Auf dieser Seite geben wir den Wortlaut wichtiger Paragraphen der Entwürfe des NIS2UmsuCG wieder. Der Inhalt dient dem besseren Verständnis der Artikel auf unserem Blog.

Wichtiger Hinweis: Die Übersicht hat keinen Anspruch auf Vollständigkeit und basiert auf teilw. nicht abgestimmten Entwürfen und kann sich laufend ändern. Für die Richtigkeit der Inhalte wird daher keine Haftung übernommen.

Stand:  27.09.2023 (BMI-Diskussionspapier)

§2 Begriffsbestimmungen

§ 28 Besonders wichtige Einrichtungen und wichtige Einrichtungen

§ 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen

§ 31 Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen

§ 32 Meldepflichten

§ 33 Registrierungspflicht

§ 34 Besondere Registrierungspflicht für bestimmte Einrichtungsarten

§ 35 Unterrichtungspflichten

§ 36 Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen

§ 38 Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter besonders wichtiger Einrichtungen und wichti- ger Einrichtungen

§ 39 Nachweispflichten für Betreiber kritischer Anlagen

§ 40 Zentrale Melde- und Anlaufstelle

§ 51 Pflicht zum Führen einer Datenbank

§ 52 Verpflichtung zur Zugangsgewährung

§ 53 Kooperationspflicht

§ 57 Ermächtigung zum Erlass von Rechtsverordnungen

§ 60 Sanktionsvorschriften

§ 64 Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen

§ 65 Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen

 

§ 2

Begriffsbestimmungen

  1. Im Sinne dieses Gesetzes ist oder sind

  1. Beinahevorfall“ ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über informationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zugänglich sind, beeinträchtigt haben könnte, dessen Eintritt jedoch erfolgreich verhindert wurde oder auf andere Weise nicht eingetreten ist;

  2. Cloud Computing-Dienst“ ein digitaler Dienst, der auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind;

  3. Content Delivery Network“ ein Netz dezentraler Server zur Gewährleistung einer ho- hen Verfügbarkeit, Zugänglichkeit oder Zustellung digitaler Inhalte und Dienste für In- ternetnutzer mit möglichst niedriger Latenz im Auftrag von Inhalte- und Diensteanbietern;

  4. Cyberbedrohung eine Cyberbedrohung im Sinne des Artikel 2 Nummer 8 der Verord- nung (EU) 2019/881;

  5. Datenverkehr“ mittels technischer Protokolle übertragene Daten; Telekommunikati- onsinhalte nach § 3 Absatz 1 des Telekommunikation-Telemedien-Datenschutz-Ge- setzes und Nutzungsdaten nach § 2 Absatz 2 Nummer 3 des Telekommunikation-Te- lemedien-Datenschutz-Gesetzes können enthalten sein;

  6. DNS-Diensteanbieter“ eine natürliche oder juristische Person, die

    1. für Internet-Endnutzer öffentlich verfügbare rekursive Dienste zur Auflösung von Domain-Namen anbietet oder

    2. autoritative Dienste zur Auflösung von Domain-Namen zur Nutzung durch Dritte, mit Ausnahme von Root- Namenservern, anbietet;

  7. Domain-Name-Registry-Dienstleister“ ein Registrar oder eine Stelle, die im Namen von Registraren tätig ist, insbesondere Anbieter oder Wiederverkäufer von Daten- schutz- oder Proxy-Registrierungsdiensten;

  8. erhebliche Cyberbedrohung“ eine Cyberbedrohung, die das Potenzial besitzt, die in- formationstechnischen Systeme, Komponenten und Prozesse aufgrund ihrer besonde- ren technischen Merkmale erheblich zu beeinträchtigen; eine Beeinträchtigung ist er- heblich, wenn sie erheblichen materiellen oder immateriellen Schaden verursachen kann;

  9. erheblicher Sicherheitsvorfall“ ein Sicherheitsvorfall, der

    1. schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann; oder

    2. andere natürliche oder juristische Personen durch erhebliche materielle oder im- materielle Schäden beeinträchtigt hat oder beeinträchtigen kann,

soweit nach Absatz 2 keine weitergehende Begriffsbestimmung erfolgt;

  1. Forschungseinrichtung“ eine Einrichtung, deren primäres Ziel es ist, angewandte For- schung oder experimentelle Entwicklung im Hinblick auf die Nutzung der Ergebnisse dieser Forschung für kommerzielle Zwecke durchzuführen, die jedoch Bildungseinrich- tungen nicht einschließt,

  2. Geschäftsleiter“ eine natürliche Personen, die nach Gesetz, Satzung oder Gesell- schaftsvertrag zur Führung der Geschäfte und zur Vertretung einer Einrichtung berufen ist; Leiterinnen und Leiter von Einrichtungen der Bundesverwaltung im Sinne des § 29 gelten nicht als Geschäftsleiter.;

  3. IKT-Dienst“ ein IKT-Dienst im Sinne des Artikels 2 Nummer 13 der Verordnung (EU) 2019/881;

  4. IKT-Produkt“ ein IKT-Produkt im Sinne des Artikels 2 Nummer 12 der Verordnung (EU) 2019/881;

  5. IKT-Prozess“ ein IKT-Prozess im Sinne des Artikels 2 Nummer 14 der Verordnung (EU) 2019/881;

  6. Informationstechnik“ ein technisches Mittel zur Verarbeitung von Informationen;

  7. Internet Exchange Point“ oder „IXP“ eine Netzeinrichtung, die die Zusammenschaltung von mehr als zwei unabhängigen Netzen (autonomen Systemen) ermöglicht, in erster Linie zur Erleichterung des Austauschs von Internet-Datenverkehr, der nur der Zusammenschaltung autonomer Systeme dient und weder voraussetzt, dass der Internet-Da- tenverkehr zwischen zwei beliebigen teilnehmenden autonomen Systemen über ein drittes autonomes System läuft; noch den betreffenden Datenverkehr verändert oder anderweitig beeinträchtigt;

  8. […];

  9. kritische Anlage“ eine Anlage, die von hoher Bedeutung für das Funktionieren des Gemeinwesens ist, da durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Ver- sorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden; welche Anlagen im Einzelnen kritische Anlagen sind, bestimmt sich nach

§ 28 Absatz 6;

  1. […];

  2. Managed Security Service Provider“ oder „MSSP“ ein MSP, der Unterstützung für Tätigkeiten im Zusammenhang mit dem Risikomanagement im Bereich der Cybersicher- heit durchführt oder erbringt;

  3. Managed Service Provider“ oder „MSP“ jemand, der Dienste im Zusammenhang mit der Installation, der Verwaltung, dem Betrieb oder der Wartung von IKT-Produkten, – Netzen, -Infrastruktur, -Anwendungen oder jeglicher anderer Netz- und

Informationssysteme durch Unterstützung oder aktive Verwaltung in den Räumlichkeiten der Kunden oder aus der Ferne erbringt;

  1. „NIS-2-Richtlinie“ die Richtlinie 2022/2555 des Europäischen Parlaments und des Ra- tes vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersi- cherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27.12.2022, S. 80) in der jeweils geltenden Fassung;

  2. Online-Marktplatz“ ein Dienst im Sinne des § 312l Absatz 3 BGB;

  3. Online-Suchmaschine“ ein digitaler Dienst im Sinne des Artikels 2 Nummer 5 der Ver- ordnung (EU) 2019/1150;

  4. Plattform für Dienste sozialer Netzwerke“ eine Plattform, auf der Endnutzer mit unter- schiedlichen Geräten insbesondere durch Chats, Posts, Videos und Empfehlungen mit- einander in Kontakt treten und kommunizieren sowie Inhalte teilen und entdecken kön- nen;

  5. Protokolldaten“ Steuerdaten eines informationstechnischen Protokolls zur Datenüber- tragung, die unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sind; Verkehrsdaten gemäß § 3 Nummer 70 des Telekommunikationsgesetzes und Nut- zungsdaten nach § 2 Absatz 2 Nummer 3 des Telekommunikation-Telemedien-Daten- schutz-Gesetzes können enthalten sein;

  6. Protokollierungsdaten“ Aufzeichnungen über technische Ereignisse oder Zustände in- nerhalb informationstechnischer Systeme;

  7. qualifizierter Vertrauensdienst“ ein qualifizierter Vertrauensdienst im Sinne des Arti- kels 3 Nummer 17 der Verordnung (EU) Nr. 910/2014;

  8. qualifizierter Vertrauensdiensteanbieter“ ein qualifizierter Vertrauensdiensteanbieter im Sinne des Artikels 3 Nummer 20 der Verordnung (EU) Nr. 910/2014;

