        • Mit Ausnahme der in Absatz 1 Nummer 6 genannten Angaben leitet das Bundes- amt die nach diesem 34 übermittelten Angaben an die ENISA weiter.
        • Das Bundesamt    kann    für    die    Übermittlung    der    Angaben    nach    den Absätzen 1 und 2 einen geeigneten Meldeweg vorsehen.

         

         

        • 35

        Unterrichtungspflichten

        • Im Fall eines erheblichen Sicherheitsvorfalls kann das Bundesamt besonders wichtige Einrichtungen und wichtige Einrichtungen anweisen, die Empfänger ihrer Dienste unverzüglich über diesen erheblichen Sicherheitsvorfall zu unterrichten, der die Erbringung des jeweiligen Dienstes beeinträchtigen könnten. Das Bundesamt setzt die für die Einrich- tung zuständige Aufsichtsbehörde des Bundes über Anweisungen nach Satz 1 in Die Unterrichtung nach Satz 1 kann, auch durch eine Veröffentlichung auf der Internetseite der Einrichtung erfolgen.
        • Einrichtungen nach Absatz 1 aus den Sektoren Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten und Digitale Dienste teilen den potenziell von einer erheblichen Cyberbedrohung betroffenen Empfän- gern ihrer Dienste und dem Bundesamt unverzüglich alle Maßnahmen oder Abhilfemaß- nahmen mit, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können. Die Einrichtungen informieren diese Empfänger auch über die erhebliche Cyberbedrohung selbst. Die Unterrichtungspflicht gilt nur dann, wenn in Abwägung der Interessen der Ein- richtung und des Empfängers die Interessen des Empfängers überwiegen.

         

         

        • 36

        Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen

        • Im Fall einer Meldung einer Einrichtung gemäß 32 übermittelt das Bundesamt dieser unverzüglich und nach Möglichkeit innerhalb von 24 Stunden eine Bestätigung über den Eingang der Meldung und, auf Ersuchen der Einrichtung, Orientierungshilfen oder ope- rative Beratung zu Abhilfemaßnahmen. Das Bundesamt kann auf Ersuchen der betreffen- den Einrichtung zusätzliche technische Unterstützung leisten.
        • Ist eine Sensibilisierung der Öffentlichkeit erforderlich, um einen erheblichen Si- cherheitsvorfall zu verhindern oder zu bewältigen, oder liegt die Offenlegung des erhebli- chen Sicherheitsvorfalls anderweitig im öffentlichen Interesse, so kann das Bundesamt nach Anhörung der betreffenden Einrichtung die Öffentlichkeit über den erheblichen Sicher- heitsvorfall informieren oder die Einrichtung verpflichten, dies zu tun. Handelt es sich bei der betreffenden Einrichtung um eine Einrichtung der Bundesverwaltung, gilt für die Infor- mation der Öffentlichkeit 4 Absatz 3 entsprechend.

         

        • 37

        Ausnahmebescheid

        • Das Bundesministerium des Innern und für Heimat kann auf Vorschlag des Bun- deskanzleramts, des Bundesministeriums der Justiz, des Bundesministeriums für Verteidi- gung, des Bundesministeriums für Finanzen, der Ministerien für Inneres und Justiz der Län- der oder auf eigenes Betreiben besonders wichtige Einrichtungen oder wichtige Einrichtun- gen von Verpflichtungen nach diesem Gesetz nach Maßgabe des Absatzes 2 teilweise be- freien (einfacher Ausnahmebescheid) oder nach Maßgabe des Absatzes 3 insgesamt be- freien (erweiterter Ausnahmebescheid), sofern die Einrichtung Vorgaben einhält, die den Verpflichtungen nach diesem Gesetz gleichwertig sind. Die Entscheidung nach Satz 1 er- folgt mit dem jeweils zuständigen Ministerium im Einvernehmen, im Fall der Ministerien für Inneres und Justiz der Länder im Benehmen.
        • Einrichtungen, die
        1. in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Straf- verfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, (relevante Bereiche) tätig sind oder Dienste erbringen oder
        2. ausschließlich für Behörden, die Aufgaben in relevanten Bereichen erfüllen, tätig sind oder Dienste erbringen,

        können für diese Tätigkeiten oder Dienste von den Risikomanagementmaßnahmen nach

        • 30 und Meldepflichten nach § 32 befreit werden. Die Sicherheit in der Informationstechnik dieser Einrichtungen muss in diesen Fällen anderweitig gewährleistet sein und beaufsichtigt werden.
        • Einrichtungen, die ausschließlich in relevanten Bereichen tätig sind oder Dienste erbringen, können insgesamt von den in Absatz 2 genannten Pflichten und von den Regist- rierungspflichten nach 33 und § 34 befreit werden. Absatz 2 Satz 2 gilt entsprechend.
        • Die Absätze 1 bis 3 gelten nicht, wenn die betreffende Einrichtung ein Vertrauens- diensteanbieter ist.
        • Ein Ausnahmebescheid nach diesem Gesetz ist zu widerrufen, wenn nachträglich Tatsachen eintreten, die zur Ablehnung einer Erteilung einer Ausnahme hätten führen müs- sen. Abweichend von Satz 1 kann im Falle eines vorübergehenden Wegfalls der Voraus- setzungen des Absatz 2 Nummer 1 oder 2 von einem Widerruf abgesehen werden.

         

         

        • 38

        Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen beson- ders wichtiger Einrichtungen und wichtiger Einrichtungen

        • Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtun- gen sind verpflichtet, die von diesen Einrichtungen nach 30 zu ergreifenden Risikoma- nagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.
        • Ein Verzicht der Einrichtung auf Ersatzansprüche aufgrund einer Verletzung der Pflichten nach Absatz 1 oder ein in einem groben Missverhältnis zu einer bestehenden Un- gewissheit über das Rechtsverhältnis stehender Vergleich der Einrichtung über diese An- sprüche ist unwirksam. Dies gilt nicht, wenn der Ersatzpflichtige zahlungsunfähig ist und

         

        sich zur Abwendung des Insolvenzverfahrens mit seinen Gläubigern vergleicht oder wenn die Ersatzpflicht in einem Insolvenzplan geregelt wird.

        • Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrich- tungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik und die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste zu er-

         

         

        • 39

        Nachweispflichten für Betreiber kritischer Anlagen

        • Betreiber kritischer Anlagen haben die Erfüllung der Anforderungen nach
        • 30 Absatz 1 und § 31 zu einem vom Bundesamt im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe festgelegten Zeitpunkt frühestens drei Jahre nachdem sie erstmals oder erneut als ein Betreiber einer kritischen Anlage gelten und an- schließend alle drei Jahre dem Bundesamt auf geeignete Weise nachzuweisen. Der Nach- weis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlan- gen. Es kann bei Sicherheitsmängeln die Vorlage eines geeigneten Mängelbeseitigungs- planes und im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheits- mängel verlangen. Das Bundesamt kann die Vorlage eines geeigneten Nachweises über die erfolgte Mängelbeseitigung verlangen.
        • Das Bundesamt kann zur Ausgestaltung des Verfahrens der Prüfungen und Er- bringung der Nachweise nach Absatz 1 Anforderungen an die Art und Weise der Durchfüh- rung, an die Geeignetheit der zu erbringenden Nachweise sowie nach Anhörung der be- troffenen Betreiber und Einrichtungen und der betroffenen Wirtschaftsverbände fachliche und organisatorische Anforderungen an die prüfenden Stellen im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe festlegen. Die Festlegung nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der Internetseite des Bundesamtes.
        • Abweichend von Absatz 1 Satz 1 legt das Bundesamt für Betreiber kritischer An- lagen, die bis zum Inkrafttreten dieses Gesetzes Betreiber Kritischer Infrastrukturen nach 2 Absatz 10 BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert worden ist, waren, den Zeitpunkt der Nachweiserbringung auf frühestens drei Jahre nach Erbringung des letzten Nachweises nach § 8a Absatz 3 BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert worden ist, fest.

         

         

        • 40

        Nationale Verbindungsstelle sowie zentrale Melde- und Anlaufstelle für besonders wichtige und wichtige Einrichtungen

        • Das Bundesamt ist die nationale Verbindungsstelle, sowie die zentrale Melde- und Anlaufstelle für die Aufsicht für besonders wichtige Einrichtungen und wichtige Einrichtun- gen in der Sicherheit in der Informationstechnik.

         

        • Zur Wahrnehmung seiner Aufgabe als nationale Verbindungsstelle koordiniert das Bundesamt
        1. die grenzüberschreitende Zusammenarbeit der Länderbehörden, die die Länder als zu- ständige Behörden für die Aufsicht von Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene nach Artikel 2 Absatz 2 Buchstabe f Nummer ii der NIS-2-Richtlinie bestimmt haben, sowie der Bundesnetzagentur und der Bundesanstalt für Finanz- dienstleistungsaufsicht mit den für die Überwachung der Anwendung der NIS-2-Richt- linie zuständigen Behörden anderer Mitgliedstaaten und gegebenenfalls mit der Euro- päischen Kommission und der ENISA;
        2. sowie die sektorübergreifende Zusammenarbeit der in Nummer 1 genannten Länder- behörden, des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe, der Bun- desnetzagentur und der Bundesanstalt für Finanzdienstleistungsaufsicht.
        • Zur Wahrnehmung seiner Aufgabe als zentrale Meldestelle hat das Bundesamt
        1. die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentli- chen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Schwachstellen, zu Schadprogrammen und zu Angriffen,
        2. die Relevanz dieser Informationen nach Nummer 1 für die Verfügbarkeit kritischer Dienstleistungen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu analysieren,
        3. das Lagebild bezüglich der Sicherheit in der Informationstechnik von kritischen Anla- gen, besonders wichtigen Einrichtungen und wichtigen Einrichtungen kontinuierlich zu aktualisieren und
        4. unverzüglich
          1. die Betreiber kritischer Anlagen über sie betreffende Informationen nach den Nummern 1 bis 3 nach 33 Absatz 1 Nummer 2 zu unterrichten und unter Berück- sichtigung der Interessen nationaler Sicherheit und Verteidigung
          2. die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 5 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben, zu unterrichten und
          3. das Auswärtige Amt über nach 32 Absatz 1 gemeldete erhebliche Sicherheits- vorfälle mit internationalem Bezug, zu unterrichten und
        5. im Rahmen vorab zwischen dem Bundesamt und den Empfängern abgestimmter Pro- zesse zur Weitergabe und Wahrung der notwendigen Vertraulichkeit den zuständigen Behörden des Bundes und der Länder Informationen zu besonders wichtigen Einrich- tungen zur Verfügung zu stellen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich
        • Zur Wahrnehmung seiner Aufgabe als zentrale Anlaufstelle hat das Bundesamt
        1. Anfragen der in Absatz 2 genannten Stellen anzunehmen und an die zuständigen in Absatz 2 genannten Stellen weiterzuleiten,
        2. Antworten auf die in Absatz 2 Nummer 2 genannten Anfragen zu erstellen und dabei die in Absatz 1 genannten Stellen zu beteiligen oder Antworten der in Absatz 2 genann- ten Stellen an die in Absatz 2 genannten Stellen weiterzuleiten, nach 32 eingegan- gene Meldungen an zentrale Anlaufstellen der anderen betroffenen Mitgliedstaaten der Europäischen Union weiterzuleiten,

         

        1. wenn ein erheblicher Sicherheitsvorfall zwei oder mehr Mitgliedstaaten der Europäi- schen Union betrifft, die anderen betroffenen Mitgliedstaaten und die ENISA über den erheblichen Sicherheitsvorfall zu unterrichten, wobei die Art der gemäß 32 Absatz 2 erhaltenen Informationen mitzuteilen und das wirtschaftliche Interesse der Einrichtung sowie die Vertraulichkeit der bereitgestellten Informationen zu gewahren ist.
        • Während eines erheblichen Sicherheitsvorfalls gemäß 32 Absatz 1 kann das Bundesamt im Einvernehmen mit der jeweils zuständigen Aufsichtsbehörde des Bundes von den betroffenen Betreibern kritischer Anlagen die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen. Betreiber kritischer Anlagen sind befugt, dem Bundesamt auf Verlangen die zur Bewälti- gung der Störung notwendigen Informationen einschließlich personenbezogener Daten zu übermitteln, soweit dies zur Bewältigung eines erheblichen Sicherheitsvorfalls erforderlich ist.
        • Soweit im Rahmen dieser Vorschrift personenbezogene Daten verarbeitet werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung zu anderen Zwecken unzulässig. 8 Absatz 8 Satz 3 bis 9 ist entsprechend anzuwenden.

