Bayerisches Digitalgesetz

Gesetz über die Digitalisierung im Freistaat Bayern

(1) Das Landesamt hat
 <dl>
 <dt style="float: left;">1.</dt><dd>
 
 Gefahren für die Sicherheit der Informationstechnik an den Schnittstellen zwischen Behördennetz und anderen Netzen abzuwehren,
 </dd>
 <dt style="float: left;">2.</dt><dd>
 
 die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen bei der Abwehr von Gefahren für die Sicherheit in der Informationstechnik zu unterstützen,
 </dd>
 <dt style="float: left;">3.</dt><dd>
 
 sicherheitstechnische Mindeststandards an die Informationstechnik für die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen zu entwickeln,
 </dd>
 <dt style="float: left;">4.</dt><dd>
 
 die Einhaltung der Mindeststandards nach Nr. 3 zu prüfen,
 </dd>
 <dt style="float: left;">5.</dt><dd>
 
 alle für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik, die Erkennung von Sicherheitsrisiken und die Bewertung von Sicherheitsvorkehrungen erforderlichen Informationen zu sammeln und auszuwerten sowie die staatlichen und sonstigen an das Behördennetz angeschlossenen Stellen unverzüglich über die sie betreffenden Informationen zu unterrichten,
 </dd>
 <dt style="float: left;">6.</dt><dd>
 
 die zuständigen Aufsichtsbehörden über Informationen, die es als Kontaktstelle im Rahmen des Verfahrens zu <a href="/bund/bsig/8b" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen" data-lli="0" target="_blank">§ 8b</a> des <a href="/bund/bsig" data-href="/[lawProviderSlug]/[lawAbbreviation]" data-ll="true" target="_blank">BSI-Gesetzes</a> erhalten hat, zu unterrichten,
 </dd>
 <dt style="float: left;">7.</dt><dd>
 
 als Computer-Notfallteam (CSIRT) im Sinne von Art. 10 der Richtlinie (EU) 2022/2555 die Aufgaben nach Art. 11 Abs. 3 der Richtlinie (EU) 2022/2555 wahrzunehmen,
 </dd>
 <dt style="float: left;">8.</dt><dd>
 
 an Peer Reviews nach Art. 19 der Richtlinie (EU) 2022/2555 mitzuwirken,
 </dd>
 <dt style="float: left;">9.</dt><dd>
 
 der Leitungsebene und den Beschäftigten von Behörden Schulungen im Bereich Cybersicherheit anzubieten und
 </dd>
 <dt style="float: left;">10.</dt><dd>
 
 Meldungen nach <a href="/bayern/baydig/43" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Behördenübergreifende Pflichten" data-lli="1" target="_blank">Art. 43</a> Abs. 3 Satz 3 und Art. <a href="/bayern/baydig/49b" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Besonderes Meldeverfahren" data-lli="2" target="_blank">49b</a> Abs. 5 sowie Informationen nach <a href="/bayern/baydig/49a" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Einrichtung mit Bedeutung für den Binnenmarkt" data-lli="3" target="_blank">Art. 49a</a> Abs. 3 an die nationale zentrale Anlaufstelle im Sinne des Art. 8 Abs. 3 der Richtlinie (EU) 2022/2555 zu übermitteln.
 </dd>
 </dl>(2) Auf Ersuchen kann das Landesamt staatliche und kommunale Stellen, öffentliche Unternehmen, Betreiber kritischer Infrastrukturen und weitere Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen beraten und unterstützen.(3) Auf Ersuchen kann das Landesamt die Polizei, die Strafverfolgungsbehörden und das Landesamt für Verfassungsschutz bei der Wahrnehmung ihrer gesetzlichen Aufgaben technisch unterstützen, insbesondere bei der Durchführung von technischen Untersuchungen oder der Datenverarbeitung.(4) Für die Kommunikationstechnik des Landtags, der Gerichte, des Obersten Rechnungshofs und des Landesbeauftragten für den Datenschutz ist das Landesamt nur zuständig, soweit sie an das Behördennetz angeschlossen sind oder Dienste im Sinne des <a href="/bayern/baydig/37" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Basisdienste und zentrale Dienste" data-lli="4" target="_blank">Art. 37</a> nutzen.(5) Das Landesamt arbeitet mit dem Bundesamt für Sicherheit in der Informationstechnik, den für IT-Sicherheit in den Ländern und in den Mitgliedstaaten zuständigen Stellen, der Agentur der Europäischen Union für Cybersicherheit und den gemäß der Verordnung (EU) 2022/2554 und der Richtlinie (EU) 2022/2557 jeweils zuständigen Behörden zusammen.