  9. Rechenzentrumsdienst“ ein Dienst, mit dem spezielle Strukturen oder Gruppen von Strukturen für die zentrale Unterbringung, die Verbindung und den Betrieb von IT- und Netzausrüstungen zur Erbringung von Datenspeicher-, Datenverarbeitungs- und Da- tentransportdiensten sowie alle Anlagen und Infrastrukturen für die Leistungsverteilung und die Umgebungskontrolle bereitgestellt werden;

  10. Schadprogramme“ Programme und sonstige informationstechnische Routinen und Verfahren, die dem Zweck dienen, unbefugt Daten zu nutzen oder zu löschen oder die dem Zweck dienen, unbefugt auf sonstige informationstechnische Abläufe einzuwirken;

  11. […];

  12. Schwachstelle“ eine Eigenschaft von IKT-Produkten oder IKT-Diensten durch deren Au[snutzung es möglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang zu fremden IKT-Produkten oder IKT-Diensten verschaffen oder die Funktion von IKT- Produkten oder IKT-Diensten beeinflussen können;

  13. Sicherheit in der Informationstechnik“ die Einhaltung bestimmter Sicherheitsstan- dards, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen

    1. in informationstechnischen Systemen, Komponenten oder Prozessen oder

    2. bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen;

  14. Sicherheitsvorfall“ ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über informationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zugänglich sind, beeinträchtigt;

  15. Systeme zur Angriffserkennung“ durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstech- nische Systeme; wobei die Angriffserkennung durch Abgleich der in einem informati- onstechnischen System verarbeiteten Daten mit Informationen und technischen Mus- tern, die auf Angriffe hindeuten, erfolgt;

  16. Top Level Domain Name Registry“ eine Einrichtung, welche die Registrierung von In- ternet-Domain-Namen innerhalb einer spezifischen Top Level Domain (TLD) verwaltet und betreibt, einschließlich des Betriebs ihrer Namenserver, der Pflege ihrer Daten- banken und der Verteilung von TLD-Zonendateien über die Namenserver, zuständig ist, unabhängig davon, ob der Betrieb durch die Einrichtung selbst erfolgt oder ausge- lagert wird, jedoch mit Ausnahme von Situationen, in denen TLD-Namen von einem Register nur für seine eigenen Zwecke verwendet werden;

  17. Vertrauensdienst“ ein Vertrauensdienst im Sinne des Artikels 3 Nummer 16 der Ver- ordnung (EU) Nr. 910/2014;

  18. Vertrauensdiensteanbieter“ ein Vertrauensdiensteanbieter im Sinne des Artikels 3 Nummer 19 der Verordnung (EU) Nr. 910/2014;

  19. Zertifizierung“ die Feststellung einer Zertifizierungsstelle, dass ein Produkt, ein Pro- zess, ein System, ein Schutzprofil (Sicherheitszertifizierung), eine Person (Perso- nenzertifizierung) oder ein IT-Sicherheitsdienstleister bestimmte Anforderungen erfüllt.

  1. Das Bundesministerium des Innern und für Heimat kann durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, bestimmen, wann ein Sicherheitsvorfall im Hinblick auf seine technischen oder organisatorischen Ursachen oder seine Auswirkun- gen auf die Einrichtung, Staat, Wirtschaft und Gesellschaft oder die Anzahl der von den Auswirkungen Betroffenen als erheblich im Sinne von Absatz 1 Nummer 10 anzusehen ist. Das Bundesministerium kann die Ermächtigung durch Rechtsverordnung auf das Bundes- amt übertragen. Für den Fall, dass die Europäische Kommission einen oder mehrere Durchführungsrechtsakte gemäß Artikel 23 Absatz 11 Unterabsatz 2 der NIS-2-Richtlinie erlässt, worin näher bestimmt wird, in welchen Fällen ein Sicherheitsvorfall als erheblich anzusehen ist, geht dieser oder gehen diese der Rechtsverordnung nach Satz 1 und 2 in- soweit vor.

§ 6

Informationsaustausch

  1. Das Bundesamt ermöglicht den Informationsaustausch besonders wichtiger Ein- richtungen und wichtiger Einrichtungen, Einrichtungen der Bundesverwaltung sowie deren jeweiligen Lieferanten oder Dienstleistern untereinander zu Cyberbedrohungen, Beinahe- vorfällen, Schwachstellen, Techniken und Verfahren, Kompromittierungsindikatoren, geg- nerische Taktiken, bedrohungsspezifische Informationen, Cybersicherheitswarnungen und Empfehlungen für die Konfiguration von Cybersicherheitsinstrumenten sowie zur Aufde- ckung von Cyberangriffen. Es betreibt dazu ein geeignetes Online-Portal.

  2. Die Teilnahme am Informationsaustausch steht grundsätzlich allen besonders wichtigen Einrichtungen, wichtigen Einrichtungen, Einrichtungen der Bundesverwaltung so- wie deren jeweiligen Lieferanten oder Dienstleistern offen. Das Bundesamt kann entspre- chende Teilnahmebedingungen erstellen, die die Teilnahme am Informationsaustausch re- geln. Das Bundesamt kann weiteren Stellen die Teilnahme ermöglichen.

§ 11

Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen

  1. Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines informationstechnischen Systems einer Einrichtung der Bundesverwaltung oder einer besonders wichtigen Einrichtung oder einer wichtigen Einrichtung um einen herausgehobe- nen Fall, so kann das Bundesamt auf Ersuchen der betroffenen Einrichtung oder des be- troffenen Betreibers oder einer anderen für die Einrichtung oder den Betreiber zuständigen Behörde die Maßnahmen treffen, die zur Wiederherstellung der Sicherheit oder Funktions- fähigkeit des betroffenen informationstechnischen Systems erforderlich sind. Soweit das Bundesamt erste Maßnahmen zur Schadensbegrenzung und Sicherstellung des Notbetrie- bes vor Ort ergreift, werden hierfür keine Gebühren oder Auslagen für die Tätigkeit des Bundesamtes erhoben. Hiervon unberührt bleiben etwaige Kosten für die Hinzuziehung qualifizierter Dritter.

  2. Ein herausgehobener Fall nach Absatz 1 liegt insbesondere dann vor, wenn es sich um einen Angriff von besonderer technischer Qualität handelt oder die zügige Wieder- herstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems von besonderem öffentlichem Interesse ist.

  3. Das Bundesamt darf bei Maßnahmen nach Absatz 1 personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten erheben und verarbeiten, soweit dies zur Wie- derherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen

informationstechnischen Systems erforderlich und angemessen ist. Die Daten sind unver- züglich zu löschen, sobald sie für die Wiederherstellung der Sicherheit oder Funktionsfä- higkeit des informationstechnischen Systems nicht mehr benötigt werden. Wenn die Daten in Fällen des Absatzes 4 an eine andere Behörde zur Erfüllung von deren gesetzlichen Aufgaben weitergegeben worden sind, darf das Bundesamt die Daten abweichend von Satz 2 bis zur Beendigung der Unterstützung dieser Behörden weiterverarbeiten. Eine Nut- zung zu anderen Zwecken ist unzulässig. § 8 Absatz 8 ist entsprechend anzuwenden.

  1. Das Bundesamt darf Informationen, von denen es im Rahmen dieser Vorschrift Kenntnis erlangt, nur mit Einwilligung des Ersuchenden weitergeben, es sei denn, die In- formationen lassen keine Rückschlüsse auf die Identität des Ersuchenden zu oder die In- formationen können entsprechend § 8 Absatz 6 und 7 übermittelt werden. Zugang zu den in Verfahren nach Absatz 1 geführten Akten wird Dritten nicht gewährt.

  2. Das Bundesamt kann sich bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden der Hilfe qualifizierter Dritter bedienen, wenn dies zur rechtzeitigen oder voll- ständigen Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen infor- mationstechnischen Systems erforderlich ist. Die hierdurch entstehenden Kosten hat der Ersuchende zu tragen. Das Bundesamt kann den Ersuchenden auch auf qualifizierte Dritte verweisen. Das Bundesamt und vom Ersuchenden oder vom Bundesamt nach Satz 1 be- auftragte Dritte können einander bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden Daten übermitteln. Hierfür gilt Absatz 3 entsprechend.

  3. Soweit es zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des infor- mationstechnischen Systems erforderlich ist, kann das Bundesamt vom Hersteller des in- formationstechnischen Systems verlangen, an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit mitzuwirken.

