{"id":"bgbl1-2015-31-2","kind":"bgbl1","year":2015,"number":31,"date":"2015-07-24T00:00:00Z","url":"https://offenegesetze.de/veroeffentlichung/bgbl1/2015/31#page=4","api_url":"https://api.offenegesetze.de/v1/veroeffentlichung/bgbl1-2015-31-2/","document_url":"https://media.offenegesetze.de/bgbl1/2015/bgbl1_2015_31.pdf#page=4","order":2,"title":"Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)","law_date":"2015-07-17T00:00:00Z","page":1324,"pdf_page":4,"num_pages":8,"content":["1324 Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015\nGesetz\nzur Erhöhung der Sicherheit informationstechnischer Systeme\n(IT-Sicherheitsgesetz)*\nVom 17. Juli 2015\nDer Bundestag hat das folgende Gesetz beschlos- gungsengpässe oder Gefährdungen für die öf-\nsen: fentliche Sicherheit eintreten würden.\nDie Kritischen Infrastrukturen im Sinne dieses Ge-\nArtikel 1 setzes werden durch die Rechtsverordnung nach\nÄnderung des § 10 Absatz 1 näher bestimmt.“\nBSI-Gesetzes 3. § 3 wird wie folgt geändert:\nDas BSI-Gesetz vom 14. August 2009 (BGBl. I a) Absatz 1 Satz 2 wird wie folgt geändert:\nS. 2821), das zuletzt durch Artikel 3 Absatz 7 des Ge-\nsetzes vom 7. August 2013 (BGBl. I S. 3154) geändert aa) In Nummer 2 werden die Wörter „zur Wah-\nworden ist, wird wie folgt geändert: rung ihrer Sicherheitsinteressen erforderlich\nist“ durch die Wörter „erforderlich ist, sowie\n1. § 1 wird wie folgt gefasst: für Dritte, soweit dies zur Wahrung ihrer Si-\n„§ 1 cherheitsinteressen erforderlich ist“ ersetzt.\nBundesamt für bb) In Nummer 15 werden die Wörter „kritischen\nSicherheit in der Informationstechnik Informationsinfrastrukturen“ durch die Wör-\nDer Bund unterhält ein Bundesamt für Sicherheit ter „Sicherheit in der Informationstechnik\nin der Informationstechnik (Bundesamt) als Bun- Kritischer Infrastrukturen“ und der Punkt am\ndesoberbehörde. Das Bundesamt ist zuständig für Ende durch ein Semikolon ersetzt.\ndie Informationssicherheit auf nationaler Ebene. Es cc) Die folgenden Nummern 16 und 17 werden\nuntersteht dem Bundesministerium des Innern.“ angefügt:\n2. Dem § 2 wird folgender Absatz 10 angefügt: „16. Aufgaben als zentrale Stelle im Bereich\n„(10) Kritische Infrastrukturen im Sinne dieses der Sicherheit in der Informationstech-\nGesetzes sind Einrichtungen, Anlagen oder Teile nik im Hinblick auf die Zusammenarbeit\ndavon, die mit den zuständigen Stellen im Ausland,\nunbeschadet besonderer Zuständigkei-\n1. den Sektoren Energie, Informationstechnik und ten anderer Stellen;\nTelekommunikation, Transport und Verkehr, Ge-\nsundheit, Wasser, Ernährung sowie Finanz- und 17. Aufgaben nach den §§ 8a und 8b als\nVersicherungswesen angehören und zentrale Stelle für die Sicherheit in der\nInformationstechnik Kritischer Infra-\n2. von hoher Bedeutung für das Funktionieren des strukturen.“\nGemeinwesens sind, weil durch ihren Ausfall\noder ihre Beeinträchtigung erhebliche Versor- b) Folgender Absatz 3 wird angefügt:\n„(3) Das Bundesamt kann Betreiber Kritischer\n* Notifiziert gemäß der Richtlinie 98/34/EG des Europäischen Parla- Infrastrukturen auf deren Ersuchen bei der Si-\nments und des Rates vom 22. Juni 1998 über ein Informationsverfah-\nren auf dem Gebiet der Normen und technischen Vorschriften und der cherung ihrer Informationstechnik beraten und\nVorschriften für die Dienste der Informationsgesellschaft (ABl. L 204 unterstützen oder auf qualifizierte Sicherheits-\nvom 21.07.1998, S. 37), zuletzt geändert durch Artikel 26 Absatz 2 der dienstleister verweisen.“\nVerordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und\ndes Rates vom 25. Oktober 2012 (ABl. L 316 vom 14.11.2012, S. 12). 4. Die Überschrift von § 4 wird wie folgt gefasst:","Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015 1325\n„§ 4 waltungsvorschriften für alle Stellen des Bundes er-\nZentrale Meldestelle lassen. Das Bundesamt berät die Stellen des Bun-\nfür die Sicherheit in der des auf Ersuchen bei der Umsetzung und Einhal-\nInformationstechnik des Bundes“. tung der Mindeststandards. Für die in § 2 Absatz 3\nSatz 2 genannten Gerichte und Verfassungsorgane\n4a. § 5 Absatz 1 wird wie folgt geändert: haben die Vorschriften nach diesem Absatz emp-\na) Satz 4 wird wie folgt gefasst: fehlenden Charakter.