Bayerisches Digitalgesetz

Gesetz über die Digitalisierung im Freistaat Bayern

<p><span>(1) </span>Das Landesamt hat</p>
              <dl>
                <dt style="float: left;">1.</dt><dd>
                  
                  <p>Gefahren für die Sicherheit der Informationstechnik an den Schnittstellen zwischen Behördennetz und anderen Netzen abzuwehren,</p>
                </dd>
                <dt style="float: left;">2.</dt><dd>
                  
                  <p>die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen bei der Abwehr von Gefahren für die Sicherheit in der Informationstechnik zu unterstützen,</p>
                </dd>
                <dt style="float: left;">3.</dt><dd>
                  
                  <p>sicherheitstechnische Mindeststandards an die Informationstechnik für die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen zu entwickeln,</p>
                </dd>
                <dt style="float: left;">4.</dt><dd>
                  
                  <p>die Einhaltung der Mindeststandards nach Nr. 3 zu prüfen,</p>
                </dd>
                <dt style="float: left;">5.</dt><dd>
                  
                  <p>alle für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik erforderlichen Informationen zu sammeln und auszuwerten sowie die staatlichen und sonstigen an das Behördennetz angeschlossenen Stellen unverzüglich über die sie betreffenden Informationen zu unterrichten und</p>
                </dd>
                <dt style="float: left;">6.</dt><dd>
                  
                  <p>die zuständigen Aufsichtsbehörden über Informationen, die es als Kontaktstelle im Rahmen des Verfahrens zu <a href="/bund/bsig/8b" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen" data-lli="0" target="_blank">§  8b</a> des <a href="/bund/bsig" data-href="/[lawProviderSlug]/[lawAbbreviation]" data-ll="true" target="_blank">BSI-Gesetzes</a> erhalten hat, zu unterrichten.</p>
                </dd>
              </dl><p><span>(2) </span>Auf Ersuchen kann das Landesamt staatliche und kommunale Stellen, öffentliche Unternehmen, Betreiber kritischer Infrastrukturen und weitere Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen beraten und unterstützen.</p><p><span>(3) </span>Auf Ersuchen kann das Landesamt die Polizei, die Strafverfolgungsbehörden und das Landesamt für Verfassungsschutz bei der Wahrnehmung ihrer gesetzlichen Aufgaben technisch unterstützen, insbesondere bei der Durchführung von technischen Untersuchungen oder der Datenverarbeitung.</p><p><span>(4) </span>Für die Kommunikationstechnik des Landtags, der Gerichte, des Obersten Rechnungshofs und des Landesbeauftragten für den Datenschutz ist das Landesamt nur zuständig, soweit sie an das Behördennetz angeschlossen sind oder Dienste im Sinne des <a href="/bayern/baydig/37" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Basisdienste und zentrale Dienste" data-lli="1" target="_blank">Art.  37</a> nutzen.</p>

