{"id":"bgbl1-2017-40-2","kind":"bgbl1","year":2017,"number":40,"date":"2017-06-29T00:00:00Z","url":"https://offenegesetze.de/veroeffentlichung/bgbl1/2017/40#page=5","api_url":"https://api.offenegesetze.de/v1/veroeffentlichung/bgbl1-2017-40-2/","document_url":"https://media.offenegesetze.de/bgbl1/2017/bgbl1_2017_40.pdf#page=5","order":2,"title":"Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union","law_date":"2017-06-23T00:00:00Z","page":1885,"pdf_page":5,"num_pages":8,"content":["Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 40, ausgegeben zu Bonn am 29. Juni 2017 1885\nGesetz\nzur Umsetzung der Richtlinie (EU) 2016/1148\ndes Europäischen Parlaments und des Rates vom 6. Juli 2016\nüber Maßnahmen zur Gewährleistung eines hohen gemeinsamen\nSicherheitsniveaus von Netz- und Informationssystemen in der Union1\nVom 23. Juni 2017\nDer Bundestag hat das folgende Gesetz beschlossen: Links anzeigen, über die der Abfrage entspre-\nchende Inhalte abgerufen werden können\nArtikel 1 (Online-Suchmaschinen);\nÄnderung des 3. den Zugang zu einem skalierbaren und elas-\nBSI-Gesetzes tischen Pool gemeinsam nutzbarer Rechen-\nDas BSI-Gesetz vom 14. August 2009 (BGBl. I ressourcen ermöglichen (Cloud-Computing-\nS. 2821), das zuletzt durch Artikel 3 Absatz 6 des Ge- Dienste),\nsetzes vom 18. Juli 2016 (BGBl. I S. 1666) geändert und nicht zum Schutz grundlegender staatlicher\nworden ist, wird wie folgt geändert: Funktionen eingerichtet worden sind oder für\n1. § 2 wird wie folgt geändert: diese genutzt werden.“\na) Nach Absatz 10 wird folgender Absatz 11 einge- b) Nach Absatz 11 wird folgender Absatz 12 ange-\nfügt: fügt:\n„(11) Digitale Dienste im Sinne dieses Geset- „(12) „Anbieter digitaler Dienste“ im Sinne\nzes sind Dienste im Sinne von Artikel 1 Absatz 1 dieses Gesetzes ist eine juristische Person, die\nBuchstabe b der Richtlinie (EU) 2015/1535 des einen digitalen Dienst anbietet.“\nEuropäischen Parlaments und des Rates vom 2. § 3 Absatz 1 Satz 2 wird wie folgt geändert:\n9. September 2015 über ein Informationsverfah-\na) Nummer 13 Buchstabe b wird wie folgt ge-\nren auf dem Gebiet der technischen Vorschriften\nändert:\nund der Vorschriften für die Dienste der Infor-\nmationsgesellschaft (ABl. L 241 vom 17.9.2015, Nach dem Wort „Verfassungsschutzbehörden“\nS. 1), und die werden die Wörter „und des Militärischen Ab-\n1. es Verbrauchern oder Unternehmern im Sinne schirmdienstes“ und nach dem Wort „Länder“\ndes Artikels 4 Absatz 1 Buchstabe a be- die Wörter „beziehungsweise dem Gesetz über\nziehungsweise Buchstabe b der Richtlinie den Militärischen Abschirmdienst“ eingefügt.\n2013/11/EU des Europäischen Parlaments b) Nach Nummer 13 wird folgende Nummer 13a\nund des Rates vom 21. Mai 2013 über die eingefügt:\nalternative Beilegung verbraucherrechtlicher\n„13a. auf Ersuchen der zuständigen Stellen der\nStreitigkeiten und zur Änderung der Ver-\nLänder Unterstützung dieser Stellen in\nordnung (EG) Nr. 2006/2004 und der Richt-\nFragen der Abwehr von Gefahren für die\nlinie 2009/22/EG (Richtlinie über alternative\nSicherheit in der Informationstechnik;“.\nStreitbeilegung in Verbraucherangelegenhei-\nten) (ABl. L 165 vom 18.6.2013, S. 63) ermög- c) Nummer 17 wird wie folgt geändert:\nlichen, Kaufverträge oder Dienstleistungsver- Die Angabe „und 8b“ wird durch die Angabe\nträge mit Unternehmern entweder auf der „bis 8c“ und der Punkt am Ende wird durch die\nWebseite dieser Dienste oder auf der Web- Wörter „und digitaler Dienste;“ ersetzt.\nseite eines Unternehmers, die von diesen\nDiensten bereitgestellte Rechendienste ver- d) Folgende Nummer 18 wird angefügt:\nwendet, abzuschließen (Online-Marktplätze); „18. Unterstützung bei der Wiederherstellung\n2. es Nutzern ermöglichen, Suchen grundsätz- der Sicherheit oder Funktionsfähigkeit in-\nlich auf allen Webseiten oder auf Webseiten formationstechnischer Systeme in heraus-\nin einer bestimmten Sprache anhand einer gehobenen Fällen nach § 5a.“\nAbfrage zu einem beliebigen Thema in Form 3. § 5 wird wie folgt geändert:\neines Stichworts, einer Wortgruppe oder einer\na) Absatz 5 wird wie folgt geändert:\nanderen Eingabe vorzunehmen, die daraufhin\naa) In Satz 2 Nummer 2 werden nach dem Wort\n1\nDieses Gesetz dient der Umsetzung der Richtlinie (EU) 2016/1148 des „Verfassungsschutz“ die Wörter „sowie an\nEuropäischen Parlaments und des Rates vom 6. Juli 2016 über Maß- den Militärischen Abschirmdienst, wenn sich\nnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheits-\nniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 diese Tätigkeiten gegen Personen, Dienst-\nvom 19.7.2016, S. 1). stellen oder Einrichtungen im Geschäftsbe-","1886 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 40, ausgegeben zu Bonn am 29. Juni 2017\nreich des Bundesministeriums der Verteidi- tionstechnischen Systems von besonderem öffent-\ngung richten“ eingefügt. lichem Interesse ist.