  4. In begründeten Einzelfällen kann das Bundesamt auch bei anderen als den in Absatz 1 genannten Einrichtungen tätig werden, wenn es darum ersucht wurde und es sich um einen herausgehobenen Fall im Sinne des Absatzes 2 handelt. Ein begründeter Einzel- fall liegt in der Regel vor, wenn eine Stelle eines Landes betroffen ist.

  5. Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atom- gesetz bedürfen, ist in Fällen der Absätze 1, 4, 5 und 7 vor Tätigwerden des Bundesamtes das Benehmen mit den zuständigen atomrechtlichen Aufsichtsbehörden des Bundes und der Länder herzustellen. Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atomgesetz bedürfen, haben bei Maßnahmen des Bundesamtes nach diesem

§ 11 die Vorgaben aufgrund des Atomgesetzes Vorrang.

§ 28

Besonders wichtige Einrichtungen und wichtige Einrichtungen

  1. Eine besonders wichtige Einrichtung ist

  1. eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisa- tionseinheit einer Gebietskörperschaft, die anderen natürlichen oder juristischen Per- sonen entgeltlich Waren oder Dienstleistungen anbietet, die, einer der in Anlage 1 be- stimmten Einrichtungsarten zuzuordnen ist und;

    1. mindestens 250 Mitarbeiter beschäftigt, oder

    2. einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanz- summe von über 43 Millionen Euro aufweist;

  2. ein qualifizierter Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter,

  3. ein Anbieter von Telekommunikationsdiensten oder öffentlich zugänglichen Telekom- munikationsnetzen, der

    1. mindestens 50 Mitarbeiter beschäftigt oder

    2. einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist.

  4. ein Betreiber kritischer Anlagen oder

  5. eine Einrichtung, die gemäß Anlage 3 dem Teilsektor Zentralregierung des Sektors öf- fentliche Verwaltung angehört.

Ausgenommen sind Finanzunternehmen im Sinne des Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 und Unternehmen, für welche die Anforderungen der Verordnung (EU) 2022/2554 auf Grund von § 1a Absatz 2 Kreditwesengesetz oder § 293 Absatz 5 Versiche- rungsaufsichtsgesetz gelten.

  1. Eine wichtige Einrichtung ist

  1. eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisa- tionseinheit einer Gebietskörperschaft, die anderen natürlichen oder juristischen Per- sonen entgeltlich Waren oder Dienstleistungen anbietet, die einer der in Anlagen 1 und 2 bestimmten Einrichtungsarten zuzuordnen ist und die

    1. mindestens 50 Mitarbeiter beschäftigt oder

    2. einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist; oder

  2. ein Vertrauensdiensteanbieter.

Ausgenommen sind besonders wichtige Einrichtungen sowie Finanzunternehmen im Sinne des Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 und Unternehmen, für welche die Anforderungen der Verordnung (EU) 2022/2554 auf Grund von § 1a Absatz 2 Kreditwesen- gesetz oder § 293 Absatz 5 Versicherungsaufsichtsgesetz gelten.

  1. Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanz- summe nach den Absätzen 1 und 2 ist auf die der Einrichtungsart zuzuordnende Geschäfts- tätigkeit abzustellen und außer für rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft die Empfehlung 2003/361/EG mit Ausnahme von Artikel 3 Absatz 4 des Anhangs anzuwenden. Die Daten von Partner- oder verbundenen Unternehmen im Sinne der Empfehlung 2003/361/EG sind nicht hinzuzurechnen, wenn das Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Kom- ponenten und Prozesse, unabhängig von seinem Partner oder verbundenen Unternehmen ist.

  2. §§ 30 und 31 gelten nicht für

  1. Besonders wichtige Einrichtungen und wichtige Einrichtungen, soweit sie ein öffentli- ches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunika- tionsdienste erbringen,

  2. Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energie- wirtschaftsgesetz vom 7. Juli 2005 (BGBl. I S. 1970; 3621), das zuletzt durch Artikel 9 des Gesetzes vom 26. Juli 2023 (BGBl. 2023 I Nr. 202) geändert worden ist, soweit sie den Regelungen des § 5c des Energiewirtschaftsgesetzes unterliegen,

  3. die Gesellschaft für Telematik nach § 306 Absatz 1 Satz 3 des Fünften Buches Sozial- gesetzbuch, Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach

§ 311 Absatz 6 und § 325 des Fünften Buches Sozialgesetzbuch zugelassenen Dienste und Betreiber von Diensten, soweit sie die Telematikinfrastruktur für nach

§ 327 Absatz 2 bis 5 des Fünften Buches Sozialgesetzbuch bestätigte Anwendungen nutzen.

  1. Ein Betreiber kritischer Anlagen ist eine natürliche oder juristische Person oder eine rechtlich unselbständige Organisationseinheit einer Gebietskörperschaft, die unter Be- rücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine kritische Anlage ausübt.

  2. Eine kritische Anlage ist eine Anlage, die den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum sowie Siedlungsabfallentsorgung angehört und die von hoher Bedeutung für das Funktionieren des Gemein- wesens ist, da durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungseng- pässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden; welche Anlagen im Einzelnen kritische Anlagen sind, bestimmt sich nach der Rechtsverordnung nach

§ 57 Absatz 4.

  1. Eine Anlage ist ab dem durch die Rechtsverordnung nach § 57 Absatz 4 festge- legten Stichtag eine kritische Anlage, wenn sie einer der durch die Rechtsverordnung

festgelegten Anlagenarten zuzuordnen ist und die durch Verordnung festgelegten Schwel- lenwerte erreicht oder überschreitet.

  1. Eine Anlage ist ab dem nächsten folgenden durch die Rechtsverordnung nach

§ 57 Absatz 4 als Stichtag festgelegten Tag keine kritische Anlage mehr, wenn sie die durch die Verordnung festgelegten Schwellenwerte unterschreitet.

§ 30

Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen

  1. Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, ge- eignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Dabei sind das Ausmaß der Risikoexposition die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvor- fällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.

  2. Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlä- gigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. Die Maßnahmen müssen zumindest Folgendes umfassen:

  1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,

  2. Bewältigung von Sicherheitsvorfällen,

  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,

  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehun- gen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,

  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechni- schen Systemen, Komponenten und Prozessen, einschließlich Management und Of- fenlegung von Schwachstellen,

  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaß- nahmen im Bereich der Cybersicherheit,

  7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,

  8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,

  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von An- lagen,

  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebe- nenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

  1. Der von der Europäischen Kommission gemäß Artikel 21 Absatz 5 Unterabsatz 1 der NIS-2-Richtlinie erlassene Durchführungsrechtsakt zur Festlegung der technischen und methodischen Anforderungen an die in Absatz 1 genannten Maßnahmen in Bezug auf DNS-Diensteanbieter, Top Level Domain Name Registries, Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Betreiber von Content Delivery Networks, Mana- ged Service Provider, Managed Security Service Provider, Anbieter von Online-Marktplät- zen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrau- ensdiensteanbieter, hat für die vorgenannten Einrichtungsarten Vorrang.

  2. Soweit die Europäische Kommission einen Durchführungsrechtsakt gemäß Arti- kel 21 Absatz 5 Unterabsatz 2 der NIS-2-Richtlinie erlässt, in dem die technischen und me- thodischen Anforderungen sowie erforderlichenfalls die sektoralen Anforderungen der in Absatz 2 genannten Maßnahmen festgelegt werden, so gehen diese den in Absatz 2 ge- nannten Maßnahmen vor.

  3. Soweit die Durchführungsrechtsakte der Europäischen Kommission nach Arti- kel 21 Absatz 5 der NIS-2-Richtlinie keine abschließenden Bestimmungen über die techni- schen und methodischen Anforderungen sowie erforderlichenfalls die sektoralen Anforde- rungen der in Absatz 2 genannten Maßnahmen in Bezug auf besonders wichtige Einrich- tungen und wichtige Einrichtungen enthalten, können diese Bestimmungen vom Bundes- ministerium des Innern und Heimat im Benehmen mit den jeweils betroffenen Ressorts durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, unter Berück- sichtigung der möglichen Folgen unzureichender Maßnahmen sowie der Bedeutung be- stimmter Einrichtungen präzisiert und erweitert werden.

  4. Besonders wichtige Einrichtungen und wichtige Einrichtung dürfen durch Rechts- verordnung nach § 57 Absatz 4 bestimmte IKT-Produkte, IKT-Dienste und IKT-Prozesse nur verwenden, wenn diese über eine Cybersicherheitszertifizierung gemäß europäischer Schemata nach Artikel 49 der Verordnung (EU) 2019/881 verfügen.