“\n„Die Bundesbehörden sind verpflichtet, das 7. Nach § 8 werden die folgenden §§ 8a bis 8d einge-\nBundesamt bei Maßnahmen nach Satz 1 zu fügt:\nunterstützen und hierbei den Zugang des Bun- „§ 8a\ndesamtes zu behördeninternen Protokolldaten\nnach Satz 1 Nummer 1 sowie Schnittstellen- Sicherheit in der\ndaten nach Satz 1 Nummer 2 sicherzustellen.“ Informationstechnik Kritischer Infrastrukturen\nb) Folgender Satz wird angefügt: (1) Betreiber Kritischer Infrastrukturen sind ver-\npflichtet, spätestens zwei Jahre nach Inkrafttreten\n„Protokolldaten der Bundesgerichte dürfen nur der Rechtsverordnung nach § 10 Absatz 1 ange-\nin deren Einvernehmen erhoben werden.“ messene organisatorische und technische Vorkeh-\n5. § 7 Absatz 1 Satz 1 wird durch die folgenden Sätze rungen zur Vermeidung von Störungen der Verfüg-\nersetzt: barkeit, Integrität, Authentizität und Vertraulichkeit\n„Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 ihrer informationstechnischen Systeme, Kompo-\nSatz 2 Nummer 14 kann das Bundesamt nenten oder Prozesse zu treffen, die für die Funk-\ntionsfähigkeit der von ihnen betriebenen Kritischen\n1. die folgenden Warnungen an die Öffentlichkeit\nInfrastrukturen maßgeblich sind. Dabei soll der\noder an die betroffenen Kreise richten:\nStand der Technik eingehalten werden. Organisato-\na) Warnungen vor Sicherheitslücken in informa- rische und technische Vorkehrungen sind ange-\ntionstechnischen Produkten und Diensten, messen, wenn der dafür erforderliche Aufwand\nb) Warnungen vor Schadprogrammen und nicht außer Verhältnis zu den Folgen eines Ausfalls\nc) Warnungen im Falle eines Verlustes von oder oder einer Beeinträchtigung der betroffenen Kriti-\neines unerlaubten Zugriffs auf Daten; schen Infrastruktur steht.\n2. Sicherheitsmaßnahmen sowie den Einsatz be- (2) Betreiber Kritischer Infrastrukturen und ihre\nstimmter Sicherheitsprodukte empfehlen. Branchenverbände können branchenspezifische\nSicherheitsstandards zur Gewährleistung der Anfor-\nDas Bundesamt kann zur Wahrnehmung der Aufga- derungen nach Absatz 1 vorschlagen. Das Bundes-\nben nach Satz 1 Dritte einbeziehen, wenn dies für amt stellt auf Antrag fest, ob diese geeignet sind,\neine wirksame und rechtzeitige Warnung erforder- die Anforderungen nach Absatz 1 zu gewährleisten.\nlich ist.“ Die Feststellung erfolgt\n6. Nach § 7 wird folgender § 7a eingefügt: 1. im Benehmen mit dem Bundesamt für Bevölke-\n„§ 7a rungsschutz und Katastrophenhilfe,\nUntersuchung der 2. im Einvernehmen mit der zuständigen Aufsichts-\nSicherheit in der Informationstechnik behörde des Bundes oder im Benehmen mit der\n(1) Das Bundesamt kann zur Erfüllung seiner sonst zuständigen Aufsichtsbehörde.\nAufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 14 (3) Die Betreiber Kritischer Infrastrukturen haben\nund 17 auf dem Markt bereitgestellte oder zur mindestens alle zwei Jahre die Erfüllung der Anfor-\nBereitstellung auf dem Markt vorgesehene informa- derungen nach Absatz 1 auf geeignete Weise nach-\ntionstechnische Produkte und Systeme untersu- zuweisen. Der Nachweis kann durch Sicherheits-\nchen. Es kann sich hierbei der Unterstützung Dritter audits, Prüfungen oder Zertifizierungen erfolgen.\nbedienen, soweit berechtigte Interessen des Her- Die Betreiber übermitteln dem Bundesamt eine Auf-\nstellers der betroffenen Produkte und Systeme stellung der durchgeführten Audits, Prüfungen oder\ndem nicht entgegenstehen. Zertifizierungen einschließlich der dabei aufgedeck-\n(2) Die aus den Untersuchungen gewonnenen ten Sicherheitsmängel. Das Bundesamt kann bei\nErkenntnisse dürfen nur zur Erfüllung der Aufgaben Sicherheitsmängeln verlangen:\nnach § 3 Absatz 1 Satz 2 Nummer 1, 14 und 17 1. die Übermittlung der gesamten Audit-, Prüfungs-\ngenutzt werden. Das Bundesamt darf seine Er- oder Zertifizierungsergebnisse und\nkenntnisse weitergeben und veröffentlichen, soweit 2. im Einvernehmen mit der zuständigen Aufsichts-\ndies zur Erfüllung dieser Aufgaben erforderlich ist. behörde des Bundes oder im Benehmen mit der\nZuvor ist dem Hersteller der betroffenen Produkte sonst zuständigen Aufsichtsbehörde die Beseiti-\nund Systeme mit angemessener Frist Gelegenheit gung der Sicherheitsmängel.\nzur Stellungnahme zu geben.