\nbb) Es wird folgende Nummer 3 angefügt: (3) Das Bundesamt darf bei Maßnahmen nach\n„3. zur Unterrichtung über Tatsachen, die Absatz 1 personenbezogene oder dem Fernmelde-\neinen internationalen kriminellen, terro- geheimnis unterliegende Daten erheben und ver-\nristischen oder staatlichen Angriff mittels arbeiten, soweit dies zur Wiederherstellung der\nSchadprogrammen oder vergleichbaren Sicherheit oder Funktionsfähigkeit des betroffenen\nschädlich wirkenden informationstechni- informationstechnischen Systems erforderlich und\nschen Mitteln auf die Vertraulichkeit, In- angemessen ist. Die Daten sind unverzüglich zu\ntegrität oder Verfügbarkeit von IT-Syste- löschen, sobald sie für die Wiederherstellung der\nmen in Fällen von erheblicher Bedeutung Sicherheit oder Funktionsfähigkeit des informa-\nmit Bezug zur Bundesrepublik Deutsch- tionstechnischen Systems nicht mehr benötigt\nland erkennen lassen, an den Bundes- werden. Wenn die Daten in Fällen des Absatzes 4\nnachrichtendienst.“ an eine andere Behörde zur Erfüllung von deren\ngesetzlichen Aufgaben weitergegeben worden sind,\nb) Absatz 6 wird wie folgt geändert: darf das Bundesamt die Daten abweichend von\naa) Satz 1 wird wie folgt geändert: Satz 2 bis zur Beendigung der Unterstützung dieser\naaa) In Nummer 3 werden nach dem Wort Behörden weiterverarbeiten. Eine Nutzung zu ande-\n„Länder“ die Wörter „sowie an den Mili- ren Zwecken ist unzulässig. § 5 Absatz 7 ist ent-\ntärischen Abschirmdienst“ und nach sprechend anzuwenden. Im Übrigen sind die Rege-\ndem Wort „Bundesverfassungsschutz- lungen des Bundesdatenschutzgesetzes anzuwen-\ngesetzes“ die Wörter „beziehungs- den.\nweise § 1 Absatz 1 des Gesetzes über (4) Das Bundesamt darf Informationen, von de-\nden Militärischen Abschirmdienst“ ein- nen es im Rahmen dieser Vorschrift Kenntnis er-\ngefügt. langt, nur mit Einwilligung des Ersuchenden weiter-\nbbb) Es wird folgende Nummer 4 angefügt: geben, es sei denn, die Informationen lassen keine\nRückschlüsse auf die Identität des Ersuchenden zu\n„4. an den Bundesnachrichtendienst,\noder die Informationen können entsprechend § 5\nwenn tatsächliche Anhaltspunkte\nAbsatz 5 und 6 übermittelt werden. Zugang zu\nfür den Verdacht bestehen, dass je-\nden in Verfahren nach Absatz 1 geführten Akten\nmand Straftaten nach § 3 Absatz 1\nwird Dritten nicht gewährt.\nNummer 8 des Artikel 10-Gesetzes\nplant, begeht oder begangen hat (5) Das Bundesamt kann sich bei Maßnahmen\nund dies von außen- und sicher- nach Absatz 1 mit der Einwilligung des Ersuchen-\nheitspolitischer Bedeutung für die den der Hilfe qualifizierter Dritter bedienen, wenn\nBundesrepublik Deutschland ist.“ dies zur rechtzeitigen oder vollständigen Wieder-\nherstellung der Sicherheit oder Funktionsfähigkeit\nbb) In Satz 5 wird nach der Angabe „Nummer 3“\ndes betroffenen informationstechnischen Systems\ndie Angabe „und Nummer 4“ eingefügt.\nerforderlich ist. Die hierdurch entstehenden Kosten\n4. Nach § 5 wird folgender § 5a eingefügt: hat der Ersuchende zu tragen. Das Bundesamt\n„§ 5a kann den Ersuchenden auch auf qualifizierte Dritte\nverweisen. Das Bundesamt und vom Ersuchenden\nWiederherstellung der Sicherheit\noder vom Bundesamt nach Satz 1 beauftragte\noder Funktionsfähigkeit informations-\nDritte können einander bei Maßnahmen nach Ab-\ntechnischer Systeme in herausgehobenen Fällen\nsatz 1 mit der Einwilligung des Ersuchenden Daten\n(1) Handelt es sich bei einer Beeinträchtigung übermitteln. Hierfür gilt Absatz 3 entsprechend.\nder Sicherheit oder Funktionsfähigkeit eines infor-\n(6) Soweit es zur Wiederherstellung der Sicher-\nmationstechnischen Systems einer Stelle des Bun-\nheit oder Funktionsfähigkeit des informationstech-\ndes oder eines Betreibers einer Kritischen Infra-\nnischen Systems erforderlich ist, kann das Bundes-\nstruktur um einen herausgehobenen Fall, so kann\namt vom Hersteller des informationstechnischen\ndas Bundesamt auf Ersuchen der betroffenen Stelle\nSystems verlangen, an der Wiederherstellung der\noder des betroffenen Betreibers die Maßnahmen\nSicherheit oder Funktionsfähigkeit mitzuwirken.\ntreffen, die zur Wiederherstellung der Sicherheit\noder Funktionsfähigkeit des betroffenen informa- (7) In begründeten Einzelfällen kann das Bun-\ntionstechnischen Systems erforderlich sind. Soweit desamt auch bei anderen als den in Absatz 1 ge-\ndas Bundesamt erste Maßnahmen zur Schadens- nannten Einrichtungen tätig werden, wenn es da-\nbegrenzung und Sicherstellung des Notbetriebes rum ersucht wurde und es sich um einen heraus-\nvor Ort ergreift, werden hierfür keine Gebühren oder gehobenen Fall im Sinne des Absatzes 2 handelt.