BSIG

BSI-Gesetz

Nationale Regelung

Adressat: Entsprechend seines Titels befasst sich dieses Gesetz mit den Aufgaben und Befugnissen des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Relevante Normen: § 2; § 3 Abs. 1 S. 2 Nr. 14; § 5; § 5a Abs. 1, Abs. 6; § 7; § 7a; § 8; § 8a (insbesondere Abs. 1, Abs. 4); § 8c Abs. 1, Abs. 3; § 9 (insbesondere Abs. 2); § 14

Regelungsgehalt

Allgemein:

Hierbei handelt es sich um eine obere Bundesbehörde im Geschäftsbereich des Bundesinnenministeriums (Bundesministerium des Innern, für Bau und Heimat, kurz BMI) mit Hauptsitz in Bonn, deren komplexes Aufgabenspektrum allem voran Fragen mit Bezug zur (nationalen) IT-Sicherheit in der Informationsgesellschaft umfasst. Bereits im Jahre 1991 nahm das als unabhängige und neutrale Stelle ausgestaltete BSI seinen Dienst auf. Nach eigenen Informationen beschäftigt es gegenwärtig 900 Informatiker, Physiker, Mathematiker sowie andere Mitarbeiter. Ursprüngliche Rechtsgrundlage der Arbeit des BSI war das am 01. Januar 1991 in Kraft getretene Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Errichtungsgesetz), welches jedoch am 20. August 2009 durch das Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes „abgelöst“ wurde. Letzteres legte dabei den Grundstein für das noch heute geltende BSI-Gesetz. Institutionell betrachtet ist das Bundesamt für Sicherheit in der Informationstechnik im europäischen Vergleich einzigartig.

§ 2:

Der Terminus der Informationstechnik im Sinne des BSIG umfasst alle technischen Mittel zur Verarbeitung oder Übertragung von Informationen, § 2 Abs. 1 BSIG. Unter Sicherheit in der Informationstechnik ist gemäß § 2 Abs. 2 BSIG die Einhaltung bestimmter Sicherheitsstandards, welche die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen in informationstechnischen Systemen, Komponenten oder Prozessen oder bei der Anwendung derselben, zu verstehen. Ausweislich § 2 Abs. 7 BSIG meint Zertifizierung die durch eine Zertifizierungsstelle erfolgende Feststellung, dass ein Produkt, ein Prozess, ein System, ein Schutzprofil (Sicherheitszertifizierung), eine Person (Personenzertifizierung) oder ein IT-Sicherheitsdienstleister bestimmte Anforderungen erfüllt. Der durch das BSIG erfasste Datenverkehr (§ 2 Abs. 9 BSIG) – womit die mittels technischer Protokolle übertragenen Daten gemeint sind – kann dem Fernmeldegeheimnis unterliegende Telekommunikationsinhalte, mithin die näheren Umstände der Telekommunikation, vgl. § 88 Abs. 1 des Telekommunikationsgesetzes (TKG) enthalten. Ferner dem Datenverkehr zuzuordnen sind sämtliche anfallende personenbezogene Daten eines Nutzers, sogenannte Nutzungsdaten im Sinne des § 15 Abs. 1 des Telemediengesetzes (TMG).

Von nicht minder zentraler Bedeutung sind die sogenannten Kritischen Infrastrukturen bzw. deren Betreiber. Hierunter sind Einrichtungen, Anlagen oder Teile davon zu verstehen, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören. Diese Infrastrukturen sind gerade deshalb von hoher Bedeutung für das Funktionieren des Gemeinwesens, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden, § 2 Abs. 10 BSIG.

Soweit die Regelungen des BSIG auf Fachtermini Bezug nehmen, sind die seitens des BSIG eigens definierten Begrifflichkeiten zugrunde zu legen. Zu nennen sind insoweit insbesondere die Folgenden: Kommunikationstechnik des Bundes bzw. der Bundesgerichte (§ 2 Abs. 3 BSIG), Schnittstellen der Kommunikationstechnik des Bundes (§ 2 Abs. 4 BSIG), Schadprogramme (§ 2 Abs. 5 BSIG), Sicherheitslücken (§ 2 Abs. 6 BSIG), Protokolldaten (§ 2 Abs. 8 BSIG), Digitalen Dienste sowie Anbieter digitaler Dienste (§ 2 Abs. 11 und Abs. 12 BSIG).