“\n(4) Das Bundesamt kann zur Ausgestaltung des\n6a. § 8 Absatz 1 wird wie folgt gefasst: Verfahrens der Sicherheitsaudits, Prüfungen und\n„(1) Das Bundesamt erarbeitet Mindeststan- Zertifizierungen nach Absatz 3 Anforderungen an\ndards für die Sicherheit der Informationstechnik die Art und Weise der Durchführung, an die hierüber\ndes Bundes. Das Bundesministerium des Innern auszustellenden Nachweise sowie fachliche und\nkann im Benehmen mit dem IT-Rat diese Mindest- organisatorische Anforderungen an die prüfende\nstandards ganz oder teilweise als allgemeine Ver- Stelle nach Anhörung von Vertretern der betroffe-","1326 Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015\nnen Betreiber und der betroffenen Wirtschafts- 2. geführt haben,\nverbände festlegen.\nüber die Kontaktstelle unverzüglich an das Bundes-\namt zu melden. Die Meldung muss Angaben zu der\n§ 8b\nStörung sowie zu den technischen Rahmenbedin-\nZentrale Stelle für die Sicherheit gungen, insbesondere der vermuteten oder tat-\nin der Informationstechnik Kritischer Infrastrukturen sächlichen Ursache, der betroffenen Informations-\n(1) Das Bundesamt ist die zentrale Meldestelle technik, der Art der betroffenen Einrichtung oder\nfür Betreiber Kritischer Infrastrukturen in Angele- Anlage sowie zur Branche des Betreibers enthalten.\ngenheiten der Sicherheit in der Informationstechnik. Die Nennung des Betreibers ist nur dann erforder-\nlich, wenn die Störung tatsächlich zu einem Ausfall\n(2) Das Bundesamt hat zur Wahrnehmung dieser oder einer Beeinträchtigung der Funktionsfähigkeit\nAufgabe der Kritischen Infrastruktur geführt hat.\n1. die für die Abwehr von Gefahren für die Sicher-\n(5) Zusätzlich zu ihrer Kontaktstelle nach Ab-\nheit in der Informationstechnik wesentlichen In-\nsatz 3 können Betreiber Kritischer Infrastrukturen,\nformationen zu sammeln und auszuwerten, ins-\ndie dem gleichen Sektor angehören, eine gemein-\nbesondere Informationen zu Sicherheitslücken,\nsame übergeordnete Ansprechstelle benennen.\nzu Schadprogrammen, zu erfolgten oder ver-\nWurde eine solche benannt, erfolgt der Informati-\nsuchten Angriffen auf die Sicherheit in der Infor-\nonsaustausch zwischen den Kontaktstellen und\nmationstechnik und zu der dabei beobachteten\ndem Bundesamt in der Regel über die gemeinsame\nVorgehensweise,\nAnsprechstelle.\n2. deren potentielle Auswirkungen auf die Verfüg-\nbarkeit der Kritischen Infrastrukturen in Zusam- (6) Soweit erforderlich kann das Bundesamt vom\nmenarbeit mit den zuständigen Aufsichtsbehör- Hersteller der betroffenen informationstechnischen\nden und dem Bundesamt für Bevölkerungs- Produkte und Systeme die Mitwirkung an der Be-\nschutz und Katastrophenhilfe zu analysieren, seitigung oder Vermeidung einer Störung nach\nAbsatz 4 verlangen. Satz 1 gilt für Störungen bei\n3. das Lagebild bezüglich der Sicherheit in der In- Betreibern und Genehmigungsinhabern im Sinne\nformationstechnik der Kritischen Infrastrukturen von § 8c Absatz 3 entsprechend.\nkontinuierlich zu aktualisieren und\n(7) Soweit im Rahmen dieser Vorschrift perso-\n4. unverzüglich nenbezogene Daten erhoben, verarbeitet oder ge-\na) die Betreiber Kritischer Infrastrukturen über nutzt werden, ist eine über die vorstehenden Ab-\nsie betreffende Informationen nach den Num- sätze hinausgehende Verarbeitung und Nutzung zu\nmern 1 bis 3, anderen Zwecken unzulässig. § 5 Absatz 7 Satz 3\nb) die zuständigen Aufsichtsbehörden und die bis 8 ist entsprechend anzuwenden. Im Übrigen\nsonst zuständigen Behörden des Bundes sind die Regelungen des Bundesdatenschutzgeset-\nüber die zur Erfüllung ihrer Aufgaben erforder- zes anzuwenden.\nlichen Informationen nach den Nummern 1\nbis 3 sowie § 8c\nc) die zuständigen Aufsichtsbehörden der Län- Anwendungsbereich\nder oder die zu diesem Zweck dem Bundes-\n(1) Die §§ 8a und 8b sind nicht anzuwenden auf\namt von den Ländern als zentrale Kontakt-\nKleinstunternehmen im Sinne der Empfehlung\nstellen benannten Behörden über die zur Er-\n2003/361/EC der Kommission vom 6. Mai 2003\nfüllung ihrer Aufgaben erforderlichen Informa-\nbetreffend die Definition der Kleinstunternehmen\ntionen nach den Nummern 1 bis 3\nsowie der kleinen und mittleren Unternehmen (ABl.\nzu unterrichten. L 124 vom 20.5.2003, S. 36). Artikel 3 Absatz 4 der\n(3) Die Betreiber Kritischer Infrastrukturen haben Empfehlung ist nicht anzuwenden.