Aufgaben

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik

<p>(1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik.</p><p>(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe <dl><dt style="float: left;">1.</dt><dd><div>die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentlichen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Sicherheitslücken, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und zu der dabei beobachteten Vorgehensweise,</div></dd><dt style="float: left;">2.</dt><dd><div>deren potentielle Auswirkungen auf die Verfügbarkeit der Kritischen Infrastrukturen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu analysieren,</div></dd><dt style="float: left;">3.</dt><dd><div>das Lagebild bezüglich der Sicherheit in der Informationstechnik der Kritischen Infrastrukturen oder der Unternehmen im besonderen öffentlichen Interesse kontinuierlich zu aktualisieren und</div></dd><dt style="float: left;">4.</dt><dd><div>unverzüglich <dl><dt style="float: left;">a)</dt><dd><div>die Betreiber Kritischer Infrastrukturen und die Unternehmen im besonderen öffentlichen Interesse über sie betreffende Informationen nach den Nummern 1 bis 3,</div></dd><dt style="float: left;">b)</dt><dd><div>die zuständigen Aufsichtsbehörden und die sonst zuständigen Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3,</div></dd><dt style="float: left;">c)</dt><dd><div>die zuständigen Aufsichtsbehörden der Länder oder die zu diesem Zweck dem Bundesamt von den Ländern als zentrale Kontaktstellen benannten Behörden über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3 sowie</div></dd><dt style="float: left;">d)</dt><dd><div>die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 4 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben,</div></dd></dl>zu unterrichten.</div></dd></dl></p><p>(3) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens bis zum ersten Werktag, der darauf folgt, dass diese erstmalig oder erneut als Betreiber einer Kritischen Infrastruktur nach der Rechtsverordnung nach <a href="/bund/bsig/10" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Ermächtigung zum Erlass von Rechtsverordnungen" data-lli="5" target="_blank">§ 10 Absatz 1</a> gelten, die von ihnen betriebenen Kritischen Infrastrukturen beim Bundesamt zu registrieren und eine Kontaktstelle zu benennen. Die Registrierung eines Betreibers einer Kritischen Infrastruktur kann das Bundesamt auch selbst vornehmen, wenn der Betreiber seine Pflicht zur Registrierung nicht erfüllt. Nimmt das Bundesamt eine solche Registrierung selbst vor, informiert es die zuständige Aufsichtsbehörde des Bundes darüber. Die Betreiber haben sicherzustellen, dass sie über die benannte oder durch das Bundesamt festgelegte Kontaktstelle jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle.</p><p>(3a) Rechtfertigen Tatsachen die Annahme, dass ein Betreiber seine Pflicht zur Registrierung nach Absatz 3 nicht erfüllt, so hat der Betreiber dem Bundesamt auf Verlangen die für die Bewertung aus Sicht des Bundesamtes erforderlichen Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen und Auskunft zu erteilen, soweit nicht Geheimschutzinteressen oder überwiegende Sicherheitsinteressen entgegenstehen.</p><p>(4) Betreiber Kritischer Infrastrukturen haben die folgenden Störungen unverzüglich über die Kontaktstelle an das Bundesamt zu melden: <dl><dt style="float: left;">1.</dt><dd><div>Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben,</div></dd><dt style="float: left;">2.</dt><dd><div>erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.</div></dd></dl>Die Meldung muss Angaben zu der Störung, zu möglichen grenzübergreifenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur erbrachten kritischen Dienstleistung und zu den Auswirkungen der Störung auf diese Dienstleistung enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.</p><p>(4a) Während einer erheblichen Störung gemäß Absatz 4 Satz 1 Nummer 2, <a href="/bund/bsig/8f" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Sicherheit in der Informationstechnik bei Unternehmen im besonderen öffentlichen Interesse" data-lli="4" target="_blank">§ 8f Absatz 7 Satz 1 Nummer 2 oder Absatz 8 Satz 1 Nummer 2</a> kann das Bundesamt im Einvernehmen mit der jeweils zuständigen Aufsichtsbehörde des Bundes von den betroffenen Betreibern Kritischer Infrastrukturen oder den Unternehmen im besonderen öffentlichen Interesse die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen. Betreiber Kritischer Infrastrukturen und Unternehmen im besonderen öffentlichen Interesse sind befugt, dem Bundesamt auf Verlangen die zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten zu übermitteln, soweit dies zur Bewältigung einer erheblichen Störung gemäß Absatz 4 Satz 1 Nummer 2, <a href="/bund/bsig/8f" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Sicherheit in der Informationstechnik bei Unternehmen im besonderen öffentlichen Interesse" data-lli="3" target="_blank">§ 8f Absatz 7 Satz 1 Nummer 2 oder Absatz 8 Satz 1 Nummer 2</a> erforderlich ist.</p><p>(5) Zusätzlich zu ihrer Kontaktstelle nach Absatz 3 können Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, eine gemeinsame übergeordnete Ansprechstelle benennen. Wurde eine solche benannt, erfolgt der Informationsaustausch zwischen den Kontaktstellen und dem Bundesamt in der Regel über die gemeinsame Ansprechstelle.</p><p>(6) Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4, oder <a href="/bund/bsig/8f" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Sicherheit in der Informationstechnik bei Unternehmen im besonderen öffentlichen Interesse" data-lli="2" target="_blank">§ 8f Absatz 7 oder 8</a> verlangen. Satz 1 gilt für Störungen bei Betreibern und Genehmigungsinhabern im Sinne von <a href="/bund/bsig/8d" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Anwendungsbereich" data-lli="1" target="_blank">§ 8d Absatz 3</a> entsprechend.</p><p>(7) Soweit im Rahmen dieser Vorschrift personenbezogene Daten verarbeitet werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung zu anderen Zwecken unzulässig. <a href="/bund/bsig/5" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes" data-lli="0" target="_blank">§ 5 Absatz 7 Satz 3 bis 8</a> ist entsprechend anzuwenden.</p>

Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen

<p><span>(1) </span>
                <sup>1</sup>Der Freistaat Bayern soll digitale Verwaltungsinfrastrukturen zur behördenübergreifenden Nutzung bereitstellen (Basisdienste).&nbsp;<sup>2</sup>Die datenschutzrechtliche Verantwortung für die Nutzung liegt bei der nutzenden Stelle.&nbsp;<sup>3</sup>Die Möglichkeit einer gemeinsamen Verantwortung gemäß Art. 26 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO) bleibt hiervon unberührt.</p><p><span>(2) </span>
                <sup>1</sup>Der Freistaat Bayern kann den Behörden digitale Verwaltungsinfrastrukturen des Staatsministeriums für Digitales oder des Staatsministeriums der Finanzen und für Heimat bereitstellen (zentrale Dienste).&nbsp;<sup>2</sup>Die datenschutzrechtliche Verantwortung liegt in diesem Fall beim bereitstellenden Staatsministerium.&nbsp;<sup>3</sup>Personenbezogene Daten können mit Zustimmung des Nutzers an angeschlossene Behörden übermittelt werden.&nbsp;<sup>4</sup>Diese personenbezogenen Daten dürfen ausschließlich für die Zwecke der zentralen Dienste und der mit diesen in Anspruch genommenen Verwaltungsleistungen verarbeitet werden.</p><p><span>(3) </span>
                <sup>1</sup>Behördenübergreifende Dienste werden in der Regel als Basisdienste angeboten.&nbsp;<sup>2</sup>Soll ein zentraler Dienst bereitgestellt werden, ist dies ausdrücklich festzulegen.&nbsp;<sup>3</sup>Die Nutzung von Basisdiensten und zentralen Diensten kann den Behörden vom Staatsministerium für Digitales im Einvernehmen mit dem Staatsministerium der Finanzen und für Heimat verbindlich vorgegeben werden.</p><p><span>(4) </span>
                <sup>1</sup>Der Freistaat Bayern stellt den Behörden Dienste im Sinne der Abs. 1 und 2 zur Aufgabenerfüllung zur Verfügung, soweit dies wirtschaftlich und zweckmäßig ist.&nbsp;<sup>2</sup>Die Behörden können ihre Verpflichtungen gemäß den <a href="/bayern/baydig/16" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Digitale Kommunikation" data-lli="0" target="_blank">Art.  16</a> bis <a href="/bayern/baydig/25" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Zustellung über Portale" data-lli="1" target="_blank">25</a> auch durch den Anschluss an Dienste im Sinne der Abs. 1 und 2 erfüllen.</p><p><span>(5) </span>
                <sup>1</sup>Die Bereitstellung von Diensten aus anderen Ländern zur Nachnutzung im Rahmen der Umsetzung des <a href="/bund/ozg" data-href="/[lawProviderSlug]/[lawAbbreviation]" data-ll="true" target="_blank">Onlinezugangsgesetzes</a> erfolgt für die Behörden, Gerichte und Staatsanwaltschaften über das Staatsministerium für Digitales in Zusammenarbeit mit den fachlich zuständigen Ressorts.&nbsp;<sup>2</sup>Die Bereitstellung von Diensten im Sinne des Satzes 1 an die Behörden erfolgt nach Freigabe durch das fachlich zuständige Ressort.&nbsp;<sup>3</sup>Das Staatsministerium für Digitales kann sich zur Erfüllung der Aufgabe im Sinne des Satzes 1 auf der Grundlage eines öffentlich-rechtlichen Vertrags der in <a href="/bayern/baydig/52" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Errichtung der eKom.Unit Bayern" data-lli="2" target="_blank">Art.  52</a> Abs. 1 genannten Anstalt des öffentlichen Rechts bedienen.</p>

Art. 42 BayDiG

Aufgaben