         

         

        • 41

        Untersagung des Einsatzes kritischer Komponenten

        • Ein Betreiber kritischer Anlagen hat den geplanten erstmaligen Einsatz einer kriti- schen Komponente gemäß 2 Absatz 1 Nummer 22 dem Bundesministerium des Innern und für Heimat vor ihrem Einsatz anzuzeigen. In der Anzeige sind die kritische Komponente und die geplante Art ihres Einsatzes anzugeben. Satz 1 gilt für einen Betreiber kritischer Anlagen nicht, wenn dieser den Einsatz einer anderen kritischen Komponente desselben Typs für dieselbe Art des Einsatzes bereits nach Satz 1 angezeigt hat und ihm dieser nicht untersagt wurde.
        • Das Bundesministerium des Innern und für Heimat kann den geplanten erstmali- gen Einsatz einer kritischen Komponente gegenüber dem Betreiber kritischer Anlagen im Benehmen mit den in 58 Absatz 4 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt bis zum Ablauf von zwei Monaten nach Eingang der Anzeige nach Ab- satz 1 untersagen oder Anordnungen erlassen, wenn der Einsatz die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt. Bei der Prü- fung einer voraussichtlichen Beeinträchtigung der öffentlichen Ordnung oder Sicherheit kann insbesondere berücksichtigt werden, ob
        1. der Hersteller unmittelbar oder mittelbar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert wird,
        2. der Hersteller bereits an Aktivitäten beteiligt war oder ist, die nachteilige Auswirkungen auf die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland oder eines anderen Mitgliedstaates der Europäischen Union, der Europäischen Freihandelsasso- ziation oder des Nordatlantikvertrages oder auf deren Einrichtungen hatten, oder
        3. der Einsatz der kritischen Komponente im Einklang mit den sicherheitspolitischen Zie- len der Bundesrepublik Deutschland, der Europäischen Union oder des Nordatlantik- vertrages steht.

        Vor Ablauf der Frist von zwei Monaten nach Anzeige nach Absatz 1 ist der Einsatz nicht gestattet. Das Bundesministerium des Innern und für Heimat kann die Frist gegenüber der Einrichtung um weitere zwei Monate verlängern, wenn die Prüfung besondere Schwierig- keiten tatsächlicher oder rechtlicher Art aufweist.

         

        • Kritische Komponenten gemäß 2 Absatz 1 Nummer 22 dürfen nur eingesetzt werden, wenn der Hersteller eine Erklärung über seine Vertrauenswürdigkeit (Garantieer- klärung) gegenüber dem Betreiber der kritischen Anlage abgegeben hat. Die Garantieer- klärung ist der Anzeige nach Absatz 1 beizufügen. Aus der Garantieerklärung muss hervor- gehen, wie der Hersteller sicherstellt, dass die kritische Komponente nicht über technische Eigenschaften verfügt, die spezifisch geeignet sind, missbräuchlich, insbesondere zum Zwecke von Sabotage, Spionage oder Terrorismus auf die Sicherheit, Vertraulichkeit, In- tegrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage einwirken zu können. Das Bundesministerium des Innern und für Heimat legt die Einzelheiten der Mindestanfor- derungen an die Garantieerklärung im Einvernehmen mit den in § 58 Absatz 4 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt durch Allgemeinverfügung fest, die im Bundesanzeiger bekannt zu machen ist. Die Einzelheiten der Mindestanforderungen an die Garantieerklärung müssen aus den Schutzzielen der Sicherheit, Vertraulichkeit, In- tegrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage folgen und die Vermei- dung von Gefahren für die öffentliche Sicherheit und Ordnung, insbesondere im Sinne von Absatz 2 Satz 2, adressieren, die aus der Sphäre des Herstellers der kritischen Kompo- nente, insbesondere dessen Organisationsstruktur, stammen. Die Sätze 1 und 2 gelten erst ab der Bekanntmachung der Allgemeinverfügung nach Satz 4 und nicht für bereits vor die- sem Zeitpunkt eingesetzte kritische Komponenten. Soweit Änderungen der Allgemeinver- fügung erfolgen, sind diese für bereits nach diesem Absatz abgegebene Garantieerklärun- gen unbeachtlich.
        • Das Bundesministerium des Innern und für Heimat kann den weiteren Einsatz ei- ner kritischen Komponente gegenüber dem Betreiber kritischer Anlagen im Einvernehmen mit den in 58 Absatz 4 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt untersagen oder Anordnungen erlassen, wenn der weitere Einsatz die öffentliche Ord- nung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt, ins- besondere, wenn der Hersteller der kritischen Komponente nicht vertrauenswürdig ist. Absatz 2 Satz 2 gilt entsprechend.
        • Ein Hersteller einer kritischen Komponente kann insbesondere dann nicht vertrau- enswürdig sein, wenn hinreichende Anhaltspunkte dafür bestehen, dass
        1. er gegen die in der Garantieerklärung eingegangen Verpflichtungen verstoßen hat,
        2. in der Garantieerklärung angegebene Tatsachenbehauptungen unwahr sind,
        3. er Sicherheitsüberprüfungen und Penetrationsanalysen an seinem Produkt und in der Produktionsumgebung nicht im erforderlichen Umfang in angemessener Weise unter- stützt,
        4. Schwachstellen oder Manipulationen nicht unverzüglich, nachdem er davon Kenntnis erlangt, beseitigt und dem Betreiber kritischer Anlagen meldet,
        5. die kritische Komponente auf Grund von Mängeln ein erhöhtes Gefährdungspotenzial aufweist oder aufgewiesen hat, missbräuchlich auf die Sicherheit, Vertraulichkeit, In- tegrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage einwirken zu kön- nen oder
        6. die kritische Komponente über technische Eigenschaften verfügt oder verfügt hat, die spezifisch geeignet sind oder waren, missbräuchlich auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage einwirken zu können.
        • Wurde nach Absatz 4 der weitere Einsatz einer kritischen Komponente untersagt, kann das Bundesministerium des Innern und für Heimat im Einvernehmen mit den in
        • 58 Absatz 4 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt

         

        1. den geplanten Einsatz weiterer kritischer Komponenten desselben Typs und desselben Herstellers untersagen und
        2. den weiteren Einsatz kritischer Komponenten desselben Typs und desselben Herstel- lers unter Einräumung einer angemessenen Frist untersagen.
        • Bei schwerwiegenden Fällen nicht vorliegender Vertrauenswürdigkeit nach Ab- satz 5 kann das Bundesministerium des Innern und für Heimat den Einsatz aller kritischen Komponenten des Herstellers im Einvernehmen mit den in 58 Absatz 4 aufgeführten je- weils betroffenen Ressorts sowie dem Auswärtigen Amt untersagen.

         

         

        • 42

        Auskunftsverlangen

        Zugang zu den Informationen und Akten in Angelegenheiten nach Teil 2 §§ 4 bis 10 und Teil 3 dieses Gesetzes wird nicht gewährt. Die Akteneinsichtsrechte von Verfahrens- beteiligten bleiben unberührt.

         

         

        Kapitel 3

        Informationssicherheit der Einrichtungen der Bundesverwaltung

         

         

        • 43

        Informationssicherheitsmanagement

        • Die Einrichtungsleitung ist dafür verantwortlich, unter Berücksichtigung der Be- lange des IT-Betriebs die Voraussetzungen zur Gewährleistung der Informationssicherheit zu schaffen. [Hierfür sind bedarfsgerechte finanzielle, personelle und Sachmittel einzuset- ]
        • Die Einrichtungsleitung nimmt regelmäßig an Schulungen teil, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Manage- mentpraktiken im Bereich der Informationssicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.
        • Soweit mit Leistungen für Informationstechnik des Bundes privatrechtlich organi- sierte Stellen beauftragt werden, ist vertraglich sicherzustellen, dass diese sich zur Einhal- tung der Voraussetzungen zur Gewährleistung der Informationssicherheit Dies gilt auch für den Fall, dass Schnittstellen zur Kommunikationstechnik des Bundes einge- richtet werden. Die Pflichten der Einrichtungsleitung nach Absatz 1 bleiben hiervon unbe- rührt.
        • Die Registrierung von Einrichtungen der Bundesverwaltung nach § 33 obliegt der Einrichtungsleitung. Die Einrichtungen der Bundesverwaltung weisen die Erfüllung der An- forderungen nach Absatz 1 spätestens vier Jahre nach Inkrafttreten dieses Gesetzes und anschließend regelmäßig dem Bundesamt nach dessen Vorgaben nach.
        • Werden, über die sich aus 32 ergebenden Meldepflichten hinaus, Einrichtungen der Bundesverwaltung Informationen nach § 4 Absatz 2 Nummer 1 bekannt, die für die Er- füllung von Aufgaben oder die Sicherheit der Kommunikationstechnik des Bundes von Be- deutung sind, unterrichten diese das Bundesamt hierüber unverzüglich, soweit andere

         

        Vorschriften dem nicht entgegenstehen. Ausgenommen von den Meldepflichten für Einrich- tungen der Bundesverwaltung nach § 32 sowie nach Satz 1 dieses Absatzes sind Informa- tionen, die aufgrund von Regelungen zum Geheimschutz oder Vereinbarungen mit Dritten nicht weitergegeben werden dürfen oder deren Weitergabe im Widerspruch zu der verfas- sungsrechtlichen Stellung eines Abgeordneten des Bundestages oder eines Verfassungs- organs oder der gesetzlich geregelten Unabhängigkeit einzelner Stellen stünde. Die Ein- richtungen der Bundesverwaltung melden dem Bundesamt kalenderjährlich jeweils bis zum

        1. Januar eines Jahres die Gesamtzahl der nach Satz 2 nicht übermittelten Informationen.
        • Das Bundesministerium des Innern und für Heimat erlässt im Einvernehmen mit den Ressorts allgemeine Verwaltungsvorschriften zur Durchführung des Absatzes 5.

         

         

        • 44

        Vorgaben des Bundesamtes

        • Das Bundesamt legt durch den IT-Grundschutz und durch Mindeststandards für die Sicherheit in der Informationstechnik des Bundes in der jeweils gültigen Fassung die Mindestanforderungen für Einrichtungen der Bundesverwaltung fest. Die Vorgaben nach Satz 1 werden durch das Bundesamt regelmäßig evaluiert und entsprechend dem Stand der Technik sowie unter Berücksichtigung der Erfahrungen aus der Praxis fortentwickelt. Die Mindeststandards legt das Bundesamt im Benehmen mit den Ressorts und weiteren obersten Bundesbehörden Durch die Umsetzung der in Satz 1 genannten Anforderun- gen ist die Erfüllung der Vorgaben nach § 30 gewährleistet, soweit nicht die Europäische Kommission einen Durchführungsrechtsakt gemäß Artikel 21 Absatz 5 Unterabsatz 2 der NIS-2-Richtlinie erlässt, in dem die technischen und methodischen Anforderungen über die Anforderungen aus Satz 1 hinausgehen. Bei der Umsetzung muss berücksichtigt werden, ob Einrichtungen der Bundesverwaltung gleichzeitig Betreiber kritischer Anlagen sind. Das Bundesamt berät die Einrichtungen der Bundesverwaltung auf Ersuchen bei der Umset- zung und Einhaltung dieser Anforderungen, stellt Hilfsmittel zur Verfügung und unterstützt die Bereitstellung entsprechender Lösungen durch die IT-Dienstleister des Bundes über den gesamten Lebenszyklus. Insbesondere berücksichtigt es die Erfahrungen aus dieser Mitwirkung bei der Fortschreibung der Vorschriften nach Satz 1.
        • Das Bundesamt stellt im Rahmen seiner Aufgaben nach 3 Absatz 1 Satz 2 Num- mer 10 technische Richtlinien und Referenzarchitekturen bereit, die von den Einrichtungen der Bundesverwaltung als Rahmen für die Entwicklung sachgerechter Anforderungen an Auftragnehmer (Eignung) und IT-Produkte (Spezifikation) für die Durchführung von Verga- beverfahren berücksichtigt werden. Die Vorschriften des Vergaberechts und des Geheim- schutzes bleiben unberührt.
        • Für die Einrichtungen der Bundesverwaltung kann der Koordinator oder die Koor- dinatorin für Informationssicherheit im Einvernehmen mit den Ressorts festlegen, dass sie verpflichtet sind, nach 19 bereitgestellte IT-Sicherheitsprodukte beim Bundesamt abzuru- fen. Eigenbeschaffungen sind in diesem Fall nur zulässig, wenn das spezifische Anforde- rungsprofil den Einsatz abweichender Produkte erfordert. Dies gilt nicht für die in
        • 2 Absatz 1 Nummer 20 genannten Gerichte und Verfassungsorgane sowie die Aus- landsinformations- und -kommunikationstechnik gemäß § 7 Absatz 5.

