{"id":"bgbl1-2021-25-1","kind":"bgbl1","year":2021,"number":25,"date":"2021-05-27T00:00:00Z","url":"https://offenegesetze.de/veroeffentlichung/bgbl1/2021/25#page=2","api_url":"https://api.offenegesetze.de/v1/veroeffentlichung/bgbl1-2021-25-1/","document_url":"https://media.offenegesetze.de/bgbl1/2021/bgbl1_2021_25.pdf#page=2","order":1,"title":"Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme","law_date":"2021-05-18T00:00:00Z","page":1122,"pdf_page":2,"num_pages":17,"content":["1122 Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 25, ausgegeben zu Bonn am 27. Mai 2021\nZweites Gesetz\nzur Erhöhung der Sicherheit informationstechnischer Systeme*\nVom 18. Mai 2021\nDer Bundestag hat das folgende Gesetz beschlossen: austausch innerhalb einer Bundesbehörde,\nder Bundesbehörden untereinander oder\nArtikel 1 der Bundesbehörden mit Dritten dient.“\nÄnderung bb) In Satz 2 werden vor den Wörtern „der Bun-\ndes BSI-Gesetzes desgerichte“ die Wörter „des Bundesverfas-\nDas BSI-Gesetz vom 14. August 2009 (BGBl. I sungsgerichts“ und ein Komma eingefügt.\nS. 2821), das zuletzt durch Artikel 73 der Verordnung c) Nach Absatz 8 wird folgender Absatz 8a einge-\nvom 19. Juni 2020 (BGBl. I S. 1328) geändert worden fügt:\nist, wird wie folgt geändert:\n„(8a) Protokollierungsdaten im Sinne dieses\n1. § 1 wird wie folgt gefasst:\nGesetzes sind Aufzeichnungen über technische\n„§ 1 Ereignisse oder Zustände innerhalb informa-\nBundesamt für Sicherheit tionstechnischer Systeme.“\nin der Informationstechnik d) Nach Absatz 9 werden die folgenden Absätze 9a\nDas Bundesamt für Sicherheit in der Informa- und 9b eingefügt:\ntionstechnik (Bundesamt) ist eine Bundesober- „(9a) IT-Produkte im Sinne dieses Gesetzes\nbehörde im Geschäftsbereich des Bundesministe- sind Software, Hardware sowie alle einzelnen\nriums des Innern, für Bau und Heimat. Es ist die oder miteinander verbundenen Komponenten,\nzentrale Stelle für Informationssicherheit auf natio- die Informationen informationstechnisch verar-\nnaler Ebene. Aufgaben gegenüber den Bundes- beiten.\nministerien führt das Bundesamt auf Grundlage\nwissenschaftlich-technischer Erkenntnisse durch.“ (9b) Systeme zur Angriffserkennung im Sinne\ndieses Gesetzes sind durch technische Werk-\n2. § 2 wird wie folgt geändert:\nzeuge und organisatorische Einbindung unter-\na) Absatz 2 wird wie folgt geändert: stützte Prozesse zur Erkennung von Angriffen\naa) Die folgenden Sätze werden vorangestellt: auf informationstechnische Systeme. Die An-\n„Informationen sowie informationsverar- griffserkennung erfolgt dabei durch Abgleich\nbeitende Systeme, Komponenten und Pro- der in einem informationstechnischen System\nzesse sind besonders schützenswert. Der verarbeiteten Daten mit Informationen und tech-\nZugriff auf diese darf ausschließlich durch nischen Mustern, die auf Angriffe hindeuten.“\nautorisierte Personen oder Programme er- e) In Absatz 10 Satz 1 Nummer 1 wird das Wort\nfolgen. Die Sicherheit in der Informations- „sowie“ durch ein Komma ersetzt und werden\ntechnik und der damit verbundene Schutz nach dem Wort „Versicherungswesen“ die Wör-\nvon Informationen und informationsverar- ter „sowie Siedlungsabfallentsorgung“ einge-\nbeitenden Systemen vor Angriffen und un- fügt.