\nAuslagen für die Tätigkeit des Bundesamtes er- (8) Im Falle von Anlagen oder Tätigkeiten, die ei-\nhoben. Hiervon unberührt bleiben etwaige Kosten ner Genehmigung nach dem Atomgesetz bedürfen,\nfür die Hinzuziehung qualifizierter Dritter. ist in Fällen der Absätze 1, 4, 5 und 7 vor Tätigwer-\n(2) Ein herausgehobener Fall nach Absatz 1 liegt den des Bundesamtes das Benehmen mit den zu-\ninsbesondere dann vor, wenn es sich um einen An- ständigen atomrechtlichen Aufsichtsbehörden des\ngriff von besonderer technischer Qualität handelt Bundes und der Länder herzustellen. Im Falle von\noder die zügige Wiederherstellung der Sicherheit Anlagen oder Tätigkeiten, die einer Genehmigung\noder Funktionsfähigkeit des betroffenen informa- nach dem Atomgesetz bedürfen, haben bei Maß-","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 40, ausgegeben zu Bonn am 29. Juni 2017 1887\nnahmen des Bundesamtes nach § 5a die Vorgaben c) Absatz 4 wird wie folgt geändert:\naufgrund des Atomgesetzes Vorrang.“ aa) Satz 1 wird wie folgt gefasst:\n5. In § 7a Absatz 1 Satz 1 werden die Wörter „Num- „Betreiber Kritischer Infrastrukturen haben\nmer 1, 14 und 17“ durch die Wörter „Nummer 1, 14, die folgenden Störungen unverzüglich über\n17 und 18“ ersetzt. die Kontaktstelle an das Bundesamt zu mel-\n6. § 8a wird wie folgt geändert: den:\na) Absatz 3 wird wie folgt geändert: 1. Störungen der Verfügbarkeit, Integrität,\naa) In Satz 3 werden die Wörter „eine Aufstel- Authentizität und Vertraulichkeit ihrer infor-\nlung“ durch die Wörter „die Ergebnisse“ mationstechnischen Systeme, Komponen-\nersetzt. ten oder Prozesse, die zu einem Ausfall\noder zu einer erheblichen Beeinträchti-\nbb) Satz 4 wird durch die folgenden Sätze er- gung der Funktionsfähigkeit der von ihnen\nsetzt: betriebenen Kritischen Infrastrukturen ge-\n„Das Bundesamt kann die Vorlage der Doku- führt haben,\nmentation, die der Überprüfung zugrunde 2. erhebliche Störungen der Verfügbarkeit,\ngelegt wurde, verlangen. Es kann bei Sicher- Integrität, Authentizität und Vertraulichkeit\nheitsmängeln im Einvernehmen mit der zu- ihrer informationstechnischen Systeme,\nständigen Aufsichtsbehörde des Bundes Komponenten oder Prozesse, die zu ei-\noder im Benehmen mit der sonst zustän- nem Ausfall oder zu einer erheblichen Be-\ndigen Aufsichtsbehörde die Beseitigung der einträchtigung der Funktionsfähigkeit der\nSicherheitsmängel verlangen.“ von ihnen betriebenen Kritischen Infra-\nb) Nach Absatz 3 wird folgender Absatz 4 einge- strukturen führen können.“\nfügt: bb) Satz 2 wird wie folgt geändert:\n„(4) Das Bundesamt kann beim Betreiber aaa) Nach den Wörtern „Angaben zu der\nKritischer Infrastrukturen die Einhaltung der An- Störung“ werden die Wörter „, zu mög-\nforderungen nach Absatz 1 überprüfen; es kann lichen grenzübergreifenden Auswirkun-\nsich bei der Durchführung der Überprüfung eines gen“ eingefügt.\nqualifizierten unabhängigen Dritten bedienen.\nbbb) Die Wörter „Branche des Betreibers“\nDer Betreiber Kritischer Infrastrukturen hat dem\nwerden durch die Wörter „erbrachten\nBundesamt und den in dessen Auftrag handeln-\nkritischen Dienstleistung und zu den\nden Personen zum Zweck der Überprüfung das\nAuswirkungen der Störung auf diese\nBetreten der Geschäfts- und Betriebsräume\nDienstleistung“ ersetzt.\nwährend der üblichen Betriebszeiten zu gestat-\nten und auf Verlangen die in Betracht kommen- 8. Nach § 8b wird folgender § 8c eingefügt:\nden Aufzeichnungen, Schriftstücke und sonsti- „§ 8c\ngen Unterlagen in geeigneter Weise vorzulegen,\nBesondere\nAuskunft zu erteilen und die erforderliche Unter-\nAnforderungen an Anbieter digitaler Dienste\nstützung zu gewähren. Für die Überprüfung er-\nhebt das Bundesamt Gebühren und Auslagen (1) Anbieter digitaler Dienste haben geeignete\nbei dem jeweiligen Betreiber Kritischer Infra- und verhältnismäßige technische und organisa-\nstrukturen nur, sofern das Bundesamt auf Grund torische Maßnahmen zu treffen, um Risiken für die\nvon Anhaltspunkten tätig geworden ist, die be- Sicherheit der Netz- und Informationssysteme, die\nrechtigte Zweifel an der Einhaltung der Anforde- sie zur Bereitstellung der digitalen Dienste innerhalb\nrungen nach Absatz 1 begründeten.“ der Europäischen Union nutzen, zu bewältigen. Sie\nhaben Maßnahmen zu treffen, um den Auswirkun-\nc) Der bisherige Absatz 4 wird Absatz 5.\ngen von Sicherheitsvorfällen auf innerhalb der Euro-\n7. § 8b wird wie folgt geändert: päischen Union erbrachte digitale Dienste vorzu-\na) Absatz 2 Nummer 4 wird wie folgt geändert: beugen oder die Auswirkungen so gering wie mög-\nlich zu halten.