         

        • 45

        Informationssicherheitsbeauftragte der Einrichtungen der Bundesverwaltung

        • Die Leitungen von Einrichtungen der Bundesverwaltung bestellen jeweils eine In- formationssicherheitsbeauftragte oder einen Informationssicherheitsbeauftragten sowie mindestens eine zur Vertretung berechtigte Person.
        • [Für die Erfüllung ihrer Aufgaben sind bedarfsgerechte finanzielle, personelle und Sachmittel zur Verfügung zu stellen, die sie zur Erfüllung ihrer Aufgaben eigenständig ver- walten]. Die Informationssicherheitsbeauftragen der Einrichtungen müssen die zur Erfül- lung ihrer Aufgaben erforderliche Fachkunde erwerben. Sie sowie ihre Vertreter unterste- hen der Fachaufsicht des oder der jeweils zuständigen Informationssicherheitsbeauftragten des Ressorts.
        • Die Informationssicherheitsbeauftragten sind für den Aufbau und die Aufrechter- haltung des Informationssicherheitsprozesses der Einrichtung zuständig. Sie erstellen ein Informationssicherheitskonzept, welches mindestens die Vorgaben des Bundesamtes nach
        • 44 Absatz 1 erfüllt. Sie wirken auf die operative Umsetzung des Informationssicherheits- konzepts hin und kontrollieren diese innerhalb der Einrichtung. Die Informationssicherheits- beauftragen beraten die Einrichtungsleitung in allen Fragen der Informationssicherheit und unterrichten die Einrichtungsleitung sowie den oder die jeweils zuständige Informationssi- cherheitsbeauftragte des Ressorts regelmäßig sowie anlassbezogen über ihre Tätigkeit, über den Stand der Informationssicherheit innerhalb der Einrichtung, über die angemes- sene Mittel- und Personalausstattung sowie über Sicherheitsvorfälle.
        • Die Informationssicherheitsbeauftragten der Einrichtungen sind bei allen Maßnah- men zu beteiligen, die die Informationssicherheit der Einrichtung betreffen. Sie haben ein unmittelbares Vortragsrecht bei der jeweiligen Einrichtungsleitung sowie bei dem oder der Informationssicherheitsbeauftragten des jeweils zuständigen Ressorts.

         

         

        • 46

        Informationssicherheitsbeauftragte der Ressorts

        • Die Ressortleitungen sowie die Leitungen weiterer oberster Bundesbehörden mit Geschäftsbereich bestellen jeweils eine Informationssicherheitsbeauftragte oder einen In- formationssicherheitsbeauftragten des Ressorts, der oder dem unter Berücksichtigung der Belange des IT-Betriebs die Steuerung und Überwachung des Informationssicherheitsma- nagements innerhalb des Ressorts innerhalb der obersten Bundesbehörde und ihres Geschäftsbereichs obliegt, sowie mindestens eine zur Vertretung berechtigte Person. Er oder sie wirkt auf eine angemessene Umsetzung der Informationssicherheit in ihrem oder seinem Ressort hin.
        • [Für die Erfüllung seiner oder ihrer Aufgaben sind bedarfsgerechte finanzielle, per- sonelle und Sachmittel zur Verfügung zu stellen, die der oder die Informationssicherheits- beauftragte des Ressorts zur Erfüllung seiner oder ihrer Aufgaben eigenständig ] Der oder die Informationssicherheitsbeauftragte des Ressorts muss die zur Erfüllung seiner oder ihrer Aufgaben erforderliche Fachkunde besitzen.
        • Der oder die Informationssicherheitsbeauftragte koordiniert jeweils die Fortschrei- bung von Informationssicherheitsleitlinien für sein oder ihr Er oder sie unterrichtet die Ressortleitung über seine oder ihre Tätigkeit und über den Stand der Informationssi- cherheit innerhalb des Ressorts, über die angemessene Mittel- und Personalausstattung sowie über Sicherheitsvorfälle. In begründeten Einzelfällen kann der Informationssicher- heitsbeauftragte des Ressorts im Benehmen mit dem oder der jeweiligen IT-Beauftragten

         

        des Ressorts den Einsatz bestimmter IT-Produkte in Einrichtungen der Bundesverwaltung innerhalb des jeweiligen Ressorts ganz oder teilweise untersagen. Über eine Untersagung ist der Koordinator oder die Koordinatorin für Informationssicherheit zu unterrichten.

        • Der oder die Informationssicherheitsbeauftragte des Ressorts kann im Benehmen mit dem Koordinator oder der Koordinatorin für Informationssicherheit Einrichtungen der Bundesverwaltung innerhalb des Ressorts von Verpflichtungen nach diesem Teil teilweise oder insgesamt durch Erteilung eines Ausnahmebescheides Voraussetzung hier- für ist, dass sachliche Gründe für die Erteilung einer Ausnahme vorliegen und durch die Befreiung keine nachteiligen Auswirkungen für die Informationssicherheit des Bundes zu befürchten sind. Über erteilte Ausnahmebescheide ist das Bundesamt zu unterrichten. Satz 1 gilt nicht, wenn die jeweilige Einrichtung der Bundesverwaltung die Voraussetzungen des
        • 28 Absatz 1 Satz 1 oder § 28 Absatz 2 Satz 1 erfüllt.
        • Der oder die Informationssicherheitsbeauftragte des Ressorts ist bei allen Geset- zes-, Verordnungs- und sonstigen wichtigen Vorhaben innerhalb des Ressorts zu beteili- gen, soweit diese Fragen der Informationssicherheit berühren. Er oder sie hat ein unmittel- bares Vortragsrecht bei der jeweiligen Ressortleitung sowie bei dem Koordinator oder der Koordinatorin für Informationssicherheit.

         

         

        • 47

        Wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes

        • Für die Planung und Umsetzung von wesentlichen Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes sind eigene Informationssicherheitsbeauf- tragte nach 45 zu bestellen. Digitalisierungsvorhaben oder Kommunikationsinfrastruktu- ren des Bundes sind insbesondere dann wesentlich, wenn dabei Kommunikationstechnik des Bundes ressortübergreifend betrieben wird oder der ressortübergreifenden Kommuni- kation oder dem ressortübergreifenden Datenaustausch dient. Soweit bei ressortübergrei- fenden Digitalisierungsvorhaben oder Kommunikationsinfrastrukturen eine Bestellung durch Einrichtungen in verschiedenen beteiligten Ressorts und weiteren obersten Bundes- behörden in Betracht kommt und Einvernehmen darüber nicht innerhalb einer angemesse- nen Frist hergestellt werden kann, entscheidet der Koordinator oder die Koordinatorin für Informationssicherheit, durch welche Einrichtung die Bestellung erfolgt. Die Informationssi- cherheitsbeauftragten nach Satz 1 unterstehen in einer obersten Bundesbehörde der Ein- richtungsleitung und in einer nachgeordneten Behörde der Fachaufsicht des oder der je- weils zuständigen Informationssicherheitsbeauftragten des Ressorts.
        • [Zur Gewährleistung der Informationssicherheit bei der Planung und Umsetzung von wesentlichen Digitalisierungsvorhaben sind bedarfsgerechte Mittel für die Informations- sicherheit einzusetzen.] Die jeweils verantwortliche Einrichtung soll das Bundesamt früh- zeitig beteiligen und dem Bundesamt Gelegenheit zur Stellungnahme geben.

         

         

        • 48

        Amt des Koordinators für Informationssicherheit

        Die Bundesregierung bestellt eine Koordinatorin oder einen Koordinator für Informati- onssicherheit.

         

        • 49

        Aufgaben des Koordinators

        Dem Koordinator oder der Koordinatorin für Informationssicherheit obliegt die zentrale Koordinierung des Informationssicherheitsmanagements des Bundes. Zu diesem Zweck erhält er unter Berücksichtigung der Ergebnisse der Kontrollen nach § 7 einen Überblick über die Informationssicherheitslage in der Bundesverwaltung. Er oder sie koordiniert die Erstellung und Aktualisierung von Informationssicherheitsleitlinien des Bundes und unter- stützt die Ressorts bei der Umsetzung der Vorgaben zur Informationssicherheit. Dabei wirkt er oder sie auf ein angemessenes Verhältnis zwischen dem Einsatz von Informationstech- nik und Informationssicherheit hin. Bei der Fortschreibung der Informationssicherheitsleitli- nien des Bundes berücksichtigt er oder sie die Erfahrungen aus der Unterstützung der Res- sorts.

         

         

        • 50

        Befugnisse des Koordinators

        • Zur Wahrnehmung der Aufgaben nach 49 informieren die Ressorts den Koordi- nator oder die Koordinatorin für Informationssicherheit über alle Gesetzes-, Verordnungs- und sonstigen wichtigen Vorhaben, soweit sie Fragen der Informationssicherheit berühren. Er oder sie kann der Bundesregierung Vorschläge machen und Stellungnahmen zuleiten. Die Ressorts unterstützen den Koordinator oder die Koordinatorin bei der Erfüllung seiner oder ihrer Aufgaben.
        • Zur Wahrnehmung seiner oder ihrer Aufgaben hat der Koordinator oder die Koor- dinatorin ein direktes Vortragsrecht vor dem Ausschuss für Inneres und Heimat und dem Haushaltsausschuss des Deutschen Bundestages zu allen Themen der Informationssicher- heit in Einrichtungen der Bundesverwaltung.
        • Der Koordinator oder die Koordinatorin kann im Benehmen mit dem oder der In- formationssicherheitsbeauftragten des jeweils zuständigen Ressorts Einrichtungen anwei- sen, innerhalb von drei Monaten nach der Vorlage der Ergebnisse von Kontrollen gemäß
        • 7 ein Sofortprogramm vorzulegen, welches die Einhaltung der Anforderungen innerhalb einer angemessenen Umsetzungsfrist sichert.

         

         

        T e i l  4

        D a t e n b a n k e n d e r D o m a i n – N a m e – R e g i s t r i e r u n g s d a – ten

         

         

        • 51

        Pflicht zum Führen einer Datenbank

        • Um einen Beitrag zur Sicherheit, Stabilität und Resilienz des Domain Name Sys- tems zu leisten, sind Top Level Domain Name Registries und Domain-Name-Registry- Dienstleister verpflichtet, genaue und vollständige Domain-Namen-Registrierungsdaten in einer eigenen Datenbank im Einklang mit dem Datenschutzrecht in Bezug auf personenbe- zogene Daten mit der gebotenen Sorgfalt zu sammeln und zu pflegen.

         

        • Die Datenbank hat die erforderlichen Angaben zu enthalten, anhand derer die In- haber der Domain-Namen und die Kontaktstellen, die die Domain-Namen im Rahmen der TLD verwalten, identifiziert und kontaktiert werden können. Diese Angaben müssen Fol- gendes umfassen:
        1. den Domain-Namen;
        2. das Datum der Registrierung;
        3. den Namen des Domain-Inhabers, seine E-Mail-Adresse und Telefonnummer;
        4. die Kontakt-E-Mail-Adresse und die Telefonnummer der Anlaufstelle, die den Domain- Namen verwaltet, falls diese sich von denen des Domain-Inhabers unterscheiden.
        • Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister sind verpflichtet, Vorgaben und Verfahren, einschließlich Überprüfungsverfahren, vorzuhalten, mit denen sichergestellt wird, dass die Datenbank genaue und vollständige Angaben ent- hält. Diese Vorgaben und Verfahren sind öffentlich zugänglich zu machen.
        • Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister sind verpflichtet, unverzüglich nach der Registrierung eines Domain-Namens die nicht perso- nenbezogenen Domain-Namen-Registrierungsdaten öffentlich zugänglich zu machen.

         

         

        • 52

        Verpflichtung zur Zugangsgewährung

        • Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister sind verpflichtet,
        1. einem berechtigten Zugangsnachfrager auf rechtmäßigen und hinreichend begründe- ten Antrag im Einklang mit dem Datenschutzrecht Zugang zu bestimmten Domain-Na- men-Registrierungsdaten zu gewähren und
        2. alle Anträge auf Zugang unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Eingang eines Antrags auf Zugang zu beantworten.
        • Die in Absatz 1 genannten Vorgaben und Verfahren im Hinblick auf die Offenle- gung der Domain-Namen-Registrierungsdaten sind öffentlich zugänglich zu machen. Das Auskunftsverfahren bei Bestandsdaten gemäß § 22 des Telekommunikation-Telemedien- Datenschutz-Gesetzes bleibt unberührt.