§ 3 Abs. 1 S. 2 Nr. 14:

Erklärtes Ziel des BSI ist es, die Sicherheit in der Informationstechnik zu fördern, indem es zahlreiche Aufgaben wahrnimmt, vgl. § 3 BSIG. Hierzu zählen etwa die Abwehr von Gefahren, die Sammlung und Auswertung von Informationen, Untersuchungen von Sicherheitslücken sowie Tätigkeiten im Bereich der Entwicklung, der Prüfung und Bewertung IT-bezogener Komponenten und Systeme. Ferner wird die Bundesoberbehörde (initial oder auf Ersuchen anderer Behörden) unterstützend tätig und ist zuständig für den Aufbau geeigneter Kommunikationsstrukturen zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung. Gemäß § 3 Abs. 1 Satz 2 Nr. 14 BSIG obliegt dem BSI überdies die Beratung und Warnung der Stellen des Bundes, der Länder sowie der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen. Als zentrale Stelle für die Sicherheit in der Informationstechnik der in § 2 Abs. 1 und Abs. 11 BSIG definierten Kritischen Infrastrukturen und digitalen Dienste nimmt das Bundesamt namentlich auch die in §§ 8a bis 8c BSIG normierten Aufgaben wahr und leistet Unterstützung bei der Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen nach § 5a BSIG. Ein solcher Fall liegt insbesondere bei einem Angriff von besonderer technischer Qualität vor oder dann, wenn die zügige Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems von besonderem öffentlichen Interesse ist, § 5a Abs. 2 BSIG.

§§ 5 f:

Das Bundesamt für Sicherheit in der Informationstechnik wird ermächtigt, sowohl im Vorfeld – zur Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes, § 5 BSIG – als auch nachträglich zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen (§ 5a BSIG) tätig zu werden. Im Rahmen dieser Kompetenzen darf das BSI allen voran anfallende (Protokoll-)Daten erheben und automatisiert auswerten, soweit dies zur Erkennung, Eingrenzung oder Beseitigung von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes bzw. für die Erkennung und Abwehr von Schadprogrammen erforderlich ist, § 5 Abs. 1 BSIG. Regelungen zu etwaigen Speicherfristen trifft Absatz 2 der Norm. Kriterien einer im Einzelfall über § 5 Abs. 1 und Abs. 2 BSIG hinausgehenden rechtskonformen Verwendung personenbezogener Daten statuiert Absatz 3. Letztgenannte Daten können nach Absatz 5 namentlich an die Strafverfolgungsbehörden zur Verfolgung einer mittels eines Schadprogramms begangenen Straftat nach den §§ 202a202b303a oder 303b des Strafgesetzbuches (StGB) übermittelt werden. § 5 Abs. 7 BSIG stellt in diesem Zusammenhang jedoch ausdrücklich klar, dass eine über die vorstehenden Absätze hinausgehende inhaltliche Auswertung zu anderen Zwecken sowie die Weitergabe von personenbezogenen Daten an Dritte unzulässig ist. Benachrichtigungspflichten gegenüber den Beteiligten des betroffenen Kommunikationsvorgangs finden sich in § 5 Abs. 4 BSIG. Im Falle tatsächlicher, sicherheitsrechtlich relevanter Angriffe kann das Bundesamt vom Hersteller des informationstechnischen Systems verlangen, an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit mitzuwirken, soweit dies erforderlich ist, § 5a Abs. 6 BSIG.