  5. Besonders wichtige Einrichtungen sind ab dem [einsetzen: 1 Jahr nach Inkrafttre- ten] verpflichtet, am Informationsaustausch nach § 6 teilzunehmen.

  6. Unbeschadet der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Strafta- ten dürfen der Austausch von Informationen nach § 6 oder die freiwillige Meldung nach § 5 nicht dazu führen, dass der meldenden Einrichtung zusätzliche Verpflichtungen auferlegt werden, die nicht für sie gegolten hätten, wenn sie die Meldung nicht übermittelt hätte.

  7. Besonders wichtige Einrichtungen und ihre Branchenverbände können branchen- spezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Diese müssen Durchführungsrechtsakte der Europäischen Kommission so berücksichtigen, dass sie nicht im Widerspruch zu den dort genannten Anforderungen ste- hen sowie darin enthaltende Vorgaben nicht unterschritten werden. Das Bundesamt stellt auf Antrag fest, ob diese branchenspezifisch und geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt

  1. im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe,

  2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes.

Das Bundesamt kann zudem feststellen, ob die branchenspezifischen Sicherheitsstandards zur Gewährleistung der Anforderungen nach § 39 Absatz 1 geeignet sind.

§ 31

Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen

    1. Für Betreiber kritischer Anlagen gelten für die informationstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kriti- schen Anlagen maßgeblich sind, auch aufwändigere Maßnahmen nach § 30 als verhältnis- mäßig, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Anlage steht.

    2. Betreiber kritischer Anlagen sind verpflichtet, Systeme zur Angriffserkennung ein- zusetzen. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und aus- werten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vor- zusehen. Dabei soll der Stand der Technik eingehalten werden. Der hierfür erforderliche Aufwand soll nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchti- gung der betroffenen kritischen Anlage stehen.

§ 32

Meldepflichten

  1. Besonders wichtige Einrichtungen und wichtige Einrichtungen übermitteln dem Bundesamt über einen vom Bundesamt im Einvernehmen mit dem Bundesamt für Bevöl- kerungsschutz und Katastrophenhilfe eingerichteten Meldeweg sowie im Falle von Einrich- tungen der Bundesverwaltung zusätzlich der jeweiligen Aufsichtsbehörde:

  1. unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkun- gen haben könnte;

  2. unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Meldung über diesen Sicherheitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittie- rungsindikatoren angegeben werden;

  3. auf Ersuchen des Bundesamtes eine Zwischenmeldung über relevante Statusaktuali- sierungen;

  4. spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Nummer 2, vorbehaltlich Absatz 2, eine Abschlussmeldung, die Folgendes enthält:

    1. eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen;

    2. Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat;

    3. Angaben zu den getroffenen und laufenden Abhilfemaßnahmen;

    4. gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls;

  1. Dauert der Sicherheitsvorfall im Zeitpunkt des Absatz 1 Nummer 4 noch an, legt die betreffende Einrichtung statt einer Abschlussmeldung zu diesem Zeitpunkt eine Fort- schrittsmeldung und eine Abschlussmeldung innerhalb eines Monats nach Abschluss der Bearbeitung des Sicherheitsvorfalls vor.

  2. Betreiber kritischer Anlagen sind zusätzlich verpflichtet, Angaben zur Art der be- troffenen Anlage, der kritischen Dienstleistung und den Auswirkungen des Sicherheitsvor- falls auf diese Dienstleistung zu übermitteln, wenn ein erheblicher Sicherheitsvorfall Aus- wirkungen auf die von ihnen betriebene kritische Anlage hat oder haben könnte.

  3. Das Bundesamt kann die Einzelheiten zur Ausgestaltung des Meldeverfahrens und zur Konkretisierung der Meldungsinhalte nach Anhörung der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen, soweit sie möglichen Durchführungsrechts- akten der Europäischen Kommission nicht widersprechen.

§ 33

Registrierungspflicht

  1. Besonders wichtige Einrichtungen und wichtige Einrichtungen sowie Domain- Name-Registry-Diensteanbieter sind verpflichtet, spätestens drei Monate nachdem sie erst- mals oder erneut als eine der vorgenannten Einrichtungen gelten oder Domain-Name-Re- gistry-Dienste anbieten, dem Bundesamt die folgenden Angaben zu übermitteln:

  1. der Name der Einrichtung, einschließlich der Rechtsform und soweit einschlägig der Handelsregisternummer,

  2. die Anschrift und aktuellen Kontaktdaten, einschließlich E-Mail-Adresse, IP-Adressbe- reiche und Telefonnummern,

  3. der relevante in Anlage 1 oder 2 genannte Sektor oder soweit einschlägig Teilsektor,

  4. eine Auflistung der Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste der in Anlage 1 oder 2 genannten Einrichtungsarten erbringen.

  1. Betreiber kritischer Anlagen übermitteln mit den Angaben nach Absatz 1 die IP- Adressbereiche der von ihnen betriebenen Anlagen sowie die für die von ihnen betriebenen kritischen Anlagen ermittelte Anlagenkategorie und Versorgungskennzahlen gemäß der Rechtsverordnung nach § 54 Absatz 1. Die Betreiber stellen sicher, dass sie über ihre in Absatz 1 genannten Kontaktdaten jederzeit erreichbar sind.

  2. Die Registrierung von besonders wichtigen Einrichtungen und wichtigen Einrich- tungen und Domain-Name-Registry-Diensteanbieter kann das Bundesamt auch selbst vor- nehmen, wenn ihre Pflicht zur Registrierung nicht erfüllt wird.

  3. Rechtfertigen Tatsachen die Annahme, dass eine Einrichtung ihre Pflicht zur Re- gistrierung nach Absatz 1 oder 2 nicht erfüllt, so hat diese dem Bundesamt auf Verlangen die aus Sicht des Bundesamtes für die Bewertung erforderlichen Aufzeichnungen, Schrift- stücke und sonstigen Unterlagen in geeigneter Weise vorzulegen und Auskunft zu erteilen,

soweit nicht Geheimschutzinteressen oder überwiegende Sicherheitsinteressen entgegen- stehen.

  1. Bei Änderungen der nach Absatz 1 oder 2 zu übermittelnden Angaben sind geän- derte Versorgungskennzahlen einmal jährlich, alle anderen Angaben unverzüglich, spätes- tens jedoch zwei Wochen ab dem Zeitpunkt, zu dem die Einrichtung Kenntnis von der Än- derung erhalten hat, dem Bundesamt zu übermitteln.

  2. Das Bundesamt kann die Einzelheiten zur Ausgestaltung des Registrierungsver- fahrens festlegen.

§ 34

Besondere Registrierungspflicht für bestimmte Einrichtungsarten

  1. Eine Einrichtung der in § 63 Absatz 1 Satz 1 genannten Einrichtungsart übermittelt bis zum 17. Januar 2025 dem Bundesamt folgende Angaben:

  1. Name der Einrichtung;

  2. einschlägiger Sektor, Teilsektor und Einrichtungsart wie in Anlage 1 bestimmt;

  3. Anschrift der Hauptniederlassung in der Europäischen Union im Sinne des

§ 60 Absatz 2 und seiner sonstigen Niederlassungen in der Europäischen Union oder, falls er nicht in der Europäischen Union niedergelassen ist, Anschrift seines nach

§ 63 Absatz 3 benannten Vertreters;

  1. aktuelle Kontaktdaten, einschließlich E-Mail-Adressen und Telefonnummern der Ein- richtung und soweit erforderlich, seines nach § 63 Absatz 3 benannten Vertreters;

  2. die Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste erbringt, und

  3. die IP-Adressbereiche der Einrichtung.

  1. Im Fall einer Änderung der gemäß Absatz 1 übermittelten Angaben unterrichten die Einrichtungen der in § 63 Absatz 1 Satz 1 genannten Einrichtungsart das Bundesamt unverzüglich über diese Änderung, jedoch spätestens innerhalb von drei Monaten ab dem Tag an dem die Änderung eingetreten ist.

  2. Mit Ausnahme der in Absatz 1 Nummer 6 genannten Angaben leitet das Bundes- amt die nach diesem § 33 übermittelten Angaben an die ENISA weiter.