\nautorisierten Zugriffen im Sinne dieses Ge-\nf) Die folgenden Absätze 13 und 14 werden ange-\nsetzes erfordert die Einhaltung bestimmter\nfügt:\nSicherheitsstandards zur Gewährleistung\nder informationstechnischen Grundwerte „(13) Kritische Komponenten im Sinne dieses\nund Schutzziele.“ Gesetzes sind IT-Produkte,\nbb) In dem neuen Satz 4 wird das Wort „Unver- 1. die in Kritischen Infrastrukturen eingesetzt\nsehrtheit“ durch das Wort „Integrität“ er- werden,\nsetzt.\n2. bei denen Störungen der Verfügbarkeit, Inte-\nb) Absatz 3 wird wie folgt geändert: grität, Authentizität und Vertraulichkeit zu\naa) Satz 1 wird wie folgt gefasst: einem Ausfall oder zu einer erheblichen Be-\n„Kommunikationstechnik des Bundes im einträchtigung der Funktionsfähigkeit Kriti-\nSinne dieses Gesetzes ist die Informations- scher Infrastrukturen oder zu Gefährdungen\ntechnik, die von einer oder mehreren Bun- für die öffentliche Sicherheit führen können\ndesbehörden oder im Auftrag einer oder und\nmehrerer Bundesbehörden betrieben wird 3. die auf Grund eines Gesetzes unter Verweis\nund der Kommunikation oder dem Daten- auf diese Vorschrift\n* Notifiziert gemäß der Richtlinie (EU) 2015/1535 des Europäischen\na) als kritische Komponente bestimmt wer-\nParlaments und des Rates vom 9. September 2015 über ein Informa- den oder\ntionsverfahren auf dem Gebiet der technischen Vorschriften und der\nVorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 b) eine auf Grund eines Gesetzes als kritisch\nvom 17.9.2015, S. 1). bestimmte Funktion realisieren.","Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 25, ausgegeben zu Bonn am 27. Mai 2021 1123\nWerden für einen der in Absatz 10 Satz 1 Num- d) Nach Satz 2 Nummer 12 wird folgende Num-\nmer 1 genannten Sektoren keine kritischen Kom- mer 12a eingefügt:\nponenten und keine kritischen Funktionen, aus „12a. Beratung und Unterstützung der Stellen\ndenen kritische Komponenten abgeleitet wer- des Bundes in Fragen der Sicherheit in\nden können, auf Grund eines Gesetzes unter der Informationstechnik;“.\nVerweis auf diese Vorschrift bestimmt, gibt es\nin diesem Sektor keine kritischen Komponenten e) Satz 2 Nummer 14 wird wie folgt gefasst:\nim Sinne dieses Gesetzes. „14. Beratung, Information und Warnung der\n(14) Unternehmen im besonderen öffent- Stellen des Bundes, der Länder sowie\nlichen Interesse sind Unternehmen, die nicht der Hersteller, Vertreiber und Anwender\nBetreiber Kritischer Infrastrukturen nach Ab- in Fragen der Sicherheit in der Informa-\nsatz 10 sind und tionstechnik, insbesondere unter Berück-\nsichtigung der möglichen Folgen fehlender\n1. die Güter nach § 60 Absatz 1 Nummer 1 und 3\noder unzureichender Sicherheitsvorkeh-\nder Außenwirtschaftsverordnung in der je-\nrungen;“.