BSI-Gesetz

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen

<p>(1) Zur Erfüllung seiner Aufgaben nach <a href="/bund/bsig/3" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Aufgaben des Bundesamtes" data-lli="1" target="_blank">§ 3 Absatz 1 Satz 2 Nummer 20 und 21</a> kann das Bundesamt <dl><dt style="float: left;">1.</dt><dd><div>die folgenden Warnungen und Informationen an die Öffentlichkeit oder an die betroffenen Kreise richten: <dl><dt style="float: left;">a)</dt><dd><div>Warnungen vor Schwachstellen und anderen Sicherheitsrisiken in informationstechnischen Produkten und Diensten,</div></dd><dt style="float: left;">b)</dt><dd><div>Warnungen vor Schadprogrammen,</div></dd><dt style="float: left;">c)</dt><dd><div>Warnungen bei einem Verlust oder einem unerlaubten Zugriff auf Daten,</div></dd><dt style="float: left;">d)</dt><dd><div>Informationen über sicherheitsrelevante IT-Eigenschaften von Produkten und</div></dd><dt style="float: left;">e)</dt><dd><div>Informationen über Verstöße besonders wichtiger Einrichtungen oder wichtiger Einrichtungen gegen die Pflichten aus diesem Gesetz sowie</div></dd></dl></div></dd><dt style="float: left;">2.</dt><dd><div>Sicherheitsmaßnahmen und Einsatz bestimmter Sicherheitsprodukte empfehlen.</div></dd></dl>Das Bundesamt kann zur Wahrnehmung der Aufgaben nach Satz 1 Dritte einbeziehen, wenn dies für eine wirksame und rechtzeitige Warnung erforderlich ist.</p><p>(2) Die Hersteller betroffener Produkte sind rechtzeitig vor Veröffentlichung der Warnungen zu informieren. Diese Informationspflicht besteht nicht, <dl><dt style="float: left;">1.</dt><dd><div>wenn hierdurch die Erreichung des mit der Maßnahme verfolgten Zwecks gefährdet würde oder</div></dd><dt style="float: left;">2.</dt><dd><div>wenn berechtigterweise davon ausgegangen werden kann, dass der Hersteller an einer vorherigen Benachrichtigung kein Interesse hat.</div></dd></dl>Soweit entdeckte Schwachstellen oder Schadprogramme nicht allgemein bekannt werden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist, kann es den Kreis der zu warnenden Personen einschränken. Kriterien für die Auswahl des zu warnenden Personenkreises nach Satz 3 sind insbesondere die besondere Gefährdung bestimmter Einrichtungen oder die besondere Zuverlässigkeit des Empfängers.</p><p>(3) Zur Erfüllung seiner Aufgaben nach <a href="/bund/bsig/3" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Aufgaben des Bundesamtes" data-lli="0" target="_blank">§ 3 Absatz 1 Satz 2 Nummer 20 und 21</a> kann das Bundesamt die Öffentlichkeit unter Nennung der Bezeichnung und des Herstellers des betroffenen Produkts und Dienstes <dl><dt style="float: left;">1.</dt><dd><div>vor Schwachstellen in informationstechnischen Produkten und Diensten und vor Schadprogrammen warnen, wenn hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik hiervon ausgehen, oder</div></dd><dt style="float: left;">2.</dt><dd><div>Sicherheitsmaßnahmen sowie den Einsatz bestimmter informationstechnischer Produkte und Dienste empfehlen.</div></dd></dl>Stellen sich die an die Öffentlichkeit gegebenen Informationen im Nachhinein als falsch heraus oder stellen sich die zugrunde liegenden Umstände als unzutreffend wiedergegeben heraus, ist dies unverzüglich öffentlich bekannt zu machen. Warnungen nach Satz 1 sind sechs Monate nach der Veröffentlichung zu entfernen, wenn nicht weiterhin hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik bestehen. Wird eine Warnung nach Satz 3 nicht entfernt, so ist diese Entscheidung regelmäßig zu überprüfen.</p>