Aufgaben

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik

(1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik.(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe <dl><dt style="float: left;">1.</dt><dd><div>die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentlichen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Sicherheitslücken, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und zu der dabei beobachteten Vorgehensweise,</div></dd><dt style="float: left;">2.</dt><dd><div>deren potentielle Auswirkungen auf die Verfügbarkeit der Kritischen Infrastrukturen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu analysieren,</div></dd><dt style="float: left;">3.</dt><dd><div>das Lagebild bezüglich der Sicherheit in der Informationstechnik der Kritischen Infrastrukturen oder der Unternehmen im besonderen öffentlichen Interesse kontinuierlich zu aktualisieren und</div></dd><dt style="float: left;">4.</dt><dd><div>unverzüglich <dl><dt style="float: left;">a)</dt><dd><div>die Betreiber Kritischer Infrastrukturen und die Unternehmen im besonderen öffentlichen Interesse über sie betreffende Informationen nach den Nummern 1 bis 3,</div></dd><dt style="float: left;">b)</dt><dd><div>die zuständigen Aufsichtsbehörden und die sonst zuständigen Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3,</div></dd><dt style="float: left;">c)</dt><dd><div>die zuständigen Aufsichtsbehörden der Länder oder die zu diesem Zweck dem Bundesamt von den Ländern als zentrale Kontaktstellen benannten Behörden über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3 sowie</div></dd><dt style="float: left;">d)</dt><dd><div>die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 4 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben,</div></dd></dl>zu unterrichten.</div></dd></dl>(3) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens bis zum ersten Werktag, der darauf folgt, dass diese erstmalig oder erneut als Betreiber einer Kritischen Infrastruktur nach der Rechtsverordnung nach <a href="/bund/bsig/10" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Ermächtigung zum Erlass von Rechtsverordnungen" data-lli="5" target="_blank">§ 10 Absatz 1</a> gelten, die von ihnen betriebenen Kritischen Infrastrukturen beim Bundesamt zu registrieren und eine Kontaktstelle zu benennen. Die Registrierung eines Betreibers einer Kritischen Infrastruktur kann das Bundesamt auch selbst vornehmen, wenn der Betreiber seine Pflicht zur Registrierung nicht erfüllt. Nimmt das Bundesamt eine solche Registrierung selbst vor, informiert es die zuständige Aufsichtsbehörde des Bundes darüber. Die Betreiber haben sicherzustellen, dass sie über die benannte oder durch das Bundesamt festgelegte Kontaktstelle jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle.(3a) Rechtfertigen Tatsachen die Annahme, dass ein Betreiber seine Pflicht zur Registrierung nach Absatz 3 nicht erfüllt, so hat der Betreiber dem Bundesamt auf Verlangen die für die Bewertung aus Sicht des Bundesamtes erforderlichen Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen und Auskunft zu erteilen, soweit nicht Geheimschutzinteressen oder überwiegende Sicherheitsinteressen entgegenstehen.(4) Betreiber Kritischer Infrastrukturen haben die folgenden Störungen unverzüglich über die Kontaktstelle an das Bundesamt zu melden: <dl><dt style="float: left;">1.</dt><dd><div>Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben,</div></dd><dt style="float: left;">2.</dt><dd><div>erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.</div></dd></dl>Die Meldung muss Angaben zu der Störung, zu möglichen grenzübergreifenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur erbrachten kritischen Dienstleistung und zu den Auswirkungen der Störung auf diese Dienstleistung enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.(4a) Während einer erheblichen Störung gemäß Absatz 4 Satz 1 Nummer 2, <a href="/bund/bsig/8f" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Sicherheit in der Informationstechnik bei Unternehmen im besonderen öffentlichen Interesse" data-lli="4" target="_blank">§ 8f Absatz 7 Satz 1 Nummer 2 oder Absatz 8 Satz 1 Nummer 2</a> kann das Bundesamt im Einvernehmen mit der jeweils zuständigen Aufsichtsbehörde des Bundes von den betroffenen Betreibern Kritischer Infrastrukturen oder den Unternehmen im besonderen öffentlichen Interesse die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen. Betreiber Kritischer Infrastrukturen und Unternehmen im besonderen öffentlichen Interesse sind befugt, dem Bundesamt auf Verlangen die zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten zu übermitteln, soweit dies zur Bewältigung einer erheblichen Störung gemäß Absatz 4 Satz 1 Nummer 2, <a href="/bund/bsig/8f" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Sicherheit in der Informationstechnik bei Unternehmen im besonderen öffentlichen Interesse" data-lli="3" target="_blank">§ 8f Absatz 7 Satz 1 Nummer 2 oder Absatz 8 Satz 1 Nummer 2</a> erforderlich ist.(5) Zusätzlich zu ihrer Kontaktstelle nach Absatz 3 können Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, eine gemeinsame übergeordnete Ansprechstelle benennen. Wurde eine solche benannt, erfolgt der Informationsaustausch zwischen den Kontaktstellen und dem Bundesamt in der Regel über die gemeinsame Ansprechstelle.(6) Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4, oder <a href="/bund/bsig/8f" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Sicherheit in der Informationstechnik bei Unternehmen im besonderen öffentlichen Interesse" data-lli="2" target="_blank">§ 8f Absatz 7 oder 8</a> verlangen. Satz 1 gilt für Störungen bei Betreibern und Genehmigungsinhabern im Sinne von <a href="/bund/bsig/8d" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Anwendungsbereich" data-lli="1" target="_blank">§ 8d Absatz 3</a> entsprechend.(7) Soweit im Rahmen dieser Vorschrift personenbezogene Daten verarbeitet werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung zu anderen Zwecken unzulässig. <a href="/bund/bsig/5" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes" data-lli="0" target="_blank">§ 5 Absatz 7 Satz 3 bis 8</a> ist entsprechend anzuwenden.

Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen

(1) 
 1Die Sicherheit der informationstechnischen Systeme der Behörden ist im Rahmen der Verhältnismäßigkeit sicherzustellen.&nbsp;2Die Behörden treffen zu diesem Zweck angemessene technische, operative und organisatorische Maßnahmen und erstellen die hierzu erforderlichen Informationssicherheitskonzepte.(2) Die obersten Dienstbehörden stellen in ihrem Geschäftsbereich sicher, dass die Leitungsebene staatlicher Behörden über ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie zu Risikomanagementpraktiken im Bereich Cybersicherheit verfügt.(3) 
 1Werden staatlichen oder sonstigen an das Behördennetz angeschlossenen Stellen Informationen bekannt, die zur Abwehr von Gefahren für die Sicherheit in der Informationstechnik von Bedeutung sind, unterrichten diese das Landesamt und ihre jeweilige oberste Dienstbehörde unverzüglich hierüber, soweit andere Vorschriften oder Vereinbarungen mit Dritten nicht entgegenstehen.&nbsp;2Andere Stellen können erhebliche Sicherheitsvorfälle im Sinne des <a href="/bayern/baydig/49b" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Besonderes Meldeverfahren" data-lli="0" target="_blank">Art. 49b</a> Abs. 2 Satz 2, Cyberbedrohungen im Sinne des Art. 2 Nr. 8 der Verordnung (EU) 2019/881 und Beinahe-Vorfälle im Sinne des Art. 6 Nr. 5 der Richtlinie (EU) 2022/2555 an das Landesamt melden.&nbsp;3Soweit erforderlich übermittelt das Landesamt der nationalen zentralen Anlaufstelle im Sinne des Art. 8 Abs. 3 der Richtlinie (EU) 2022/2555 die Informationen über die gemäß diesem Absatz eingegangenen Meldungen, wobei es die Vertraulichkeit und den angemessenen Schutz der von der meldenden Stelle übermittelten Informationen sicherstellt.&nbsp;4Unbeschadet der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten dürfen Meldungen nach Satz 2 nicht dazu führen, dass der meldenden Stelle zusätzliche Verpflichtungen auferlegt werden, die nicht für sie gegolten hätten, wenn sie die Meldung nicht übermittelt hätte.(4) Die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen unterstützen das Landesamt bei Maßnahmen nach <a href="/bayern/baydig/42" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Aufgaben" data-lli="1" target="_blank">Art. 42</a> Abs. 1 Nr. 1, 2, 4 und 5, soweit keine Vorschriften entgegenstehen.(5) Bei der Planung und Umsetzung von maßgeblichen neuen Digitalisierungsvorhaben des Landes ist das Landesamt zur Gewährleistung der Sicherheit in der Informationstechnik durch die jeweils zuständige Stelle frühzeitig zu beteiligen und es ist ihm die Gelegenheit zur Stellungnahme zu geben.