\naa) In Buchstabe b wird das Wort „sowie“ durch\nein Komma ersetzt. (2) Maßnahmen zur Bewältigung von Risiken für\ndie Sicherheit der Netz- und Informationssysteme\nbb) In Buchstabe c wird das Wort „sowie“ ange-\nnach Absatz 1 Satz 1 müssen unter Berücksich-\nfügt.\ntigung des Stands der Technik ein Sicherheits-\ncc) Folgender Buchstabe d wird angefügt: niveau der Netz- und Informationssysteme gewähr-\n„d) die zuständigen Behörden eines anderen leisten, das dem bestehenden Risiko angemessen\nMitgliedstaats der Europäischen Union ist. Dabei ist folgenden Aspekten Rechnung zu\nüber nach Absatz 4 oder nach vergleich- tragen:\nbaren Regelungen gemeldete erhebliche 1. der Sicherheit der Systeme und Anlagen,\nStörungen, die Auswirkungen in diesem 2. der Erkennung, Analyse und Eindämmung von\nMitgliedstaat haben,“. Sicherheitsvorfällen,\nb) In Absatz 3 Satz 1 werden die Wörter „Kommu- 3. dem Betriebskontinuitätsmanagement,\nnikationsstrukturen nach § 3 Absatz 1 Satz 2\nNummer 15“ durch die Wörter „von ihnen betrie- 4. der Überwachung, Überprüfung und Erprobung,\nbenen Kritischen Infrastrukturen“ ersetzt. 5. der Einhaltung internationaler Normen.","1888 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 40, ausgegeben zu Bonn am 29. Juni 2017\nDie notwendigen Maßnahmen werden durch Durch- (5) Hat ein Anbieter digitaler Dienste seine\nführungsrechtsakte der Kommission nach Artikel 16 Hauptniederlassung, einen Vertreter oder Netz-\nAbsatz 8 der Richtlinie (EU) 2016/1148 näher be- und Informationssysteme in einem anderen Mit-\nstimmt. gliedstaat der Europäischen Union, so arbeitet das\nBundesamt bei der Erfüllung der Aufgaben nach\n(3) Anbieter digitaler Dienste haben jeden Sicher-\nAbsatz 4 mit der zuständigen Behörde dieses Mit-\nheitsvorfall, der erhebliche Auswirkungen auf die\ngliedstaats zusammen. Diese Zusammenarbeit\nBereitstellung eines von ihnen innerhalb der Euro-\nkann das Ersuchen umfassen, die Maßnahmen in\npäischen Union erbrachten digitalen Dienstes hat,\nAbsatz 4 Satz 1 Nummer 1 und 2 zu ergreifen.“\nunverzüglich dem Bundesamt zu melden. Die Vo-\nraussetzungen, nach denen Auswirkungen eines 9. Der bisherige § 8c wird § 8d und wird wie folgt ge-\nSicherheitsvorfalls erheblich sind, werden durch ändert:\nDurchführungsakte der Kommission nach Artikel 16 a) In Absatz 1 Satz 2 werden nach der Angabe\nAbsatz 8 der Richtlinie (EU) 2016/1148 unter Be- „Absatz 4“ die Wörter „des Anhangs“ eingefügt.\nrücksichtigung insbesondere der folgenden Para-\nb) Dem Absatz 2 Nummer 2 werden die Wörter\nmeter näher bestimmt:\n„soweit sie den Regelungen des § 11 des Ener-\n1. die Zahl der von dem Sicherheitsvorfall betroffe- giewirtschaftsgesetzes unterliegen,“ angefügt.\nnen Nutzer, insbesondere der Nutzer, die den\nc) Absatz 3 wird wie folgt geändert:\nDienst für die Bereitstellung ihrer eigenen Dienste\nbenötigen, aa) In Nummer 2 werden die Wörter „im Sinne\ndes Energiewirtschaftsgesetzes“ durch die\n2. die Dauer des Sicherheitsvorfalls, Wörter „, soweit sie den Regelungen des\n3. das von dem Sicherheitsvorfall betroffene geo- § 11 des Energiewirtschaftsgesetzes unter-\ngraphische Gebiet, liegen“ ersetzt.\n4. das Ausmaß der Unterbrechung der Bereitstel- bb) In dem Satzteil vor Nummer 1 und in Num-\nlung des Dienstes, mer 5 werden jeweils die Wörter „Absatz 3\nbis 5“ durch die Angabe „Absatz 4“ ersetzt.\n5. das Ausmaß der Auswirkungen auf wirtschaft-\nd) Folgender Absatz 4 wird angefügt:\nliche und gesellschaftliche Tätigkeiten.\n„(4) § 8c Absatz 1 bis 3 gilt nicht für Kleinst-\nDie Pflicht zur Meldung eines Sicherheitsvorfalls unternehmen und kleine Unternehmen im Sinne\nentfällt, wenn der Anbieter keinen ausreichenden der Empfehlung 2003/361/EG. § 8c Absatz 3 gilt\nZugang zu den Informationen hat, die erforderlich nicht für Anbieter,\nsind, um die Auswirkung eines Sicherheitsvorfalls\ngemessen an den Parametern nach Satz 2 zu be- 1. die ihren Hauptsitz in einem anderen Mitglied-\nwerten. Für den Inhalt der Meldungen gilt § 8b Ab- staat der Europäischen Union haben oder\nsatz 3 entsprechend, soweit nicht Durchführungs- 2. die, soweit sie nicht in einem Mitgliedstaat\nakte der Kommission nach Artikel 16 Absatz 9 der der Europäischen Union niedergelassen sind,\nRichtlinie (EU) 2016/1148 etwas anderes bestim- einen Vertreter in einem anderen Mitgliedstaat\nmen. Über nach Satz 1 gemeldete Sicherheitsvor- der Europäischen Union benannt haben, in\nfälle, die Auswirkungen in einem anderen Mitglied- dem die digitalen Dienste ebenfalls ange-\nstaat der Europäischen Union haben, hat das Bun- boten werden.