Warnungen

<p>(1) Das Bundesamt fördert die Sicherheit in der Informationstechnik. Hierzu nimmt es folgende wichtige im öffentlichen Interesse liegende Aufgaben wahr: <dl><dt style="float: left;">1.</dt><dd><div>Gefahren für die Sicherheit in der Informationstechnik des Bundes abwehren;</div></dd><dt style="float: left;">2.</dt><dd><div>Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen sammeln und auswerten und die gewonnenen Erkenntnisse anderen Stellen zur Verfügung stellen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist, und Dritten zur Verfügung stellen, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist;</div></dd><dt style="float: left;">3.</dt><dd><div>Aufgaben in der Kooperationsgruppe und im CSIRTs-Netzwerk nach den Artikeln 14 und 15 der NIS-2-Richtlinie wahrnehmen;</div></dd><dt style="float: left;">4.</dt><dd><div>Sicherheitsrisiken bei der Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen untersuchen, insbesondere von informationstechnischen Verfahren und Geräten für die Sicherheit in der Informationstechnik (IT-Sicherheitsprodukte), soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist, einschließlich der Forschung im Rahmen seiner gesetzlichen Aufgaben;</div></dd><dt style="float: left;">5.</dt><dd><div>Kriterien, Verfahren und Werkzeuge für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und für die Prüfung und Bewertung der Konformität im Bereich der IT-Sicherheit entwickeln;</div></dd><dt style="float: left;">6.</dt><dd><div>Peer Reviews nach Artikel 19 der NIS-2-Richtlinie durchführen;</div></dd><dt style="float: left;">7.</dt><dd><div>Sicherheitsanforderungen für die Kommunikationsinfrastruktur der ressortübergreifenden Kommunikationsnetze sowie weiterer staatlicher Kommunikationsinfrastrukturen des Bundes im Benehmen mit den jeweiligen Betreibern festlegen sowie die Einhaltung dieser Sicherheitsanforderungen überprüfen;</div></dd><dt style="float: left;">8.</dt><dd><div>Sicherheit von informationstechnischen Systemen oder Komponenten prüfen und bewerten sowie Sicherheitszertifikate erteilen;</div></dd><dt style="float: left;">9.</dt><dd><div>Aufgaben und Befugnisse nach <a href="/bund/bsig/58" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Berichtspflichten des Bundesamtes" data-lli="6" target="_blank">Artikel 58 Absatz 7 und 8</a> der Verordnung (EU) 2019/881 als nationale Behörde für die Cybersicherheitszertifizierung wahrnehmen;</div></dd><dt style="float: left;">10.</dt><dd><div>Konformität im Bereich der IT-Sicherheit von informationstechnischen Systemen und Komponenten mit technischen Richtlinien des Bundesamtes prüfen und bestätigen;</div></dd><dt style="float: left;">11.</dt><dd><div>informationstechnische Systeme oder Komponenten, die für die Verarbeitung amtlich geheim gehaltener Informationen nach <a href="/bund/sueg/4" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Allgemeine Grundsätze zum Schutz von Verschlusssachen, Mitwirkung des Bundesamtes für Sicherheit in der Informationstechnik" data-lli="5" target="_blank">§ 4</a> des <a href="/bund/sueg" data-href="/[lawProviderSlug]/[lawAbbreviation]" data-ll="true" target="_blank">Sicherheitsüberprüfungsgesetzes</a> im Bereich des Bundes oder bei Unternehmen im Rahmen von Aufträgen des Bundes eingesetzt werden sollen, prüfen, bewerten und zulassen;</div></dd><dt style="float: left;">12.</dt><dd><div>Schlüsseldaten und Betrieb von Krypto- und Sicherheitsmanagementsystemen für informationssichernde Systeme des Bundes herstellen, die im Bereich des staatlichen Geheimschutzes oder auf Anforderung der betroffenen Behörde auch in anderen Bereichen eingesetzt werden;</div></dd><dt style="float: left;">13.</dt><dd><div>bei organisatorischen und technischen Sicherheitsmaßnahmen unterstützen und beraten sowie technische Prüfungen zum Schutz amtlich geheim gehaltener Informationen nach <a href="/bund/bsig/4" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes" data-lli="4" target="_blank">§ 4</a> des Sicherheitsüberprüfungsgesetzes gegen die Kenntnisnahme durch Unbefugte durchführen;</div></dd><dt style="float: left;">14.</dt><dd><div>sicherheitstechnische Anforderungen an die einzusetzende Informationstechnik des Bundes und an die Eignung von Auftragnehmern im Bereich von Informationstechnik des Bundes mit besonderem Schutzbedarf entwickeln;</div></dd><dt style="float: left;">15.</dt><dd><div>IT-Sicherheitsprodukte und IT-Sicherheitsdienstleistungen für Einrichtungen der Bundesverwaltung bereitstellen;</div></dd><dt style="float: left;">16.</dt><dd><div>die für die Sicherheit in der Informationstechnik zuständigen Stellen des Bundes, insbesondere soweit sie Beratungs- oder Kontrollaufgaben wahrnehmen, unterstützen; dies gilt vorrangig für die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, deren oder dessen Unterstützung im Rahmen der Unabhängigkeit erfolgt, die ihr oder ihm bei der Erfüllung ihrer oder seiner Aufgaben nach der <a href="/eu/vo_eu_2016_679" data-href="/[lawProviderSlug]/[lawAbbreviation]" data-ll="true" target="_blank">Verordnung (EU) 2016/679</a> und dem Bundesdatenschutzgesetz zusteht;</div></dd><dt style="float: left;">17.