§ 7:

Von hoher praktischer Bedeutung ist auch die Kompetenz des Bundesamtes, gesetzlich näher beschriebene Warnungen an die Öffentlichkeit oder betroffene Kreise zu richten, § 7 BSIG. Umfasst hiervon sind Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten, vor Schadprogrammen sowie solche im Falle eines Verlustes von Daten oder eines unerlaubten Zugriffs auf diese. Einhergehend kann das BSI Sicherheitsmaßnahmen bzw. den Einsatz bestimmter Sicherheitsprodukte empfehlen (Näheres hierzu ist § 7 Abs. 2 BSIG zu entnehmen). Absatz 1 Satz 2 der Norm eröffnet dem BSI in diesem Kontext die Möglichkeit, zur Wahrnehmung seiner Aufgaben Dritte einzubeziehen, wenn dies für eine wirksame und rechtzeitige Warnung erforderlich ist. Sofern die Erreichung des mit der Maßnahme verfolgten Zwecks hiervon nicht gefährdet wird, sind die Hersteller betroffener Produkte rechtzeitig vor Veröffentlichung der betreffenden Warnungen zu informieren. Unter Beachtung der gesetzlichen Voraussetzungen ist es allerdings möglich, den Kreis der zu warnenden Personen anhand sachlicher Kriterien einzuschränken, wobei ausdrücklich die besondere Gefährdung bestimmter Einrichtungen oder die besondere Zuverlässigkeit des Empfängers solche Kriterien sein könnten.

§ 7a: 

Zur Erfüllung seiner Aufgaben kann das BSI – auch unter Zuhilfenahme der Unterstützung Dritter – auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte und Systeme untersuchen. Stets zu wahren sind jedoch die berechtigten Interessen des Herstellers der betroffenen Produkte und Systeme, § 7a Abs. 1 BSIG. Die auf diesem Wege gewonnenen Erkenntnisse darf das Bundesamt weitergeben und veröffentlichen, soweit dies zur jeweiligen Aufgabenerfüllung erforderlich ist. Zuvor ist betroffenen Herstellern gleichwohl mit angemessener Frist Gelegenheit zur Stellungnahme zu geben, § 7a Abs. 2 BSIG.

§ 8:

Gemäß § 8 BSIG erarbeitet das Bundesamt Mindeststandards für die Sicherheit der Informationstechnik des Bundes, stellt im Rahmen seiner Aufgaben nach § 3 Abs. 1 Satz 2 Nr. 10 BSIG (Entwicklung von sicherheitstechnischen Anforderungen an die einzusetzende Informationstechnik des Bundes und an die Eignung von Auftragnehmern im Bereich von Informationstechnik mit besonderem Schutzbedarf) technische Richtlinien sowie IT-Sicherheitsprodukte bereit. Letzteres erfolgt entweder durch Eigenentwicklung oder nach Durchführung von Vergabeverfahren aufgrund einer entsprechenden Bedarfsfeststellung.

§ 8a (insbesodere Abs. 1, Abs. 4):

Entsprechend § 8a Abs. 1 Satz 1 BSIG sind Betreiber Kritischer Infrastrukturen verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Abs. 1 BSIG angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Mit Ausfertigungsdatum vom 22. April 2016 wurde auf Grundlage des § 10 Abs. 1 BSIG die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (kurz BSI-Kritisverordnung bzw. BSI-KritisV) erlassen. Am 29. Juni 2017 folgte die Veröffentlichung der Ersten Verordnung zur Änderung der BSI-Kritisverordnung. Das Gesetz trat am 30. Juni 2017 in Kraft. Bei der Erfüllung ihrer Pflicht nach § 8a Abs. 1 Satz 1 BSIG sollen Betreiber Kritischer Infrastrukturen gemäß Satz 2 der Norm den Stand der Technik einhalten. Organisatorische und technische Vorkehrungen gelten als angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht, § 8a Abs. 1 Satz 3 BSIG. Zur Gewährleistung der Anforderungen nach § 8a Abs. 1 BSIG können Betreiber Kritischer Infrastrukturen und ihre Branchenverbände branchenspezifische Sicherheitsstandards vorschlagen, § 8a Abs. 2 Satz 1 BSIG. Das BSI hat nach § 8a Abs. 4 Satz 1 BSIG die Befugnis, die Einhaltung der Anforderungen nach Absatz 1 beim Betreiber Kritischer Infrastrukturen (unter Umständen kostenpflichtig, vgl. § 8a Abs. 4 Satz 3 BSIG) zu überprüfen. Hierfür hat der Betreiber Kritischer Infrastrukturen dem Bundesamt (sowie den in dessen Auftrag handelnden Personen) zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten, § 8a Abs. 4 Satz 2 BSIG. Auf Verlangen muss der Betreiber ferner sämtliche in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorlegen, Auskunft erteilen und die erforderliche Unterstützung leisten.