\ndesamt die zuständige Behörde dieses Mitglied-\nFür Anbieter nach Satz 2 gilt § 8c Absatz 4 nur,\nstaats zu unterrichten.\nsoweit sie in der Bundesrepublik Deutschland\n(4) Liegen Anhaltspunkte dafür vor, dass ein Netz- und Informationssysteme betreiben, die\nAnbieter digitaler Dienste die Anforderungen des sie zur Bereitstellung der digitalen Dienste inner-\nAbsatzes 1 in Verbindung mit den Durchführungs- halb der Europäischen Union nutzen.“\nrechtsakten der Kommission nach Artikel 16 Ab- 10. Der bisherige § 8d wird § 8e und wird wie folgt ge-\nsatz 8 der Richtlinie (EU) 2016/1148 und des Absat- ändert:\nzes 2 in Verbindung mit den Durchführungsrechts-\nakten der Kommission nach Artikel 16 Absatz 9 der a) Absatz 1 Satz 1 wird wie folgt geändert:\nRichtlinie (EU) 2016/1148 nicht erfüllt, kann das aa) Nach den Wörtern „§ 8a Absatz 2 und 3“\nBundesamt von dem Anbieter digitaler Dienste fol- werden die Wörter „und § 8c Absatz 4“ und\ngende Maßnahmen verlangen: nach den Wörtern „§ 8b Absatz 4“ werden\ndie Wörter „und § 8c Absatz 4“ eingefügt.\n1. die Übermittlung der zur Beurteilung der Sicher-\nheit seiner Netz- und Informationssysteme er- bb) Nach den Wörtern „Kritischer Infrastruktu-\nforderlichen Informationen, einschließlich Nach- ren“ werden die Wörter „oder des Anbieters\nweisen über ergriffene Sicherheitsmaßnahmen, digitaler Dienste“ eingefügt.\n2. die Beseitigung von Mängeln bei der Erfüllung cc) Das Wort „wesentlicher“ wird durch das\nder in den Absätzen 1 und 2 bestimmten An- Wort „von“ ersetzt und die Wörter „zu erwar-\nforderungen. ten ist“ werden durch die Wörter „eintreten\nkann“ ersetzt.\nDie Anhaltspunkte können sich auch aus Feststel-\nlungen ergeben, die dem Bundesamt von den zu- b) Absatz 2 wird wie folgt gefasst:\nständigen Behörden eines anderen Mitgliedstaats „(2) Zugang zu den Akten des Bundesamtes\nder Europäischen Union vorgelegt werden. in Angelegenheiten nach den §§ 8a bis 8c wird","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 40, ausgegeben zu Bonn am 29. Juni 2017 1889\nbei Vorliegen der Voraussetzungen des § 29 (4) Sobald bekannt wird, dass eine Einrichtung\ndes Verwaltungsverfahrensgesetzes nur gewährt, oder Anlage nach § 2 Absatz 10 oder Teile einer\nwenn schutzwürdige Interessen des betroffenen Einrichtung oder Anlage eine wegen ihrer Bedeu-\nBetreibers Kritischer Infrastrukturen oder des tung als kritisch anzusehenden Dienstleistung in ei-\nAnbieters digitaler Dienste dem nicht entgegen- nem der in Anhang II der Richtlinie (EU) 2016/1148\nstehen und durch den Zugang zu den Akten genannten Sektoren in einem anderen Mitgliedstaat\nkeine Beeinträchtigung von Sicherheitsinteres- der Europäischen Union bereitstellt, nimmt das\nsen eintreten kann.“ Bundesamt zum Zweck der gemeinsamen Ermitt-\nc) Folgender Absatz 3 wird angefügt: lung der Betreiber, die kritische Dienstleistungen in\nden in Anhang II der Richtlinie (EU) 2016/1148 ge-\n„(3) Für Betreiber nach § 8d Absatz 2 und 3 nannten Teilsektoren erbringen, mit der zuständi-\ngelten die Absätze 1 und 2 entsprechend.“ gen Behörde dieses Mitgliedstaats Konsultationen\n11. Dem § 10 wird folgender Absatz 4 angefügt: auf.\n„(4) Soweit die Durchführungsrechtsakte der (5) Das Bundesamt übermittelt bis zum 9. August\nKommission nach Artikel 16 Absatz 8 und 9 der 2018 und danach jährlich an die Kooperations-\nRichtlinie (EU) 2016/1148 keine abschließenden gruppe nach Artikel 11 der Richtlinie (EU) 2016/1148\nBestimmungen über die von Anbietern digitaler einen zusammenfassenden Bericht zu den Mel-\nDienste nach § 8c Absatz 2 zu treffenden Maßnah- dungen, die die in Anhang II der Richtlinie (EU)\nmen oder über die Parameter zur Beurteilung der 2016/1148 genannten Sektoren oder digitale\nErheblichkeit der Auswirkungen von Sicherheits- Dienste betreffen. Der Bericht enthält auch die Zahl\nvorfällen nach § 8c Absatz 3 Satz 2 oder über Form der Meldungen und die Art der gemeldeten Sicher-\nund Verfahren der Meldungen nach § 8c Absatz 3 heitsvorfälle sowie die ergriffenen Maßnahmen. Der\nSatz 4 enthalten, werden diese Bestimmungen vom Bericht darf keine Informationen enthalten, die zu\nBundesministerium des Innern im Einvernehmen einer Identifizierung einzelner Meldungen oder ein-\nmit den jeweils betroffenen Ressorts durch Rechts- zelner Betreiber oder Anbieter führen können.“\nverordnung, die nicht der Zustimmung des Bundes-\nrates bedarf, getroffen.“ 14. § 14 wird wie folgt geändert:\n12. In § 11 wird die Angabe „§ 5“ durch die Wörter a) Absatz 1 wird wie folgt geändert:\n„die §§ 5 und 5a“ ersetzt. aa) In Nummer 2 werden die Wörter\n13. Dem § 13 werden die folgenden Absätze 3 bis 5 „Satz 4\nangefügt:\na) Nummer 1 oder\n„(3) Das Bundesamt übermittelt bis zum 9. No-\nvember 2018 und danach alle zwei Jahre die fol- b) Nummer 2“\ngenden Informationen an die Kommission: durch die Angabe „Satz 5“ ersetzt.