Behördenübergreifende Pflichten

(1) Einrichtungen mit Bedeutung für den Binnenmarkt übermitteln dem Landesamt über eine eingerichtete Meldemöglichkeit
 <dl>
 <dt style="float: left;">1.</dt><dd>
 
 unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Frühwarnung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte,
 </dd>
 <dt style="float: left;">2.</dt><dd>
 
 unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntniserlangung des erheblichen Sicherheitsvorfalls, eine Meldung über den Sicherheitsvorfall, in der die in Nr. 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden,
 </dd>
 <dt style="float: left;">3.</dt><dd>
 
 auf Ersuchen des Landesamtes einen Zwischenbericht über relevante Statusaktualisierungen und
 </dd>
 <dt style="float: left;">4.</dt><dd>
 
 spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Nr. 2, vorbehaltlich des Abs. 3, einen Abschlussbericht, der Folgendes enthält:
 <dl>
 <dt style="float: left;">a)</dt><dd>
 
 eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen,
 </dd>
 <dt style="float: left;">b)</dt><dd>
 
 Angaben zur Art der Bedrohung sowie zur zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat,
 </dd>
 <dt style="float: left;">c)</dt><dd>
 
 Angaben zu den getroffenen und laufenden Abhilfemaßnahmen und
 </dd>
 <dt style="float: left;">d)</dt><dd>
 
 gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls.
 </dd>
 </dl>
 </dd>
 </dl>(2) 
 1Ein Sicherheitsvorfall liegt vor, wenn ein Ereignis die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder die Dienste, die über informationstechnische Systeme, Komponenten oder Prozesse angeboten werden oder zugänglich sind, beeinträchtigt.&nbsp;2Ein Sicherheitsvorfall gilt als erheblich, wenn dieser
 
 
 <dl>
 <dt style="float: left;">1.</dt><dd>
 
 schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann,
 </dd>
 <dt style="float: left;">2.</dt><dd>
 
 andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann oder
 </dd>
 <dt style="float: left;">3.</dt><dd>
 
