Gesetz über das Bundesamt für Sicherheit in der Informationstechnik

Nach § 3 Abs. 1 Nr. 1, 15 BSIG ist das Bundesamt für Sicherheit in der Informationstechnik dabei für die Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes, den Aufbau geeigneter Kommunikationsstrukturen zur Krisenfrüherkennung, -reaktion und –bewältigung, sowie die Koordinierung der Zusammenarbeit zum Schutz der Sicherheit in der Informationstechnik Kritischer Infrastrukturen im Verbund mit der Privatwirtschaft zuständig. Des Weiteren kommen ihm gem. § 3 Abs. 1 Nr. 16, 17 BSIG Aufgaben als zentrale Stelle im Bereich der Sicherheit in der Informationstechnik in Bezug auf die Zusammenarbeit mit den zuständigen Stellen im Ausland, sowie die Aufgaben als zentrale Stelle nach den §§ 8a bis 8c BSIG zu. Dem BSI kommt zudem gem. § 13 Abs. 1 BSIG die Pflicht zu, das BMI über seine Tätigkeit zu unterrichten.

§ 5 BSIG normiert die Pflicht des Bundesamtes für Sicherheit in der Informationstechnik zur Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes. Dazu werden dem BSI im Rahmen des § 5 BSIG umfangreiche Kompetenzen zugesprochen. Darüber hinaus kommt dem BSI nach § 6 i.V.m. § 3 Abs. 1 Satz 1 Nr. 14 BSIG die Aufgabe zu, in Fragen der Sicherheit in der Informationstechnik (bspw. Bei Sicherheitslücken in IT-Systemen) Warnungen an die Öffentlichkeit oder an die betroffenen Kreise richten. Gem. § 8 BSIG hat das BSI Mindeststandards für die Sicherheit der Informationstechnik des Bundes zu schaffen. Dazu kann das Bundesministerium des Inneren gem. § 10 Abs. 1 BSIG Rechtsverordnungen erlassen. Betreiber Kritischer Infrastruktur haben diese gem. § 8a Abs. 1 BSIG binnen zwei Jahre nach Inkrafttreten umzusetzen. Dabei sind sie verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer – für die Funktionsfähigkeit der kritischen Infrastruktur maßgeblichen – informationstechnischen Systeme zu treffen. Der Nachweis über die Einhaltung der Mindeststandards hat gem. § 8a Abs. 3 BSIG mindestens alle zwei Jahre zu erfolgen. Als zentrale Stelle für Betreiber Kritischer Infrastrukturen kommt dem BSI gem. § 8b Abs. 1, 2 BSIG die Aufgabe der Sammlung und Analyse von Informationen zu, welche die Abwehr von Gefahren für die Sicherheit der Informationstechnik betreffen. Dabei hat das BSI das Lagebild zur Sicherheit in der Informationstechnik kontinuierlich zu aktualisieren und ggf. Betreiber Kritischer Infrastrukturen über die Lage zu unterrichten. Anbietern digitaler Dienste kommt gem. § 8c Abs. 1 BSIG die Pflicht zu, technische und organisatorische Maßnahmen, zu treffen, sofern diese geeignete und verhältnismäßig sind, um Risiken für die Sicherheit der Netz- und Informationssysteme, welche zur Bereitstellung genutzt werden, zu bewältigen. Bei der Umsetzung der Maßnahmen haben Anbieter digitaler Dienste gem. § 8c Abs. 2 BSIG u.a. auf die Sicherheit der Systeme und Anlagen, sowie auf deren Überwachung, Überprüfung und Erprobung zu achten. Zudem haben Anbieter gem. § 8c Abs. 3 BSIG jeden Sicherheitsvorfall zu melden, welcher erhebliche Auswirkungen auf die Bereitstellung eines digitalen Dienstes hat. § 8d BSIG regelt, welche Unternehmen von den Anwendungsbereichen der §§ 8a – 8c BSIG nicht erfasst sind.