  3. Das Bundesamt kann für die Übermittlung der Angaben nach den Absätzen 1 und 2 einen geeigneten Meldeweg vorsehen.

§ 35

Unterrichtungspflichten

  1. Im Fall eines erheblichen Sicherheitsvorfalls kann das Bundesamt besonders wichtige Einrichtungen und wichtige Einrichtungen anweisen, die Empfänger ihrer Dienste unverzüglich über diese erheblichen Sicherheitsvorfälle zu unterrichten, die die Erbringung

des jeweiligen Dienstes beeinträchtigen könnten. Die Unterrichtung nach Satz 1 kann, so- weit sinnvoll, auch durch eine Veröffentlichung im Internet erfolgen.

  1. Einrichtungen im Sinne des Absatz 1 aus den Sektoren Finanz- und Versiche- rungswesen, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten und Digitale Dienste teilen den potenziell von einer erheblichen Cyberbedrohung betroffe- nen Empfängern ihrer Dienste und dem Bundesamt unverzüglich alle Maßnahmen oder Abhilfemaßnahmen mit, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können. Die Einrichtungen im Sinne des Absatz 1 informieren diese Empfänger auch über die erhebliche Cyberbedrohung selbst. Die Unterrichtungspflicht nach diesem Absatz gilt nur dann, wenn in Abwägung der Interessen der Einrichtung im Sinne des Absatz 1 und derjenigen des Empfängers letztere überwiegen.

§ 36

Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen

  1. Im Fall einer Meldung einer Einrichtung gemäß § 31 übermittelt das Bundesamt dieser unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach Eingang der Mel- dung eine erste Rückmeldung zu dem Sicherheitsvorfall und, auf Ersuchen der Einrichtung, Orientierungshilfen oder operative Beratung für die Durchführung möglicher Abhilfemaß- nahmen. Das Bundesamt kann auf Ersuchen der betreffenden Einrichtung zusätzliche tech- nische Unterstützung leisten.

  2. Ist eine Sensibilisierung der Öffentlichkeit erforderlich, um einen erheblichen Si- cherheitsvorfall zu verhindern oder zu bewältigen oder liegt die Offenlegung des erhebli- chen Sicherheitsvorfalls anderweitig im öffentlichen Interesse, so kann das Bundesamt nach Anhörung der betreffenden Einrichtung die Öffentlichkeit über den erheblichen Sicher- heitsvorfall informieren oder die Einrichtung verpflichten, dies zu tun. Soweit es sich bei der betreffenden Einrichtung um eine Stelle des Bundes handelt, gilt für die Information der Öffentlichkeit § 4 Absatz 3 entsprechend.

§ 38

Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtungen

  1. Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanage- mentmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu über- wachen.

  2. Ein Verzicht der Einrichtung auf Ersatzansprüche aufgrund einer Verletzung der Pflichten nach Absatz 1 oder ein Vergleich der Einrichtung über diese Ansprüche ist un- wirksam. Dies gilt nicht, wenn der Ersatzpflichtige zahlungsunfähig ist und sich zur Abwen- dung des Insolvenzverfahrens mit seinen Gläubigern vergleicht oder wenn die Ersatzpflicht in einem Insolvenzplan geregelt wird.

  3. Die Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtun- gen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fä- higkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrach- ten Dienste zu erwerben.

§ 39

Nachweispflichten für Betreiber kritischer Anlagen

  1. Betreiber kritischer Anlagen haben die Erfüllung der Anforderungen nach

§ 30 Absatz 1 und § 31 zu einem vom Bundesamt im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe festgelegten Zeitpunkt frühestens drei Jahre nach Inkrafttreten dieses Gesetzes und anschließend alle drei Jahre dem Bundesamt auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufge- deckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln die Vor- lage eines geeigneten Mängelbeseitigungsplanes und im Einvernehmen mit der zuständi- gen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichts- behörde die Beseitigung der Sicherheitsmängel verlangen. Das Bundesamt kann die Vor- lage eines geeigneten Nachweises über die erfolgte Mängelbeseitigung verlangen.

  1. Das Bundesamt kann zur Ausgestaltung des Verfahrens der Prüfungen und Er- bringung der Nachweise nach Absatz 1 Anforderungen an die Art und Weise der Durchfüh- rung, an die Geeignetheit der zu erbringenden Nachweise sowie nach Anhörung der be- troffenen Betreiber und Einrichtungen und der betroffenen Wirtschaftsverbände fachliche und organisatorische Anforderungen an die prüfenden Stellen festlegen. Die Festlegung nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der Internetseite des Bundesamts.

§ 40

Zentrale Melde- und Anlaufstelle

  1. Das Bundesamt ist die zentrale Meldestelle für besonders wichtige Einrichtungen und wichtige Einrichtungen in Angelegenheiten der Sicherheit in der Informationstechnik und zentrale Anlaufstelle für die Aufsicht in Angelegenheiten der Sicherheit in der Informa- tionstechnik über besonders wichtige Einrichtungen und wichtige Einrichtungen und fun- giert dabei als nationale Verbindungsstelle um:

  1. die grenzüberschreitende Zusammenarbeit von Behörden der Länder, die diese als zuständige Behörde für die Aufsicht von Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene im Sinne des Artikels 2 Absatz 2 Buchstabe f Nummer ii der NIS-2- Richtlinie bestimmt haben, Bundesnetzagentur und Bundesanstalt für Finanzdienstleis- tungsaufsicht mit den für die Überwachung der Anwendung der NIS-2-Richtlinie zu- ständigen Behörden anderer Mitgliedstaaten und gegebenenfalls mit der Europäischen Kommission und der ENISA

  2. sowie die sektorübergreifende Zusammenarbeit mit in Nummer 1 genannten Behörden der Länder, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, Bundesnetza- gentur und Bundesanstalt für Finanzdienstleistungsaufsicht

zu gewährleisten.

  1. Das Bundesamt hat zur Wahrnehmung dieser Aufgabe

  1. die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentli- chen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Schwachstellen, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und zu der dabei beobachteten Vorgehensweise,

  2. deren potentielle Auswirkungen auf die Verfügbarkeit der kritischen Anlagen in Zusam- menarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölke- rungsschutz und Katastrophenhilfe zu analysieren,

  3. das Lagebild bezüglich der Sicherheit in der Informationstechnik der kritischen Anlagen oder besonders wichtigen Einrichtungen oder wichtigen Einrichtungen kontinuierlich zu aktualisieren und

  4. unverzüglich

    1. die besonders wichtigen Einrichtungen und wichtigen Einrichtungen über sie be- treffende Informationen nach den Nummern 1 bis 3 durch Übermittlung an die Kontaktdaten nach § 32 Absatz 1 Nummer 2 sowie

    2. die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 4 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben,

zu unterrichten und

  1. soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist, im Rahmen vorab abgestimm- ter Prozesse zur Weitergabe und Wahrung der notwendigen Vertraulichkeit den zu- ständigen Behörden des Bundes und der Länder Informationen zu besonders wichtigen Einrichtungen zur Verfügung zu stellen.

  1. Das Bundesamt hat zur Wahrnehmung seiner Aufgabe als zentrale Anlaufstelle

  1. Anfragen von den in Absatz 1 genannten Stellen anzunehmen oder soweit zutreffend an eine oder mehrere in Absatz 1 genannten Stellen weiterzuleiten,

  2. Antworten auf die in Absatz 2 Nummer 2 genannten Anfragen zu erstellen und dabei soweit zutreffend die in Absatz 1 genannten Stellen zu beteiligen oder Antworten der in Absatz 1 genannten Stellen an die in Absatz 1 genannten Stellen weiterzuleiten,

  3. auf eigenes Betreiben nach § 31 eingegangene Meldungen an zentrale Anlaufstellen der anderen betroffenen Mitgliedstaaten der Europäischen Union weiterzuleiten,

  4. gegebenenfalls und insbesondere, wenn der erhebliche Sicherheitsvorfall zwei oder mehr Mitgliedstaaten der Europäischen Union betrifft, die anderen betroffenen Mitglied- staaten und die ENISA über den erheblichen Sicherheitsvorfall zu unterrichten, wobei diese Informationen umfassen die Art der gemäß § 31 Absatz 2 erhaltenen Informatio- nen und das Bundesamt dabei das wirtschaftliche Interesse der Einrichtung sowie die Vertraulichkeit der bereitgestellten Informationen wahrt.

  1. Während einer erheblichen Störung gemäß § 31 Absatz 1, kann das Bundesamt im Einvernehmen mit der jeweils zuständigen Aufsichtsbehörde des Bundes von den be- troffenen Betreibern kritischer Anlagen die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen. Betreiber kritischer Anlagen sind befugt, dem Bundesamt auf Verlangen die zur Bewältigung der Stö- rung notwendigen Informationen einschließlich personenbezogener Daten zu übermitteln, soweit dies zur Bewältigung einer erheblichen Störung gemäß Absatz 4 Satz 1 Nummer 2 erforderlich ist.

