Bayerisches Digitalgesetz

Gesetz über die Digitalisierung im Freistaat Bayern

(1) 
 1Die Sicherheit der informationstechnischen Systeme der Behörden ist im Rahmen der Verhältnismäßigkeit sicherzustellen.&nbsp;2Die Behörden treffen zu diesem Zweck angemessene technische, operative und organisatorische Maßnahmen und erstellen die hierzu erforderlichen Informationssicherheitskonzepte.(2) Die obersten Dienstbehörden stellen in ihrem Geschäftsbereich sicher, dass die Leitungsebene staatlicher Behörden über ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie zu Risikomanagementpraktiken im Bereich Cybersicherheit verfügt.(3) 
 1Werden staatlichen oder sonstigen an das Behördennetz angeschlossenen Stellen Informationen bekannt, die zur Abwehr von Gefahren für die Sicherheit in der Informationstechnik von Bedeutung sind, unterrichten diese das Landesamt und ihre jeweilige oberste Dienstbehörde unverzüglich hierüber, soweit andere Vorschriften oder Vereinbarungen mit Dritten nicht entgegenstehen.&nbsp;2Andere Stellen können erhebliche Sicherheitsvorfälle im Sinne des <a href="/bayern/baydig/49b" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Besonderes Meldeverfahren" data-lli="0" target="_blank">Art. 49b</a> Abs. 2 Satz 2, Cyberbedrohungen im Sinne des Art. 2 Nr. 8 der Verordnung (EU) 2019/881 und Beinahe-Vorfälle im Sinne des Art. 6 Nr. 5 der Richtlinie (EU) 2022/2555 an das Landesamt melden.&nbsp;3Soweit erforderlich übermittelt das Landesamt der nationalen zentralen Anlaufstelle im Sinne des Art. 8 Abs. 3 der Richtlinie (EU) 2022/2555 die Informationen über die gemäß diesem Absatz eingegangenen Meldungen, wobei es die Vertraulichkeit und den angemessenen Schutz der von der meldenden Stelle übermittelten Informationen sicherstellt.&nbsp;4Unbeschadet der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten dürfen Meldungen nach Satz 2 nicht dazu führen, dass der meldenden Stelle zusätzliche Verpflichtungen auferlegt werden, die nicht für sie gegolten hätten, wenn sie die Meldung nicht übermittelt hätte.(4) Die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen unterstützen das Landesamt bei Maßnahmen nach <a href="/bayern/baydig/42" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Aufgaben" data-lli="1" target="_blank">Art. 42</a> Abs. 1 Nr. 1, 2, 4 und 5, soweit keine Vorschriften entgegenstehen.(5) Bei der Planung und Umsetzung von maßgeblichen neuen Digitalisierungsvorhaben des Landes ist das Landesamt zur Gewährleistung der Sicherheit in der Informationstechnik durch die jeweils zuständige Stelle frühzeitig zu beteiligen und es ist ihm die Gelegenheit zur Stellungnahme zu geben.

Behördenübergreifende Pflichten

(1) Einrichtungen mit Bedeutung für den Binnenmarkt übermitteln dem Landesamt über eine eingerichtete Meldemöglichkeit
 <dl>
 <dt style="float: left;">1.</dt><dd>
 
 unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Frühwarnung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte,
 </dd>
 <dt style="float: left;">2.</dt><dd>
 
 unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntniserlangung des erheblichen Sicherheitsvorfalls, eine Meldung über den Sicherheitsvorfall, in der die in Nr. 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden,
 </dd>
 <dt style="float: left;">3.</dt><dd>
 
 auf Ersuchen des Landesamtes einen Zwischenbericht über relevante Statusaktualisierungen und
 </dd>
 <dt style="float: left;">4.</dt><dd>
 
 spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Nr. 2, vorbehaltlich des Abs. 3, einen Abschlussbericht, der Folgendes enthält:
 <dl>
 <dt style="float: left;">a)</dt><dd>
 
 eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen,
 </dd>
 <dt style="float: left;">b)</dt><dd>
 
 Angaben zur Art der Bedrohung sowie zur zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat,
 </dd>
 <dt style="float: left;">c)</dt><dd>
 
