BSI-Gesetz

Das BSI-Gesetz (BSIG), welches durch das IT-Sicherheitsgesetz vom 17.07.2015 geändert wurde, enthält wesentliche Vorgaben für die IT-Sicherheit.

§ 1 BSIG – Bundesamt für Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit Hauptsitz in Bonn gehört zum Bundesinnenministerium und wurde 1991 gegründet. Es ist eine unabhängige Stelle und befasst sich mit Fragen rund um die IT-Sicherheit. Zu den Aufgaben des BSI gehört die Gefahrenabwehr für die Sicherheit in der Informationstechnik.1BT-Drs. 18/4096, S. 23. Sein Aufgabenkatalog findet sich in § 3 BSIG. Es versteht sich selbst als „zentrale, unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit“2https://www.bsi.bund.de/DE/DasBSI/dasbsi_node.html (abgerufen am: 10.05.2016). und damit als IT-Sicherheitsdienstleister für Bürger, Unternehmen, Verwaltung und Politik.3Buchberger, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, 2014, § 1 BSIG, Rn. 4. Das BSI wird vom Bund im Geschäftsbereich des Bundesministeriums des Inneren unterhalten.4BT-Drs. 16/11967, S. 11.

§ 2 BSIG – Begriffsbestimmungen

Der Gesetzgeber hat sich auch im BSIG dazu entschieden, gleich zu Anfang die Begriffsbestimmungen vorzunehmen. Von besonderer Relevanz für das IT-Sicherheitsrecht ist dabei § 2 Abs. 10  BSIG, welcher erstmalig mit einer noch sehr vagen Definition für „Kritische Infrastrukturen“ aufwartet. Immerhin enthält der § 2 Abs. 10 BSIG eine abschließende Aufzählung aller kritischen Dienstleistungssektoren.

Zu den einzelnen Sektoren der Kritischen Infrastrukturen gehören hiernach:5BT-Drs. 18/4096, S. 31.

der Sektor Energie,

  • Stromversorgung
  • Erdgasversorgung
  • Mineralölversorgung

die Sektoren Informationstechnik und Telekommunikation,

  • Sprach- und Datenkommunikation
  • Verarbeitung und Speicherung von Daten

die Sektoren Transport und Verkehr,

  • Transport von Luftfracht
  • Transport von Personen im Nah- und Fernbereich

der Sektor Gesundheit,

  • Medizinische Versorgung
  • Versorgung mit Arzneimitteln und Medizinprodukten

der Sektor Wasser,

  • Trinkwasserversorgung
  • Abwasserbeseitigung

der Sektor Ernährung,

  • Versorgung mit Lebensmitteln

der Sektor Finanz- und Versicherungswesen,

  • Zahlungsverkehr, Zahlungsdienstleistungen durch Überweisung, Zahlungskarten und E-Geld
  • Bargeldversorgung
  • Kreditvergabe
  • Geld- und Devisenhandel
  • Wertpapier- und Derivatehandel
  • Versicherungsdienstleistungen

Als kritisch stuft § 2 Abs. 10 BSIG eine Infrastruktur aus den vorgenannten Sektoren allerdings erst dann ein, wenn sie für das Funktionieren des Gemeinwesens so zentral ist, dass durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Hierbei handelt es sich um ein Konglomerat von unbestimmten Rechtsbegriffen. Ob es sich bei Ihrem Unternehmen um eine kritische Infrastruktur handelt, hängt daher maßgeblich von der im Gesetz genannten Rechtsverordnung (BSI-KritisV) ab. Deren erster Teil ist am 03.05.2016 in Kraft getreten, und enthält die Schwellenwerte für die Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung. Per Änderungsverordnung sollen bis Anfang 2017 auch die Anlagen in den verbliebenen Sektoren identifizierbar werden. Ausnahmetatbestände außerhalb der BSI-KritisV enthält zudem der § 8c BSIG, sodass insbesondere Kleinstunternehmen i.S. der Empfehlung der EU-Kommission in der Regel von den gesetzlichen IT-Sicherheitspflichten ausgenommen sind (§ 8c Abs. 1 BSIG).

Der Regelschwellenwert nach der BSI-KritisV liegt bei „500.000“. D. h., sind 500.000 oder mehr Bürger von einer sektorenspezifischen Versorgungsleistung abhängig, fällt die dazugehörige Anlage grundsätzlich unter die Meldepflicht. Im IT-Sektor gilt ausnahmsweise nicht der Maßstab 500.000. Erfasst sind unter anderem Rechenzentren, die eine Jahresdurchschnittsleistung von 5 Megawatt aufweisen. Bei Server-Farmen ist der Schwellenwert ab jahresdurchschnittlich 25.000 laufenden Instanzen erreicht. Content-Lieferer sind Betreiber Kritischer Infrastrukturen ab 75.000 TByte/Jahr ausgeliefertem Datenvolumen. Bei Trustcentern ist der Schwellenwert erreicht, wenn 500.000 personenbezogene Zertifikate verwaltet oder analog dazu 10.000 TLS-Zertifikate ausgegeben wurden.

