Art. 49b BayDiG

(1) Einrichtungen mit Bedeutung für den Binnenmarkt übermitteln dem Landesamt über eine eingerichtete Meldemöglichkeit

1.

unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Frühwarnung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte,

2.

unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntniserlangung des erheblichen Sicherheitsvorfalls, eine Meldung über den Sicherheitsvorfall, in der die in Nr. 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden,

3.

auf Ersuchen des Landesamtes einen Zwischenbericht über relevante Statusaktualisierungen und

4.

spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Nr. 2, vorbehaltlich des Abs. 3, einen Abschlussbericht, der Folgendes enthält:

a)

eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen,

b)

Angaben zur Art der Bedrohung sowie zur zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat,

c)

Angaben zu den getroffenen und laufenden Abhilfemaßnahmen und

d)

gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls.

(2) ¹Ein Sicherheitsvorfall liegt vor, wenn ein Ereignis die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder die Dienste, die über informationstechnische Systeme, Komponenten oder Prozesse angeboten werden oder zugänglich sind, beeinträchtigt. ²Ein Sicherheitsvorfall gilt als erheblich, wenn dieser

1.

schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann,

2.

andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann oder

3.

in einem Durchführungsrechtsakt der Europäischen Kommission gemäß Art. 23 Abs. 11 Unterabs. 2 der Richtlinie (EU) 2022/2555 als erheblich bezeichnet ist.

(3) Dauert der Sicherheitsvorfall im Zeitpunkt des Abs. 1 Nr. 4 noch an, legt die betreffende Einrichtung statt eines Abschlussberichtes zu diesem Zeitpunkt einen Fortschrittsbericht und binnen eines Monats nach Abschluss der Bearbeitung des Sicherheitsvorfalls einen Abschlussbericht vor.

(4) ¹Soweit die Europäische Kommission einen Durchführungsrechtsakt gemäß Art. 23 Abs. 11 Unterabs. 1 der Richtlinie (EU) 2022/2555 erlässt, in dem die Art der Angaben, das Format oder das Verfahren der Meldungen festgelegt ist, sind diese Vorgaben einzuhalten. ²Das Landesamt kann die Einzelheiten zur Ausgestaltung des Meldeverfahrens und zur Konkretisierung der Meldungsinhalte im Einvernehmen mit dem Staatsministerium der Finanzen und für Heimat festlegen, soweit dies Durchführungsrechtsakten der Europäischen Kommission nicht widerspricht.

(5) Das Landesamt unterrichtet die nationale zentrale Anlaufstelle im Sinne des Art. 8 Abs. 3 der Richtlinie (EU) 2022/2555 unverzüglich über eingegangene Meldungen nach diesem Artikel.

(6) ¹Das Landesamt übermittelt der meldenden Einrichtung unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach Eingang der Frühwarnung eine Antwort, einschließlich einer ersten Rückmeldung zu dem erheblichen Sicherheitsvorfall und, auf Ersuchen der Einrichtung, Orientierungshilfen oder operative Beratung für die Durchführung möglicher Abhilfemaßnahmen. ²Das Landesamt leistet auf Ersuchen der meldenden Einrichtung zusätzliche technische Unterstützung. ³Wird bei dem erheblichen Sicherheitsvorfall ein krimineller Hintergrund vermutet, gibt das Landesamt ferner Orientierungshilfen für die Meldung des Sicherheitsvorfalls an die Strafverfolgungsbehörden. ⁴Das Landesamt bearbeitet auch sonstige Meldungen gemäß Art. 43 Abs. 3 Satz 2 nach dem in diesem Absatz vorgesehenen Verfahren und kann der meldenden Stelle auf Ersuchen entsprechende Unterstützung leisten.

(7) ¹Einrichtungen mit Bedeutung für den Binnenmarkt können darüber hinaus auf freiwilliger Basis Sicherheitsvorfälle im Sinne des Abs. 2 Satz 1, Cyberbedrohungen im Sinne des Art. 2 Nr. 8 der Verordnung (EU) 2019/881 und Beinahe-Vorfälle im Sinne des Art. 6 Nr. 5 der Richtlinie (EU) 2022/2555 an das Landesamt melden. ²Abs. 6 Satz 4 und Art. 43 Abs. 3 Satz 3 und 4 gelten entsprechend.