\ndem Bundesamt binnen sechs Monaten nach In- (2) § 8a ist nicht anzuwenden auf\nkrafttreten der Rechtsverordnung nach § 10 Ab-\nsatz 1 eine Kontaktstelle für die Kommunikations- 1. Betreiber Kritischer Infrastrukturen, soweit sie\nstrukturen nach § 3 Absatz 1 Satz 2 Nummer 15 zu ein öffentliches Telekommunikationsnetz betrei-\nbenennen. Die Betreiber haben sicherzustellen, ben oder öffentlich zugängliche Telekommunika-\ndass sie hierüber jederzeit erreichbar sind. Die tionsdienste erbringen,\nÜbermittlung von Informationen durch das Bundes- 2. Betreiber von Energieversorgungsnetzen oder\namt nach Absatz 2 Nummer 4 erfolgt an diese Kon- Energieanlagen im Sinne des Energiewirtschafts-\ntaktstelle. gesetzes vom 7. Juli 2005 (BGBl. I S. 1970, 3621),\n(4) Betreiber Kritischer Infrastrukturen haben er- das zuletzt durch Artikel 3 des Gesetzes vom\nhebliche Störungen der Verfügbarkeit, Integrität, 17. Juli 2015 (BGBl. I S. 1324) geändert worden\nAuthentizität und Vertraulichkeit ihrer informations- ist, in der jeweils geltenden Fassung,\ntechnischen Systeme, Komponenten oder Prozes- 3. Genehmigungsinhaber nach § 7 Absatz 1 des\nse, die zu einem Ausfall oder einer Beeinträchtigung Atomgesetzes in der Fassung der Bekanntma-\nder Funktionsfähigkeit der von ihnen betriebenen chung vom 15. Juli 1985 (BGBl. I S. 1565), das\nKritischen Infrastrukturen zuletzt durch Artikel 2 des Gesetzes vom 17. Juli\n1. führen können oder 2015 (BGBl. I S. 1324) geändert worden ist, in","Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015 1327\nder jeweils geltenden Fassung für den Geltungs- Nummer 2 wegen ihrer Bedeutung als kritisch\nbereich der Genehmigung sowie anzusehenden Dienstleistungen und deren als\n4. sonstige Betreiber Kritischer Infrastrukturen, so- bedeutend anzusehenden Versorgungsgrads,\nweit sie auf Grund von Rechtsvorschriften An- welche Einrichtungen, Anlagen oder Teile davon\nforderungen erfüllen müssen, die mit den als Kritische Infrastrukturen im Sinne dieses Ge-\nAnforderungen nach § 8a vergleichbar oder wei- setzes gelten. Der nach Satz 1 als bedeutend\ntergehend sind. anzusehende Versorgungsgrad ist anhand von\nbranchenspezifischen Schwellenwerten für jede\n(3) § 8b Absatz 3 bis 5 ist nicht anzuwenden auf wegen ihrer Bedeutung als kritisch anzusehende\n1. Betreiber Kritischer Infrastrukturen, soweit sie Dienstleistung im jeweiligen Sektor zu bestim-\nein öffentliches Telekommunikationsnetz betrei- men. Zugang zu Akten, die die Erstellung oder\nben oder öffentlich zugängliche Telekommunika- Änderung dieser Verordnung betreffen, wird\ntionsdienste erbringen, nicht gewährt.“\n2. Betreiber von Energieversorgungsnetzen oder b) Der bisherige Absatz 1 wird Absatz 2 und die\nEnergieanlagen im Sinne des Energiewirtschafts- Wörter „Wirtschaft und Technologie durch\ngesetzes, Rechtsverordnung“ werden durch die Wörter\n„Wirtschaft und Energie durch Rechtsverord-\n3. Genehmigungsinhaber nach § 7 Absatz 1 des\nnung, die nicht der Zustimmung des Bundes-\nAtomgesetzes für den Geltungsbereich der Ge-\nrates bedarf,“ ersetzt.\nnehmigung sowie\nc) Der bisherige Absatz 2 wird Absatz 3 und in\n4. sonstige Betreiber Kritischer Infrastrukturen, die\nSatz 3 werden nach dem Wort „Rechtsverord-\nauf Grund von Rechtsvorschriften Anforderun-\nnung“ ein Komma und die Wörter „die nicht der\ngen erfüllen müssen, die mit den Anforderungen\nZustimmung des Bundesrates bedarf,“ einge-\nnach § 8b Absatz 3 bis 5 vergleichbar oder wei-\nfügt.\ntergehend sind.\n9. Die folgenden §§ 13 und 14 werden angefügt:\n§ 8d „§ 13\nAuskunftsverlangen Berichtspflichten\n(1) Das Bundesamt kann Dritten auf Antrag Aus- (1) Das Bundesamt unterrichtet das Bundesmi-\nkunft zu den im Rahmen von § 8a Absatz 2 und 3 nisterium des Innern über seine Tätigkeit.\nerhaltenen Informationen sowie zu den Meldungen (2) Die Unterrichtung nach Absatz 1 dient auch\nnach § 8b Absatz 4 nur erteilen, wenn schutzwür- der Aufklärung der Öffentlichkeit durch das Bun-\ndige Interessen des betroffenen Betreibers Kriti- desministerium des Innern über Gefahren für die Si-\nscher Infrastrukturen dem nicht entgegenstehen cherheit in der Informationstechnik, die mindestens\nund durch die Auskunft keine Beeinträchtigung einmal jährlich in einem zusammenfassenden Be-\nwesentlicher Sicherheitsinteressen zu erwarten ist. richt erfolgt. § 7 Absatz 1 Satz 3 und 4 ist entspre-\nZugang zu personenbezogenen Daten wird nicht chend anzuwenden.\ngewährt.