Neu eingeführt werden soll nun durch das Umsetzungsgesetz der NIS-RL eine Definition der „digitalen Dienste“ in § 2 Abs. 9 BSIG. Demnach sind dies Dienste mit dem Inhalt, Online Verträge, wie Kaufverträge oder Dienstleistungsverträge, abzuschließen („Online-Marktplätze“). Nicht unter diese Definition fallen sollen Plattformen, die lediglich die Angebote anderer Anbieter vergleichen und dann auf deren Seiten weiterleiten.6BT-Drs. 18/11242, S. 35. Ausgenommen sind somit Suchfunktionen, die nur bestimmte Websites oder Domains erfassen.7BT-Drs. 18/11242, S. 36. Cloud-Computing-Dienste oder auch Online-Suchmaschinen, die auf Anfrage abrufbare Links grundsätzlich beliebiger Websites mit entsprechendem Inhalt anzeigen, sollen hingegen unter die Definition fallen. Cloud Computing Dienste sind dabei weit zu verstehen: Es genügt der Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen. Rechenressourcen sind beispielsweise Server oder Speicher. Diese sind skalierbar, wenn sie je nach Nachfrage flexibel zusammengestellt werden können. Elastisch bedeutet, dass diese Flexibilität auch genutzt wird. Gemeinsam nutzbar meint nur, dass der Dienst von mehreren Nutzern verwendet werden kann, nicht jedoch, dass die Verarbeitung gemeinsam erfolgt.8BT-Drs. 18/11242, S. 36.

Anbieter von digitalen Diensten können nur juristische Personen sein, wie in einem neuen Absatz 12 definiert wird.

Die Anforderungen an diese digitalen Dienste sind mit denen für Kritische Infrastrukturen vergleichbar und in § 8c BSIG näher bestimmt.9Kipker, MMR 2017, 143, 144.

§ 3 BSIG – Aufgaben des Bundesamtes

Der § 3 BSIG ist in drei Absätze unterteilt. Im ersten Absatz werden die Aufgaben des BSI aufgezählt. Darin heißt es, dass das BSI die Sicherheit in der Informationstechnik fördert. Mit der Klarstellung in Abs. 3 wird deutlich, dass das BSI selbst keine Verantwortung bei der Sicherung der Informationstechnik von Kritischen Infrastrukturbetreibern trägt, sondern lediglich beratend und unterstützend tätig wird.10Buchberger, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, 2014, § 3 BSIG, Rn. 1. Von den Aufgaben sind wiederum die Befugnisse abzugrenzen, die das BSI zur Aufgabenerfüllung innehält (vgl. §§ 4 Abs. 2, 5, 7, 7a, 8, 8a Abs. 4, 8b Abs. 6 BSIG). In § 3 Abs. 1 S. 2 Nr. 2 BSIG ist bereits eine seiner Befugnisse mitangesprochen. Das BSI kann hiernach unter anderem die Erkenntnisse, welche es bei der Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen gewonnen hat, an Dritte weitergeben. Nach der Gesetzesbegründung ist Dritter insbesondere ein Betreiber einer Kritischen Infrastruktur, kann aber auch ein sonstiges Unternehmen sein.11BT-Drs. 18/4096, S. 24. Im Bundesrat wurde Kritik laut, die Vorschrift würde nicht dem Gebot hinreichender Bestimmtheit aus Art. 20 Abs. 3 GG gerecht. Die Antwort der Bundesregierung, die Verwendung unbestimmter Rechtsbegriffe sei bei derartig komplexen Lebenssachverhalten nicht zu vermeiden und daher verfassungsrechtlich nicht zu beanstanden,12BT-Drs. 18/4096, S. 48 (Anlage 4). ist in der Literatur auf Zustimmung gestoßen. Terhaag will diese Argumentation ausdrücklich auch mit Bezug auf die sonstigen Unternehmen gelten lassen. Schließlich dürfe die Weitergabe dieser Informationen nur als ultima ratio erfolgen.13Terhaag, IT-Sicherheitsgesetz, Artikel 1 – BSIG, § 3, Praxiskommentar, S. 29. Das BSIG rekurriert nicht nur an dieser Stelle auf das aus dem Staats- und Verwaltungsrecht bekannte Gebot der Erforderlichkeit. Erforderlichkeit ist gegeben, wenn der Staat aus den zur Zweckerreichung gleich gut geeigneten Mitteln das mildeste wählt, also jenes, welches die geschützte Rechtsposition am wenigsten beeinträchtigt.14Vertiefend Grzeszick, in: Maunz/Dürig, Grundgesetz-Kommentar, 75. Aufl, Art. 20 GG, Rn. 113-116. Dieser Rechtsgedanke zieht sich vielmehr wie ein roter Faden durch das gesamte BSIG (§§ 3 Abs. 1 S. 2 Nr. 2, Nr. 3, Nr. 13, 4 Abs. 2 Nr. 1, 5 Abs. 1 S. 1 Nr. 1, Nr. 2, Abs. 2 S. 1, S. 5, Abs. 3 S. 1., S. 2 Nr. 3, 7 Abs. 1 S. 2, 7a Abs. 2 S. 2, 8a Abs. 1 S. 3, 8b Abs. 2 S. 1 Nr. 4 lit. b, c, Abs. 4 S. 3, Abs. 6 S. 1 BGSIG).

§ 4 BSIG – Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes

Das BSI fungiert als zentrale Meldestelle für die Informationssicherheit. Zu diesem Zweck sammelt es Informationen und wertet diese aus. Außerdem muss es die Bundesbehörden über die sie betreffenden Informationen unterrichten, wie etwa über Sicherheitslücken in Software.15Buchberger, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, 2014, § 4 BSIG, Rn. 2. Nach Abs. 3 gibt es auch für die Bundesbehörden die umgekehrte Pflicht, das BSI über Erkenntnisse hinsichtlich Gefahren für die IT-Sicherheit nach Abs. 2 Nr. 1 BSIG zu unterrichten. Durch Abs. 5 wird sichergestellt, dass für personenbezogene Daten, wenn solche ausnahmsweise anfallen, vorwiegend die Regelungen des BDSG bzw. andere spezialgesetzliche Regelungen zur Erhebung und Verarbeitung personenbezogener Daten gelten.

§ 5 BSIG – Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes

§ 5 BSIG gibt dem BSI die Befugnis, Daten automatisiert zu erheben und so seine Aufgaben nach § 3 BSIG zu erfüllen. § 5 Abs. 1 S. 4 BSIG nimmt zudem die Bundesbehörden in die Pflicht, Protokolldaten, die beim Betrieb der Kommunikationstechnik des Bundes anfallen, zu erheben, und auf Anforderung dem BSI zur Verfügung zu stellen.