 in einem Durchführungsrechtsakt der Europäischen Kommission gemäß Art. 23 Abs. 11 Unterabs. 2 der Richtlinie (EU) 2022/2555 als erheblich bezeichnet ist.
 </dd>
 </dl>(3) Dauert der Sicherheitsvorfall im Zeitpunkt des Abs. 1 Nr. 4 noch an, legt die betreffende Einrichtung statt eines Abschlussberichtes zu diesem Zeitpunkt einen Fortschrittsbericht und binnen eines Monats nach Abschluss der Bearbeitung des Sicherheitsvorfalls einen Abschlussbericht vor.(4) 
 1Soweit die Europäische Kommission einen Durchführungsrechtsakt gemäß Art. 23 Abs. 11 Unterabs. 1 der Richtlinie (EU) 2022/2555 erlässt, in dem die Art der Angaben, das Format oder das Verfahren der Meldungen festgelegt ist, sind diese Vorgaben einzuhalten.&nbsp;2Das Landesamt kann die Einzelheiten zur Ausgestaltung des Meldeverfahrens und zur Konkretisierung der Meldungsinhalte im Einvernehmen mit dem Staatsministerium der Finanzen und für Heimat festlegen, soweit dies Durchführungsrechtsakten der Europäischen Kommission nicht widerspricht.(5) Das Landesamt unterrichtet die nationale zentrale Anlaufstelle im Sinne des Art. 8 Abs. 3 der Richtlinie (EU) 2022/2555 unverzüglich über eingegangene Meldungen nach diesem Artikel.(6) 
 1Das Landesamt übermittelt der meldenden Einrichtung unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach Eingang der Frühwarnung eine Antwort, einschließlich einer ersten Rückmeldung zu dem erheblichen Sicherheitsvorfall und, auf Ersuchen der Einrichtung, Orientierungshilfen oder operative Beratung für die Durchführung möglicher Abhilfemaßnahmen.&nbsp;2Das Landesamt leistet auf Ersuchen der meldenden Einrichtung zusätzliche technische Unterstützung.&nbsp;3Wird bei dem erheblichen Sicherheitsvorfall ein krimineller Hintergrund vermutet, gibt das Landesamt ferner Orientierungshilfen für die Meldung des Sicherheitsvorfalls an die Strafverfolgungsbehörden.&nbsp;4Das Landesamt bearbeitet auch sonstige Meldungen gemäß <a href="/bayern/baydig/43" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Behördenübergreifende Pflichten" data-lli="0" target="_blank">Art. 43</a> Abs. 3 Satz 2 nach dem in diesem Absatz vorgesehenen Verfahren und kann der meldenden Stelle auf Ersuchen entsprechende Unterstützung leisten.(7) 
 1Einrichtungen mit Bedeutung für den Binnenmarkt können darüber hinaus auf freiwilliger Basis Sicherheitsvorfälle im Sinne des Abs. 2 Satz 1, Cyberbedrohungen im Sinne des Art. 2 Nr. 8 der Verordnung (EU) 2019/881 und Beinahe-Vorfälle im Sinne des Art. 6 Nr. 5 der Richtlinie (EU) 2022/2555 an das Landesamt melden.&nbsp;2Abs. 6 Satz 4 und <a href="/bayern/baydig/43" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Behördenübergreifende Pflichten" data-lli="1" target="_blank">Art. 43</a> Abs. 3 Satz 3 und 4 gelten entsprechend.

Besonderes Meldeverfahren

(1) 
 1In Bezug auf Einrichtungen mit Bedeutung für den Binnenmarkt gelten ergänzend zu den Art. 41 bis 49 die Bestimmungen dieses Kapitels.&nbsp;2Die <a href="/bayern/baydig/41" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Landesamt für Sicherheit in der Informationstechnik" data-lli="0" target="_blank">Art. 41</a> bis <a href="/bayern/baydig/49" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Datenübermittlung" data-lli="1" target="_blank">49</a> bleiben unberührt.(2) 
 1Einrichtungen mit Bedeutung für den Binnenmarkt sind staatliche Behörden, die nach einer risikobasierten Bewertung Dienste erbringen, deren Störung erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Tätigkeiten haben könnte.&nbsp;2Satz 1 gilt nicht für den Landtag, den Landesbeauftragten für den Datenschutz, den Obersten Rechnungshof, die Justiz sowie Behörden, die ausschließlich in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, tätig werden.&nbsp;3Werden Behörden nur teilweise in den Bereichen des Satzes 2 tätig, finden die Vorschriften dieses Kapitels insoweit keine Anwendung.(3) 
 1Das Landesamt ermittelt unter Einbindung der obersten Dienstbehörden erstmalig bis zum 17. April 2025 alle Einrichtungen mit Bedeutung für den Binnenmarkt.&nbsp;2Dabei sind die in Art. 27 Abs. 2 der Richtlinie (EU) 2022/2555 genannten Informationen zu erfassen.&nbsp;3Einrichtungen mit Bedeutung für den Binnenmarkt teilen Änderungen der erfassten Informationen unverzüglich dem Landesamt mit.&nbsp;4Das Landesamt überprüft die erfassten Informationen regelmäßig, spätestens jedoch alle zwei Jahre.&nbsp;5Die ermittelten Einrichtungen mit Bedeutung für den Binnenmarkt und die erfassten Informationen übermittelt das Landesamt der nationalen zentralen Anlaufstelle im Sinne des Art. 8 Abs. 3 der Richtlinie (EU) 2022/2555 erstmals zum 17. April 2025 und danach alle zwei Jahre, im Fall von Änderungen unverzüglich.(4) 
 1Für Einrichtungen mit Bedeutung für den Binnenmarkt gelten als Mindestsicherheitsniveau die durch und aufgrund von Art. 21 der Richtlinie (EU) 2022/2555 festgelegten Standards.&nbsp;2<a href="/bayern/baydig/45" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Untersuchung der Sicherheit in der Informationstechnik" data-lli="2" target="_blank">Art. 45</a> Abs. 1 findet in Bezug auf die Anforderungen nach Satz 1 entsprechend Anwendung.(5) Die in diesem Kapitel festgelegten Verpflichtungen umfassen nicht die Bereitstellung von Informationen, deren Offenlegung wesentlichen Interessen im Bereich der nationalen Sicherheit, der öffentlichen Sicherheit oder der Verteidigung zuwiderlaufen würde.