 Angaben zu den getroffenen und laufenden Abhilfemaßnahmen und
 </dd>
 <dt style="float: left;">d)</dt><dd>
 
 gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls.
 </dd>
 </dl>
 </dd>
 </dl>(2) 
 1Ein Sicherheitsvorfall liegt vor, wenn ein Ereignis die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder die Dienste, die über informationstechnische Systeme, Komponenten oder Prozesse angeboten werden oder zugänglich sind, beeinträchtigt.&nbsp;2Ein Sicherheitsvorfall gilt als erheblich, wenn dieser
 
 
 <dl>
 <dt style="float: left;">1.</dt><dd>
 
 schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann,
 </dd>
 <dt style="float: left;">2.</dt><dd>
 
 andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann oder
 </dd>
 <dt style="float: left;">3.</dt><dd>
 
 in einem Durchführungsrechtsakt der Europäischen Kommission gemäß Art. 23 Abs. 11 Unterabs. 2 der Richtlinie (EU) 2022/2555 als erheblich bezeichnet ist.
 </dd>
 </dl>(3) Dauert der Sicherheitsvorfall im Zeitpunkt des Abs. 1 Nr. 4 noch an, legt die betreffende Einrichtung statt eines Abschlussberichtes zu diesem Zeitpunkt einen Fortschrittsbericht und binnen eines Monats nach Abschluss der Bearbeitung des Sicherheitsvorfalls einen Abschlussbericht vor.(4) 
 1Soweit die Europäische Kommission einen Durchführungsrechtsakt gemäß Art. 23 Abs. 11 Unterabs. 1 der Richtlinie (EU) 2022/2555 erlässt, in dem die Art der Angaben, das Format oder das Verfahren der Meldungen festgelegt ist, sind diese Vorgaben einzuhalten.&nbsp;2Das Landesamt kann die Einzelheiten zur Ausgestaltung des Meldeverfahrens und zur Konkretisierung der Meldungsinhalte im Einvernehmen mit dem Staatsministerium der Finanzen und für Heimat festlegen, soweit dies Durchführungsrechtsakten der Europäischen Kommission nicht widerspricht.(5) Das Landesamt unterrichtet die nationale zentrale Anlaufstelle im Sinne des Art. 8 Abs. 3 der Richtlinie (EU) 2022/2555 unverzüglich über eingegangene Meldungen nach diesem Artikel.(6) 
 1Das Landesamt übermittelt der meldenden Einrichtung unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach Eingang der Frühwarnung eine Antwort, einschließlich einer ersten Rückmeldung zu dem erheblichen Sicherheitsvorfall und, auf Ersuchen der Einrichtung, Orientierungshilfen oder operative Beratung für die Durchführung möglicher Abhilfemaßnahmen.&nbsp;2Das Landesamt leistet auf Ersuchen der meldenden Einrichtung zusätzliche technische Unterstützung.&nbsp;3Wird bei dem erheblichen Sicherheitsvorfall ein krimineller Hintergrund vermutet, gibt das Landesamt ferner Orientierungshilfen für die Meldung des Sicherheitsvorfalls an die Strafverfolgungsbehörden.&nbsp;4Das Landesamt bearbeitet auch sonstige Meldungen gemäß <a href="/bayern/baydig/43" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Behördenübergreifende Pflichten" data-lli="0" target="_blank">Art. 43</a> Abs. 3 Satz 2 nach dem in diesem Absatz vorgesehenen Verfahren und kann der meldenden Stelle auf Ersuchen entsprechende Unterstützung leisten.(7) 
 1Einrichtungen mit Bedeutung für den Binnenmarkt können darüber hinaus auf freiwilliger Basis Sicherheitsvorfälle im Sinne des Abs. 2 Satz 1, Cyberbedrohungen im Sinne des Art. 2 Nr. 8 der Verordnung (EU) 2019/881 und Beinahe-Vorfälle im Sinne des Art. 6 Nr. 5 der Richtlinie (EU) 2022/2555 an das Landesamt melden.&nbsp;2Abs. 6 Satz 4 und <a href="/bayern/baydig/43" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Behördenübergreifende Pflichten" data-lli="1" target="_blank">Art. 43</a> Abs. 3 Satz 3 und 4 gelten entsprechend.