§ 5a BSIG – Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen

Ziel des neuen § 5a BSIG ist es, bei Cyber-Angriffen auf Stellen des Bundes oder von Betreibern Kritischer Infrastrukturen, möglichst schnell deren Systeme wiederherzustellen um ihre Sicherheit und Funktionsfähigkeit zu gewährleisten. Dafür soll nun ein Mobile Incident Response Team (MIRT) eingerichtet werden, dass unter Koordination des Nationalen Cyber-Abwehrzentrums Cyber-Attacken in herausgehobenen Fällen abwehren soll. Das BSI hat zwar bereits gemäß § 3 BSIG gewisse Eingriffsbefugnisse, diese sind jedoch nicht weitreichend genug um die Wiederherstellung eines Systems herbeiführen zu können.16BT-Drs. 18/11242, S. 39.

Ein Eingreifen von MIRT soll die Ausnahme bleiben, was vor allem durch die Ausgestaltung als „Kann-Vorschrift“, das Eingreifen steht also im Ermessen der Behörde und es besteht kein Anspruch darauf, deutlich gemacht wird. Insbesondere sind die Betreiber nicht von ihren Pflichten befreit, selbst für einen angemessenen Schutz ihrer Systeme zu sorgen. Sie werden zudem nur unterstützt, wenn sie selbst nicht in der Lage sind, die Bedrohung zu beseitigen.17Kipker, MMR 2017, 143, 144.

Die Maßnahmen der MIRTs sind für den Betroffenen nicht kostenpflichtig, um zu vermeiden, dass die Hilfe nur aus Kostengründen nicht in Anspruch genommen wird. Kosten für Dritte, die die MIRTs unterstützen, müssen die Betroffenen jedoch selbst tragen (Abs. 5).18BT-Drs. 18/11242, S. 39 f. Zu nennen sind hier insbesondere die Hersteller (Abs. 6) der verwendeten Hard- oder Software, die naturgemäß besser auf ihre Produkte zugreifen können, oder die privaten Partner des BSI.

Ein herausgehobener Fall setzt nach Abs. 2 voraus, dass der Angriff qualitativ von technischer Besonderheit ist, also beispielsweise wenn Advanced Persistend Threats (ATPs) verwendet werden oder wenn eine Distributed Denial of Service-Attacke (DDoS) vorliegt. Zudem muss ein öffentliches Interesse an der schnellen Wiederherstellung bestehen, was beispielsweise bei einem drohenden Ausfall Kritischer Infrastrukturen oder bei der Gefährdung der Öffentlichkeit (z.B. bei Chemiekonzernen) der Fall ist. Bei Beeinträchtigung staatlicher IT-Systeme wird dies zudem auch meist der Fall sein. In Ausnahmefällen (Abs. 7) werden die MIRTs auch tätig, wenn es sich nicht um Kritische Infrastrukturen handelt, aber ein vergleichbares öffentliches Interesse besteht.19Kipker, MMR 2017, 143, 144. Die MIRTs werden nur auf Anforderung durch den Betroffenen tätig.

Datenschutzrechtlich wichtig ist zudem die Befugnis der MIRTs in den Abs. 3-4, auf personenbezogene Daten zuzugreifen und diese zu verarbeiten. Dies wird zur Abwehr der Angriffe regelmäßig notwendig sein, beispielsweise wenn auf Log-Dateien zugegriffen werden muss. Diese Daten werden nach den Datenschutzvorschriften des Bundesdatenschutzgesetzes (BDSG) und des § 5 BSIG behandelt und nach dem Einsatz gelöscht, es sei denn sie wurden nach § 5 Abs. 5, 6 BSIG an andere Behörden weitergegeben. Ausnahmen gelten nur, wenn die Einwilligung des Betroffenen vorliegt.20BT-Drs. 18/11242, S. 41 f; Kipker, MMR 2017, 143, 145.

§ 6 BSIG – Löschung

Mit dieser Vorschrift wird die schon nach § 20 Abs. 2 BDSG bestehende Löschungspflicht von personenbezogenen Daten konkretisiert.

§ 7 BSIG – Warnungen

Der § 7 BSIG regelt die Befugnis des BSI Warnungen gegenüber der Öffentlichkeit auszusprechen. Das IT-Sicherheitsgesetz hat diese Kompetenz des BSI nicht neu geschaffen, aber durch § 7 Abs. 1 lit. c) BSIG insofern ergänzt, dass nunmehr auch Warnungen bei Datenverlust oder unerlaubten Zugriff auf Daten ausgesprochen werden können. Nach § 7 BSIG a. F. waren nur Warnungen vor Sicherheitslücken und vor Schadprogrammen möglich. Die neue Kompetenz in § 7 Abs. 1 lit. c) BSIG macht zudem deutlich, dass das BSI nicht mehr nur rein präventiv, sondern auch im Nachgang, wenn bereits der Datenverlust passiert ist, tätig werden kann.21Terhaag, IT-Sicherheitsgesetz, Artikel 1 – BSIG, § 3, Praxiskommentar, S. 37.