         

         

        • 53

        Kooperationspflicht

        Um zu vermeiden, dass die Einhaltung der in § 51 und § 52 festgelegten Verpflichtun- gen zu einer doppelten Erhebung von Domain-Namen-Registrierungsdaten führt, sind Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister insoweit zur Ko- operation verpflichtet.

         

        T e i l  5

        Zertifizier ung und Ke nnze ic hen

         

         

        • 54

        Zertifizierung

        • Das Bundesamt ist nationale Zertifizierungsstelle der Bundesverwaltung für IT-Si-
        • Für bestimmte Produkte oder Leistungen kann beim Bundesamt eine Sicherheits- oder Personenzertifizierung oder eine Zertifizierung als IT-Sicherheitsdienstleister bean- tragt werden. Die Anträge werden in der zeitlichen Reihenfolge ihres Eingangs bearbeitet; hiervon kann abgewichen werden, wenn das Bundesamt wegen der Anzahl und des Um- fangs anhängiger Prüfungsverfahren eine Prüfung in angemessener Zeit nicht durchführen kann und an der Erteilung eines Zertifikats ein öffentliches Interesse besteht. Der Antrag- steller hat dem Bundesamt die Unterlagen vorzulegen und die Auskünfte zu erteilen, deren Kenntnis für die Prüfung und Bewertung des Systems oder der Komponente oder der Eig- nung der Person sowie für die Erteilung des Zertifikats erforderlich ist.
        • Die Prüfung und Bewertung können durch vom Bundesamt anerkannte sachver- ständige Stellen erfolgen.
        • Das Sicherheitszertifikat wird erteilt, wenn
        1. informationstechnische Systeme, Komponenten, Produkte oder Schutzprofile den vom Bundesamt festgelegten Kriterien entsprechen und
        2. das Bundesministerium des Innern und für Heimat die Erteilung des Zertifikats nicht nach Absatz 5 untersagt hat.

        Vor Erteilung des Sicherheitszertifikats legt das Bundesamt den Vorgang dem Bundesmi- nisterium des Innern und für Heimat zur Prüfung nach Absatz 5 vor.

        • Das Bundesministerium des Innern und für Heimat kann eine Zertifikatserteilung nach Absatz 4 im Einzelfall untersagen, wenn überwiegende öffentliche Interessen, insbe- sondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung ent-
        • Für die Zertifizierung von Personen und IT-Sicherheitsdienstleistern gilt Absatz 4
        • Eine Anerkennung nach Absatz 3 wird erteilt, wenn
        1. die sachliche und personelle Ausstattung sowie die fachliche Qualifikation und Zuver- lässigkeit der Konformitätsbewertungsstelle den vom Bundesamt festgelegten Kriterien entsprechen und
        2. das Bundesministerium des Innern und für Heimat festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.

        Das Bundesamt stellt durch die notwendigen Maßnahmen sicher, dass das Fortbestehen der Voraussetzungen nach Satz 1 regelmäßig überprüft wird.

         

        • Sicherheitszertifikate anderer anerkannter Zertifizierungsstellen aus dem Bereich der Europäischen Union werden vom Bundesamt anerkannt, soweit sie eine den Sicher- heitszertifikaten des Bundesamtes gleichwertige Sicherheit ausweisen und die Gleichwer- tigkeit vom Bundesamt festgestellt worden ist.

         

         

        • 55

        Konformitätsbewertung und Konformitätserklärung

        • Das Bundesamt kann für die vom Bundesamt in einer Technischen Richtlinie fest- gelegten Anforderungen und Vorgaben die Durchführung einer Selbstbewertung der Kon- formität unter der alleinigen Verantwortung des Herstellers oder Anbieters von IKT-Produk- ten, -Diensten und -Prozessen, einer Person oder einem IT-Sicherheitsdienstleisters, die keine Verbraucherprodukte nach 57 sind, zulassen. Der Hersteller oder Anbieter von IKT- Produkten, -Diensten und -Prozessen, die Person oder der IT-Sicherheitsdienstleister kann unter den Voraussetzungen von Satz 1 eine Konformitätserklärung ausstellen, die bestätigt, dass die Erfüllung der in der Technischen Richtlinie festgelegten Anforderungen nachge- wiesen wurde. Durch die Ausstellung einer solchen Erklärung übernimmt der Hersteller o- der Anbieter der IKT-Produkte, -Dienste und -Prozesse, die Person oder der IT-Sicherheits- dienstleister (Aussteller) die Verantwortung dafür, dass das IKT-Produkt, der IKT-Dienst, der IKT-Prozess, die Person oder die IT-Sicherheitsdienstleistung der Technischen Richtli- nie festgelegten Anforderungen entspricht.
        • Die Technische Richtlinie nach Absatz 1 kann insbesondere Vorgaben enthalten, über
        1. den Inhalt und das Format der Konformitätserklärung,
        2. Nachweise und Verfahren, die die Angaben der Konformitätserklärung belegen,
        3. die Bedingungen für die Aufrechterhaltung, Fortführung und Verlängerung der Konfor- mitätserklärung,
        4. die Verwendung eines vom Bundesamt bereitgestellten Kennzeichens und Siegel so- wie die Bedingungen für dessen Verwendung,
        5. die Meldung und Behandlung erkannter Cybersicherheitslücken des IKT-Produktes, – Dienstes oder -Prozesses oder der IT-Sicherheitsdienstleistung,
        6. die Bereitstellung von Informationen auf der Internetseite des Bundesamtes über die Konformitätserklärung, dessen Aussteller und das IKT-Produkt, den -Dienst, den -Pro- zess, die Person oder die IT-Sicherheitsdienstleistung oder
        7. die Befristung der Konformitätserklärung.
        • Wird in den Vorgaben nach Absatz 2 festgelegt, dass die Angaben der Konformi- tätserklärung nur durch eine akkreditierte Konformitätsbewertungsstelle belegt werden kann, so kann das Bundesamt auf Antrag Konformitätsbewertungsstellen, die im Anwen- dungsbereich dieses Paragraphen tätig werden, eine Befugnis erteilen, als solche tätig zu werden, wenn die maßgeblichen Voraussetzungen der Technischen Richtlinie erfüllt sind. Ohne eine Befugniserteilung durch das Bundesamt dürfen Konformitätsbewertungsstellen im Anwendungsbereich dieses Paragraphen nicht tätig werden.
        • Der Aussteller hält die Konformitätserklärung, die technische Dokumentation und alle weiteren einschlägigen Informationen in Bezug auf die Konformität der IKT-Produkte, – Dienste, der Person oder der IT-Sicherheitsdienstleistung mit den festgelegten Kriterien

         

        während eines Zeitraums, der vom Bundesamt in der Technischen Richtlinie nach Absatz 1 festgelegt wurde, für das Bundesamt bereit. Eine Kopie der Konformitätserklärung ist dem Bundesamt vorzulegen.

        • Das Bundesamt kann geeignete Maßnahmen ergreifen, um sicherzustellen, dass die Aussteller von Konformitätserklärungen den Anforderungen des Schemas und den Vor- gaben dieses Paragraphen genügen und insbesondere
        1. Aussteller von Konformitätserklärungen auffordern, ihm sämtliche Auskünfte zu ertei- len, die es für die Erfüllung ihrer Aufgaben benötigt,
        2. Untersuchungen in Form von Testkäufen oder Audits bei den Ausstellern von Konfor- mitätserklärungen durchführen, um deren Einhaltung der in der Technischen Richtlinie festgelegten Anforderungen und Vorgaben nach Absatz 1 zu überprüfen und
        3. Konformitätserklärungen nach Absatz 1 für ungültig erklären.
        • Für Maßnahmen nach Absatz 4 kann das Bundesamt Gebühren erheben, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen der Technischen Richtlinie oder dieses Paragraphen begründeten.

         

         

        • 56

        Nationale Behörde für die Cybersicherheitszertifizierung

        • Das Bundesamt ist die nationale Behörde für die Cybersicherheitszertifizierung nach Artikel 58 Absatz 1 der Verordnung (EU) 2019/881.
        • Das Bundesamt kann auf Antrag Konformitätsbewertungsstellen, die im Anwen- dungsbereich der Verordnung (EU) 2019/881 sowie des 54 dieses Gesetzes tätig werden, eine Befugnis erteilen, als solche tätig zu werden, wenn die Voraussetzungen des maßgeb- lichen europäischen Schemas für die Cybersicherheitszertifizierung nach Artikel 54 der Ver- ordnung (EU) 2019/881 oder des § 54 dieses Gesetzes erfüllt sind. Ohne eine Befugniser- teilung durch das Bundesamt dürfen Konformitätsbewertungsstellen im Anwendungsbe- reich der Verordnung (EU) 2019/881 nicht tätig werden.
        • Soweit dies zur Erfüllung seiner Aufgaben nach Artikel 58 Absatz 7 der Verord- nung (EU) 2019/881 und nach 54 dieses Gesetzes erforderlich ist, kann das Bundesamt von Konformitätsbewertungsstellen, denen eine Befugnis nach Absatz 2 erteilt wurde, von Inhabern europäischer Cybersicherheitszertifikate und von Ausstellern von EU-Konformi- tätserklärungen im Sinne von Artikel 56 Absatz 8 der Verordnung (EU) 2019/881 die erfor- derlichen Auskünfte und sonstige Unterstützung, insbesondere die Vorlage von Unterlagen oder Mustern, verlangen. § 3 Absatz 1 Satz 1 und 3 des Akkreditierungsstellengesetzes gilt entsprechend.
        • Das Bundesamt kann Untersuchungen in Form von Auditierungen nach Artikel 58 Absatz 8 Buchstabe b der Verordnung (EU) 2019/881 bei Konformitätsbewertungsstellen, denen eine Befugnis nach Absatz 2 erteilt wurde, bei Inhabern europäischer Cybersicher- heitszertifikate und bei Ausstellern von EU-Konformitätserklärungen im Sinne von Artikel 56 Absatz 8 der Verordnung (EU) 2019/881 durchführen, um die Einhaltung der Bestimmun- gen des Titels III der Verordnung (EU) 2019/881 zu überprüfen. § 3 Absatz 1 Satz 1 bis 3 des Akkreditierungsstellengesetzes gilt entsprechend.
        • Das Bundesamt ist befugt, Betriebsstätten, Geschäfts- und Betriebsräume von Konformitätsbewertungsstellen, denen eine Befugnis nach Absatz 2 erteilt wurde, und von

         

        Inhabern europäischer Cybersicherheitszertifikate im Sinne von Artikel 56 Absatz 8 der Ver- ordnung (EU) 2019/881 in den Zeiten, zu denen die Räume normalerweise für die jeweilige geschäftliche oder betriebliche Nutzung zur Verfügung stehen, zu betreten, zu besichtigen und zu prüfen, soweit dies zur Erfüllung seiner Aufgaben nach Artikel 58 Absatz 7 der Ver- ordnung (EU) 2019/881 sowie nach § 54 dieses Gesetzes erforderlich ist. § 3 Absatz 1 Satz 1 bis 3 des Akkreditierungsstellengesetzes gilt entsprechend.

        • Das Bundesamt kann von ihm ausgestellte Cybersicherheitszertifikate oder durch eine Konformitätsbewertungsstelle, der eine Befugnis nach Absatz 2 erteilt wurde, nach Ar- tikel 56 Absatz 6 der Verordnung (EU) 2019/881 ausgestellte Cybersicherheitszertifikate widerrufen oder EU-Konformitätserklärungen im Sinne der Verordnung (EU) 2019/881 für ungültig erklären,
        1. sofern diese Zertifikate oder EU-Konformitätserklärungen die Anforderungen nach der Verordnung (EU) 2019/881 oder eines europäischen Schemas für die Cybersicher- heitszertifizierung nach Artikel 54 der Verordnung (EU) 2019/881 nicht erfüllen oder
        2. wenn das Bundesamt die Erfüllung nach Nummer 1 nicht feststellen kann, weil der In- haber des europäischen Cybersicherheitszertifikats oder der Aussteller der EU-Konfor- mitätserklärung seinen Mitwirkungspflichten nach Absatz 3 nicht nachgekommen ist o- der weil dieser das Bundesamt bei der Wahrnehmung seiner Befugnisse nach Absatz 4 oder im Falle eines Inhabers eines europäischen Cybersicherheitszertifikats auch nach Absatz 5 behindert hat.
        • Das Bundesamt kann von ihm erteilte Befugnisse nach Absatz 2 widerrufen,
        1. sofern die Voraussetzungen des maßgeblichen europäischen Schemas für die Cyber- sicherheitszertifizierung nach Artikel 54 Verordnung (EU) 2019/881 oder des 54 die- ses Gesetzes nicht erfüllt sind oder
        2. wenn das Bundesamt die Erfüllung dieser Voraussetzungen nicht feststellen kann, weil die Konformitätsbewertungsstelle ihren Mitwirkungspflichten nach Absatz 3 nicht nach- gekommen ist oder weil diese das Bundesamt bei der Wahrnehmung seiner Befug- nisse nach den Absätzen 4 und 5 behindert hat.