Besonderes Meldeverfahren

(1) Das Landesamt hat
 <dl>
 <dt style="float: left;">1.</dt><dd>
 
 Gefahren für die Sicherheit der Informationstechnik an den Schnittstellen zwischen Behördennetz und anderen Netzen abzuwehren,
 </dd>
 <dt style="float: left;">2.</dt><dd>
 
 die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen bei der Abwehr von Gefahren für die Sicherheit in der Informationstechnik zu unterstützen,
 </dd>
 <dt style="float: left;">3.</dt><dd>
 
 sicherheitstechnische Mindeststandards an die Informationstechnik für die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen zu entwickeln,
 </dd>
 <dt style="float: left;">4.</dt><dd>
 
 die Einhaltung der Mindeststandards nach Nr. 3 zu prüfen,
 </dd>
 <dt style="float: left;">5.</dt><dd>
 
 alle für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik, die Erkennung von Sicherheitsrisiken und die Bewertung von Sicherheitsvorkehrungen erforderlichen Informationen zu sammeln und auszuwerten sowie die staatlichen und sonstigen an das Behördennetz angeschlossenen Stellen unverzüglich über die sie betreffenden Informationen zu unterrichten,
 </dd>
 <dt style="float: left;">6.</dt><dd>
 
 die zuständigen Aufsichtsbehörden über Informationen, die es als Kontaktstelle im Rahmen des Verfahrens zu <a href="/bund/bsig/8b" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen" data-lli="0" target="_blank">§ 8b</a> des <a href="/bund/bsig" data-href="/[lawProviderSlug]/[lawAbbreviation]" data-ll="true" target="_blank">BSI-Gesetzes</a> erhalten hat, zu unterrichten,
 </dd>
 <dt style="float: left;">7.</dt><dd>
 
 als Computer-Notfallteam (CSIRT) im Sinne von Art. 10 der Richtlinie (EU) 2022/2555 die Aufgaben nach Art. 11 Abs. 3 der Richtlinie (EU) 2022/2555 wahrzunehmen,
 </dd>
 <dt style="float: left;">8.</dt><dd>
 
 an Peer Reviews nach Art. 19 der Richtlinie (EU) 2022/2555 mitzuwirken,
 </dd>
 <dt style="float: left;">9.</dt><dd>
 
 der Leitungsebene und den Beschäftigten von Behörden Schulungen im Bereich Cybersicherheit anzubieten und
 </dd>
 <dt style="float: left;">10.</dt><dd>
 
 Meldungen nach <a href="/bayern/baydig/43" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Behördenübergreifende Pflichten" data-lli="1" target="_blank">Art. 43</a> Abs. 3 Satz 3 und Art. <a href="/bayern/baydig/49b" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Besonderes Meldeverfahren" data-lli="2" target="_blank">49b</a> Abs. 5 sowie Informationen nach <a href="/bayern/baydig/49a" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Einrichtung mit Bedeutung für den Binnenmarkt" data-lli="3" target="_blank">Art. 49a</a> Abs. 3 an die nationale zentrale Anlaufstelle im Sinne des Art. 8 Abs. 3 der Richtlinie (EU) 2022/2555 zu übermitteln.
 </dd>
 </dl>(2) Auf Ersuchen kann das Landesamt staatliche und kommunale Stellen, öffentliche Unternehmen, Betreiber kritischer Infrastrukturen und weitere Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen beraten und unterstützen.(3) Auf Ersuchen kann das Landesamt die Polizei, die Strafverfolgungsbehörden und das Landesamt für Verfassungsschutz bei der Wahrnehmung ihrer gesetzlichen Aufgaben technisch unterstützen, insbesondere bei der Durchführung von technischen Untersuchungen oder der Datenverarbeitung.(4) Für die Kommunikationstechnik des Landtags, der Gerichte, des Obersten Rechnungshofs und des Landesbeauftragten für den Datenschutz ist das Landesamt nur zuständig, soweit sie an das Behördennetz angeschlossen sind oder Dienste im Sinne des <a href="/bayern/baydig/37" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Basisdienste und zentrale Dienste" data-lli="4" target="_blank">Art. 37</a> nutzen.(5) Das Landesamt arbeitet mit dem Bundesamt für Sicherheit in der Informationstechnik, den für IT-Sicherheit in den Ländern und in den Mitgliedstaaten zuständigen Stellen, der Agentur der Europäischen Union für Cybersicherheit und den gemäß der Verordnung (EU) 2022/2554 und der Richtlinie (EU) 2022/2557 jeweils zuständigen Behörden zusammen.

Art. 43 BayDiG

Behördenübergreifende Pflichten