  2. Soweit im Rahmen dieser Vorschrift personenbezogene Daten verarbeitet werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung zu anderen Zwecken unzulässig. § 8 Absatz 8 Satz 3 bis 9 ist entsprechend anzuwenden.

§ 51

Pflicht zum Führen einer Datenbank

  1. Um einen Beitrag zur Sicherheit, Stabilität und Resilienz des Domain Name Sys- tems zu leisten, sind Top Level Domain Name Registries und Domain-Name-Registry- Dienstleister verpflichtet, genaue und vollständige Domain-Namen-Registrierungsdaten in einer eigenen Datenbank im Einklang mit dem Datenschutzrecht in Bezug auf personenbe- zogene Daten mit der gebotenen Sorgfalt zu sammeln und zu pflegen.

  2. Die Datenbank im Sinne des Absatzes 1 hat die erforderlichen Angaben zu enthal- ten, anhand derer die Inhaber der Domain-Namen und die Kontaktstellen, die die Domain- Namen im Rahmen der TLD verwalten, identifiziert und kontaktiert werden können. Diese Angaben müssen Folgendes umfassen:

  1. den Domain-Namen,

  2. das Datum der Registrierung;

  3. den Namen des Domain-Inhabers, seine E-Mail-Adresse und Telefonnummer;

  4. die Kontakt-E-Mail-Adresse und die Telefonnummer der Anlaufstelle, die den Domain- Namen verwaltet, falls diese sich von denen des Domain-Inhabers unterscheiden.

  1. Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister sind verpflichtet Vorgaben und Verfahren, einschließlich Überprüfungsverfahren, vorzuhalten, mit denen sichergestellt wird, dass die Datenbanken im Sinne des Absatz 1 genaue und vollständige Angaben enthalten. Diese Vorgaben und Verfahren sind öffentlich zugänglich zu machen.

  2. Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister sind verpflichtet, unverzüglich nach der Registrierung eines Domain-Namens die nicht perso- nenbezogenen Domain-Namen-Registrierungsdaten öffentlich zugänglich zu machen.

§ 52

Verpflichtung zur Zugangsgewährung

Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister sind ver- pflichtet,

  1. auf rechtmäßige und hinreichend begründete Anträge berechtigten Zugangsnachfra- gern im Einklang mit dem Datenschutzrecht Zugang zu bestimmten Domain-Namen- Registrierungsdaten zu gewähren und

  2. alle Anträge auf Zugang unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Eingang eines Antrags auf Zugang zu beantworten.

Diese Vorgaben und Verfahren im Hinblick auf die Offenlegung solcher Daten sind öffentlich zugänglich zu machen. Das Auskunftsverfahren bei Bestandsdaten gemäß § 22 des Tele- kommunikation-Telemedien-Datenschutz-Gesetzes bleibt unberührt.

§ 53

Kooperationspflicht

Um zu vermeiden, dass die Einhaltung der in § 51 und § 52 festgelegten Verpflichtun- gen zu einer doppelten Erhebung von Domain-Namen-Registrierungsdaten führt, sind Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister insoweit zur Ko- operation verpflichtet.

§ 57

Ermächtigung zum Erlass von Rechtsverordnungen

    1. Das Bundesministerium des Innern und für Heimat bestimmt nach Anhörung der betroffenen Wirtschaftsverbände und im Einvernehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz durch Rechtsverordnung, die nicht der Zustimmung des Bun- desrates bedarf, das Nähere über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen nach § 54 und deren Inhalt.

    2. Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord- nung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Kli- maschutz und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz die Einzelheiten der Gestaltung, des Inhalts und der Verwendung des IT-Sicherheitskennzeichens nach § 52, um eine einheitliche Gestaltung des Kennzeichens und eine eindeutige Erkennbarkeit der gekennzeichneten informationstechnischen Pro- dukte zu gewährleisten, sowie die Einzelheiten des Verfahrens zur Feststellung der Eig- nung branchenabgestimmter IT-Sicherheitsvorgaben und des Antragsverfahrens auf Frei- gabe einschließlich der diesbezüglichen Fristen und der beizufügenden Unterlagen sowie das Verfahren und die Gestaltung des Verweises auf Sicherheitsinformationen.

    3. Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord- nung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Einrichtungen und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz, dem Bun- desministerium der Finanzen, dem Bundesministerium der Justiz, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium der Verteidigung, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundes- ministerium für Digitales und Verkehr und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz welche durch eine besonders wichtige Einrich- tung oder wichtige Einrichtung eingesetzten Produkte, Dienste oder Prozesse gemäß

§ 30 Absatz 9 über eine Cybersicherheitszertifizierung verfügen müssen, da sie für die Er- bringung der Dienste der Einrichtung maßgeblich sind und Art und Ausmaß der

Risikoexposition der Einrichtung einen verpflichtenden Einsatz von zertifizierten Produkten, Diensten oder Prozessen in diesem Bereich erforderlich machen.

    1. Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverord- nung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Klimaschutz, dem Bundesministerium der Fi- nanzen, dem Bundesministerium der Justiz, dem Bundesministerium für Arbeit und Sozia- les, dem Bundesministerium der Verteidigung, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Digi- tales und Verkehr und dem Bundesministerium für Umwelt, Naturschutz, nukleare Sicher- heit und Verbraucherschutz unter Festlegung der in den jeweiligen Sektoren wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzuse- henden Versorgungsgrads, welche Anlagen als kritische Anlagen im Sinne dieses Geset- zes gelten. Der als bedeutend anzusehende Versorgungsgrad ist anhand branchenspezifi- scher Schwellenwerte für jede als kritisch anzusehende Dienstleistung zu bestimmen. Zu- gang zu Akten, die die Erstellung oder Änderung dieser Verordnung betreffen, wird nicht gewährt.

§ 60

Sanktionsvorschriften

  1. Ordnungswidrig handelt, wer entgegen § 39 Absatz 1 Satz 1 in Verbindung mit der Rechtsverordnung nach § 57 Absatz 4 Satz 1 einen Nachweis nicht richtig oder nicht voll- ständig erbringt.

  2. Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

  1. einer vollziehbaren Anordnung nach

    1. § 11 Absatz 6, § 16 Absatz 1 Satz 1, auch in Verbindung mit § 16 Absatz 3, § 17 Satz 1, oder § 34 Absatz 1 Satz 6,

    2. § 14 Absatz 2 Satz 1 oder § 64 Absatz 8 Satz 1 oder Absatz 9 Satz 1 oder § 65

    3. § 18

    4. § 40 Absatz 4 Satz 1 zuwiderhandelt,

  2. entgegen § 30 Absatz 1 in Verbindung mit einer Rechtsverordnung nach § 57 Absatz 4 Satz 1 eine dort genannte Maßnahme nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig ergreift,

  3. entgegen § 32 Absatz 1 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt,

  4. entgegen § 33 Absatz 1 oder Absatz 5 jeweils in Verbindung mit einer Rechtsverord- nung nach § 57 Absatz 4 Satz 1 oder entgegen § 34 Absatz 1 eine Angabe oder Än- derung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt,,

  5. entgegen § 33 Absatz 2 Satz 2 nicht sicherstellt, dass er erreichbar ist,

  6. entgegen § 34 Absatz 2 das Bundesamt nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet,

  7. entgegen § 39 Absatz 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach

§ 57 Absatz 4 Satz 1, einen Nachweis nicht oder nicht rechtzeitig erbringt

  1. entgegen § 64 Absatz 5 Satz 3 das Betreten eines dort genannten Raums nicht gestat- tet, eine dort genannte Unterlage nicht oder nicht rechtzeitig vorlegt, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung nicht oder nicht rechtzeitig gewährt,

  2. vorgibt, Inhaber einer Zertifizierung nach § 54 Absatz 2 Satz 1 zu sein, ohne dass diese besteht,

  3. entgegen § 55 Absatz 2 Satz 2 als Konformitätsbewertungsstelle tätig wird,

  4. vorgibt, Inhaber eines europäischen Cybersicherheitszertifikats oder Aussteller einer EU-Konformitätserklärung zu sein, obwohl diese nicht besteht, widerrufen oder für un- gültig erklärt wurde,

  5. entgegen § 56 Absatz 4 Satz 1 das IT-Sicherheitskennzeichen verwendet,

  6. einer verbindlichen Anweisung nach § 64 Absatz 7 oder § 65 nicht nachkommt.