\n1. die nationalen Maßnahmen zur Ermittlung der\nbb) In Nummer 3 wird das Wort „oder“ am Ende\nBetreiber Kritischer Infrastrukturen;\ndurch ein Komma ersetzt.\n2. eine Aufstellung der im in Anhang II der Richtlinie\n(EU) 2016/1148 genannten Sektoren, die nach cc) In Nummer 4 wird der Punkt am Ende durch\n§ 2 Absatz 10 Satz 1 Nummer 2 wegen ihrer ein Komma ersetzt.\nBedeutung als kritisch anzusehenden Dienstleis- dd) Die folgenden Nummern 5 bis 7 werden an-\ntungen und deren als bedeutend anzusehenden gefügt:\nVersorgungsgrad;\n„5. entgegen § 8c Absatz 1 Satz 1 eine dort\n3. eine zahlenmäßige Aufstellung der Betreiber der genannte Maßnahme nicht trifft,\nin Nummer 2 genannten Sektoren, die in den in\nAnhang II der Richtlinie (EU) 2016/1148 genann- 6. entgegen § 8c Absatz 3 Satz 1 eine Mel-\nten Sektoren ermittelt werden, einschließlich dung nicht, nicht richtig, nicht vollstän-\neines Hinweises auf ihre Bedeutung für den je- dig oder nicht rechtzeitig vornimmt oder\nweiligen Sektor. 7. einer vollziehbaren Anordnung nach § 8c\nDie Übermittlung darf keine Informationen enthal- Absatz 4\nten, die zu einer Identifizierung einzelner Betreiber a) Nummer 1 oder\nführen können. Das Bundesamt übermittelt die\nnach Satz 1 übermittelten Informationen unverzüg- b) Nummer 2\nlich dem Bundesministerium des Innern, dem Bun- zuwiderhandelt.“\ndeskanzleramt, dem Bundesministerium für Wirt-\nb) Dem Absatz 2 wird folgender Satz angefügt:\nschaft und Energie, dem Bundesministerium der\nJustiz und für Verbraucherschutz, dem Bundes- „In den Fällen des Absatzes 1 Nummer 5 bis 7\nministerium der Finanzen, dem Bundesministerium wird die Ordnungswidrigkeit nur geahndet, wenn\nfür Arbeit und Soziales, dem Bundesministerium für der Anbieter digitaler Dienste seine Hauptnieder-\nErnährung und Landwirtschaft, dem Bundesminis- lassung nicht in einem anderen Mitgliedstaat der\nterium für Gesundheit, dem Bundesministerium für Europäischen Union hat oder, soweit er nicht in\nVerkehr und digitale Infrastruktur, dem Bundes- einem anderen Mitgliedstaat der Europäischen\nministerium der Verteidigung und dem Bundes- Union niedergelassen ist, dort einen Vertreter\nministerium für Umwelt, Naturschutz, Bau und benannt hat und in diesem Mitgliedstaat diesel-\nReaktorsicherheit. ben digitalen Dienste anbietet.“","1890 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 40, ausgegeben zu Bonn am 29. Juni 2017\n15. Folgender § 15 wird angefügt: fähigkeit der Kritischen Infrastruktur geführt hat.\n„§ 15 Das Bundesamt für Sicherheit in der Informations-\ntechnik hat die Meldungen unverzüglich an die\nAnwendbarkeit der Bundesnetzagentur weiterzuleiten. Das Bundesamt\nVorschriften für Anbieter digitaler Dienste für Sicherheit in der Informationstechnik und die\nDie Vorschriften, die Anbieter digitaler Dienste Bundesnetzagentur haben sicherzustellen, dass die\nbetreffen, sind ab dem 10. Mai 2018 anwendbar.“ unbefugte Offenbarung der ihnen nach Satz 1 zur\nKenntnis gelangten Angaben ausgeschlossen wird.\nArtikel 2 Zugang zu den Akten des Bundesamtes für Sicher-\nÄnderung des heit in der Informationstechnik sowie zu den Akten\nAtomgesetzes der Bundesnetzagentur in Angelegenheiten nach\n§ 11 Absatz 1a bis Absatz 1c wird nicht gewährt.\n§ 44b des Atomgesetzes in der Fassung der Be- § 29 des Verwaltungsverfahrensgesetzes bleibt un-\nkanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), berührt. § 8e Absatz 1 des BSI-Gesetzes ist entspre-\ndas zuletzt durch Artikel 1 des Gesetzes vom 1. Juni chend anzuwenden.“\n2017 (BGBl. I S. 1434) geändert worden ist, wird wie\n2. § 95 wird wie folgt geändert:\nfolgt geändert:\na) In Absatz 1 werden nach Nummer 2 folgende\n1. In Satz 2 werden die Wörter „§ 8b Absatz 1, 2 und\nNummern 2a und 2b eingefügt:\nAbsatz 7“ durch die Wörter „§ 8b Absatz 1, 2 Num-\nmer 1 bis 3, Nummer 4 Buchstabe a bis c und Ab- „2a. entgegen § 11 Absatz 1a oder 1b den Kata-\nsatz 7“ ersetzt. log von Sicherheitsanforderungen nicht, nicht\nrichtig, nicht vollständig oder nicht recht-\n2. In Satz 4 werden nach den Wörtern „des Bundes\nzeitig einhält,\nund des Landes“ die Wörter „und an die von diesen\nbestimmten Sachverständigen nach § 20“ eingefügt. 2b. entgegen § 11 Absatz 1c eine Meldung\nnicht, nicht richtig, nicht vollständig oder\nArtikel 3 nicht rechtzeitig vornimmt,“.