§ 7a BSIG – Untersuchung der Sicherheit in der Informationstechnik

Der neue § 7a BSIG regelt das Untersuchungsrecht des BSI. Hiernach kann das BSI zur Bewältigung seiner Aufgaben nach § 3 Abs. 1 S. 2 Nr. 1, 14 und 17 BSIG, also bspw. zum Zwecke der Abwehr von Gefahren für Sicherheit der Informationstechnik des Bundes (= § 3 Abs. 1 S. 2 Nr. 1 BSIG) auf dem Markt befindliche oder für diesen vorgesehene Hard- und Software untersuchen. Die Beschränkung dieses Untersuchungsrechts auf die vorgenannten drei Ziffern von § 3 Abs. 1 S. 1 BSIG macht deutlich, dass das BSI nicht als „allgemeine Wettbewerbspolizei“ fungieren darf, sondern sich bei seinen Untersuchungen streng auf die gesetzlich vorgegebenen Zwecke beschränken muss.22Terhaag, IT-Sicherheitsgesetz, Artikel 1 – BSIG, § 3, Praxiskommentar, S. 39. Die Weitergabe oder gar Veröffentlichung der Untersuchungsergebnisse ist möglich. Das BSIG knüpft allerdings hier wieder an das Prinzip der Erforderlichkeit an, sodass eine Weitergabe nur ultima ratio sein kann.

§ 8 BSIG – Vorgaben des Bundesamtes

Der § 8 Abs. 1 BSIG ist im Kontext mit § 5 Abs. 1 S. 4 BSIG zu sehen. Das neue BSIG richtet sich verstärkt auch an die Verwaltung. Statt wie bisher im Einvernehmen können nun bereits im Benehmen mit dem IT-Rat die vom BSI ausgearbeiteten Mindeststandards als allgemeine Verwaltungsvorschriften erlassen und somit verbindlich werden. Die Ressortzuständigkeit wird insoweit eingeschränkt.

§ 8a BSIG – Sicherheit in der Informationstechnik Kritischer Infrastrukturen

Durch die in Abs. 1 statuierte Pflicht für Betreiber Kritischer Infrastrukturen angemessene, organisatorische und technische Vorkehrungen für die IT-Sicherheit zu treffen, sollen der ordnungsgemäße Betrieb und die fortlaufende Verfügbarkeit der jeweils angebotenen Dienstleistung sichergestellt werden.23BT-Drs. 18/4096, S. 25. Die getroffenen Vorkehrungen sollen immer den Stand der Technik einhalten (§ 8a Abs. 1 S. 2 BSIG). Sie müssen also immer die aktuellen technischen Standards berücksichtigen und diesen angepasst werden.24Leisterer, Die neuen Pflichten zur Netz- und Informationssicherheit und die Verarbeitung personenbezogener Daten zur Gefahrenabwehr, CR 2015, 665 ...continue Ein ebenso effektiver Schutz durch den Einsatz anderer Vorkehrungen soll dadurch jedoch nicht ausgeschlossen werden.25BT-Drs. 18/4096, S. 26. Bei der Frage der Angemessenheit einer Vorkehrung ist auch der Kostenaufwand für den Betreiber im Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung zu berücksichtigen (§ 8a Abs. 1 S. 3 BSIG).26BT-Drs. 18/4096, S. 26.

Abs. 2 ermöglicht es einzelnen Branchen, branchenspezifische Sicherheitsstandards zu entwickeln. Zu diesem Zweck gibt es die Plattform UP KRITIS, welche eine Zusammenarbeit zwischen den Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen ermöglichen und fördern will.27http://www.kritis.bund.de/SubSites/Kritis/DE/Aktivitaeten/Nationales/UPK/upk_node.html (abgerufen am 10.05.2016).

Die sprachliche Differenzierung in Abs. 2 S. 3 zwischen der Feststellung der Geeignetheit im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen einer sonst zuständigen Aufsichtsbehörde beruht auf einer Entscheidung des Bundesverfassungsgerichts, wonach es ein sog. „Verbot der Mischverwaltung“ gibt.28BVerfG, Urt. v. 20.12.2007 – 2 BvR 2433/04, BVerfG, NVwZ 2008, 183 ff. Damit ist gemeint, dass nach den Art. 83 ff. GG eine Trennung von Landes- und Bundesverwaltung zu erfolgen hat. Eine Vermischung von beidem, wobei dann der Bund in den Aufgabenbereich der Länder eingreifen würde, ist durch die grundgesetzlichen Regelungen ausgeschlossen und nur in begrenzten Ausnahmefällen zulässig.29BVerfG, Urt. v. 20.12.2007 – 2 BvR 2433/04 – juris Rn. 153; BVerfG, NVwZ 2008, 183 (186). Dennoch soll die fachliche Kompetenz der sonstigen Aufsichtsbehörden in die Entscheidung über die Geeignetheit von IT-Sicherheitsvorkehrungen miteinbezogen werden, ohne gegen das Verbot der Mischverwaltung zu verstoßen.30BT-Drs. 18/4096, S. 26.

Um ein angemessenes Sicherheitsniveau der Betreiber sicherzustellen, haben diese alle zwei Jahre einen Nachweis über die getroffenen Sicherheitsvorkehrungen zu erbringen. In der Gesetzesbegründung heißt es hierzu, dass überprüft werden soll, ob der Betreiber ein Information Security-Management betreibt, kritische Cyber-Assets identifiziert hat und managt, Maßnahmen zur Angriffsprävention und -erkennung getroffen hat, ein Business Continuity Management (BSM) implementiert hat und die branchenspezifischen Besonderheiten umsetzt.31BT-Drs. 18/4096, S. 27.