\nweils geltenden Fassung herstellen oder ent-\nwickeln, f) Nach Satz 2 Nummer 14 wird folgende Num-\nmer 14a eingefügt:\n2. die nach ihrer inländischen Wertschöpfung\nzu den größten Unternehmen in Deutschland „14a. Verbraucherschutz und Verbraucherinfor-\ngehören und daher von erheblicher volkswirt- mation im Bereich der Sicherheit in der\nschaftlicher Bedeutung für die Bundesre- Informationstechnik, insbesondere durch\npublik Deutschland sind oder die für solche Beratung und Warnung von Verbrauchern\nUnternehmen als Zulieferer wegen ihrer Al- in Fragen der Sicherheit in der Informa-\nleinstellungsmerkmale von wesentlicher Be- tionstechnik und unter Berücksichtigung\ndeutung sind oder der möglichen Folgen fehlender oder un-\nzureichender Sicherheitsvorkehrungen;“.\n3. die Betreiber eines Betriebsbereichs der obe-\nren Klasse im Sinne der Störfall-Verordnung g) Satz 2 Nummer 17 wird wie folgt gefasst:\nin der jeweils geltenden Fassung sind oder „17. Aufgaben nach den §§ 8a bis 8c und 8f\nnach § 1 Absatz 2 der Störfall-Verordnung als zentrale Stelle für die Sicherheit in\ndiesen gleichgestellt sind. der Informationstechnik Kritischer Infra-\nDie Unternehmen im besonderen öffentlichen strukturen, digitaler Dienste und der Un-\nInteresse nach Satz 1 Nummer 2 werden durch ternehmen im besonderen öffentlichen In-\ndie Rechtsverordnung nach § 10 Absatz 5 be- teresse;“.\nstimmt, in der festgelegt wird, welche wirt- h) In Satz 2 Nummer 18 wird der Punkt am Ende\nschaftlichen Kennzahlen maßgeblich dafür sind, durch ein Semikolon ersetzt.\ndass ein Unternehmen zu den größten Unter-\nnehmen in Deutschland im Sinne der Nummer 2 i) Dem Satz 2 werden die folgenden Nummern 19\ngehört und welche Alleinstellungsmerkmale und 20 angefügt:\nmaßgeblich dafür sind, dass Zulieferer für sol- „19. Empfehlungen für Identifizierungs- und\nche Unternehmen von wesentlicher Bedeutung Authentisierungsverfahren und Bewer-\nsind.“ tung dieser Verfahren im Hinblick auf die\n3. § 3 Absatz 1 wird wie folgt geändert: Informationssicherheit;\na) Satz 1 wird wie folgt gefasst: 20. Beschreibung und Veröffentlichung eines\nStands der Technik bei sicherheitstech-\n„Das Bundesamt fördert die Sicherheit in der\nnischen Anforderungen an IT-Produkte\nInformationstechnik mit dem Ziel, die Verfügbar-\nunter Berücksichtigung bestehender Nor-\nkeit, Integrität und Vertraulichkeit von Informatio-\nmen und Standards sowie Einbeziehung\nnen und deren Verarbeitung zu gewährleisten.“\nder betroffenen Wirtschaftsverbände.“\nb) In Satz 2 Nummer 2 wird das Wort „oder“ ge-\n4. Nach § 4 werden die folgenden §§ 4a und 4b ein-\nstrichen.\ngefügt:\nc) Nach Satz 2 Nummer 5 wird folgende Num-\nmer 5a eingefügt: „§ 4a\n„5a. Wahrnehmung der Aufgaben und Befug- Kontrolle der\nnisse nach Artikel 58 Absatz 7 und 8 der Kommunikationstechnik\nVerordnung (EU) 2019/881 des Euro- des Bundes, Betretensrechte\npäischen Parlaments und des Rates vom (1) Das Bundesamt ist befugt, die Sicherheit der\n17. April 2019 über die ENISA (Agentur Kommunikationstechnik des Bundes und ihrer\nder Europäischen Union für Cybersicher- Komponenten, einschließlich technischer Infra-\nheit) und über die Zertifizierung der Cyber- strukturen, die zum Betrieb der Kommunikations-\nsicherheit von Informations- und Kommu- technik des Bundes erforderlich sind, zu kontrollie-\nnikationstechnik und zur Aufhebung