\nÄnderung des b) Absatz 5 wird wie folgt gefasst:\nEnergiewirtschaftsgesetzes „(5) Verwaltungsbehörde im Sinne des § 36\nDas Energiewirtschaftsgesetz vom 7. Juli 2005 (BGBl. I Absatz 1 Nummer 1 des Gesetzes über Ord-\nS. 1970, 3621), das zuletzt durch Artikel 24 Absatz 28 nungswidrigkeiten ist in den Fällen des Ab-\ndes Gesetzes vom 23. Juni 2017 (BGBl. I S. 1693) satzes 1 Nummer 2b das Bundesamt für Sicher-\ngeändert worden ist, wird wie folgt geändert: heit in der Informationstechnik, im Übrigen die\nnach § 54 zuständige Behörde.“\n1. § 11 Absatz 1c wird wie folgt gefasst:\n„(1c) Betreiber von Energieversorgungsnetzen und Artikel 4\nvon solchen Energieanlagen, die durch Inkrafttreten Änderung des\nder Rechtsverordnung gemäß § 10 Absatz 1 des Fünften Buches Sozialgesetzbuch\nBSI-Gesetzes als Kritische Infrastruktur bestimmt\nDas Fünfte Buch Sozialgesetzbuch – Gesetzliche\nwurden, haben\nKrankenversicherung – (Artikel 1 des Gesetzes vom\n1. Störungen der Verfügbarkeit, Integrität, Authenti- 20. Dezember 1988, BGBl. I S. 2477, 2482), das zuletzt\nzität und Vertraulichkeit ihrer informationstech- durch Artikel 7 des Gesetzes vom 23. Mai 2017 (BGBl. I\nnischen Systeme, Komponenten oder Prozesse, S. 1228) geändert worden ist, wird wie folgt geändert:\ndie zu einem Ausfall oder einer erheblichen Be-\n1. Dem § 291b wird folgender Absatz 8 angefügt:\neinträchtigung der Funktionsfähigkeit des Energie-\nversorgungsnetzes oder der betreffenden Energie- „(8) Die Gesellschaft für Telematik legt dem Bun-\nanlage geführt haben, desamt für Sicherheit in der Informationstechnik auf\nVerlangen die folgenden Unterlagen und Informa-\n2. erhebliche Störungen der Verfügbarkeit, Integrität,\ntionen vor:\nAuthentizität und Vertraulichkeit ihrer informa-\ntionstechnischen Systeme, Komponenten oder 1. die Zulassungen und Bestätigungen nach den\nProzesse, die zu einem Ausfall oder einer erheb- Absätzen 1a bis 1c und 1e einschließlich der zu-\nlichen Beeinträchtigung der Funktionsfähigkeit grunde gelegten Dokumentation,\ndes Energieversorgungsnetzes oder der betref- 2. eine Aufstellung der nach den Absätzen 6 und 7\nfenden Energieanlage führen können, getroffenen Maßnahmen einschließlich der fest-\nüber die Kontaktstelle unverzüglich an das Bundes- gestellten Sicherheitsmängel und Ergebnisse der\namt für Sicherheit in der Informationstechnik zu Maßnahmen und\nmelden. 3. sonstige für die Bewertung der Sicherheit der\nDie Meldung muss Angaben zu der Störung, zu Telematikinfrastruktur sowie der zugelassenen\nmöglichen grenzübergreifenden Auswirkungen so- Dienste und bestätigten Anwendungen erforder-\nwie zu den technischen Rahmenbedingungen, ins- lichen Informationen.\nbesondere der vermuteten oder tatsächlichen Ur- Ergibt die Bewertung der in Satz 1 genannten Infor-\nsache und der betroffenen Informationstechnik, ent- mationen Sicherheitsmängel, so kann das Bundes-\nhalten. Die Nennung des Betreibers ist nur dann er- amt für Sicherheit in der Informationstechnik der\nforderlich, wenn die Störung tatsächlich zu einem Gesellschaft für Telematik verbindliche Anweisungen\nAusfall oder einer Beeinträchtigung der Funktions- zur Beseitigung der festgestellten Sicherheitsmängel","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 40, ausgegeben zu Bonn am 29. Juni 2017 1891\nerteilen. Die Gesellschaft für Telematik ist befugt, c) Die folgenden Sätze werden angefügt:\nBetreibern von zugelassenen Diensten und bestätig-\nten Anwendungen nach den Absätzen 1a bis 1c „Die Daten sind unverzüglich zu löschen, sobald\nund 1e verbindliche Anweisungen zur Beseitigung sie für die Beseitigung der Störung nicht mehr er-\nfestgestellter Sicherheitsmängel zu erteilen. Die forderlich sind. Eine Nutzung der Daten zu ande-\nKosten der Überprüfung tragen ren Zwecken ist unzulässig. Soweit die Daten\nnicht automatisiert erhoben und verwendet wer-\n1. die Gesellschaft für Telematik, sofern das Bun- den, muss der betriebliche Datenschutzbeauf-\ndesamt für Sicherheit in der Informationstechnik tragte unverzüglich über die Verfahren und Um-\nauf Grund von Anhaltspunkten tätig geworden ist, stände der Maßnahme informiert werden. Der\ndie berechtigte Zweifel an der Sicherheit der Diensteanbieter muss dem betrieblichen Daten-\nTelematikinfrastruktur begründeten, schutzbeauftragten, der Bundesnetzagentur und\n2. der Betreiber von zugelassenen Diensten und be- der Bundesbeauftragten für den Datenschutz\nstätigten Anwendungen nach den Absätzen 1a und die Informationsfreiheit am Ende eines Quar-\nbis 1c und 1e, sofern das Bundesamt für Sicher- tals detailliert über die Verfahren und Umstände\nheit in der Informationstechnik auf Grund von An- von Maßnahmen nach Satz 6 in diesem Zeitraum\nhaltspunkten tätig geworden ist, die berechtigte schriftlich berichten. Die Bundesnetzagentur lei-\nZweifel an der Sicherheit der zugelassenen Dienste tet diese Informationen unverzüglich an das Bun-\nund bestätigten Anwendungen begründeten.