\n(2) Zugang zu den Akten des Bundesamtes in § 14\nAngelegenheiten nach den §§ 8a und 8b wird nur Bußgeldvorschriften\nVerfahrensbeteiligten gewährt und dies nach Maß-\n(1) Ordnungswidrig handelt, wer vorsätzlich oder\ngabe von § 29 des Verwaltungsverfahrensgeset-\nfahrlässig\nzes.“\n1. entgegen § 8a Absatz 1 Satz 1 in Verbindung mit\n8. § 10 wird wie folgt geändert:\neiner Rechtsverordnung nach § 10 Absatz 1\na) Dem Absatz 1 wird folgender Absatz 1 vorange- Satz 1 eine dort genannte Vorkehrung nicht,\nstellt: nicht richtig, nicht vollständig oder nicht recht-\n„(1) Das Bundesministerium des Innern be- zeitig trifft,\nstimmt durch Rechtsverordnung, die nicht der 2. einer vollziehbaren Anordnung nach § 8a Ab-\nZustimmung des Bundesrates bedarf, nach An- satz 3 Satz 4\nhörung von Vertretern der Wissenschaft, der be-\na) Nummer 1 oder\ntroffenen Betreiber und der betroffenen Wirt-\nschaftsverbände im Einvernehmen mit dem Bun- b) Nummer 2\ndesministerium für Wirtschaft und Energie, dem zuwiderhandelt,\nBundesministerium der Justiz und für Verbrau- 3. entgegen § 8b Absatz 3 Satz 1 in Verbindung mit\ncherschutz, dem Bundesministerium der Finan- einer Rechtsverordnung nach § 10 Absatz 1\nzen, dem Bundesministerium für Arbeit und Satz 1 eine Kontaktstelle nicht oder nicht recht-\nSoziales, dem Bundesministerium für Ernährung zeitig benennt oder\nund Landwirtschaft, dem Bundesministerium für\nGesundheit, dem Bundesministerium für Verkehr 4. entgegen § 8b Absatz 4 Satz 1 Nummer 2 eine\nund digitale Infrastruktur, dem Bundesministe- Meldung nicht, nicht richtig, nicht vollständig\nrium der Verteidigung und dem Bundesministe- oder nicht rechtzeitig macht.\nrium für Umwelt, Naturschutz, Bau und Reaktor- (2) Die Ordnungswidrigkeit kann in den Fällen\nsicherheit unter Festlegung der in den jeweiligen des Absatzes 1 Nummer 2 Buchstabe b mit einer\nSektoren im Hinblick auf § 2 Absatz 10 Satz 1 Geldbuße bis zu hunderttausend Euro, in den übri-","1328 Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015\ngen Fällen des Absatzes 1 mit einer Geldbuße bis Inhalt und Gestaltung der Dokumentation\nzu fünfzigtausend Euro geahndet werden. nach Satz 4 treffen.“\n(3) Verwaltungsbehörde im Sinne des § 36 Ab- b) Nach Absatz 1a werden die folgenden Absätze 1b\nsatz 1 Nummer 1 des Gesetzes über Ordnungswid- und 1c eingefügt:\nrigkeiten ist das Bundesamt.“\n„(1b) Betreiber von Energieanlagen, die durch\nArtikel 2 Inkrafttreten der Rechtsverordnung gemäß § 10\nÄnderung des Absatz 1 des BSI-Gesetzes vom 14. August 2009\nAtomgesetzes (BGBl. I S. 2821), das zuletzt durch Artikel 8 des\nGesetzes vom 17. Juli 2015 (BGBl. I S. 1324)\nNach § 40 des Atomgesetzes in der Fassung der geändert worden ist, in der jeweils geltenden\nBekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), Fassung als Kritische Infrastruktur bestimmt wur-\ndas zuletzt durch Artikel 2 Absatz 14 des Gesetzes vom den und an ein Energieversorgungsnetz ange-\n1. April 2015 (BGBl. I S. 434) geändert worden ist, wird schlossen sind, haben binnen zwei Jahren nach\nfolgender § 44b eingefügt: Inkrafttreten der Rechtsverordnung gemäß § 10\nAbsatz 1 des BSI-Gesetzes einen angemessenen\n„§ 44b Schutz gegen Bedrohungen für Telekommunika-\nMeldewesen für die tions- und elektronische Datenverarbeitungssys-\nSicherheit in der Informationstechnik teme zu gewährleisten, die für einen sicheren An-\nlagenbetrieb notwendig sind. Die Regulierungs-\nGenehmigungsinhaber nach den §§ 6, 7 und 9 haben behörde erstellt hierzu im Benehmen mit dem\nBeeinträchtigungen ihrer informationstechnischen Sys- Bundesamt für Sicherheit in der Informations-\nteme, Komponenten oder Prozesse, die zu einer Ge- technik einen Katalog von Sicherheitsanforderun-\nfährdung oder Störung der nuklearen Sicherheit der be- gen und veröffentlicht diesen. Für Telekommuni-\ntroffenen kerntechnischen Anlage oder Tätigkeit führen kations- und elektronische Datenverarbeitungs-\nkönnen oder bereits geführt haben, unverzüglich an das systeme von Anlagen nach § 7 Absatz 1 des\nBundesamt für Sicherheit in der Informationstechnik als Atomgesetzes haben Vorgaben auf Grund des\nzentrale Meldestelle zu melden. § 8b Absatz 1, 2 und 7 Atomgesetzes Vorrang. Die für die nukleare\ndes BSI-Gesetzes sind entsprechend anzuwenden. Die Sicherheit zuständigen Genehmigungs- und Auf-\nMeldung muss Angaben zu der Störung sowie zu den sichtsbehörden des Bundes und der Länder sind\ntechnischen Rahmenbedingungen, insbesondere der bei der Erarbeitung des Katalogs von Sicherheits-\nvermuteten oder tatsächlichen Ursache, und der betrof- anforderungen zu beteiligen. Der Katalog von Si-\nfenen Informationstechnik enthalten. Das Bundesamt cherheitsanforderungen enthält auch Regelungen\nfür Sicherheit in der Informationstechnik leitet diese zur regelmäßigen Überprüfung der Erfüllung der\nMeldungen unverzüglich an die für die nukleare Sicher- Sicherheitsanforderungen. Ein angemessener\nheit und Sicherung zuständigen Genehmigungs- und Schutz des Betriebs von Energieanlagen im Sinne\nAufsichtsbehörden des Bundes und der Länder weiter.