         

         

        • 57

        Freiwilliges IT-Sicherheitskennzeichen

        • Das Bundesamt führt zur Information von Verbrauchern über die IT-Sicherheit von Produkten bestimmter vom Bundesamt festgelegter Produktkategorien ein einheitliches IT- Sicherheitskennzeichen ein. Das IT-Sicherheitskennzeichen trifft keine Aussage über die den Datenschutz betreffenden Eigenschaften eines Produktes.
        • Das IT-Sicherheitskennzeichen besteht aus
        1. einer Zusicherung des Herstellers oder Diensteanbieters, dass das Produkt für eine festgelegte Dauer bestimmte IT-Sicherheitsanforderungen erfüllt (Herstellererklärung), und
        2. einer Information des Bundesamtes über sicherheitsrelevante IT-Eigenschaften des Produktes (Sicherheitsinformation).
          • Die IT-Sicherheitsanforderungen, auf die sich die Herstellererklärung bezieht, er- geben sich aus einer Norm oder einem Standard oder aus einer branchenabgestimmten IT- Sicherheitsvorgabe, die die jeweilige Produktkategorie umfasst, sofern das Bundesamt in

         

        einem Verfahren, das durch Rechtsverordnung nach § 58 Absatz 2 geregelt wird, festge- stellt hat, dass die Norm oder der Standard oder die branchenabgestimmte IT-Sicherheits- vorgabe geeignet ist, ausreichende IT-Sicherheitsanforderungen für die Produktkategorie abzubilden. Ein Anspruch auf diese Feststellung besteht nicht. Liegt keine Feststellung nach Satz 1 vor, ergeben sich die IT-Sicherheitsvorgaben aus einer vom Bundesamt veröf- fentlichten Technischen Richtlinie, die die jeweilige Produktkategorie umfasst, sofern das Bundesamt eine solche Richtlinie bereits veröffentlicht hat. Wird ein Produkt von mehr als einer oder einem bestehenden, als geeignet festgestellten Norm, Standard, branchenabge- stimmten IT-Sicherheitsvorgabe oder Technischen Richtlinie umfasst, richten sich die An- forderungen nach der oder dem jeweils spezielleren bestehenden, als geeignet festgestell- ten Norm, Standard, branchenabgestimmten IT-Sicherheitsvorgabe oder Technischen Richtlinie.

        • Das IT-Sicherheitskennzeichen darf nur dann für ein Produkt verwendet werden, wenn das Bundesamt das IT-Sicherheitskennzeichen für dieses Produkt freigegeben hat. Das Bundesamt prüft die Freigabe des IT-Sicherheitskennzeichens für ein Produkt auf An- trag des Herstellers oder Dem Antrag sind die Herstellererklärung zu dem Produkt sowie alle Unterlagen beizufügen, die die Angaben in der Herstellererklärung be- legen. Das Bundesamt bestätigt den Eingang des Antrags und prüft die Plausibilität der Herstellererklärung anhand der beigefügten Unterlagen. Die Plausibilitätsprüfung kann auch durch einen vom Bundesamt beauftragten qualifizierten Dritten erfolgen. Für die An- tragsbearbeitung kann das Bundesamt eine Verwaltungsgebühr erheben.
        • Das Bundesamt erteilt die Freigabe des IT-Sicherheitskennzeichens für das jewei- lige Produkt, wenn
        1. das Produkt zu einer der Produktkategorien gehört, die das Bundesamt durch im Bun- desanzeiger veröffentlichte Allgemeinverfügung bekannt gegeben hat,
        2. die Herstellererklärung plausibel und durch die beigefügten Unterlagen ausreichend belegt ist und
        3. die gegebenenfalls erhobene Verwaltungsgebühr beglichen

        Die Erteilung der Freigabe erfolgt schriftlich und innerhalb einer angemessenen Frist, die in der Rechtsverordnung nach § 58 Absatz 2 bestimmt wird. Den genauen Ablauf des An- tragsverfahrens und die beizufügenden Unterlagen regelt die Rechtsverordnung nach

        • 58 Absatz 2.
          • Hat das Bundesamt die Freigabe erteilt, ist das Etikett des IT-Sicherheitskennzei- chens auf dem jeweiligen Produkt oder auf dessen Umverpackung anzubringen, sofern dies nach der Beschaffenheit des Produktes möglich ist. Das IT-Sicherheitskennzeichen kann auch elektronisch veröffentlicht Wenn nach der Beschaffenheit des Produktes das Anbringen nicht möglich ist, muss die Veröffentlichung des IT-Sicherheitskennzeichens elektronisch erfolgen. Das Etikett des IT-Sicherheitskennzeichens verweist auf eine Inter- netseite des Bundesamtes, auf der die Herstellererklärung und die Sicherheitsinformatio- nen abrufbar sind. Das genaue Verfahren und die Gestaltung des Verweises sind in der Rechtsverordnung nach § 58 Absatz 2 festzulegen.
          • Nach Ablauf der festgelegten Dauer, für die der Hersteller oder Diensteanbieter die Erfüllung der IT-Sicherheitsanforderungen zusichert, oder nach Rücknahmeerklärung des Herstellers oder Diensteanbieters gegenüber dem Bundesamt erlischt die Freigabe. Das Bundesamt nimmt einen Hinweis auf das Erlöschen der Freigabe in die Sicherheitsin- formation auf.
          • Das Bundesamt kann prüfen, ob die Anforderungen an die Freigabe des IT-Sicher- heitskennzeichens für ein Produkt eingehalten werden. Werden bei der Prüfung Abwei- chungen von der abgegebenen Herstellererklärung oder Schwachstellen festgestellt, kann

         

        das Bundesamt die geeigneten Maßnahmen zum Schutz des Vertrauens der Verbraucher in das IT-Sicherheitskennzeichen treffen, insbesondere

        1. Informationen über die Abweichungen oder Schwachstellen in geeigneter Weise in der Sicherheitsinformation veröffentlichen oder
        2. die Freigabe des IT-Sicherheitskennzeichens

        Absatz 7 Satz 2 gilt entsprechend.

        • Bevor das Bundesamt eine Maßnahme nach Absatz 8 trifft, räumt es dem Herstel- ler oder Diensteanbieter die Gelegenheit ein, die festgestellten Abweichungen oder Schwachstellen innerhalb eines angemessenen Zeitraumes zu beseitigen, es sei denn, ge- wichtige Gründe der Sicherheit der Produkte erfordern eine sofortige Maßnahme. Die Be- fugnis des Bundesamtes zur Warnung nach 13 bleibt davon unberührt.

         

         

        T e i l  6

        V e r o r d n u n g s e r m ä c h t i g u n g e n , G r u n d r e c h t s e i n – s c h r ä n k u n g e n u n d B e r i c h t s p f l i c h t e n

         

         

        • 58

        Ermächtigung zum Erlass von Rechtsverordnungen

        • Das Bundesministerium des Innern und für Heimat bestimmt nach Anhörung der betroffenen Wirtschaftsverbände und im Einvernehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz durch Rechtsverordnung, die nicht der Zustimmung des Bun- desrates bedarf, das Nähere über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen nach 54 und deren Inhalt.
        • Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord- nung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Digitales und Ver- kehr und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Ver- braucherschutz die Einzelheiten der Gestaltung, des Inhalts und der Verwendung des IT- Sicherheitskennzeichens nach 52, um eine einheitliche Gestaltung des Kennzeichens und eine eindeutige Erkennbarkeit der gekennzeichneten informationstechnischen Pro- dukte zu gewährleisten, sowie die Einzelheiten des Verfahrens zur Feststellung der Eig- nung branchenabgestimmter IT-Sicherheitsvorgaben und des Antragsverfahrens auf Frei- gabe einschließlich der diesbezüglichen Fristen und der beizufügenden Unterlagen sowie das Verfahren und die Gestaltung des Verweises auf Sicherheitsinformationen.
        • Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord- nung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Einrichtungen und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz, dem Bun- desministerium der Finanzen, dem Bundesministerium der Justiz, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium der Verteidigung, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundes- ministerium für Digitales und Verkehr, dem Bundesministerium für Bildung und Forschung und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbrau- cherschutz, welche durch eine besonders wichtige Einrichtung oder eine wichtige Einrich- tung eingesetzten Produkte, Dienste oder Prozesse gemäß 30 Absatz 6 über eine

         

        Cybersicherheitszertifizierung verfügen müssen, da sie für die Erbringung der Dienste der Einrichtung maßgeblich sind und Art und Ausmaß der Risikoexposition der Einrichtung ei- nen verpflichtenden Einsatz von zertifizierten Produkten, Diensten oder Prozessen in die- sem Bereich erforderlich machen.

        • Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord- nung, die nicht der Zustimmung des Bundesrates bedarf, im Einvernehmen mit dem Bun- desministerium für Wirtschaft und Klimaschutz, dem Bundesministerium der Finanzen, dem Bundesministerium der Justiz, dem Bundesministerium für Arbeit und Soziales, dem Bun- desministerium der Verteidigung, dem Bundesministerium für Ernährung und Landwirt- schaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Digitales und Verkehr und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Ver- braucherschutz unter Festlegung der in 28 Absatz 7 genannten Sektoren wegen ihrer Be- deutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehen- den Versorgungsgrads, welche Anlagen als kritische Anlagen im Sinne dieses Gesetzes gelten. Der als bedeutend anzusehende Versorgungsgrad ist anhand branchenspezifischer Schwellenwerte für jede als kritisch anzusehende Dienstleistung zu bestimmen. Zugang zu Akten, die die Erstellung oder Änderung dieser Verordnung betreffen, wird nicht gewährt.

         

         

        • 59

        Einschränkung von Grundrechten

        Das    Fernmeldegeheimnis     (Artikel 10     des    Grundgesetzes)     wird     durch    die

        • § 7, 8, 9, 11, 12, 15 und 16 eingeschränkt.

         

         

        • 60

        Berichtspflichten des Bundesamtes

        • Das Bundesamt unterrichtet das Bundesministerium des Innern und für Heimat über seine Tätigkeit.
        • Die Unterrichtung nach Absatz 1 dient auch der Aufklärung der Öffentlichkeit durch das Bundesministerium des Innern und für Heimat über Gefahren für die Sicherheit in der Informationstechnik, die mindestens einmal jährlich in einem zusammenfassenden Bericht erfolgt. 13 Absatz 2 ist entsprechend anzuwenden.
        • Das Bundesministerium des Innern und für Heimat unterrichtet kalenderjährlich je- weils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Ausschuss für Inneres und Heimat des Deutschen Bundestages über die Anwendung dieses Gesetzes. Es geht dabei auch auf die Fortentwicklung des maßgeblichen Unionsrechts ein.
        • Das Bundesamt übermittelt bis zum November 2018 und danach alle zwei Jahre bis zum 17. Oktober 2024 die folgenden Informationen an die Europäische Kommission:
        1. die nationalen Maßnahmen zur Ermittlung der Betreiber kritischer Anlagen;
        2. eine Aufstellung der im in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren, die in der Rechtsverordnung nach 58 Absatz 4 wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versor- gungsgrad;

         

        1. eine zahlenmäßige Aufstellung der Einrichtungen der in Nummer 2 genannten Sekto- ren, die in den in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren ermittelt werden, einschließlich eines Hinweises auf ihre Bedeutung für den jeweiligen Sektor.

        Die Übermittlung darf keine Informationen enthalten, die zu einer Identifizierung einzelner Betreiber führen können. Das Bundesamt übermittelt die nach Satz 1 übermittelten Infor- mationen unverzüglich dem Bundesministerium des Innern und für Heimat, dem Bundes- kanzleramt, dem Bundesministerium für Wirtschaft und Klimaschutz, dem Bundesministe- rium der Finanzen, dem Bundesministerium der Justiz, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium der Verteidigung, dem Bundesministerium für Er- nährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministe- rium für Digitales und Verkehr und dem Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit und Verbraucherschutz.