Einrichtung mit Bedeutung für den Binnenmarkt

(1) 
 1Der Freistaat Bayern soll digitale Verwaltungsinfrastrukturen zur behördenübergreifenden Nutzung bereitstellen (Basisdienste).&nbsp;2Die datenschutzrechtliche Verantwortung für die Nutzung liegt bei der nutzenden Stelle.&nbsp;3Die Möglichkeit einer gemeinsamen Verantwortung gemäß Art. 26 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO) bleibt hiervon unberührt.(2) 
 1Der Freistaat Bayern kann den Behörden digitale Verwaltungsinfrastrukturen des Staatsministeriums für Digitales oder des Staatsministeriums der Finanzen und für Heimat bereitstellen (zentrale Dienste).&nbsp;2Die datenschutzrechtliche Verantwortung liegt in diesem Fall beim bereitstellenden Staatsministerium.&nbsp;3Personenbezogene Daten können mit Zustimmung des Nutzers an angeschlossene Behörden übermittelt werden.&nbsp;4Diese personenbezogenen Daten dürfen ausschließlich für die Zwecke der zentralen Dienste und der mit diesen in Anspruch genommenen Verwaltungsleistungen verarbeitet werden.(3) 
 1Behördenübergreifende Dienste werden in der Regel als Basisdienste angeboten.&nbsp;2Soll ein zentraler Dienst bereitgestellt werden, ist dies ausdrücklich festzulegen.&nbsp;3Die Nutzung von Basisdiensten und zentralen Diensten kann den Behörden vom Staatsministerium für Digitales im Einvernehmen mit dem Staatsministerium der Finanzen und für Heimat verbindlich vorgegeben werden.(4) 
 1Der Freistaat Bayern stellt den Behörden Dienste im Sinne der Abs. 1 und 2 zur Aufgabenerfüllung zur Verfügung, soweit dies wirtschaftlich und zweckmäßig ist.&nbsp;2Die Behörden können ihre Verpflichtungen gemäß den <a href="/bayern/baydig/16" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Digitale Kommunikation" data-lli="0" target="_blank">Art. 16</a> bis <a href="/bayern/baydig/25" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Zustellung über Portale" data-lli="1" target="_blank">25</a> auch durch den Anschluss an Dienste im Sinne der Abs. 1 und 2 erfüllen.(5) 
 1Die Bereitstellung von Diensten aus anderen Ländern zur Nachnutzung im Rahmen der Umsetzung des <a href="/bund/ozg" data-href="/[lawProviderSlug]/[lawAbbreviation]" data-ll="true" target="_blank">Onlinezugangsgesetzes</a> erfolgt für die Behörden, Gerichte und Staatsanwaltschaften über das Staatsministerium für Digitales in Zusammenarbeit mit den fachlich zuständigen Ressorts.&nbsp;2Die Bereitstellung von Diensten im Sinne des Satzes 1 an die Behörden erfolgt nach Freigabe durch das fachlich zuständige Ressort.&nbsp;3Das Staatsministerium für Digitales kann sich zur Erfüllung der Aufgabe im Sinne des Satzes 1 auf der Grundlage eines öffentlich-rechtlichen Vertrags der in <a href="/bayern/baydig/52" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Errichtung der BayKommun" data-lli="2" target="_blank">Art. 52</a> Abs. 1 genannten Anstalt des öffentlichen Rechts bedienen.

Art. 42 BayDiG

Aufgaben