“ desamt für Sicherheit in der Informationstechnik\nweiter. Der Betroffene ist von dem Dienste-\n2. § 307 wird wie folgt geändert:\nanbieter zu benachrichtigen, sofern dieser ermit-\na) Nach Absatz 1 werden folgende Absätze 1a bis 1c telt werden kann. Wurden im Rahmen einer Maß-\neingefügt: nahme nach Satz 1 auch Steuerdaten eines infor-\n„(1a) Ordnungswidrig handelt, wer vorsätzlich mationstechnischen Protokolls zur Datenübertra-\noder fahrlässig entgegen § 291b Absatz 6 Satz 2 gung erhoben und verwendet, müssen die Be-\nund 4 eine Meldung nicht, nicht richtig, nicht voll- richte mindestens auch Angaben zum Umfang\nständig oder nicht rechtzeitig vornimmt. und zur Erforderlichkeit der Erhebung und Ver-\nwendung der Steuerdaten eines informations-\n(1b) Ordnungswidrig handelt, wer vorsätzlich\ntechnischen Protokolls zur Datenübertragung ent-\noder fahrlässig entgegen § 291b Absatz 8 Satz 2\nhalten.“\neiner verbindlichen Anweisung nicht, nicht voll-\nständig oder nicht rechtzeitig Folge leistet. 2. § 109 Absatz 5 wird wie folgt geändert:\n(1c) Ordnungswidrig handelt, wer vorsätzlich a) In Satz 1 werden nach dem Wort „Bundesnetz-\noder fahrlässig entgegen § 291b Absatz 8 Satz 3 agentur“ die Wörter „und dem Bundesamt für\neiner verbindlichen Anweisung nicht, nicht voll- Sicherheit in der Informationstechnik“ eingefügt.\nständig oder nicht rechtzeitig Folge leistet.“\nb) Satz 5 wird aufgehoben.\nb) Folgender Absatz 4 wird angefügt:\n„(4) Verwaltungsbehörde im Sinne des § 36 c) In dem neuen Satz 7 wird die Angabe „§ 8d“\nAbsatz 1 Nummer 1 des Gesetzes über Ord- durch die Angabe „§ 8e“ ersetzt.\nnungswidrigkeiten ist in den Fällen der Absätze 1a 3. § 109a wird wie folgt geändert:\nbis 1c das Bundesamt für Sicherheit in der Infor-\nmationstechnik.“ a) Dem Absatz 4 wird folgender Satz angefügt:\n„Der Diensteanbieter darf die Teile des Daten-\nArtikel 5 verkehrs von und zu einem Nutzer, von denen\nÄnderung des eine Störung ausgeht, umleiten, soweit dies er-\nTelekommunikationsgesetzes forderlich ist, um den Nutzer über die Störungen\nDas Telekommunikationsgesetz vom 22. Juni 2004 benachrichtigen zu können.“\n(BGBl. I S. 1190), das zuletzt durch Artikel 22 Absatz 3 b) Nach Absatz 4 werden die folgenden Absätze 5\ndes Gesetzes vom 23. Juni 2017 (BGBl. I S. 1822) und 6 eingefügt:\ngeändert worden ist, wird wie folgt geändert:\n„(5) Der Diensteanbieter darf im Falle einer\n1. § 100 Absatz 1 wird wie folgt geändert:\nStörung die Nutzung des Telekommunikations-\na) In Satz 1 werden nach den Wörtern „der Teilneh- dienstes bis zur Beendigung der Störung ein-\nmer und Nutzer“ die Wörter „sowie die Steuer- schränken, umleiten oder unterbinden, soweit\ndaten eines informationstechnischen Protokolls dies erforderlich ist, um die Beeinträchtigung\nzur Datenübertragung, die unabhängig vom Inhalt der Telekommunikations- und Datenverarbeitungs-\neines Kommunikationsvorgangs übertragen oder systeme des Diensteanbieters, eines Nutzers im\nauf den am Kommunikationsvorgang beteiligten Sinne des Absatzes 4 oder anderer Nutzer zu be-\nServern gespeichert werden und zur Gewährleis- seitigen oder zu verhindern und der Nutzer die\ntung der Kommunikation zwischen Empfänger Störung nicht unverzüglich selbst beseitigt oder\nund Sender notwendig sind,“ eingefügt. zu erwarten ist, dass der Nutzer die Störung\nb) Nach Satz 1 wird folgender Satz eingefügt: selbst nicht unverzüglich beseitigt.\n„Die Kommunikationsinhalte sind nicht Bestand- (6) Der Diensteanbieter darf den Datenverkehr\nteil der Steuerdaten eines informationstechni- zu Störungsquellen einschränken oder unterbin-\nschen Protokolls zur Datenübertragung.“ den, soweit dies zur Vermeidung von Störungen","1892 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 40, ausgegeben zu Bonn am 29. Juni 2017\nin den Telekommunikations- und Datenverarbei- 17d. entgegen § 100 Absatz 1 Satz 4 die Daten\ntungssystemen der Nutzer erforderlich ist.“ zu anderen Zwecken genutzt werden,“.\nc) Der bisherige Absatz 5 wird Absatz 7. b) Die bisherige Nummer 17c wird Nummer 17e.\n4. § 149 wird wie folgt geändert:\nArtikel 6\na) Nach Absatz 1 Nummer 17b werden die folgen-\nden Nummern 17c und 17d eingefügt: Inkrafttreten\n„17c. entgegen § 100 Absatz 1 Satz 3 die Daten Dieses Gesetz tritt am Tag nach der Verkündung in\nnicht oder nicht rechtzeitig löscht, Kraft.\nDie verfassungsmäßigen Rechte des Bundesrates\nsind gewahrt.\nDas vorstehende Gesetz wird hiermit ausgefertigt. Es\nist im Bundesgesetzblatt zu verkünden.\nBerlin, den 23. Juni 2017\nDer Bundespräsident\nSteinmeier\nDie Bundeskanzlerin\nDr. A n g e l a M e r k e l\nDer Bundesminister des Innern\nThomas de Maizière"]}