        • Sobald bekannt  wird,  dass  eine  Einrichtung  oder  Anlage  nach
        • 2 Absatz 1 Nummer 21 oder Teile einer Einrichtung oder Anlage eine wegen ihrer Bedeu- tung als kritisch anzusehenden Dienstleistung in einem der in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren in einem anderen Mitgliedstaat der Europäischen Union bereitstellt, nimmt das Bundesamt zum Zweck der gemeinsamen Ermittlung der Einrichtun- gen, die kritische Dienstleistungen in den in Anhang II der Richtlinie (EU) 2016/1148 ge- nannten Teilsektoren erbringen, mit der zuständigen Behörde dieses Mitgliedstaats Kon- sultationen auf.
        • Das Bundesamt übermittelt bis zum 9. August 2018 und danach jährlich bis zum Berichtszeitraum Kalenderjahr 2023 an die Kooperationsgruppe nach Artikel 11 der Richt- linie (EU) 2016/1148 einen zusammenfassenden Bericht zu den Meldungen, die die in An- hang II der Richtlinie (EU) 2016/1148 genannten Sektoren oder digitale Dienste betreffen. Der Bericht enthält auch die Zahl der Meldungen und die Art der gemeldeten Sicherheits- vorfälle sowie die ergriffenen Maßnahmen. Der Bericht darf keine Informationen enthalten, die zu einer Identifizierung einzelner Meldungen oder einzelner Einrichtungen führen kön-
        • Das Bundesamt legt der ENISA erstmalig zum 18. Januar 2025 und in der Folge alle drei Monate einen zusammenfassenden Bericht vor, der anonymisierte und aggregierte Daten zu erheblichen Sicherheitsvorfällen, erheblichen Cyberbedrohungen und Beinahe- vorfällen enthält, die gemäß 32 und § 5 Absatz 2 gemeldet wurden. Der erstmalige Be- richt nach Satz 1 enthält auch die Daten, die für das Jahr 2024 gemäß Absatz 6 übermitteln zu gewesen wären.
        • Das Bundesamt übermittelt erstmalig zum April 2025 und in der Folge alle zwei Jahre
        1. der Europäischen Kommission und der Kooperationsgruppe nach Artikel 14 der NIS-2- Richtlinie für jeden Sektor und Teilsektor gemäß Anhang I oder II der NIS-2-Richtlinie die Anzahl der besonders wichtigen Einrichtungen und wichtigen Einrichtungen, die gemäß 33 Absatz 1 registriert wurden, und
        2. der Europäischen Kommission sachdienliche Informationen über die Anzahl der kriti- schen Anlagen, über den Sektor und den Teilsektor gemäß Anhang I oder II der NIS- 2-Richtlinie, zu dem sie gehören, über die Art der von ihnen erbrachten Dienste und über die Bestimmungen, auf deren Grundlage sie ermittelt wurden.

         

        T e i l  7

        S a n k t i o n s v o r s c h r i f t e n  u n d   A u f s i c h t

         

         

        • 61

        Bußgeldvorschriften

        • Ordnungswidrig handelt, wer entgegen 39 Absatz 1 Satz 1 in Verbindung mit der Rechtsverordnung nach § 58 Absatz 4 Satz 1 einen Nachweis nicht richtig oder nicht voll- ständig erbringt.
        • Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
        1. einer vollziehbaren Anordnung nach
          1. 11 Absatz 6, § 16 Absatz 1 Satz 1, auch in Verbindung mit § 16 Absatz 3, § 17 Satz 1, oder § 39 Absatz 1 Satz 6,
          2. 14 Absatz 2 Satz 1 oder § 65 Absatz 8 oder in Verbindung mit § 66,
          3. 18 oder § 65 Absatz 6 Satz 1 und 2 oder in Verbindung mit § 66,
          4. 40 Absatz 4 Satz 1,
          5. 65 Absatz 3 Satz 1 oder in Verbindung mit § 66,
          6. 65 Absatz 7 Satz 2 oder in Verbindung mit § 66, zuwiderhandelt,
        2. entgegen 30 Absatz 1     in    Verbindung    mit    einer    Rechtsverordnung     nach
        • 58 Absatz 4 Satz 1 eine dort genannte Maßnahme nicht, nicht richtig, nicht vollstän- dig oder nicht rechtzeitig ergreift,
        1. entgegen § 32 Absatz 1 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt,
        2. entgegen § 33 Absatz 1 oder 2, jeweils in Verbindung mit einer Rechtsverordnung nach 58 Absatz 4 Satz 1, oder entgegen § 34 Absatz 1 eine Angabe oder Änderung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt,
        3. entgegen 33 Absatz 2 Satz 2 nicht sicherstellt, dass er erreichbar ist,
        4. entgegen 34 Absatz 2 das Bundesamt nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet,
        5. entgegen 39 Absatz 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach
        • 58 Absatz 4 Satz 1 einen Nachweis nicht oder nicht rechtzeitig erbringt,
        1. entgegen 51 Absatz 1 gegenüber dem Bundesamt nicht vorweisen kann, dass er eine vollständige Datenbank vorhält oder entgegen § 52 Absatz 1 auf Anträge nicht oder nicht  rechtzeitig  antwortet  oder  den  Zugang  gewährt  oder  entgegen
        • 51 Absatz 3 und 4, § 52 Absatz 2 Satz 1 die erforderlichen Angaben nicht öffentlich macht,

         

        1. vorgibt, Inhaber einer Zertifizierung nach 54 Absatz 2 zu sein, ohne dass diese be- steht,
        2. vorgibt Aussteller einer Konformitätserklärung nach 55 Absatz 1 zu sein, obwohl diese nicht besteht, widerrufen oder für ungültig erklärt wurde,
        3. entgegen 55 Absatz 3 Satz 2 als Konformitätsbewertungsstelle tätig wird,
        4. entgegen 56 Absatz 2 Satz 2 als Konformitätsbewertungsstelle tätig wird,
        5. entgegen 57 Absatz 4 Satz 1 das IT-Sicherheitskennzeichen verwendet,
        6. entgegen 65 Absatz 5 Satz 3 das Betreten eines dort genannten Raums nicht gestat- tet, eine dort genannte Unterlage nicht oder nicht rechtzeitig vorlegt, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung nicht oder nicht rechtzeitig gewährt.
          • Ordnungswidrig handelt, wer eine in Absatz 1 bezeichnete Handlung fahrlässig
          • Ordnungswidrig handelt, wer gegen die Verordnung (EU) 2019/881 des Europäi- schen Parlaments und des Rates vom April 2019 über die ENISA (Agentur der Europä- ischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Infor- mations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl. L 151 vom 7.6.2019, S. 15) verstößt, indem er vorsätzlich oder fahrlässig
        7. entgegen Artikel 55 Absatz 1 eine dort genannte Angabe nicht, nicht richtig, nicht voll- ständig oder nicht binnen eines Monats nach Ausstellung zugänglich macht oder
        8. entgegen Artikel 56 Absatz 8 Satz 1 eine Information nicht, nicht richtig, nicht vollstän- dig oder nicht unverzüglich nach Feststellung einer Schwachstelle oder Unregelmäßig- keit gibt.
        9. vorgibt, Inhaber eines europäischen Cybersicherheitszertifikats gemäß Artikel 56 oder Aussteller einer EU-Konformitätserklärung gemäß Artikel 53 Absatz 2 zu sein, obwohl diese nicht besteht, widerrufen oder für ungültig erklärt wurde.
          • Die Ordnungswidrigkeit kann geahndet werden:
        10. in den Fällen des Absatzes 1 und Absatzes 2 Nummer 7 Variante 1 mit einer Geldbuße bis zu zehn Millionen Euro,
        11. in den Fällen des Absatzes 2 Nummer 2 und 3
          1. bei besonders wichtigen Einrichtungen nach 28 Absatz 1 Satz 1 mit einer Geld- buße bis zu zehn Millionen Euro,
          2. bei wichtigen Einrichtungen im Sinne des 28 Absatz 2 Satz 1 mit einer Geldbuße bis zu sieben Millionen Euro,
        12. in den Fällen des Absatzes 2 Nummer 1 Buchstabe a mit einer Geldbuße bis zu zwei Millionen Euro,
        13. in den Fällen des Absatzes 2 Nummer 1 Buchstabe c, e, Nummern 4, 6,7 Variante 2,

        Nummern 8, 9, 10, 11 oder des Absatzes 4 mit einer Geldbuße bis zu fünfhunderttau- send Euro und

         

        1. in den Fällen des Absatzes 2 Nummer 1 Buchstabe b, d, f, Nummer 5, 12 oder des Ab- satzes 3 mit einer Geldbuße bis zu einhunderttausend Euro.

        In den Fällen des Satzes 1 Nummer 3 ist § 30 Absatz 2 Satz 3 des Gesetzes über Ordnungswidrigkeiten anzuwenden.

        • Bei einer besonders wichtigen Einrichtung im Sinne des 28 Absatz 1 Satz 1 mit einem Jahresumsatz von mehr als 500 Millionen Euro kann abweichend von Absatz 5 Satz 1 Nummer 2 Buchstabe a eine Ordnungswidrigkeit in den Fällen des Absatzes 2 Nummer 2 und 3 mit einer Geldbuße bis zu 2 Prozent des Jahresumsatzes ge- ahndet werden.
        • Bei einer wichtigen Einrichtung im Sinne des 28 Absatz 2 Satz 1 mit einem Jah- resumsatz von  mehr  als  500  Millionen  Euro  kann  abweichend  von Absatz 5 Nummer 2 Buchstabe b eine Ordnungswidrigkeit in den Fällen des Absatzes 2 Nummer 2 und 3 mit einer Geldbuße bis zu 1,4 Prozent des Jahresumsatzes geahndet werden.
        • Der Jahresumsatz im Sinne der Absätze 6 und 7 ist der gesamte weltweit getätigte Umsatz des Unternehmens, dem die besonders wichtige Einrichtung oder die wichtige Ein- richtung angehört, der in dem Geschäftsjahr erzielt wurde, das dem Verstoß vorangeht.
        • Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist das Bundesamt.
        • Verhängen die in Artikel 55 oder 56 der Verordnung (EU) 2016/679 genannten Aufsichtsbehörden gemäß Artikel 58 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679 eine Geldbuße, so darf eine weitere Geldbuße für einen Verstoß nach diesem Gesetz, der sich aus demselben Verhalten ergibt wie jener Verstoß, der Gegenstand der Geldbuße nach Artikel 58 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679 war, nicht verhängt

         

         

        • 62

        Zuwiderhandlungen durch Institutionen der sozialen Sicherung

        Bei Zuwiderhandlungen gegen eine in § 61 Absatz 1 bis 4 genannte Vorschrift, die von Institutionen der Sozialen Sicherung begangen werden, finden die Sätze 2 bis 4 Anwen- dung. Bei einer in Satz 1 genannten Zuwiderhandlung von Institutionen der Sozialen Siche- rung in Trägerschaft des Bundes stellt das Bundesamt das Einvernehmen über die zu er- greifenden Maßnahmen mit der für die Institution der Sozialen Sicherung zuständigen Auf- sichtsbehörde her. Bei einer in Satz 1 genannten Zuwiderhandlung von Institutionen der Sozialen Sicherung in Trägerschaft der Länder informiert das Bundesamt die zuständige Aufsichtsbehörde und schlägt geeignete Maßnahmen vor. Die jeweils zuständige Aufsichts- behörde informiert das Bundesamt über die Einleitung und Umsetzung von Aufsichtsmitteln und sorgt für deren Durchsetzung.

