Art. 49c BayDiG

(1) ¹Das Landesamt überwacht bei Einrichtungen mit Bedeutung für den Binnenmarkt die Einhaltung der Verpflichtungen nach Art. 43 Abs. 1, Art. 46, 49a Abs. 3 Satz 3, Abs. 4 und Art. 49b nach Maßgabe des Art. 33 der Richtlinie (EU) 2022/2555. ²Rechtfertigen Tatsachen die Annahme, dass eine Einrichtung mit Bedeutung für den Binnenmarkt einer Verpflichtung nach Satz 1 nicht nachkommt, so kann das Landesamt, soweit dies zur Erfüllung seiner Aufgabe nach Satz 1 erforderlich ist, im Einvernehmen mit der zuständigen obersten Dienstbehörde

1.

bei der betreffenden Einrichtung Vor-Ort-Kontrollen, externe nachträgliche Aufsichtsmaßnahmen, gezielte Sicherheitsprüfungen oder Sicherheitsscans auf der Grundlage objektiver, nichtdiskriminierender, fairer und transparenter Risikobewertungskriterien, erforderlichenfalls auch in Zusammenarbeit mit der betreffenden Einrichtung, durchführen oder unabhängige Stellen mit der Durchführung einer gezielten Sicherheitsüberprüfung beauftragen,

2.

von der betreffenden Einrichtung Informationen zur nachträglichen Bewertung der ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit, einschließlich dokumentierter Cybersicherheitskonzepte, oder zur Einhaltung der Verpflichtungen nach Art. 49a Abs. 3 Satz 3 anfordern,

3.

bei der betreffenden Einrichtung den Zugang zu Daten, Dokumenten oder sonstigen Informationen anfordern oder

4.

von der betreffenden Einrichtung Nachweise für die Umsetzung der Cybersicherheitskonzepte anfordern.

 ³Das Landesamt kann, soweit dies zur Behebung festgestellter Verstöße einer Einrichtung mit Bedeutung für den Binnenmarkt gegen Verpflichtungen nach Satz 1 erforderlich ist, im Einvernehmen mit der zuständigen obersten Dienstbehörde

1.

die betreffende Einrichtung anweisen oder ihr gegenüber anordnen, die festgestellten Mängel oder Verstöße gegen die Verpflichtungen nach Satz 1 zu beheben,

2.

die betreffende Einrichtung anweisen, das gegen die Verpflichtungen nach Satz 1 verstoßende Verhalten einzustellen und von Wiederholungen abzusehen,

3.

die betreffende Einrichtung anweisen, entsprechend bestimmter Vorgaben und innerhalb einer bestimmten Frist die Erfüllung der Verpflichtungen nach Satz 1 sicherzustellen oder

4.

die betreffende Einrichtung anweisen, die im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen innerhalb einer angemessenen Frist umzusetzen.

 ⁴Anweisungen nach Satz 3 sind zu begründen. ⁵Der anzuweisenden Einrichtung mit Bedeutung für den Binnenmarkt ist vorab mit angemessener Frist Gelegenheit zur Stellungnahme zu geben, es sei denn, dies würde die Wirksamkeit von sofortigen Maßnahmen zur Verhütung von Sicherheitsvorfällen oder zur Reaktion auf Sicherheitsvorfälle beeinträchtigen.

(2) Stellt das Landesamt fest, dass der Verstoß einer Einrichtung mit Bedeutung für den Binnenmarkt gegen Verpflichtungen aus Art. 43 Abs. 1, Art. 46, 49a Abs. 4 oder Art. 49b eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO zur Folge haben kann, die gemäß Art. 33 DSGVO zu melden ist, unterrichtet es im Einvernehmen mit der zuständigen obersten Dienstbehörde unverzüglich den Landesbeauftragten für den Datenschutz.

(3) ¹Das Landesamt kann, soweit erforderlich, im Einvernehmen mit der zuständigen obersten Dienstbehörde die Öffentlichkeit oder von einem Sicherheitsvorfall betroffene Dritte über erhebliche Sicherheitsvorfälle bei Einrichtungen mit Bedeutung für den Binnenmarkt sowie mögliche Abwehr- oder Abhilfemaßnahmen informieren oder Einrichtungen mit Bedeutung für den Binnenmarkt anweisen, dies zu tun. ²Zudem kann es diese im Einvernehmen mit der zuständigen obersten Dienstbehörde anweisen, Informationen zu Verstößen gegen die Verpflichtungen nach Abs. 1 Satz 1 nach bestimmten Vorgaben öffentlich bekannt zu machen oder selbst Warnungen über Verstöße gegen diese Verpflichtungen durch Einrichtungen mit Bedeutung für den Binnenmarkt herausgeben, soweit dies erforderlich ist.