</dt><dd><div>Einrichtungen der Bundesverwaltung in Fragen der Informationssicherheit, einschließlich der Behandlung von Sicherheitsvorfällen, beraten und unterstützen sowie konkrete, praxisnahe Hilfsmittel zur Umsetzung von Informationssicherheitsvorgaben, insbesondere zur Umsetzung der Vorgaben nach den §§ <a href="/bund/bsig/30" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen" data-lli="3" target="_blank">30</a> und <a href="/bund/bsig/44" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Vorgaben des Bundesamtes" data-lli="2" target="_blank">44</a>, bereitstellen;</div></dd><dt style="float: left;">18.</dt><dd><div>Unterstützung <dl><dt style="float: left;">a)</dt><dd><div>der Polizeien und Strafverfolgungsbehörden des Bundes und der Länder bei der Wahrnehmung ihrer gesetzlichen Aufgaben,</div></dd><dt style="float: left;">b)</dt><dd><div>der Verfassungsschutzbehörden des Bundes und der Länder und des Militärischen Abschirmdienstes bei der Auswertung und Bewertung von Informationen, die bei der Beobachtung von Bestrebungen anfallen, die gegen die freiheitliche demokratische Grundordnung, den Bestand des Staates oder die Sicherheit des Bundes oder eines Landes gerichtet sind, oder die bei der Beobachtung sicherheitsgefährdender oder geheimdienstlicher Tätigkeiten im Rahmen der gesetzlichen Befugnisse nach den Verfassungsschutzgesetzen des Bundes und der Länder beziehungsweise dem MAD-Gesetz anfallen,</div></dd><dt style="float: left;">c)</dt><dd><div>des Bundesnachrichtendienstes bei der Wahrnehmung seiner gesetzlichen Aufgaben;</div></dd></dl>die Unterstützung darf nur gewährt werden, soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen; die Unterstützungsersuchen sind durch das Bundesamt aktenkundig zu machen;</div></dd><dt style="float: left;">19.</dt><dd><div>die zuständigen Stellen der Länder in Fragen der Abwehr von Gefahren für die Sicherheit in der Informationstechnik auf deren Ersuchen unterstützen;</div></dd><dt style="float: left;">20.</dt><dd><div>Einrichtungen der Bundesverwaltung, die Länder sowie Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik, insbesondere unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen, beraten, informieren und warnen;</div></dd><dt style="float: left;">21.</dt><dd><div>Verbraucherschutz und Verbraucherinformation im Bereich der Sicherheit in der Informationstechnik, insbesondere Beratung und Warnung von Verbrauchern in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen;</div></dd><dt style="float: left;">22.</dt><dd><div>geeignete Kommunikationsstrukturen zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung aufbauen sowie Zusammenarbeit zum Schutz der Sicherheit in der Informationstechnik kritischer Anlagen im Verbund mit der Privatwirtschaft koordinieren;</div></dd><dt style="float: left;">23.</dt><dd><div>Aufgaben als zentrale Stelle im Bereich der Sicherheit in der Informationstechnik im Hinblick auf die Zusammenarbeit mit den zuständigen Stellen im Ausland, unbeschadet besonderer Zuständigkeiten anderer Stellen;</div></dd><dt style="float: left;">24.</dt><dd><div>Aufgaben nach <a href="/bund/bsig/40" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Nationale Verbindungsstelle sowie zentrale Melde- und Anlaufstelle für besonders wichtige und wichtige Einrichtungen" data-lli="1" target="_blank">§ 40</a> als zentrale Stelle für die Sicherheit in der Informationstechnik besonders wichtiger Einrichtungen und wichtiger Einrichtungen einschließlich des Ersuchens und Erbringens von Amtshilfe nach Artikel 37 der NIS-2-Richtinie;</div></dd><dt style="float: left;">25.</dt><dd><div>bei der Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen nach <a href="/bund/bsig/11" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen" data-lli="0" target="_blank">§ 11</a> unterstützen;</div></dd><dt style="float: left;">26.</dt><dd><div>Empfehlungen für Identifizierungs- und Authentisierungsverfahren und Bewertung dieser Verfahren im Hinblick auf die Informationssicherheit erarbeiten;</div></dd><dt style="float: left;">27.</dt><dd><div>einen Stand der Technik von sicherheitstechnischen Anforderungen an IT-Produkte, unter Berücksichtigung bestehender Normen und Standards sowie unter Einbeziehung der betroffenen Wirtschaftsverbände, beschreiben und veröffentlichen;</div></dd><dt style="float: left;">28.</dt><dd><div>mit nationalen Computer-Notfallteams von Drittländern oder gleichwertigen Stellen von Drittländern kooperieren sowie diese Teams oder Stellen unterstützen; Einsätze des Bundesamtes in Drittländern dürfen nicht gegen den Willen des Staates erfolgen, auf dessen Hoheitsgebiet die Maßnahme stattfinden soll; die Entscheidung über einen Einsatz des Bundesamtes in Drittländern trifft das Bundesministerium des Innern im Einvernehmen mit dem Auswärtigen Amt;</div></dd><dt style="float: left;">29.</dt><dd><div>mit der Bundesanstalt für Finanzdienstleistungsaufsicht kooperieren und Informationen austauschen, soweit dies für ihre Aufgabenerfüllung erforderlich ist, insbesondere in Bezug auf die ergriffenen Maßnahmen gemäß der <a href="/eu/vo_eu_2022_2554" data-href="/[lawProviderSlug]/[lawAbbreviation]" data-ll="true" target="_blank">Verordnung (EU) 2022/2554</a>; die Bundesanstalt für Finanzdienstleistungsaufsicht übermittelt an das Bundesamt die für dessen Aufgabenerfüllung erforderlichen Informationen.</div></dd></dl></p><p>(2) Das Bundesamt kann die Länder auf Ersuchen bei der Sicherung ihrer Informationstechnik unterstützen.</p><p>(3) Das Bundesamt kann besonders wichtige Einrichtungen auf deren Ersuchen bei der Sicherung ihrer Informationstechnik beraten und unterstützen oder auf qualifizierte Sicherheitsdienstleister verweisen.</p>