         

         

        • 63

        Zuständigkeit des Bundesamtes

        Das Bundesamt ist zuständige Aufsichtsbehörde für die Einhaltung der Vorschriften in Teil 3

         

        1. durch wichtige und besonders wichtige Einrichtungen, die in der Bundesrepublik Deutschland niedergelassen sind, mit Ausnahme der in 28 Absatz 4 und 5 genann- ten Einrichtungen,
        2. durch Betreiber kritischer Anlagen, deren kritische Anlagen sich auf dem Hoheitsgebiet der Bundesrepublik Deutschland befinden, mit Ausnahme der in 28 Absatz 4 und 5 genannten Betreiber, und
        3. durch Einrichtungen der

         

         

        • 64

        Zentrale Zuständigkeit in der Europäischen Union für bestimmte Einrichtungsarten

        • Abweichend von 63 ist das Bundesamt für DNS-Diensteanbieter, Top Level Do- main Name Registries, Domain-Name-Registry-Dienstleister, Anbieter von Cloud-Compu- ting-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Content Delivery Net- works, Managed Service Provider, Managed Security Service Provider sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netz- werke nur dann zuständig, wenn diese ihre Hauptniederlassung in der Europäischen Union in der Bundesrepublik Deutschland hat. Ist dies der Fall, so ist das Bundesamt für die Ein- richtung in der gesamten Europäischen Union zentral zuständig.
        • Als Hauptniederlassung in der Europäischen Union im Sinne von Absatz 1 gilt der- jenige Mitgliedstaat der Europäischen Union, in dem die Entscheidungen der Einrichtung im Zusammenhang mit den Maßnahmen zum Cybersicherheitsrisikomanagement vorwie- gend getroffen Kann ein solcher Mitgliedstaat nicht bestimmt werden oder werden solche Entscheidungen nicht in der Europäischen Union getroffen, so gilt als Hauptnieder- lassung der Mitgliedstaat, in dem die Cybersicherheitsmaßnahmen durchgeführt werden. Kann ein solcher Mitgliedstaat nicht bestimmt werden, so gilt als Hauptniederlassung der Mitgliedstaat, in dem die betreffende Einrichtung die Niederlassung mit der höchsten Be- schäftigtenzahl in der Europäischen Union hat.
        • Hat eine Einrichtung der in Absatz 1 Satz 1 genannten Einrichtungsart keine Nie- derlassung in der Europäischen Union, bietet aber Dienste innerhalb der Europäischen Union an, ist sie verpflichtet, einen Vertreter zu benennen. Der Vertreter muss in einem Mitgliedstaat der Europäischen Union niedergelassen sein, in der die Einrichtung die Dienste anbietet. Ist der Vertreter in der Bundesrepublik Deutschland niedergelassen, ist das Bundesamt für die Einrichtung zuständig. Hat eine Einrichtung der in Absatz 1 Satz 1 genannten Einrichtungsart in der Europäischen Union keinen Vertreter im Sinne dieses Ab- satzes benannt, kann das Bundesamt sich für die betreffende Einrichtung zuständig erklä-
        • Die Benennung eines Vertreters durch eine Einrichtung der in Absatz 1 Satz 1 ge- nannten Einrichtungsart lässt rechtliche Schritte, die gegen die Einrichtung selbst eingelei- tet werden könnten, unberührt.
        • Hat das Bundesamt ein Amtshilfeersuchen eines anderen Mitgliedsstaats der Eu- ropäischen Union zu einer Einrichtung der in Absatz 1 Satz 1 genannten Einrichtungsart erhalten, so ist das Bundesamt befugt, innerhalb der Grenzen dieses Ersuchens geeignete Aufsichts- und Durchsetzungsmaßnahmen in Bezug auf die betreffende Einrichtung zu er- greifen, die in der Bundesrepublik Deutschland Dienste anbietet oder eine informations- technisches System, Komponente oder Prozess Satz 1 gilt entsprechend bei Amts- hilfeersuchen eines anderen Mitgliedsstaats der Europäischen Union, der für eine Einrich- tung in der gesamten Europäischen Union zuständig ist, wenn die Einrichtung in der

         

        Bundesrepublik Deutschland Dienste anbietet oder ein informationstechnisches System, eine Komponente oder einen Prozess betreibt.

         

         

        • 65

        Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen

        • Das Bundesamt kann einzelne besonders wichtige Einrichtungen verpflichten, Au- dits, Prüfungen oder Zertifizierungen von unabhängigen Stellen zur Prüfung der Erfüllung der Anforderungen nach den §§ 30, 31 und 32 durchführen zu lassen.
        • Das Bundesamt kann nach Anhörung der betroffenen Einrichtungen und Wirt- schaftsverbände fachliche und organisatorische Anforderungen für die prüfenden Stellen festlegen. Die Festlegung nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der Inter- netseite des Bundesamtes.
        • Das Bundesamt kann, neben der nach § 39 für Betreiber einer kritischen Anlage bestimmten Frist, auch gegenüber anderen besonders wichtigen Einrichtungen frühestens drei Jahre nach Inkrafttreten dieses Gesetzes die Vorlage von Nachweisen über die Erfül- lung einzelner oder aller Anforderungen nach den §§ 30, 31 und 32 anordnen. Soweit das Bundesamt von seinem Recht nach Absatz 1 Gebrauch gemacht hat, kann es hierbei auch die Übermittlung der Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierun- gen einschließlich der dabei aufgedeckten Sicherheitsmängel sowie die Vorlage der Doku- mentation, die der Überprüfung zugrunde gelegt wurde, Es kann bei Sicherheits- mängeln die Vorlage eines geeigneten Mängelbeseitigungsplans im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder der sonst zuständigen Aufsichtsbehörde verlangen. Das Bundesamt kann die Vorlage eines geeigneten Nachweises über die er- folgte Mängelbeseitigung verlangen.
        • Bei der Auswahl, von welchen Einrichtungen das Bundesamt nach Absatz 3 Nach- weise anfordert, berücksichtigt das Bundesamt das Ausmaß der Risikoexposition, die Größe der Einrichtung sowie die Eintrittswahrscheinlichkeit und Schwere von möglichen Sicherheitsvorfällen sowie ihre möglichen gesellschaftlichen und wirtschaftlichen Auswir-
        • Das Bundesamt kann bei besonders wichtigen Einrichtungen die Einhaltung der Anforderungen nach diesem Gesetz überprüfen. Es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. Die besonders wichtige Einrichtung hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der übli- chen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeich- nungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei der jeweiligen besonders wichtigen Einrich- tung nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die be- rechtigte Zweifel an der Einhaltung der Anforderungen nach 30 Absatz 1 begründeten.
        • Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen im Beneh- men mit der zuständigen Aufsichtsbehörde Maßnahmen anordnen, die zur Verhütung oder Behebung eines Sicherheitsvorfalls oder eines Mangels erforderlich sind. Ein Benehmen mit der zuständigen Aufsichtsbehörde kann entfallen, sofern Gefahr im Verzug besteht. Ferner kann das Bundesamt die Berichterstattung zu den nach Satz 1 angeordneten Maß- nahmen verlangen.
        • Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen im Beneh- men mit der       zuständigen    Aufsichtsbehörde           Anordnungen                    zur                           Umsetzung       der

         

        Verpflichtungen nach diesem Gesetz erlassen. Ein Benehmen mit der zuständigen Auf- sichtsbehörde kann entfallen, sofern Gefahr im Verzug besteht. Es kann die Umsetzung von im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen innerhalb einer ange- messenen Frist anordnen.

        • Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen anordnen,
        1. die natürlichen oder juristischen Personen, für die sie Dienste erbringen oder Tätigkei- ten ausüben und die potenziell von einer erheblichen Cyberbedrohung betroffen sind, über die Art der Bedrohung und mögliche Abwehr- oder Abhilfemaßnahmen zu unter- richten, die diese Personen als Reaktion auf die Bedrohung ergreifen können, und
        2. Informationen zu Verstößen gegen Verpflichtungen nach diesem Gesetz nach durch das Bundesamt bestimmten Vorgaben öffentlich bekannt zu machen.
        • Sofern besonders wichtige Einrichtungen den Anordnungen des Bundesamtes nach diesem Gesetz trotz Fristsetzung nicht nachkommen, kann das Bundesamt dies der jeweils zuständigen Aufsichtsbehörde mitteilen. In diesem Fall kann die zuständige Auf- sichtsbehörde
        1. die Genehmigung für einen Teil oder alle Dienste oder Tätigkeiten dieser Einrichtung vorübergehend aussetzen und
        2. natürlichen Personen die Ausübung von Leitungsaufgaben auf Geschäftsführungs- o- der Vorstandsebene oder Ebene des rechtlichen Vertreters untersagen.

        Die Aussetzung nach Satz 2 Nummer 1 und die Untersagung nach Satz 2 Nummer 2 sind nur solange zulässig, bis die besonders wichtige Einrichtung den Anordnungen des Bun- desamtes nachkommt, wegen deren Nichtbefolgung sie ausgesprochen wurden.

        • Soweit das Bundesamt Maßnahmen gegenüber besonders wichtigen Einrichtun- gen durchführt, informiert es die zuständige Aufsichtsbehörde des Bundes darüber. Die In- formation hat unverzüglich zu erfolgen, wenn es sich um Maßnahmen nach Absatz 6 oder 7 handelt, die wegen Gefahr im Verzug ohne Benehmen der zuständigen Aufsichtsbehörde ergangen sind.
        • Stellt das Bundesamt im Zuge der Beaufsichtigung einer Einrichtung oder Durch- setzung einer Maßnahme fest, dass ein Verstoß gegen die Verpflichtungen dieses Geset- zes eine offensichtliche Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4 Nummer 12 der Verordnung (EU) 2016/679 zur Folge hat, die gemäß Artikel 33 dieser Verordnung zu melden ist, unterrichtet es unverzüglich die zuständigen Aufsichtsbe- hörden.
        • Bei Einrichtungen, die in anderen Mitgliedsstaaten der Europäischen Union Dienste erbringen, kann das Bundesamt auch auf Ersuchen der jeweils zuständigen Auf- sichtsbehörden des Mitgliedsstaats Maßnahmen nach den Absätzen 1 bis 11

         

         

        • 66

        Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen

        Rechtfertigen Tatsachen die Annahme, dass eine wichtige Einrichtung die Anforderun- gen aus den §§ 30, 31 und 32 nicht oder nicht richtig umsetzt, so kann das Bundesamt die Einhaltung der Anforderungen nach den §§ 30, 31 und 32 überprüfen und Maßnahmen nach § 65 treffen.

         

        • 67

        Verwaltungszwang

        Soweit das Bundesamt Zwangsgelder verhängt, beträgt deren Höhe abweichend von

        • 11 Absatz 3 des Verwaltungsvollstreckungsgesetzes bis zu 100.000 Euro.
        Anlage 1 Sektoren besonders wichtiger und wichtiger Einrichtungen

        Spalte A

        Spalte B

        Spalte C

        Spalte D

        Nr.

        Sektor

        Branche

        Einrichtungsart

        1

        Energie

         

         

        1.1

         

        Stromversorgung

         

        1.1.1

         

         

        Stromlieferanten gemäß § 3 Nr. 31a EnWG

        1.1.2

         

         

        Betreiber von Elektrizitätsverteilernetzen ge- mäß §3 Nr. 3 EnWG

        1.1.3

         

         

        Betreiber von Übertragungsnetzen gemäß § 3 Nr. 10 EnWG

        1.1.4

         

         

        Betreiber von Erzeugungsanlagen gemäß § 3 Nr. 18d EnWG

        1.1.5

         

         

        Nominierte Strommarktbetreiber nach Arti- kel 2 Nummer 8 der Verordnung (EU) 2019/943 des Europäischen Parlaments und des Rates

        1.1.6

         

         

        Aggregatoren gemäß § 3 Nr. 1a EnWG

        1.1.7

         

         

        Betreiber von Energiespeicheranlagen ge- mäß § 3 Nr. 15d EnWG

        1.1.8

         

         

        Anbieter von Ausgleichsleistungen im Sinne von § 3 Nr. 1b EnWG

        1.1.9

         

         

        Ladepunktbetreiber gemäß § 2 Nr. 8 LSV

        1.2

         

        Fernwärme und -kälte- versorgung

         

        1.2.1

         

         

        Betreiber von Fernwärme- bzw. Fernkälte- versorgung im Sinne § 3 Nr. 19 und 20 GEG

        1.3

         

        Kraftstoff- und Heizöl- versorgung

         

        1.3.1

         

         

        Betreiber von Erdöl-Fernleitungen

        1.3.2

         

         

        Betreiber von Anlagen zur Produktion, Raffi- nation und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern und Erdöl-Fernlei- tungen

        1.3.3

         

         

        Zentrale Bevorratungsstellen nach Artikel 2 Buchstabe f der Richtlinie 2009/119/EG des Rates

        1.4

         

        Gasversorgung

         

        1.4.1

         

         

        Betreiber von Gasverteilnetzen gemäß § 3 Nr. 8 EnWG

        1.4.2

         

         

        Betreiber von Fernleitungsnetzen gemäß § 3 Nr. 5 EnWG

        1.4.3

         

         

        Betreiber von Gasspeicheranlagen gemäß § 3 Nr. 6 EnWG

        1.4.4

         

         

        Betreiber von LNG-Anlagen gemäß § 3 Nr. 9 EnWG

        1.4.5

         

         

        Gaslieferanten gemäß § 3 Nr. 19b EnWG

        Spalte A

        Spalte B

        Spalte C

        Spalte D

        Nr.

        Sektor

        Branche

        Einrichtungsart

        1.4.6

         

         

        Betreiber von Anlagen zur Gewinnung von Erdgas

        1.4.7

         

         

        Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas

        1.4.8

         

         

        Betreiber im Bereich Wasserstofferzeugung,

        -speicherung und -fernleitung

        2

        Transport und Verkehr

         

         

        2.1

         

        Luftverkehr

         

        2.1.1

         

         

        Luftfahrtunternehmen nach Artikel 3 Num- mer 4 der Verordnung (EG) Nr. 300/2008, die für gewerbliche Zwecke genutzt werden

        2.1.2

         

         

        Flughafenleitungsorgane nach Artikel 2 Nummer 2 der Richtlinie 2009/12/EG des Europäischen Parlaments und des Rates, Flughäfen nach Artikel 2 Nummer 1 jener Richtlinie, einschließlich der in Anhang II Abschnitt 2 der Verordnung (EU) Nr.