Das BSI hat hierzu eine Orientierungshilfe erstellt, in der Erklärungen zum Betreiber, zum Prüfgegenstand (Scope), zur prüfenden Stelle, zum Prüfteam und zur Durchführung der Prüfung enthalten sind.32https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/Was_tun/Nachweise/Orientierungshilfe/Orientierungshilfe.html?nn=8391980 (zuletzt abgerufen ...continue Zudem hat es Formulare entworfen, die es den Unternehmen leichter machen sollen, den geforderten Nachweis zu erbringen. Insgesamt sind vier Dokumente vom Betreiber an das BSI zu übermitteln: Ein Nachweisdokument zur Kritischen Infrastruktur (Blatt KI) in dem der Betreiber und die Anlage näher beschrieben werden. Dieses ist vom Betreiber selbst auszufüllen. Die restlichen Dokumente werden von einer prüfenden Stelle ausgefüllt. Diese sind ein Nachweisdokument zur prüfenden Stelle (Blatt PS), das Angaben zur Eignung der prüfenden Stelle und des Prüfteams enthält; ein Nachweisdokument zur Prüfdurchführung (Blatt PD), das Angaben über Art, Umfang und Dauer der Prüfung enthält; und ein Nachweisdokument zu Prüfergebnissen (Blatt PE), das das Prüfergebnis und eine Auflistung der aufgedeckten Sicherheitsmängel enthält. Die prüfende Stelle legt dem Betreiber zudem einen Prüfbericht vor, der vom BSI allerdings nur angefordert wird, wenn Sicherheitsmängel festgestellt wurden. Zur Ausweitung dieser Aufsichtskompetenz wird nun ein Abs. 4 eingefügt, der es dem BSI bzw. von ihm beauftragten Dritten gestattet, die Betriebsräume der Betreiber Kritischer Infrastrukturen zu betreten und sich die zur Überprüfung notwendigen Unterlagen vorlegen zu lassen. Die Überprüfung vor Ort soll die Betroffenen weniger schwer belasten.33Kipker, MMR 2017, 143, 145.

§ 8b BSIG – Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen

§ 8b BSIG wurde durch Art. 1 Nr. 7 des IT-Sicherheitsgesetzes eingeführt. Diese Vorschrift regelt die Meldepflichten der Betreiber Kritischer Infrastrukturen an die hierfür eingerichtete zentrale Meldestelle. Gemäß § 8b Abs. 1 BSIG wird als zentrale Meldestelle hierbei das BSI ernannt. Um informationstechnischen Gefahren künftig besser vorbeugen zu können (indem etwa Sicherheitsrisiken behoben werden) und um im gegenwärtigen Notfall bei Störungen oder Ausfällen koordiniert Gegenmaßnahmen einleiten zu können, sammelt das BSI gem. § 8b Abs. 2 BSIG die für die IT-Sicherheit wesentlichen Informationen, wertet diese aus und erstellt ein Lagebild bezüglich der IT-Sicherheit bei den Kritischen Infrastrukturen. Das BSI arbeitet dabei auch mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zusammen und analysiert mit diesem zusammen mögliche Auswirkungen IT-sicherheitstechnischer Vorfälle auf die Verfügbarkeit der Kritischen Infrastrukturen. Ferner informiert das BSI die Betreiber Kritischer Infrastrukturen, ebenso wie ausgewählte Aufsichtsbehörden des Bundes und der Länder über die durch die Auswertungs- und Recherchearbeit des BSI gewonnenen IT-sicherheitsrelevanten Informationen. Neu eingefügt werden soll darüber hinaus, dass das BSI die zuständigen Behörden anderer Mitgliedstaaten über die Vorfälle informiert (Abs. 2 Nr. 4 lit. d).

Da die Informationsarbeit des BSI einerseits von den bei diesem eingehenden Meldungen über IT-sicherheitsrelevante Vorgänge durch die Betreiber Kritischer Infrastrukturen abhängig ist, die Betreiber Kritischer Infrastrukturen andererseits aber auch von dem Know-How des BSI profitieren sollen, ist eine enge Zusammenarbeit beider Parteien erforderlich. Aus diesem Grund haben die Betreiber Kritischer Infrastrukturen gem. § 8b Abs. 3 BSIG dem BSI binnen 6 Monaten nach Inkrafttreten der Rechtsverordnung nach § 10 Abs. 1 BSIG eine Kontaktstelle zu benennen und sicherzustellen, dass diese jederzeit erreichbar ist. Nach § 8b Abs. 5 BSIG können mehrere Betreiber Kritischer Infrastrukturen des gleichen Sektors auch eine zusätzliche gemeinsame übergeordnete Ansprechstelle einrichten und benennen, über die dann in der Regel der Informationsaustausch mit dem BSI erfolgt.

Weiterhin haben die Betreiber Kritischer Infrastrukturen erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme und Komponenten davon oder Prozesse, die zu einem Ausfall führen können oder bereits geführt haben gem. § 8b Abs. 4 BSIG dem BSI zu melden. Diese Meldung muss qualifizierte Informationen über die konkrete Störung, die technischen Rahmenbedingungen, wie etwa der potentiellen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers, enthalten. Mit der Neufassung des Abs. 4 durch die Umsetzung der EU-Richtlinie 2016/1148 wird bei der Bestimmung eines meldepflichtigen Vorfalls nicht mehr auf die Schwere des IT-Vorfalls abgestellt, sondern auf die Funktionsfähigkeit der Kritischen Infrastruktur und deren Beeinträchtigung Bezug genommen. Zudem wird dabei nicht mehr auf die Branche des Betreibers abgestellt, sondern auf die erbrachte Dienstleistung und die Auswirkungen der Störung auf diese.34Kipker, MMR 2017, 143, 145. Bei der Beseitigung von Störungen bzw. zur Prävention potentieller künftiger Störungen kann das BSI gem. § 8b Abs. 6 BSIG auch von Herstellern von IT-Produkten verlangen, dass diese Mitwirkung bei der Beseitigung oder der Vermeidung von Störungen leisten.

§ 8b Abs. 7 BSIG verpflichtet das BSI schließlich zur Einhaltung der Bestimmungen des Bundesdatenschutzgesetzes, sollten im Rahmen der Maßnahmen des Katalogs des § 8b BSIG personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Weiterhin ist das BSI gem. dieses Absatzes strikt zur Einhaltung des sog. Zweckbindungsgrundsatzes, wonach die hierbei erhobenen Daten nicht für andere Zwecke verarbeitet oder genutzt werden dürfen, verpflichtet.