  1. Ordnungswidrig handelt, wer eine in Absatz 1 bezeichnete Handlung fahrlässig begeht.

  2. Ordnungswidrig handelt, wer gegen die Verordnung (EU) 2019/881 des Europäi- schen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europä- ischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Infor- mations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl. L 151 vom 7.6.2019, S. 15) verstößt, indem er vorsätzlich oder fahrlässig

  1. entgegen Artikel 55 Absatz 1 eine dort genannte Angabe nicht, nicht richtig, nicht voll- ständig oder nicht binnen eines Monats nach Ausstellung zugänglich macht oder

  2. entgegen Artikel 56 Absatz 8 Satz 1 eine Information nicht, nicht richtig, nicht vollstän- dig oder nicht unverzüglich nach Feststellung einer Schwachstelle oder Unregelmäßig- keit gibt.

  1. Die Ordnungswidrigkeit kann in den Fällen des Absatzes 2 Nummer 1 Buchstabe a mit einer Geldbuße bis zu zwei Millionen Euro, wobei

§ 30 Absatz 2 Satz 3 des Gesetzes über Ordnungswidrigkeiten anzuwenden ist, sowie in den Fällen des Absatzes 2 Nummer 1 Buchstabe c, Nummern 4, 6, 9, 10, 11 und 12 mit einer Geldbuße bis zu fünfhunderttausend Euro und in den Fällen des Absatzes 2 Nummer 1 Buchstabe b und des Absatzes 3 mit einer Geldbuße bis zu einhun- derttausend Euro geahndet werden.

  1. Handelt es sich bei dem Betroffenen um eine wichtige Einrichtung kann die Ord- nungswidrigkeit in den Fällen der Absatz 2 Nummer 2 und 3 mit einer Geldbuße bis zu 7

Millionen Euro oder mit einem Höchstbetrag von mindestens 1,4 % des gesamten weltwei- ten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene angehört, in den Fällen des Absatzes 2 Nummer 1 Buchstabe d, Nummer 4 mit einer Geldbuße bis zu fünfhunderttausend Euro und in dem Fall des Absatzes 2 Nummer 13 mit einer Geldbuße bis zu einhunderttausend Euro geahndet wer- den.

  1. Handelt es sich bei dem Betroffenen um eine besonders wichtige Einrichtung, kann die Ordnungswidrigkeit in den Fällen der Absätze 1 und 2 Nummer 2, 3 und 7 mit einer Geldbuße bis zu 10 Millionen Euro oder mit einem Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unter- nehmens, dem der Betroffene angehört, in den Fällen des Absatzes 2 Nummer 1 Buchstabe d, Nummern , 4, 8 und 13 mit einer Geldbuße bis zu fünfhunderttausend Euro und in den Fällen des Absatzes 2 Nummer 5 mit einer Geldbuße bis zu einhunderttausend Euro geahndet werden.

  2. Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist das Bundesamt.

  3. Verhängen die in Artikel 55 oder 56 der Verordnung (EU) 2016/679 genannten Aufsichtsbehörden gemäß Artikel 58 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679 eine Geldbuße, so darf ein weiteres Bußgeld für einen Verstoß nach diesem Gesetz, der sich aus demselben Verhalten ergibt wie jener Verstoß, nicht verhängt werden.

  4. Soweit das Bundesamt Zwangsgelder verhängt, beträgt deren Höhe abweichend von § 11 Absatz 3 des Verwaltungsverfahrensgesetzes bis zu 100.000 Euro.

§ 64 Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen

  1. Das Bundesamt kann einzelne besonders wichtige Einrichtungen verpflichten, Au- dits, Prüfungen oder Zertifizierungen von unabhängigen Stellen zur Prüfung der Erfüllung der Anforderungen nach den §§ 30, 31 und 32 durchführen zu lassen.

  2. Das Bundesamt kann nach Anhörung der betroffenen Einrichtungen und Wirt- schaftsverbände fachliche und organisatorische Anforderungen für die prüfenden Stellen festlegen. Die Festlegung nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der Inter- netseite des Bundesamtes.

  3. Das Bundesamt kann von besonders wichtigen Einrichtungen Nachweise über die Erfüllung einzelner oder aller Anforderungen nach den §§ 30, 31 und 32 verlangen. Soweit das Bundesamt von seinem Recht nach Absatz 1 Gebrauch gemacht hat, kann es hierbei auch die Übermittlung der Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizie- rungen einschließlich der dabei aufgedeckten Sicherheitsmängel sowie die Vorlage der Do- kumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicher- heitsmängeln die Vorlage eines geeigneten Mängelbeseitigungsplans im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder der sonst zuständigen Aufsichtsbe- hörde verlangen. Das Bundesamt kann die Vorlage eines geeigneten Nachweises über die erfolgte Mängelbeseitigung verlangen.

  4. Bei der Auswahl, von welchen Einrichtungen das Bundesamt nach Absatz 3 Nach- weise anfordert, berücksichtigt das Bundesamt das Ausmaß der Risikoexposition, die Größe der Einrichtung sowie die Eintrittswahrscheinlichkeit und Schwere von möglichen

Sicherheitsvorfällen sowie ihre möglichen gesellschaftlichen und wirtschaftlichen Auswir- kungen.

  1. Das Bundesamt kann bei besonders wichtigen Einrichtungen die Einhaltung der Anforderungen nach diesem Gesetz überprüfen. Es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. Die Besonders wichtige Einrichtung hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der übli- chen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeich- nungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei der jeweiligen besonders wichtigen Einrich- tung nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die be- rechtigte Zweifel an der Einhaltung der Anforderungen nach § 30 Absatz 1 begründeten.

  2. Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen Anweisun- gen in Bezug auf Maßnahmen erlassen, die zur Verhütung oder Behebung eines Sicher- heitsvorfalls erforderlich sind. Ferner kann das Bundesamt die Einrichtungen zur Berichter- stattung zu den nach Satz 1 angeordneten Maßnahmen auffordern.

  3. Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen verbindliche Anweisungen zur Umsetzung der Verpflichtungen nach diesem Gesetz erlassen.

  4. Das Bundesamt kann besonders wichtige Einrichtungen anweisen, die natürlichen oder juristischen Personen, für die sie Dienste erbringen oder Tätigkeiten ausüben und die potenziell von einer erheblichen Cyberbedrohung betroffen sind, über die Art der Bedro- hung und mögliche Abwehr- oder Abhilfemaßnahmen zu unterrichten, die von diesen na- türlichen oder juristischen Personen als Reaktion auf diese Bedrohung ergriffen werden können. Zudem kann es besonders wichtige Einrichtungen anweisen, Informationen zu Ver- stößen gegen diese Richtlinie nach bestimmten Vorgaben öffentlich bekannt zu machen.

  5. Das Bundesamt kann für besonders wichtige Einrichtungen einen Überwachungs- beauftragten benennen, der die Einhaltung der Verpflichtungen aus §§ 28, 29 und 37 über- wacht. Die Benennung erfolgt für einen bestimmten Zeitraum und muss die Aufgaben des Überwachungsbeauftragten genau festlegen.

  6. Sofern besonders wichtige Einrichtungen den Anordnungen des Bundesamtes nach diesem Gesetz trotz Fristsetzung nicht nachkommen, kann das Bundesamt die jeweils zuständige Aufsichtsbehörde des Bundes auffordern

  1. die Genehmigung für einen Teil oder alle Dienste oder Tätigkeiten dieser Einrichtung vorübergehend auszusetzen

  2. den natürlichen Personen, die als Geschäftsführung oder gesetzliche Vertreter für Lei- tungsaufgaben in der besonders wichtigen Einrichtung zuständig sind, die Wahrneh- mung der Leitungsaufgaben vorübergehend untersagen.

Die Aussetzung nach Buchstabe a und die Untersagung nach Buchstabe b sind nur solange zulässig, bis die Besonders wichtige Einrichtung den Anordnungen des Bundesamtes nach- kommt, wegen deren Nichtbefolgung sie verhängt ausgesprochen wurden.

  1. Soweit das Bundesamt Aufsichtsmaßnahmen gegenüber besonders wichtigen Einrichtungen ausübt, die gleichzeitig Betreiber kritischer Anlagen sind, informiert es die zuständige Aufsichtsbehörde des Bundes darüber.

  2. Stellt das Bundesamt im Zuge der Beaufsichtigung oder Durchsetzung fest, dass der Verstoß einer besonders wichtigen Einrichtung gegen Verpflichtungen aus § 30 oder 31

eine Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4 Num- mer 12 der Verordnung (EU) 2016/679 zur Folge haben kann, die gemäß Artikel 33 der vorgenannten Verordnung zu melden ist, unterrichtet das Bundesamt unverzüglich die in Artikel 55 oder 56 der Verordnung (EU) 2016/679 genannten Aufsichtsbehörden.