        1315/2013 des Europäischen Parlaments und des Rates aufgeführten Flughäfen des Kernnetzes, und Einrichtungen, die inner- halb von Flughäfen befindliche zugehörige Einrichtungen betreiben

        2.1.3

         

         

        Anbieter von Flugsicherungsdiensten im Sinne von § 27c Abs. 2 Nr. 1 lit. a) und Nr. 2-6 LuftVG

        2.2

         

        Schienenverkehr

         

        2.2.1

         

         

        Eisenbahninfrastrukturbetreiber nach § 2 Nummer 6 und 6a des Allgemeinen Eisen- bahngesetz (AEG) einschließlich zentraler Einrichtungen, die den Zugbetrieb voraus- schauend und bei unerwartet eintretenden Ereignissen disponiert

        2.2.2

         

         

        Eisenbahnverkehrsunternehmen nach § 2 Nummer 3 AEG, einschließlich Betreiber ei- ner Serviceeinrichtung nach § 2 Nummer 9 AEG

        2.3

         

        Schifffahrt

         

        2.3.1

         

         

        Passagier- und Frachtbeförderungsunter- nehmen der Binnen-, See- und Küsten- schifffahrt, wie sie in Anhang I der Verord- nung (EG) Nr. 725/2004 des Europäischen Parlaments und des Rates für die Schifffahrt definiert sind, ausschließlich der einzelnen von diesen Unternehmen betriebenen Schiffe.

        2.3.2

         

         

        Leitungsorgane von Häfen nach Artikel 3 Nummer 1 der Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates, einschließlich ihrer Hafenanlagen nach Arti- kel 2 Nummer 11 der Verordnung (EG) Nr. 725/2004, sowie Einrichtungen, die inner- halb von Häfen befindliche Anlagen und Ausrüstung betreiben

        2.3.3

         

         

        Betreiber einer Anlage oder eines Systems zum sicheren Betrieb einer Wasserstraße nach § 1 Absatz 6 Nummer 1 des Bun- deswasserstraßengesetzes.

        Spalte A

        Spalte B

        Spalte C

        Spalte D

        Nr.

        Sektor

        Branche

        Einrichtungsart

        1.4.6

         

         

        Betreiber von Anlagen zur Gewinnung von Erdgas

        1.4.7

         

         

        Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas

        1.4.8

         

         

        Betreiber im Bereich Wasserstofferzeugung,

        -speicherung und -fernleitung

        2

        Transport und Verkehr

         

         

        2.1

         

        Luftverkehr

         

        2.1.1

         

         

        Luftfahrtunternehmen nach Artikel 3 Num- mer 4 der Verordnung (EG) Nr. 300/2008, die für gewerbliche Zwecke genutzt werden

        2.1.2

         

         

        Flughafenleitungsorgane nach Artikel 2 Nummer 2 der Richtlinie 2009/12/EG des Europäischen Parlaments und des Rates, Flughäfen nach Artikel 2 Nummer 1 jener Richtlinie, einschließlich der in Anhang II Abschnitt 2 der Verordnung (EU) Nr.

        1315/2013 des Europäischen Parlaments und des Rates aufgeführten Flughäfen des Kernnetzes, und Einrichtungen, die inner- halb von Flughäfen befindliche zugehörige Einrichtungen betreiben

        2.1.3

         

         

        Anbieter von Flugsicherungsdiensten im Sinne von § 27c Abs. 2 Nr. 1 lit. a) und Nr. 2-6 LuftVG

        2.2

         

        Schienenverkehr

         

        2.2.1

         

         

        Eisenbahninfrastrukturbetreiber nach § 2 Nummer 6 und 6a des Allgemeinen Eisen- bahngesetz (AEG) einschließlich zentraler Einrichtungen, die den Zugbetrieb voraus- schauend und bei unerwartet eintretenden Ereignissen disponiert

        2.2.2

         

         

        Eisenbahnverkehrsunternehmen nach § 2 Nummer 3 AEG, einschließlich Betreiber ei- ner Serviceeinrichtung nach § 2 Nummer 9 AEG

        2.3

         

        Schifffahrt

         

        2.3.1

         

         

        Passagier- und Frachtbeförderungsunter- nehmen der Binnen-, See- und Küsten- schifffahrt, wie sie in Anhang I der Verord- nung (EG) Nr. 725/2004 des Europäischen Parlaments und des Rates für die Schifffahrt definiert sind, ausschließlich der einzelnen von diesen Unternehmen betriebenen Schiffe.

        2.3.2

         

         

        Leitungsorgane von Häfen nach Artikel 3 Nummer 1 der Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates, einschließlich ihrer Hafenanlagen nach Arti- kel 2 Nummer 11 der Verordnung (EG) Nr. 725/2004, sowie Einrichtungen, die inner- halb von Häfen befindliche Anlagen und Ausrüstung betreiben

        2.3.3

         

         

        Betreiber einer Anlage oder eines Systems zum sicheren Betrieb einer Wasserstraße nach § 1 Absatz 6 Nummer 1 des Bun- deswasserstraßengesetzes.

        Spalte A

        Spalte B

        Spalte C

        Spalte D

        Nr.

        Sektor

        Branche

        Einrichtungsart

        1.4.6

         

         

        Betreiber von Anlagen zur Gewinnung von Erdgas

        1.4.7

         

         

        Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas

        1.4.8

         

         

        Betreiber im Bereich Wasserstofferzeugung,

        -speicherung und -fernleitung

        2

        Transport und Verkehr

         

         

        2.1

         

        Luftverkehr

         

        2.1.1

         

         

        Luftfahrtunternehmen nach Artikel 3 Num- mer 4 der Verordnung (EG) Nr. 300/2008, die für gewerbliche Zwecke genutzt werden

        2.1.2

         

         

        Flughafenleitungsorgane nach Artikel 2 Nummer 2 der Richtlinie 2009/12/EG des Europäischen Parlaments und des Rates, Flughäfen nach Artikel 2 Nummer 1 jener Richtlinie, einschließlich der in Anhang II Abschnitt 2 der Verordnung (EU) Nr.

        1315/2013 des Europäischen Parlaments und des Rates aufgeführten Flughäfen des Kernnetzes, und Einrichtungen, die inner- halb von Flughäfen befindliche zugehörige Einrichtungen betreiben

        2.1.3

         

         

        Anbieter von Flugsicherungsdiensten im Sinne von § 27c Abs. 2 Nr. 1 lit. a) und Nr. 2-6 LuftVG

        2.2

         

        Schienenverkehr

         

        2.2.1

         

         

        Eisenbahninfrastrukturbetreiber nach § 2 Nummer 6 und 6a des Allgemeinen Eisen- bahngesetz (AEG) einschließlich zentraler Einrichtungen, die den Zugbetrieb voraus- schauend und bei unerwartet eintretenden Ereignissen disponiert

        2.2.2

         

         

        Eisenbahnverkehrsunternehmen nach § 2 Nummer 3 AEG, einschließlich Betreiber ei- ner Serviceeinrichtung nach § 2 Nummer 9 AEG

        2.3

         

        Schifffahrt

         

        2.3.1

         

         

        Passagier- und Frachtbeförderungsunter- nehmen der Binnen-, See- und Küsten- schifffahrt, wie sie in Anhang I der Verord- nung (EG) Nr. 725/2004 des Europäischen Parlaments und des Rates für die Schifffahrt definiert sind, ausschließlich der einzelnen von diesen Unternehmen betriebenen Schiffe.

        2.3.2

         

         

        Leitungsorgane von Häfen nach Artikel 3 Nummer 1 der Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates, einschließlich ihrer Hafenanlagen nach Arti- kel 2 Nummer 11 der Verordnung (EG) Nr. 725/2004, sowie Einrichtungen, die inner- halb von Häfen befindliche Anlagen und Ausrüstung betreiben

        2.3.3

         

         

        Betreiber einer Anlage oder eines Systems zum sicheren Betrieb einer Wasserstraße nach § 1 Absatz 6 Nummer 1 des Bun- deswasserstraßengesetzes.

        Anlage 2 - Sektoren wichtiger Einrichtungen

        Spalte A

        Spalte B

        Spalte C

        Spalte D

        Nr.

        Sektor

        Branche

        Einrichtungsart

        1

        Transport und Verkehr

         

         

        1.1

         

        Post- und Kurierdienste

         

        1.1.1

         

         

        Anbieter von Postdienstleistungen nach § 4 Nr. 1 PostG, einschließlich Anbieter von Ku- rierdiensten

        2

        Abfallbewirtschaftung

         

         

        2.1.1

         

         

        Unternehmen der Abfallbewirtschaftung nach § 3 Abs. 14 KrWG, ausgenommen Un- ternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist.

        3

        Produktion, Herstel- lung und Handel mit chemischen Stoffen

         

         

        3.1.1

         

         

        Unternehmen nach Artikel 3 Nummern 9 und 11 der Verordnung (EG) Nr. 1907/2006 des Europäischen Parlaments und des Ra- tes von chemischen Stoffen und Gemischen im Sinne des Artikels 3 Nummer 1 und 2 der genannten Verordnung, sofern diese in Ka- tegorie 20 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Ge- meinschaft (NACE Rev. 2) fallen

        4

        Produktion, Verarbei- tung und Vertrieb von Lebensmitteln

         

         

        4.1.1

         

         

        Lebensmittelunternehmen nach Artikel 3 Nummer 2 der Verordnung (EG) Nr.

        178/2002 des Europäischen Parlaments und des Rates, die im Großhandel sowie in der industriellen Produktion und Verarbei- tung tätig sind

        5

        Verarbeitendes Ge- werbe/Herstellung von Waren

         

         

        5.1

         

        Herstellung von Medizin- produkten und In-vitro- Diagnostika

         

        5.1.1

         

         

        Unternehmen, die Medizinprodukte nach Ar- tikel 2 Nummer 1 der Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates(4)herstellen, und Unterneh- men, die In-vitro-Diagnostika nach Artikel 2 Nummer 2 der Verordnung (EU) 2017/746 des Europäischen Parlaments und des Ra- tes(5)herstellen, mit Ausnahme von Unter- nehmen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öf- fentlichen Gesundheit als kritisch nach Arti- kel 22 der Verordnung (EU) 2022/123 des Europäischen Parlaments und des Rates

        („Liste kritischer Medizinprodukte für

        Spalte A

        Spalte B

        Spalte C

        Spalte D

        Nr.

        Sektor

        Branche

        Einrichtungsart

         

         

         

        Notlagen im Bereich der öffentlichen Ge- sundheit“) eingestuft werden

        5.2

         

        Herstellung von Daten- verarbeitungsgeräten, elektronischen und opti- schen Erzeugnissen

         

        5.2.1

         

         

        Unternehmen, die eine der Wirtschaftstätig- keiten nach Abschnitt C Abteilung 26 der Statistischen Systematik der Wirtschafts- zweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben

        5.3

         

        Herstellung von elektri- schen Ausrüstungen

         

        5.3.1

         

         

        Unternehmen, die eine der Wirtschaftstätig- keiten im Sinne des Abschnitts C Abteilung 27 der Statistischen Systematik der Wirt- schaftszweige in der Europäischen Gemein- schaft (NACE Rev. 2) ausüben

        5.4

         

        Maschinenbau

         

        5.4.1

         

         

        Unternehmen, die eine der Wirtschaftstätig- keiten nach Abschnitt C Abteilung 28 der Statistischen Systematik der Wirtschafts- zweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben

        5.5

         

        Herstellung von Kraftwa- gen und Kraftwagentei- len

         

        5.5.1

         

         

        Unternehmen, die eine der Wirtschaftstätig- keiten nach Abschnitt C Abteilung 29 der Statistischen Systematik der Wirtschafts- zweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben

        5.6

         

        Sonstiger Fahrzeugbau

         

        5.6.1

         

         

        Unternehmen, die eine der Wirtschaftstätig- keiten nach Abschnitt C Abteilung 30 der Statistischen Systematik der Wirtschafts- zweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben

        6

        Anbieter digitaler Dienste

         

         

        6.1.1

         

         

        Anbieter von Online-Marktplätzen

        6.1.2

         

         

        Anbieter von Online-Suchmaschinen

        6.1.3

         

         

        Anbieter von Plattformen für Dienste sozia- ler Netzwerke

        7

        Forschung

         

         

        7.1.1

         

         

        Forschungseinrichtungen