§ 8c BSIG – Besondere Anforderungen an Anbieter digitaler Dienste

Die Anbieter digitaler Dienste müssen Sicherheitsvorkehrungen treffen, die vergleichbar mit denen der Betreiber Kritischer Infrastrukturen sind.35Kipker, MMR 2017, 143, 144. Es sei hiermit zusätzlich auf die Ausführungen zu § 8a BSIG verwiesen.

Die besonderen Anforderungen gelten für Anbieter digitaler Dienste, deren Leistungen im Inland verfügbar sind oder deren Hauptsitz bzw. deren IT-Systeme sich im Inland befinden, wenn ihre Dienste ausschließlich in der EU nutzbar sind.36BT-Drs. 18/11242, S. 49.

Nach Abs. 1 müssen Anbieter digitaler Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen treffen, wobei der Stand der Technik zu berücksichtigen ist (Abs. 2). Diese Maßnahmen werden wiederum durch die EU-Kommission mittels Durchführungsakte konkretisiert.

Die Anbieter digitaler Dienste trifft in Zukunft auch eine Meldepflicht an das BSI (Abs. 3). Hierbei kommt es wie auch bei den Kritischen Infrastrukturen maßgeblich auf das Ausmaß des Sicherheitsvorfalls an. Entscheidend sind also insbesondere die Zahl der betroffenen Nutzer, die Dauer und Größe des Vorfalls und die Auswirkungen auf Wirtschaft und Gesellschaft.37Kipker, MMR 2017, 143, 144. Auch hier konkretisiert die EU-Kommission mittels Durchführungsakten. Für den Umfang der Meldepflicht gilt § 8b BSIG entsprechend, auf ihn sei daher verwiesen.

Dem BSI werden in Abs. 4 Befugnisse für Kontroll- und Aufsichtsmaßnahmen erteilt, um die Erfüllung der Pflichten durch die Anbieter digitaler Dienste zu überwachen. Dabei ist eine Zusammenarbeit mit den Behörden anderer EU-Mitgliedstaaten angestrebt, nachdem digitale Dienste zumeist in unterschiedlichen Mitgliedstaaten genutzt werden.38BT-Drs. 18/11242, S. 49.

Diese Verpflichtungen sind nach § 14 Abs. 1 Nr. 5-7 BSIG bußgeldbewährt.

§ 8d BSIG – Anwendungsbereich

Die Einführung eines neuen § 8c ließ den bisherigen zu § 8d werden. Mit dieser Vorschrift wird klargestellt, dass die Pflichten nach dem BSIG nicht gelten, wenn bereits speziellere Gesetze, wie etwa das AtG oder das TKG Verpflichtungen zur Sicherstellung von IT-Sicherheit normieren.39Rath/Kuss/Bach, Das neue IT-Sicherheitsgesetz, K&R 2015, 437 (438). Das ist zum Beispiel bei Betreibern öffentlicher Telekommunikationsnetze (Nr. 1) der Fall, welche der gleichwertigen Regelung des § 109 TKG unterfallen. Sie sind vom Anwendungsbereich des §§ 8a und 8b Abs. 4 BSIG ausgenommen. Mit der Umsetzung der NIS-Richtlinie wurde der Anwendungsbereich der Ausnahmeregelungen verringert, wodurch auch Betreiber, die vorher keine Kontaktstelle einrichten mussten nun dazu verpflichtet sind. In der Praxis bestand eine solche Kontaktstelle bereits bei den meisten Betreibern, da sie bereits spezialgesetzlich vom Meldesystem erfasst waren.40Kipker, MMR 2017, 143, 145. Gleiches gilt für Betreiber von Energieversorgungsnetzen oder Energieanlagen (Nr. 2) sowie für Genehmigungsinhaber nach § 7 Abs. 1 AtG.41BT-Drs. 18/4096, S. 29. Außerdem sind auch Kleinstunternehmen vom Anwendungsbereich der §§ 8a, 8b und 8c BSIG ausgenommen. Kleinstunternehmen sind nach der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 Unternehmen, die weniger als 10 Mitarbeiter beschäftigen und deren Umsatz oder Jahresbilanz 2 Millionen nicht überschreitet. Diese Regelung erfolgte aus Verhältnismäßigkeitsgesichtspunkten.42BT-Drs. 18/4096, S. 29.

§ 8e BSIG – Auskunftsverlangen

Mit der Einführung eines neuen § 8c wurde der ehemalige § 8 d zum neuen § 8e BSIG. 8e BSIG stellt eine Spezialregelung im Sinne des § 1 Abs. 3 IFG dar. Nach der Intention des IFG hat jeder gegenüber Behörden des Bundes Anspruch auf Zugang zu amtlichen Informationen (§ 1 Abs. 1 IFG). Das BSIG stellt sicher, dass schutzwürdige Interessen des betroffenen Betreibers Kritischer Infrastrukturen und des Anbieters digitaler Dienste nicht entgegenstehen dürfen und auch keine Beeinträchtigung wesentlicher Sicherheitsinteressen zu erwarten ist.

§ 9 BSIG – Zertifizierung

§ 9 BSIG bestimmt das BSI als nationale Zertifizierungsstelle der Bundesverwaltung, welche das deutsche IT-Sicherheitszertifikat erteilt. Die Zertifizierung kann nicht nur für Produkte oder Leistungen sondern sogar für Personen und IT-Sicherheitsdienstleister erteilt werden. Durch das IT-Sicherheitsgesetz wurde der § 9 BSIG nicht abgeändert.