§ 65

Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen

Rechtfertigen Tatsachen die Annahme, dass eine wichtige Einrichtung die Anforderun- gen aus den §§ 30, 31 und 32 nicht oder nicht richtig umsetzt, so kann das Bundesamt die Einhaltung der Anforderungen nach den §§ 30, 31 und 32 überprüfen und Maßnahmen nach § 64 treffen.

 

Artikel 29 Inkrafttreten, Außerkrafttreten

    1. Dieses Gesetz tritt vorbehaltlich der Absätze 2 und 3 am 1. Oktober 2024 in Kraft. Gleichzeitig tritt das BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821) außer Kraft.

    2. Artikel 2 tritt an dem Tag in Kraft, an dem [die KRITIS-Dachgesetz-Verordnung] in Kraft tritt, aber nicht vor dem Inkrafttretenstermin nach Absatz 1. Das Bundesministerium des Innern und für Heimat gibt den Tag des Inkrafttretens nach diesem Absatz im Bundes- gesetzblatt bekannt.

    3. Artikel 27 tritt am 18. Oktober 2024 in Kraft.

 

Wichtiger Hinweis: Die Übersicht hat keinen Anspruch auf Vollständigkeit und basiert auf teilw. nicht abgestimmten Entwürfen und kann sich laufend ändern. Für die Richtigkeit der Inhalte wird daher keine Haftung übernommen.

Die NIS2-Richtlinie ist verabschiedet. Deutlich mehr Unternehmen sind jetzt von Cybersicherheitsregulierung betroffen. Bis spätestens zum 17.10.2024 wird die EU-Richtlinie mit dem NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in deutsches Recht umgesetzt. Ab diesem Zeitpunkt müssen betroffene Unternehmen Cybersicherheitsanforderungen und Meldepflichten verpflichtend umsetzen. Schätzungen gehen von mehr als 30.000 betroffenen Unternehmen in Deutschland aus. Auch Unternehmen mit nur 50 Mitarbeitern müssen sich mit den Anforderungen auseinandersetzen. Weitere Informationen zur NIS2 haben wir für Sie in unserem Blog zusammengefasst.

Zusammenfassung NIS2:

  • Betroffenheit: 18 Sektoren, ab 50 MA und 10 Mio € Umsatz / Jahr + größenunabhängige Sonderregelungen
  • Maßnahmen: u. a. Risikomanagement, Incident-Management, Schulungen, Backup-Management, Notfall-Management
  • Weitere Pflichten: Meldepflichten für Sicherheitsvorfälle (24h), Registrierungs- und ggf. Nachweispflichten, Übermittlung von ext. IP-Adressbereichen
  • Bußgelder: Abhängig vom Verstoß, Im Höchstfall bis zu 20 Mio € oder 2 % des weltweiten Umsatzes

NIS2-Betroffenheitsanalyse

image Unternehmen müssen selbstständig identifizieren, ob sie von der NIS2-Richtlinie betroffen sind und die Maßnahmen dann rechtzeitig zu den Stichtagen erfüllen. Eigentlich könnte zumindest die NIS2-Betroffenheitsanalyse einfach sein: Ihr Unternehmen ist in einem der 18 Sektoren tätig und hat mehr als 50 Mitarbeiter oder mehr als 10. Mio € Jahresumsatz? Dann ist es wahrscheinlich betroffen. Für eine erste Prüfung haben wir einen Self-Check erstellt. NIS2-Selfcheck starten Leider gibt es noch eine Vielzahl an weiteren Faktoren welche für oder gegen eine vollständige Betroffenheit sprechen können und eine individuelle Betroffenheitsprüfung notwendig machen:
  • Sektordefinitionen: nicht alle Unternehmen eines Sektors sind betroffen. Detailbetrachtung notwendig (Übersicht der NIS2-Sektoren)
  • Size Cap: unterschiedliche Pflichten abhängig von der Unternehmensgröße (50 oder 250 MA).
  • Umfang der Pflichten: zählt Ihr Unternehmen zur Kategorie der „wichtigen Einrichtungen“ oder der besonders wichtigen Einrichtungen“?
  • Sonderregelungen: Einige Branchen sind größenunabhängig erfasst. Bspw.: Vertrauensdienste, DNS-Anbieter, bisherige KRITIS-Betreiber, Umgang mit bestimmten Gefahrstoffen.
  • Tochterunternehmen und primäre Werschöpfung: Aspekte wie ausgelagerte IT-Unternehmen, Querschnittsaufgaben, oder der maßgebliche Einfluss auf IT-Governance können die Betroffenheit gravierend verändern.
Gerne bieten wir ein kostenloses Erstgespräch an und führen anschließend die Betroffenheitsanalyse gemeinsam mit Ihnen durch. – kostenloses Erstgespräch vereinbaren

NIS2-Umsetzung

image Das NIS2 Umsetzungsgesetz wird zu einer Vielzahl an neuen Anforderungen und Pflichten führen. Viele der geforderten Maßnahmen sind Grundlage einer guten Cybersicherheitsarchitektur und sollten unabhängig von der Betroffenheit umgesetzt sein. Andere Anforderungen stellen einen Mehraufwand dar, Unternehmen sollten bereits jetzt mit der Umsetzung beginnen. Aufgrund der Vielzahl und Komplexität der Anforderungen empfehlen wir die Implementierung eines ISMS, bspw. nach der Norm ISO 27001. Es bedarf eines strukturierten Ansatzes zum Management der einzelnen Maßnahmen. Eine Zertifizierung ist dabei nicht zwingend erforderlich, kann aber Mehrwerte bspw. zum Nachweis gegenüber Kunden bieten. Gerne prüfen wir mit Ihnen, welche Maßnahmen bereits ausreichend umgesetzt wurden und unterstützen bei Bedarf bei der weiteren  Umsetzung der notwendigen organisatorischen und technischen Maßnahmen. – kostenloses Erstgespräch vereinbaren Weitere Angebote im Bereich Information Security Management & ISMS Überblick über einige NIS2-Pflichten: – Registrierungspflicht: dabei u. a. Übermittlung von Kontaktdaten, IP-Adressbereichen und Angaben zur erbrachten Dienstleistung an das BSI. Die Aufsichtsbehörde kann dabei Einsicht in interne Aufzeichnungen verlangen. – Meldepflicht: mehrstufiger Meldeprozess, dabei u. a. die unverzügliche Meldung von Sicherheitsvorfällen (24h). – Nachweispflichten: für einige Einrichtungskategorien werden Nachweise der NIS2-Umsetzung erforderlich (bspw. durch Zertifikate, Audits). Die Regelungen dazu können sich noch ändern. – Risikomanagement und Maßnahmen: Dies ist sicherlich der Aspekt mit dem größten Umsetzungsaufwand. Das NIS2UmsuCG fordert die Etablierung eines (IT)-Risikomanagements aus dem wirksame Cybersicherheitsmaßnahmen abgeleitet werden müssen. Die Maßnahmen umfassen dabei u. a.:
  • Konzepte zur Risikoanalyse und Informationssicherheit. Hierzu müssen u. a. Richtlinien und Policies implementiert werden. Gerne unterstützen wir bei der sinnvollen Ausgestaltung, damit diese nicht zu einem wirkungslosen Mehraufwand führen.
  • Maßnahmen und Konzepte zur Bewältigung von Sicherheitsvorfällen (Security Incident Management)
  • Notfallkonzepte, Backup-Management, Disaster-Recovery
  • Sicherheit der Lieferkette (Supply-Chain-Security)
  • Schwachstellenmanagement, Sichere Softwareentwicklung
  • Sicherheitsschulungen für Mitarbeiter und Geschäftsführer
  • Weitere Aspekte wie Kryptografie, Personalsicherheit, Assetmanagement, Fernwartung, Zugriffskontrolle, MFA
  • regelmäßige Wirksamkeitsprüfungen
– Weitere Anforderungen: Diese Aufstellung ist nicht abschließend. Es gibt weitere Pflichten wie bspw. Überwachungs- und Schulungspflichten für Geschäftsführer, Teilnahme am Informationsaustausch des BSI oder Durchsetzungsmaßnahmen der Aufsichtsbehörden. Details der Pflichten können sich bis zur finalen Verabschiedung des NIS2-Umsetzungsgesetzes in Deutschland noch ändern.