“ von Satz 1 liegt vor, wenn dieser Katalog einge-\nhalten und dies vom Betreiber dokumentiert wor-\nArtikel 3 den ist. Die Einhaltung kann von der Bundesnetz-\nÄnderung des agentur überprüft werden. Zu diesem Zwecke\nEnergiewirtschaftsgesetzes kann die Regulierungsbehörde nähere Bestim-\nmungen zu Format, Inhalt und Gestaltung der\nDas Energiewirtschaftsgesetz vom 7. Juli 2005\nDokumentation nach Satz 6 treffen.\n(BGBl. I S. 1970, 3621), das zuletzt durch Artikel 6 des\nGesetzes vom 21. Juli 2014 (BGBl. I S. 1066) geändert (1c) Betreiber von Energieversorgungsnetzen\nworden ist, wird wie folgt geändert: und Energieanlagen, die durch Inkrafttreten der\n1. § 11 wird wie folgt geändert: Rechtsverordnung gemäß § 10 Absatz 1 des\nBSI-Gesetzes als Kritische Infrastruktur bestimmt\na) Absatz 1a wird wie folgt geändert: wurden, haben dem Bundesamt für Sicherheit in\naa) In Satz 1 werden nach dem Wort „Datenver- der Informationstechnik unverzüglich erhebliche\narbeitungssysteme,“ die Wörter „die der Störungen der Verfügbarkeit, Integrität, Authenti-\nNetzsteuerung dienen“ durch die Wörter „die zität und Vertraulichkeit ihrer informationstechni-\nfür einen sicheren Netzbetrieb notwendig schen Systeme, Komponenten oder Prozesse zu\nsind“ ersetzt. melden, die zu einem Ausfall oder einer Beein-\nbb) Nach Satz 2 wird folgender Satz eingefügt: trächtigung der Funktionsfähigkeit des Energie-\nversorgungsnetzes oder der betreffenden Ener-\n„Der Katalog der Sicherheitsanforderungen gieanlage führen können oder bereits geführt ha-\nenthält auch Regelungen zur regelmäßigen ben. Die Meldung muss Angaben zu der Störung\nÜberprüfung der Erfüllung der Sicherheits- sowie zu den technischen Rahmenbedingungen,\nanforderungen.“ insbesondere der vermuteten oder tatsächlichen\ncc) In dem neuen Satz 4 werden die Wörter „wird Ursache und der betroffenen Informationstechnik,\nvermutet“ durch die Wörter „liegt vor“ ersetzt. enthalten. Die Nennung des Betreibers ist nur\ndann erforderlich, wenn die Störung tatsächlich\ndd) Der neue Satz 6 wird wie folgt gefasst: zu einem Ausfall oder einer Beeinträchtigung der\n„Zu diesem Zwecke kann die Regulierungs- Funktionsfähigkeit der Kritischen Infrastruktur ge-\nbehörde nähere Bestimmungen zu Format, führt hat. Das Bundesamt für Sicherheit in der In-","Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015 1329\nformationstechnik hat die Meldungen unverzüg- gesichert sind. Vorkehrungen nach Satz 1 müs-\nlich an die Bundesnetzagentur weiterzuleiten. sen den Stand der Technik berücksichtigen. Eine\nDas Bundesamt für Sicherheit in der Informa- Maßnahme nach Satz 1 ist insbesondere die An-\ntionstechnik und die Bundesnetzagentur haben wendung eines als sicher anerkannten Verschlüs-\nsicherzustellen, dass die unbefugte Offenbarung selungsverfahrens.“\nder ihnen nach Satz 1 zur Kenntnis gelangten b) Der bisherige Absatz 7 wird Absatz 8.\nAngaben ausgeschlossen wird. Zugang zu den\nAkten des Bundesamtes für Sicherheit in der 2. In § 16 Absatz 2 Nummer 3 werden nach den Wör-\nInformationstechnik sowie zu den Akten der Bun- tern „§ 13 Abs. 4 Satz 1 Nr. 1 bis 4 oder 5“ die Wör-\ndesnetzagentur in Angelegenheiten nach den ter „oder Absatz 7 Satz 1 Nummer 1 oder Nummer 2\n§§ 11a bis 11c wird nicht gewährt. § 29 des Ver- Buchstabe a“ eingefügt.\nwaltungsverfahrensgesetzes bleibt unberührt.\n§ 8d Absatz 1 des BSI-Gesetzes ist entsprechend Artikel 5\nanzuwenden.