Aufgaben des Bundesamtes

Allgemeine Vorschriften

Teil 1

Bundesamt für Sicherheit in der Informationstechnik

Begriffsbestimmungen

Das Bundesamt

Teil 2

Aufgaben und Befugnisse

Kapitel 1

Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes

Allgemeine Meldestelle für die Sicherheit in der Informationstechnik

Informationsaustausch

Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte

Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes

Verarbeitung von Protokollierungsdaten der Kommunikationstechnik des Bundes

Anordnungen von Maßnahmen zur Abwendung oder Behebung von Sicherheitsvorfällen

Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen

Bestandsdatenauskunft

Untersuchung der Sicherheit in der Informationstechnik, Auskunftsverlangen

Detektion von Angriffsmethoden und von Sicherheitsrisiken für die Netz- und IT-Sicherheit

Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Telekommunikationsdiensten

Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von digitalen Diensten

Anordnungen von Maßnahmen des Bundesamtes gegenüber Herstellern von IKT-Produkten

Bereitstellung von IT-Sicherheitsprodukten

Datenverarbeitung

Kapitel 2

Verarbeitung personenbezogener Daten

Beschränkungen der Rechte der betroffenen Person

Informationspflicht bei Erhebung von personenbezogenen Daten

Auskunftsrecht der betroffenen Person

Recht auf Berichtigung

Recht auf Löschung

Recht auf Einschränkung der Verarbeitung

Widerspruchsrecht

Sicherheit in der Informationstechnik von Einrichtungen

Teil 3

Anwendungsbereich

Besonders wichtige Einrichtungen und wichtige Einrichtungen

Einrichtungen der Bundesverwaltung

Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten

Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen

Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen

Meldepflichten

Registrierungspflicht

Besondere Registrierungspflicht für bestimmte Einrichtungsarten

Unterrichtungspflichten

Rückmeldungen des Bundesamtes gegenüber meldenden Einrichtungen

Ausnahmebescheid

Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen

Nachweispflichten für Betreiber kritischer Anlagen

Nationale Verbindungsstelle sowie zentrale Melde- und Anlaufstelle für besonders wichtige und wichtige Einrichtungen

Untersagung des Einsatzes kritischer Komponenten

Auskunftsverlangen

Informationssicherheit der Einrichtungen der Bundesverwaltung

Kapitel 3

Informationssicherheitsmanagement

Vorgaben des Bundesamtes

Informationssicherheitsbeauftragte der Einrichtungen der Bundesverwaltung

Informationssicherheitsbeauftragte der Ressorts

Wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes

Amt des Koordinators für Informationssicherheit

Datenbanken der Domain-Name-Registrierungsdaten

Teil 4

Pflicht zum Führen einer Datenbank

Verpflichtung zur Zugangsgewährung

Kooperationspflicht

Zertifizierung, Konformitätserklärung und Kennzeichen

Teil 5

Zertifizierung

Konformitätsbewertung und Konformitätserklärung

Nationale Behörde für die Cybersicherheitszertifizierung

Freiwilliges IT-Sicherheitskennzeichen

Verordnungsermächtigungen, Grundrechtseinschränkungen und Berichtspflichten

Teil 6

Ermächtigung zum Erlass von Rechtsverordnungen

Einschränkung von Grundrechten

Berichtspflichten des Bundesamtes

Aufsicht

Teil 7

Zuständigkeit des Bundesamtes

Zentrale Zuständigkeit in der Europäischen Union für bestimmte Einrichtungsarten

§ 13 BSIG

Warnungen