der ren. Es kann hierzu die Bereitstellung der zur\nVerordnung (EU) Nr. 526/2013 (Rechtsakt Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2\nzur Cybersicherheit, ABl. L 151 vom Nummer 1 und 14 erforderlichen Informationen,\n7.6.2019, S. 15) als nationale Behörde für insbesondere zu technischen Details, zu Strate-\ndie Cybersicherheitszertifizierung;“. gien, Planungen und Regelungen mit Bezug zur","1124 Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 25, ausgegeben zu Bonn am 27. Mai 2021\nKommunikationstechnik des Bundes einschließlich tionstechnik des Bundes bleiben von den Sätzen 1\nAufbau- und Ablauforganisation verlangen sowie und 2 unberührt. Näheres regelt eine Verwaltungs-\nUnterlagen und Datenträger des Betreibers der je- vereinbarung zwischen dem Bundesministerium\nweiligen Kommunikationstechnik des Bundes oder des Innern, für Bau und Heimat und dem Bundes-\neines mit Betriebsleistungen beauftragten Dritten ministerium der Verteidigung.\neinsehen und die unentgeltliche Herausgabe von\nKopien dieser Unterlagen und Dokumente, auch § 4b\nin elektronischer Form, verlangen, soweit nicht Ge- Allgemeine Meldestelle für\nheimschutzinteressen oder überwiegende Sicher- die Sicherheit in der Informationstechnik\nheitsinteressen des Betreibers im Sinne des Sat-\nzes 2 entgegenstehen. (1) Zur Wahrnehmung der Aufgaben nach § 3\nnimmt das Bundesamt als zentrale Stelle für Mel-\n(2) Dem Bundesamt ist in den Zeiten, zu denen dungen von Dritten Informationen über Sicher-\ndie Räume normalerweise für die jeweilige ge- heitsrisiken in der Informationstechnik entgegen\nschäftliche oder betriebliche Nutzung zur Verfü- und wertet diese Informationen aus.\ngung stehen, zu den Grundstücken und Betriebs-\n(2) Das Bundesamt nimmt zur Wahrnehmung\nräumen, einschließlich Datenverarbeitungsanlagen\nder Aufgaben nach Absatz 1 Informationen zu\nund -geräten, die für die Kommunikationstechnik\nSicherheitslücken, Schadprogrammen, erfolgten\ndes Bundes verwendet werden, Zugang zu gewäh-\noder versuchten Angriffen auf die Sicherheit in der\nren, soweit dies zur Erfüllung der Zwecke nach Ab-\nInformationstechnik und der dabei beobachteten\nsatz 1 erforderlich ist.\nVorgehensweisen entgegen. Das Bundesamt rich-\n(3) Bei Einrichtungen eines Dritten, bei dem eine tet hierzu geeignete Meldemöglichkeiten ein. Die\nSchnittstelle zur Kommunikationstechnik des Bun- Meldungen können anonym erfolgen. Soweit die\ndes besteht, kann das Bundesamt auf der Schnitt- Meldung nicht anonym erfolgt, kann der Meldende\nstellenseite der Einrichtung nur mit Zustimmung mit der Meldung oder später verlangen, dass seine\ndes Dritten die Sicherheit der Schnittstelle kontrol- personenbezogenen Daten nur anonymisiert weiter-\nlieren. Es kann hierzu mit Zustimmung des Dritten gegeben werden dürfen. Dies gilt nicht in den Fäl-\ndie zur Aufgabenerfüllung erforderlichen Informa- len des § 5 Absatz 5 und 6 Satz 1. Eine Übermitt-\ntionen, insbesondere zu technischen Details, zu lung der personenbezogenen Daten in den Fällen\nStrategien, Planungen und Regelungen sowie Un- von § 5 Absatz 5 und 6 Satz 1 hat zu unterbleiben,\nterlagen und Datenträger des Betreibers einsehen wenn für das Bundesamt erkennbar ist, dass die\nund unentgeltlich Kopien, auch in elektronischer schutzwürdigen Interessen des Meldenden das All-\nForm, anfertigen. gemeininteresse an der Übermittlung überwiegen.