“ Änderung des\n2. § 21e Absatz 5 wird wie folgt geändert: Telekommunikationsgesetzes\na) In Satz 1 in dem Satzteil vor Nummer 1 werden Das Telekommunikationsgesetz vom 22. Juni 2004\nnach den Wörtern „dürfen noch“ die Wörter „bis (BGBl. I S. 1190), das zuletzt durch Artikel 22 des Ge-\nzum Zeitpunkt, den eine Rechtsverordnung nach setzes vom 25. Juli 2014 (BGBl. I S. 1266) geändert\n§ 21i Absatz 1 Nummer 11 bestimmt, mindestens worden ist, wird wie folgt geändert:\njedoch“ eingefügt und wird die Angabe „2014“ 1. In der Inhaltsübersicht wird die Angabe zu § 109a\ndurch die Angabe „2015“ ersetzt. wie folgt gefasst:\nb) Satz 3 wird aufgehoben. „§ 109a Daten- und Informationssicherheit“.\n3. § 21f Absatz 2 wird wie folgt geändert: 2. § 100 Absatz 1 wird wie folgt gefasst:\na) In Satz 1 werden nach den Wörtern „können „(1) Soweit erforderlich, darf der Diensteanbieter\nnoch“ die Wörter „bis zum Zeitpunkt, den eine die Bestandsdaten und Verkehrsdaten der Teilneh-\nRechtsverordnung nach § 21i Absatz 1 Num- mer und Nutzer erheben und verwenden, um Störun-\nmer 11 bestimmt, mindestens jedoch“ eingefügt gen oder Fehler an Telekommunikationsanlagen zu\nund wird die Angabe „2014“ durch die Angabe erkennen, einzugrenzen oder zu beseitigen. Dies gilt\n„2015“ ersetzt. auch für Störungen, die zu einer Einschränkung der\nb) Satz 2 wird aufgehoben. Verfügbarkeit von Informations- und Kommunika-\n4. In § 21i Absatz 1 Nummer 11 werden die Wörter tionsdiensten oder zu einem unerlaubten Zugriff auf\n„und eine Verlängerung der genannten Frist“ gestri- Telekommunikations- und Datenverarbeitungssys-\nchen. teme der Nutzer führen können.“\n5. In § 59 Absatz 1 Satz 2 werden nach dem Wort „Er- 3. § 109 wird wie folgt geändert:\nstellung“ die Wörter „und Überprüfung“ eingefügt a) Nach Absatz 2 Satz 2 wird folgender Satz einge-\nund wird nach der Angabe „§ 11 Absatz 1a“ die An- fügt:\ngabe „Satz 2“ durch die Angabe „und 1b“ ersetzt. „Bei Maßnahmen nach Satz 2 ist der Stand der\nTechnik zu berücksichtigen.“\nArtikel 4\nb) Absatz 4 Satz 7 wird durch die folgenden Sätze\nÄnderung des ersetzt:\nTelemediengesetzes\n„Die Bundesnetzagentur überprüft regelmäßig die\nDas Telemediengesetz vom 26. Februar 2007 (BGBl. I\nUmsetzung des Sicherheitskonzepts. Die Über-\nS. 179, 251), das zuletzt durch Artikel 2 Absatz 16 des\nprüfung soll mindestens alle zwei Jahre erfolgen.“\nGesetzes vom 1. April 2015 (BGBl. I S. 434) geändert\nworden ist, wird wie folgt geändert: c) Absatz 5 wird wie folgt gefasst:\n1. § 13 wird wie folgt geändert: „(5) Wer ein öffentliches Telekommunikations-\nnetz betreibt oder öffentlich zugängliche Tele-\na) Nach Absatz 6 wird folgender Absatz 7 eingefügt:\nkommunikationsdienste erbringt, hat der Bundes-\n„(7) Diensteanbieter haben, soweit dies tech- netzagentur unverzüglich Beeinträchtigungen von\nnisch möglich und wirtschaftlich zumutbar ist, Telekommunikationsnetzen und -diensten mitzu-\nim Rahmen ihrer jeweiligen Verantwortlichkeit für teilen, die\ngeschäftsmäßig angebotene Telemedien durch\n1. zu beträchtlichen Sicherheitsverletzungen füh-\ntechnische und organisatorische Vorkehrungen\nren oder\nsicherzustellen, dass\n1. kein unerlaubter Zugriff auf die für ihre Teleme- 2. zu beträchtlichen Sicherheitsverletzungen füh-\ndienangebote genutzten technischen Einrich- ren können.\ntungen möglich ist und Dies schließt Störungen ein, die zu einer Ein-\n2. diese schränkung der Verfügbarkeit der über diese\nNetze erbrachten Dienste oder einem unerlaubten\na) gegen Verletzungen des Schutzes perso- Zugriff auf Telekommunikations- und Datenverar-\nnenbezogener Daten und beitungssysteme der Nutzer führen können. Die\nb) gegen Störungen, auch soweit sie durch Meldung muss Angaben zu der Störung sowie\näußere Angriffe bedingt sind, zu den technischen Rahmenbedingungen, insbe-","1330 Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015\nsondere der vermuteten oder tatsächlichen Ursa- Artikel 6\nche und zu der betroffenen Informationstechnik Änderung des\nenthalten. Kommt es zu einer beträchtlichen Si- Bundesbesoldungsgesetzes\ncherheitsverletzung, kann die Bundesnetzagentur\nDie Anlage I des Bundesbesoldungsgesetzes in der\neinen detaillierten Bericht über die Sicherheitsver-\nFassung der Bekanntmachung vom 19. Juni 2009\nletzung und die ergriffenen Abhilfemaßnahmen\n(BGBl. I S. 1434), das zuletzt durch Artikel 2 des Geset-\nverlangen. Soweit es sich um Sicherheitsverlet-\nzes vom 13. Mai 2015 (BGBl. I S. 706) geändert worden\nzungen handelt, die die Informationstechnik\nist, wird wie folgt geändert:\nbetreffen, leitet die Bundesnetzagentur die einge-\ngangenen Meldungen sowie die Informationen zu 1. In der Gliederungseinheit „Besoldungsgruppe B 6“\nden ergriffenen Abhilfemaßnahmen unverzüglich wird die Angabe „Präsident des Bundesamtes für\nan das Bundesamt für Sicherheit in der Informa- Sicherheit in der Informationstechnik“ gestrichen.