§ 8c Abs. 1, Abs. 3:

Für Anbieter digitaler Dienste von hoher Bedeutung ist die Einhaltung der – ausdrücklich an sie gerichteten – besonderen Anforderungen nach § 8c BSIG. Danach müssen Anbieter digitaler Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der EU nutzen, zu bewältigen. § 8c Abs. 3 Satz 1 BSIG verpflichtet die Anbieter digitaler Dienste ferner dazu, jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der EU erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden. Die elementare Frage der „Erheblichkeit“ richtet sich nach § 8c Abs. 3 Satz 2 BSIG, wofür insbesondere die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, die Dauer des Sicherheitsvorfalls, das von dem Sicherheitsvorfall betroffene geographische Gebiet, das Ausmaß der Unterbrechung der Bereitstellung des Dienstes und das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten zu erwägen sind. Sollte der Anbieter jedoch keinen ausreichenden Zugang zu diesen Informationen haben, entfällt gemäß § 8c Abs. 3 Satz 4 BSIG die Pflicht zur Meldung eines Sicherheitsvorfalls. Für den Fall, dass nach Absatz 1 gemeldete Sicherheitsfälle (auch) Auswirkungen in einem anderen europäischen Mitgliedstaat haben, unterrichtet das BSI die zuständige Behörde des betroffenen Mitgliedstaats.

§ 9 (insbesondere Abs. 2): 

Gemäß § 9 Abs. 1 BSIG ist das Bundesamt nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit. Aufgrund dieser Funktion kann beim BSI für bestimmte Produkte oder Leistungen eine Sicherheits- oder Personenzertifizierung bzw. eine Zertifizierung als IT-Sicherheitsdienstleister beantragt werden, § 9 Abs. 2 BSIG. Insoweit haben Antragsteller dem Bundesamt die Unterlagen vorzulegen und die Auskünfte zu erteilen, deren Kenntnis für die Prüfung und Bewertung des Systems oder der Komponente oder der Eignung der Person sowie für die Erteilung des Zertifikats erforderlich sind. Im Falle des Nachweises der Gewährleistung sämtlicher gesetzlich normierter Anforderungen wird das Sicherheitszertifikat erteilt, § 9 Abs. 4 BSIG. Mithin besteht ein Anspruch auf Erteilung, wenn die informationstechnischen Systeme, Komponenten, Produkte oder Schutzprofile den vom Bundesamt festgelegten Kriterien entsprechen und das Bundesministerium des Innern festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen. Die Sicherheitszertifikate anderer anerkannter Zertifizierungsstellen aus dem Bereich der Europäischen Union werden vom Bundesamt anerkannt, soweit sie eine den Sicherheitszertifikaten des Bundesamtes gleichwertige Sicherheit ausweisen und die Gleichwertigkeit vom Bundesamt festgestellt worden ist, § 9 Abs. 7 BSIG.

§ 14:

Bußgeldtatbestände enthält § 14 des BSI-Gesetzes. Danach handelt ordnungswidrig, wer vorsätzlich oder fahrlässig den von § 14 BSIG als bußgeldbewehrt statuierten Vorgaben der §§ 8a, 8b und 8c BSIG zuwiderhandelt. Gemäß Absatz 2 der Norm kann die Ordnungswidrigkeit in den Fällen des Absatz 1 mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden, im Falle des Absatz 1 Nr. 2 lit. b sogar mit bis zu hunderttausend Euro.

Ähnliche Einträge