\n(4) Das Bundesamt teilt das Ergebnis seiner Kon- Zu berücksichtigen ist dabei auch die Art und\ntrolle nach den Absätzen 1 bis 3 dem jeweiligen Weise, mittels derer der Meldende die Erkennt-\nüberprüften Betreiber sowie im Falle einer öffent- nisse gewonnen hat. Die Entscheidung nach Satz 6\nlichen Stelle des Bundes der zuständigen Rechts- muss dem oder der behördlichen Datenschutz-\nund Fachaufsicht mit. Mit der Mitteilung soll es beauftragten des Bundesamtes sowie einem oder\nVorschläge zur Verbesserung der Informations- einer weiteren Bediensteten des Bundesamtes, der\nsicherheit, insbesondere zur Beseitigung der fest- oder die die Befähigung zum Richteramt hat, zur\ngestellten Mängel, verbinden. vorherigen Prüfung vorgelegt werden.\n(3) Das Bundesamt soll die gemäß Absatz 2 ge-\n(5) Ausgenommen von den Befugnissen nach\nmeldeten Informationen nutzen, um\nden Absätzen 1 bis 3 sind Kontrollen der Auslands-\ninformations- und -kommunikationstechnik im 1. Dritte über bekannt gewordene Sicherheits-\nSinne des § 9 Absatz 2 des Gesetzes über den lücken, Schadprogramme, erfolgte oder ver-\nAuswärtigen Dienst, soweit sie ausschließlich im suchte Angriffe auf die Sicherheit in der Infor-\nAusland belegen ist oder für das Ausland oder für mationstechnik zu informieren, soweit dies zur\nAnwender im Ausland betrieben wird. Die Bestim- Wahrung ihrer Sicherheitsinteressen erforderlich\nmungen für die Schnittstellen der Kommunika- ist,\ntionstechnik des Bundes im Inland bleiben davon 2. die Öffentlichkeit oder betroffene Kreise gemäß\nunberührt. Näheres zu Satz 1 regelt eine Verwal- § 7 zu warnen und zu informieren,\ntungsvereinbarung zwischen dem Bundesministe-\n3. Bundesbehörden gemäß § 4 Absatz 2 Nummer 2\nrium des Innern, für Bau und Heimat und dem Aus-\nüber die sie betreffenden Informationen zu un-\nwärtigen Amt.\nterrichten,\n(6) Die Befugnisse nach den Absätzen 1 bis 3 4. Betreiber Kritischer Infrastrukturen und Unter-\ngelten im Geschäftsbereich des Bundesministe- nehmen im öffentlichen Interesse gemäß § 8b\nriums der Verteidigung nicht für die Kontrolle der Absatz 2 Nummer 4 Buchstabe a über die sie\nInformations- und Kommunikationstechnik, die von betreffenden Informationen zu unterrichten.\nden Streitkräften für ihre Zwecke oder dem\nMilitärischen Abschirmdienst genutzt wird. Nicht (4) Eine Weitergabe nach Absatz 3 Nummer 1, 2\nausgenommen ist die Informations- und Kommu- oder 4 erfolgt nicht, soweit die gemäß Absatz 2 ge-\nnikationstechnik von Dritten, insbesondere von IT- meldeten Informationen\nDienstleistern, soweit sie nicht ausschließlich für 1. Betriebs- und Geschäftsgeheimnisse von Drit-\ndie Zwecke der Streitkräfte betrieben wird. Die Be- ten beinhalten und die Maßnahmen nach Ab-\nstimmungen für die Schnittstellen der Kommunika- satz 3 nicht ohne Bekanntgabe dieser