\ntionstechnik weiter. Erforderlichenfalls unterrich- 2. In der Gliederungseinheit „Besoldungsgruppe B 7“\ntet die Bundesnetzagentur die nationalen Regu- wird nach der Angabe „Präsident des Bildungszen-\nlierungsbehörden der anderen Mitgliedstaaten trums der Bundeswehr“ folgende Angabe eingefügt:\nder Europäischen Union und die Europäische „Präsident des Bundesamtes für Sicherheit in der\nAgentur für Netz- und Informationssicherheit über Informationstechnik“.\ndie Sicherheitsverletzungen. Die Bundesnetz-\nagentur kann die Öffentlichkeit unterrichten oder Artikel 7\ndie nach Satz 1 Verpflichteten zu dieser Unter-\nrichtung auffordern, wenn sie zu dem Schluss ge- Änderung des\nlangt, dass die Bekanntgabe der Sicherheitsver- Bundeskriminalamtgesetzes\nletzung im öffentlichen Interesse liegt. § 8d des § 4 Absatz 1 Satz 1 Nummer 5 des Bundeskriminal-\nBSI-Gesetzes gilt entsprechend. Die Bundesnetz- amtgesetzes vom 7. Juli 1997 (BGBl. I S. 1650), das\nagentur legt der Europäischen Kommission, der zuletzt durch Artikel 3 des Gesetzes vom 20. Juni 2013\nEuropäischen Agentur für Netz- und Informa- (BGBl. I S. 1602) geändert worden ist, wird wie folgt\ntionssicherheit und dem Bundesamt für Sicher- geändert:\nheit in der Informationstechnik einmal pro Jahr 1. In dem Satzteil vor Buchstabe a wird die Angabe\neinen zusammenfassenden Bericht über die „§ 303b“ durch die Wörter „den §§ 202a, 202b,\neingegangenen Meldungen und die ergriffenen 202c, 263a, 303a und 303b“ ersetzt.\nAbhilfemaßnahmen vor.“\n2. In Buchstabe b werden vor dem Wort „sicherheits-\nd) In Absatz 6 Satz 1 wird das Wort „Benehmen“ empfindliche“ die Wörter „Behörden oder Einrich-\ndurch das Wort „Einvernehmen“ ersetzt. tungen des Bundes oder“ eingefügt.\ne) Folgender Absatz 8 wird angefügt:\n„(8) Über aufgedeckte Mängel bei der Erfüllung Artikel 8\nder Sicherheitsanforderungen in der Informations- Weitere Änderung\ntechnik sowie die in diesem Zusammenhang von des BSI-Gesetzes\nder Bundesnetzagentur geforderten Abhilfemaß- § 10 Absatz 3 des BSI-Gesetzes, das zuletzt durch\nnahmen unterrichtet die Bundesnetzagentur un- Artikel 1 dieses Gesetzes geändert worden ist, wird\nverzüglich das Bundesamt für Sicherheit in der aufgehoben.\nInformationstechnik.“\n4. § 109a wird wie folgt geändert: Artikel 9\na) Die Überschrift wird wie folgt gefasst: Änderung des\nGesetzes zur Strukturreform\n„§ 109a\ndes Gebührenrechts des Bundes\nDaten- und Informationssicherheit“.\nArtikel 3 Absatz 7 des Gesetzes zur Strukturreform\nb) Nach Absatz 3 wird folgender Absatz 4 eingefügt: des Gebührenrechts des Bundes vom 7. August 2013\n„(4) Werden dem Diensteanbieter nach Ab- (BGBl. I S. 3154) wird aufgehoben.\nsatz 1 Störungen bekannt, die von Datenverarbei-\ntungssystemen der Nutzer ausgehen, so hat er Artikel 10\ndie Nutzer, soweit ihm diese bereits bekannt sind, Evaluierung\nunverzüglich darüber zu benachrichtigen. Soweit Artikel 1 Nummer 2, 7 und 8 sind vier Jahre nach\ntechnisch möglich und zumutbar, hat er die Nut- Inkrafttreten der Rechtsverordnung nach Artikel 1 Num-\nzer auf angemessene, wirksame und zugängliche mer 8 unter Einbeziehung eines wissenschaftlichen\ntechnische Mittel hinzuweisen, mit denen sie Sachverständigen, der im Einvernehmen mit dem Deut-\ndiese Störungen erkennen und beseitigen kön- schen Bundestag bestellt wird, zu evaluieren.\nnen.“\nc) Der bisherige Absatz 4 wird Absatz 5. Artikel 11\n5. § 149 Nummer 21a wird wie folgt gefasst: Inkrafttreten\n„21a. entgegen § 109 Absatz 5 Satz 1 Nummer 1 Dieses Gesetz tritt vorbehaltlich des Satzes 2 am Tag\neine Mitteilung nicht, nicht richtig, nicht voll- nach der Verkündung in Kraft. Artikel 8 tritt am 14. Au-\nständig oder nicht rechtzeitig macht,“. gust 2016 in Kraft.","Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015 1331\nDie verfassungsmäßigen Rechte des Bundesrates\nsind gewahrt.\nDas vorstehende Gesetz wird hiermit ausgefertigt. Es\nist im Bundesgesetzblatt zu verkünden.\nBerlin, den 17. Juli 2015\nDer Bundespräsident\nJoachim Gauck\nDie Bundeskanzlerin\nDr. A n g e l a M e r k e l\nDer Bundesminister des Innern\nThomas de Maizière"]}