§ 10 BSIG – Ermächtigung zum Erlass von Rechtsverordnungen

§ 10 Abs. 1 BSIG stellt die Ermächtigungsgrundlage zum Erlass der Verordnungen nach § 2 Abs. 10 BSIG zur näheren Bestimmung der Kritischen Infrastrukturen dar. Zudem kann das BSI die Durchführungsakte der EU-Kommission, die die Festlegung der TOV und Meldepflichten betreffen, nochmals näher bestimmten (Abs. 4) und nach Abs. 5 eigene Verordnungen zur die Meldepflicht auslösenden Erheblichkeit der Beeinträchtigung der Funktionsfähigkeit Kritischer Infrastrukturen nach § 8b Abs. 4 BSIG erlassen.

Eine solche Ermächtigungsgrundlage ist deshalb erforderlich, weil es sich bei Rechtsverordnungen um Rechtsnormen handelt, die von der Exekutive erlassen werden. Aufgrund der Gewaltenteilung in Legislative, Judikative und Exekutive (Art. 20 Abs. 3 GG) ist es grundsätzlich der Legislative (gesetzgebende Gewalt) vorbehalten, Gesetze zu erlassen. Um den Grundsatz der Gewaltenteilung nicht zu umgehen, fordert Art. 80 Abs. 1 Satz 2 GG eine explizite Ermächtigungsgrundlage zum Erlass von Rechtsverordnungen durch die Exekutive.

§ 11 BSIG – Einschränkung von Grundrechten

Das in Art. 10 GG statuierte Fernmeldegeheimnis wird durch eine Reihe von Tatbeständen in § 5 BSIG eingeschränkt. Dies stellt § 11 BSIG klar, um dem Zitiergebot des Art. 19 Abs. 1 S. 2 GG Rechnung zu tragen. Durch das IT-Sicherheitsgesetz wurde der § 11 BSIG nicht abgeändert. Mit der Einfügung des § 5a in das BSIG wurde er auch § 11 BSIG aufgeführt, nachdem damit ebenfalls in das Fernmeldegeheimnis eingegriffen wird.

§ 12 BSIG – Rat der IT-Beauftragten der Bundesregierung

Mit Beschluss des Bundeskabinetts vom 5.12.2007 wurde der Rat der IT-Beauftragten (IT-Rat) eingerichtet. Dessen Aufgabe ist es auf politisch-strategischer Ebene als zentrales Gremium für ressortübergreifende IT-Steuerung in der Bundesverwaltung zu fungieren. Im IT-Rat finden sich unter anderem Vertreter aller Ressorts wieder. Sollte der IT-Rat aufgelöst werden tritt nun nach § 12 BSIG, ohne dass es hierzu einer Gesetzesänderung bedarf, automatisch an dessen Stelle die Nachfolgeorganisation. Darüber hinaus garantiert der § 12 BSIG auch für den Fall, dass der IT-Rat ersatzlos aufgelöst werden sollte, die weitere Beteiligung sämtlicher Bundesministerien bei den Entscheidungen, welche normalerweise in die Zuständigkeit des IT-Rates gefallen wären. Das „Einvernehmen“ aller Bundesministerien soll dann die Zustimmung des IT-Rates ersetzen. Einvernehmen, so wie es das Bundesverwaltungsgericht definiert, meint nur die „völlige Willensübereinstimmung“.43BVerwGE 11, 195 (200) – zu §§ 14, 15 des Arbeitsgerichtsgesetzes (ArbGG); BVerwGE 57, 98 (101) – zu § 128 Abs. 2 Satz 2 des ...continue Durch das IT-Sicherheitsgesetz wurde der § 12 BSIG nicht abgeändert.

§ 13 BSIG – Berichtspflichten

§ 13 BSIG wurde durch das IT-Sicherheitsgesetz mit Wirkung zum 25.07.2015 in das BSIG eingefügt. Dadurch soll sichergestellt werden, dass das Bundesinnenministerium, welches die zuständige Aufsichtsbehörde des BSI ist, über die laufende Tätigkeit des BSI im Bilde ist. Auf diese Weise können die Informationen zudem in den Cyber-Sicherheitsrat eingebracht werden.44BT-Drs. 18/4096, S. 32.

Der nach Abs. 2 mindestens einmal jährlich zu erstattende Bericht dient auch der Sensibilisierung der Öffentlichkeit. Zweck ist es, durch die Aufklärung und Sensibilisierung der Öffentlichkeit ein höheres Maß an IT-Sicherheit in Deutschland zu schaffen.45BT-Drs. 18/4096, S. 32.

In Umsetzung der NIS-Richtlinie wird zudem durch die neuen Absätze 3 bis 5 die Grundlage für einen einheitlichen europäischen Cybersecurity-Raum geschaffen. Die Vorschrift richtet sich an das BSI und legt diesem verschiedene Informationspflichten gegenüber der EU-Kommission auf. Bezüglich grenzüberschreitend agierende Betreiber Kritischer Infrastrukturen arbeiten die europäischen Behörden in einer EU-Kooperationsgruppe zusammen.46BT-Drs. 18/11242, S. 51 f.