Betriebs-","Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 25, ausgegeben zu Bonn am 27. Mai 2021 1125\nund Geschäftsgeheimnisse durchgeführt werden technik des Bundes anfallen, verarbeiten, soweit\nkönnen oder dies zum Erkennen, Eingrenzen oder Beseitigen\n2. auf Grund von Vereinbarungen des Bundesam- von Störungen, Fehlern oder Sicherheitsvorfällen\ntes mit Dritten nicht übermittelt werden dürfen. in der Kommunikationstechnik des Bundes oder\nvon Angriffen auf die Informationstechnik des Bun-\n(5) Sonstige gesetzliche Meldepflichten, Rege- des erforderlich ist und Geheimschutzinteressen\nlungen zum Geheimschutz, gesetzliche Übermitt- oder überwiegende Sicherheitsinteressen der be-\nlungshindernisse und Übermittlungsregelungen troffenen Stellen nicht entgegenstehen. Die Bun-\nbleiben unberührt.“ desbehörden sind verpflichtet, das Bundesamt\n5. § 5 wird wie folgt geändert: bei Maßnahmen nach Satz 1 zu unterstützen und\nhierbei den Zugang des Bundesamtes zu behör-\na) Absatz 2 wird wie folgt gefasst:\ndeninternen Protokollierungsdaten nach Satz 1\n„(2) Protokolldaten nach Absatz 1 Satz 1 sicherzustellen. Hierzu dürfen sie dem Bundesamt\nNummer 1 dürfen über den für die automati- die entsprechenden Protokollierungsdaten über-\nsierte Auswertung nach Absatz 1 Satz 1 Num- mitteln. § 5 Absatz 1 Satz 5, Absatz 2 bis 4, 8\nmer 1 erforderlichen Zeitraum hinaus, längstens und 9 gilt entsprechend. § 4a Absatz 6 gilt für die\njedoch für 18 Monate, gespeichert werden, so- Verpflichtung nach Satz 2 entsprechend.“\nweit tatsächliche Anhaltspunkte dafür bestehen,\n7. Der bisherige § 5a wird § 5b und wird wie folgt\ndass diese im Falle der Bestätigung eines Ver-\ngeändert:\ndachts nach Absatz 3 Satz 2 zur Abwehr von\nGefahren, die von dem gefundenen Schadpro- a) In Absatz 1 Satz 1 werden nach den Wörtern\ngramm ausgehen oder zur Erkennung und Ab- „Kritischen Infrastruktur“ die Wörter „oder eines\nwehr anderer Schadprogramme erforderlich Unternehmens im besonderen öffentlichen Inte-\nsein können. Durch organisatorische und tech- resse“ eingefügt.\nnische Maßnahmen ist sicherzustellen, dass b) Dem Absatz 7 wird folgender Satz angefügt:\neine Auswertung der nach diesem Absatz ge-\nspeicherten Daten nur automatisiert erfolgt und „Ein begründeter Einzelfall liegt in der Regel vor,\ndass ein Zugriff auf Daten, die länger als drei wenn eine Stelle eines Landes betroffen ist.“\nMonate gespeichert sind, nur bei Vorliegen c) In Absatz 8 wird die Angabe „§ 5a“ durch die\ntatsächlicher Erkenntnisse über die Betroffen- Angabe „§ 5b“ ersetzt.\nheit des Bundes mit einem Schadprogramm er-\n8. Nach § 5b wird folgender § 5c eingefügt:\nfolgt. Die Daten sind zu pseudonymisieren, so-\nweit dies automatisiert möglich ist. Eine nicht „§ 5c\nautomatisierte Verarbeitung ist nur nach Maß- Bestandsdatenauskunft\ngabe der nachfolgenden Absätze zulässig. So-\nweit hierzu die Wiederherstellung pseudony- (1) Das Bundesamt darf zur Erfüllung seiner ge-\nmisierter Protokolldaten erforderlich ist, muss setzlichen Aufgabe nach § 3 Absatz 1 Satz 1 Num-\ndiese durch die Präsidentin oder den Präsiden- mer 1, 2, 14, 17 oder 18 von demjenigen, der ge-\nten des Bundesamtes oder die Vertretung im schäftsmäßig Telekommunikationsdienste erbringt\nAmt angeordnet werden. Die Entscheidung ist oder daran mitwirkt, über die nach den §§ 95\nzu dokumentieren.“ und 111 des Telekommunikationsgesetzes erhobe-\nnen Daten (§ 113 Absatz 1 Satz 1 des Telekommu-\nb) Nach Absatz 2 wird folgender Absatz 2a einge- nikationsgesetzes) Auskunft verlangen. Die Aus-\nfügt: kunft nach Satz 1 darf nur verlangt werden zum\n„(2a) Protokolldaten dürfen vor ihrer Pseudo- Schutz der Versorgung der Bevölkerung in den Be-\nnymisierung und Speicherung nach Absatz 2 zur reichen des § 2 Absatz 10 Satz 1 Nummer 1 oder\nSicherstellung einer fehlerfreien automatisierten der öffentlichen Sicherheit, um damit eine Beein-\nAuswertung manuell verarbeitet werden. Liegen trächtigung der Sicherheit oder Funktionsfähigkeit\nHinweise vor, dass die fehlerfreie automatisierte informationstechnischer Systeme\nAuswertung wegen eines erheblichen Fehlers 1. einer Kritischen Infrastruktur oder\nerschwert wird, darf der Personenbezug von\nProtokolldaten zur Sicherstellung der fehler- 2. eines Unternehmens von besonderem öffent-\nfreien automatisierten Auswertung wiederherge- lichem Interesse\nstellt werden, sofern dies im Einzelfall erforder- abzuwenden, wenn Tatsachen den Schluss auf ein\nlich ist. Absatz 2 Satz 3 bis 6 gilt entsprechend.“ wenigstens seiner Art nach konkretisiertes und\n6. Nach § 5 wird folgender § 5a eingefügt: zeitlich absehbares Geschehen zulassen, das auf\ndie informationstechnischen Systeme bestimm-\n„§ 5a barer Infrastrukturen oder Unternehmen abzielen\nVerarbeitung wird, und die in die Auskunft aufzunehmenden Da-\nbehördeninterner Protokollierungsdaten ten im Einzelfall erforderlich sind, um die Betroffe-\nDas Bundesamt darf zur Abwehr von Gefahren für nen nach Absatz 4 vor dieser Beeinträchtigung zu\ndie Kommunikationstechnik des Bundes und ihrer warnen, über diese zu informieren oder sie bei de-\nKomponenten, einschließlich technischer Infrastruk- ren Beseitigung zu beraten oder zu unterstützen.\nturen, die zum Betrieb der Kommunikationstechnik (2) Die Auskunft nach Absatz 1 darf auch anhand\ndes Bundes erforderlich sind, Protokollierungsda- einer zu einem bestimmten Zeitpunkt zugewiesenen\nten, die durch den Betrieb von Kommunikations- Internetprotokoll-Adresse verlangt werden (§ 113","1126 Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 25, ausgegeben zu Bonn am 27. Mai 2021\nAbsatz 1 Satz 3, § 113c Absatz 1 Nummer 3 des bbb) Nummer 1 wird wie folgt gefasst:\nTelekommunikationsgesetzes). Die rechtlichen und „1. die folgenden Warnungen und In-\ntatsächlichen Grundlagen des Auskunftsverlan- formationen an die Öffentlichkeit\ngens sind aktenkundig zu machen. oder an die betroffenen Kreise\n(3) Der auf Grund eines Auskunftsverlangens richten:\nVerpflichtete hat die zur Auskunftserteilung a) Warnungen vor Sicherheitslü-\nerforderlichen Daten unverzüglich und vollständig cken in informationstechnischen\nzu übermitteln. Produkten und Diensten,\n(4) Nach erfolgter Auskunft weist das Bundes- b) Warnungen vor Schadprogram-\namt den