§ 14 BSIG – Bußgeldvorschriften

§ 14 BSIG sieht für die Nichteinhaltung wesentlicher Pflichten aus §§ 8a8b und 8c BSIG eine Bußgeldandrohung vor. Die Bußgeldhöhe liegt bei maximal 50.000 Euro. Verstößt ein Unternehmen allerdings gegen eine Anordnung des BSI, einen aufgetretenen Sicherheitsmangel zu beseitigen, kann ein Bußgeld bis maximal 100.000 € angeordnet werden. Die Einführung der BSIG-Bußgeldvorschriften ist in der Wirtschaft auf Kritik gestoßen. Von dort heißt es, man betreibe eine Abkehr vom zuvor propagierten kooperativen Ansatz des IT-Sicherheitsgesetzes.47Vgl. Stellungnahme des Bundesverbandes Deutscher Industrie e. V. (BDI) zum Entwurf des IT-Sicherheitsgesetzes, verfügbar ...continue Die Implementierung von Bußgeldvorschriften in das BSIG ist allerdings nur stringent. Vergleichbare Bußgeldvorschriften finden sich in § 16 Abs. 2 Nr. 3 TMG und § 149 Nr. 21 TKG. Der Gesetzgeber vermeidet so eine verbotene Ungleichbehandlung i. S. von Art. 3 Abs. 1 GG gegenüber TK- und Telemedienanbietern.48Roßnagel, Das IT-Sicherheitsgesetz, DVBl 2015, 1206 (1211). Außerdem will auch der Entwurf der NIS-RL in dessen Art. 17 Abs. 1 die Mitgliedstaaten in die Pflicht nehmen, Sanktionen gegenüber den Betreibern von Kritischen Infrastrukturen zu verhängen, wenn letztere gegen die Sicherheits- und Meldepflichten verstoßen.

§ 15 BSIG – Anwendbarkeit der Vorschriften für Anbieter digitaler Dienste

§ 15 BSIG stellt eine Übergangsregelung für die Anwendbarkeit der Vorschriften auf die Anbieter digitaler Dienste dar. §§ 8c (besondere Anforderungen an die Anbieter digitaler Dienste), 10 Abs. 4 (Verordnungsermächtigung) und 14 (Sanktionen) sind demzufolge erst ab dem 10.05.2018 anwendbar.

Referenzen   [ + ]

1. BT-Drs. 18/4096, S. 23.
2. https://www.bsi.bund.de/DE/DasBSI/dasbsi_node.html (abgerufen am: 10.05.2016).
3. Buchberger, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, 2014, § 1 BSIG, Rn. 4.
4. BT-Drs. 16/11967, S. 11.
5. BT-Drs. 18/4096, S. 31.
6. BT-Drs. 18/11242, S. 35.
7. BT-Drs. 18/11242, S. 36.
8. BT-Drs. 18/11242, S. 36.
9. Kipker, MMR 2017, 143, 144.
10. Buchberger, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, 2014, § 3 BSIG, Rn. 1.
11. BT-Drs. 18/4096, S. 24.
12. BT-Drs. 18/4096, S. 48 (Anlage 4).
13. Terhaag, IT-Sicherheitsgesetz, Artikel 1 – BSIG, § 3, Praxiskommentar, S. 29.
14. Vertiefend Grzeszick, in: Maunz/Dürig, Grundgesetz-Kommentar, 75. Aufl, Art. 20 GG, Rn. 113-116.
15. Buchberger, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, 2014, § 4 BSIG, Rn. 2.
16. BT-Drs. 18/11242, S. 39.
17. Kipker, MMR 2017, 143, 144.
18. BT-Drs. 18/11242, S. 39 f.
19. Kipker, MMR 2017, 143, 144.
20. BT-Drs. 18/11242, S. 41 f; Kipker, MMR 2017, 143, 145.
21. Terhaag, IT-Sicherheitsgesetz, Artikel 1 – BSIG, § 3, Praxiskommentar, S. 37.
22. Terhaag, IT-Sicherheitsgesetz, Artikel 1 – BSIG, § 3, Praxiskommentar, S. 39.
23. BT-Drs. 18/4096, S. 25.
24. Leisterer, Die neuen Pflichten zur Netz- und Informationssicherheit und die Verarbeitung personenbezogener Daten zur Gefahrenabwehr, CR 2015, 665 (666).
25. BT-Drs. 18/4096, S. 26.
26. BT-Drs. 18/4096, S. 26.
27. http://www.kritis.bund.de/SubSites/Kritis/DE/Aktivitaeten/Nationales/UPK/upk_node.html (abgerufen am 10.05.2016).
28. BVerfG, Urt. v. 20.12.2007 – 2 BvR 2433/04, BVerfG, NVwZ 2008, 183 ff.
29. BVerfG, Urt. v. 20.12.2007 – 2 BvR 2433/04 – juris Rn. 153; BVerfG, NVwZ 2008, 183 (186).
30. BT-Drs. 18/4096, S. 26.
31. BT-Drs. 18/4096, S. 27.
32. https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/Was_tun/Nachweise/Orientierungshilfe/Orientierungshilfe.html?nn=8391980 (zuletzt abgerufen am 06.07.2017).
33. Kipker, MMR 2017, 143, 145.
34. Kipker, MMR 2017, 143, 145.
35. Kipker, MMR 2017, 143, 144.
36. BT-Drs. 18/11242, S. 49.
37. Kipker, MMR 2017, 143, 144.
38. BT-Drs. 18/11242, S. 49.
39. Rath/Kuss/Bach, Das neue IT-Sicherheitsgesetz, K&R 2015, 437 (438).
40. Kipker, MMR 2017, 143, 145.
41. BT-Drs. 18/4096, S. 29.
42. BT-Drs. 18/4096, S. 29.
43. BVerwGE 11, 195 (200) – zu §§ 14, 15 des Arbeitsgerichtsgesetzes (ArbGG); BVerwGE 57, 98 (101) – zu § 128 Abs. 2 Satz 2 des Beamtenrechtsrahmengesetzes (BRRG).
44. BT-Drs. 18/4096, S. 32.
45. BT-Drs. 18/4096, S. 32.
46. BT-Drs. 18/11242, S. 51 f.
47. Vgl. Stellungnahme des Bundesverbandes Deutscher Industrie e. V. (BDI) zum Entwurf des IT-Sicherheitsgesetzes, verfügbar unter https://www.bundestag.de/blob/370300/8c907d1750439b380668c12f98a80d1b/18-4-284-e-data.pdf (aufgerufen am 10.05.2016).
48. Roßnagel, Das IT-Sicherheitsgesetz, DVBl 2015, 1206 (1211).