Betreiber der betroffenen Kritischen Infra- men,\nstruktur oder das betroffene Unternehmen im be- c) Warnungen bei einem Verlust\nsonderen öffentlichen Interesse auf die bei ihm oder einem unerlaubten Zugriff\ndrohenden Beeinträchtigungen hin. Nach Möglich- auf Daten und\nkeit weist das Bundesamt den Betreiber der betrof-\nfenen Kritischen Infrastruktur oder das betroffene d) Informationen über sicherheits-\nUnternehmen im besonderen öffentlichen Interesse relevante IT-Eigenschaften von\nauf technische Mittel hin, mittels derer die festge- Produkten.“\nstellten Beeinträchtigungen durch den Betreiber bb) Die Sätze 3 und 4 werden aufgehoben.\nder betroffenen Kritischen Infrastruktur oder das b) Nach Absatz 1 wird folgender Absatz 1a einge-\nbetroffene Unternehmen im besonderen öffent- fügt:\nlichen Interesse selbst beseitigt werden können.\n„(1a) Die Hersteller betroffener Produkte sind\n(5) Das Bundesamt kann personenbezogene rechtzeitig vor Veröffentlichung der Warnungen\nDaten, die es im Rahmen dieser Vorschrift verar- zu informieren. Diese Informationspflicht be-\nbeitet, entsprechend § 5 Absatz 5 und 6 übermit- steht nicht,\nteln.\n1. wenn hierdurch die Erreichung des mit der\n(6) In den Fällen des Absatzes 2 ist die betrof- Maßnahme verfolgten Zwecks gefährdet wird\nfene Person über die Auskunft zu benachrichtigen. oder\nIm Falle der Weitergabe der Information nach § 5 2. wenn berechtigterweise davon ausgegangen\nAbsatz 5 oder wenn Tatsachen die Annahme recht- werden kann, dass der Hersteller an einer\nfertigen, dass die Voraussetzungen einer Weiter- vorherigen Benachrichtigung kein Interesse\ngabe nach § 5 Absatz 5 vorliegen, ergeht darüber hat.\nkeine Benachrichtigung an die betroffene Person,\nsofern und solange überwiegende schutzwürdige Soweit entdeckte Sicherheitslücken oder Schad-\nBelange Dritter entgegenstehen. Wird nach Satz 2 programme nicht allgemein bekannt werden\ndie Benachrichtigung zurückgestellt oder wird von sollen, um eine Weiterverbreitung oder rechts-\nihr abgesehen, sind die Gründe aktenkundig zu widrige Ausnutzung zu verhindern oder weil\nmachen. das Bundesamt gegenüber Dritten zur Vertrau-\nlichkeit verpflichtet ist, kann es den Kreis der zu\n(7) Das Bundesamt unterrichtet die Bundesbe- warnenden Personen einschränken. Kriterien für\nauftragte oder den Bundesbeauftragten für den die Auswahl des zu warnenden Personenkreises\nDatenschutz und die Informationsfreiheit jeweils nach Satz 3 sind insbesondere die besondere\nbis zum 30. Juni des dem Berichtsjahr folgenden Gefährdung bestimmter Einrichtungen oder die\nJahres über besondere Zuverlässigkeit des Empfängers.“\n1. die Gesamtzahl der Vorgänge, in denen Daten c) Absatz 2 Satz 1 wird wie folgt gefasst:\nnach Absatz 1 oder Absatz 2 an das Bundesamt „Zur Erfüllung seiner Aufgaben nach § 3 Ab-\nübermittelt wurden und satz 1 Satz 2 Nummer 14 und 14a kann das\n2. die Übermittlungen nach Absatz 5. Bundesamt die Öffentlichkeit unter Nennung\nder Bezeichnung und des Herstellers des be-\n(8) Das Bundesamt hat den Verpflichteten für\ntroffenen Produkts und Dienstes vor Sicher-\nihm erteilte Auskünfte eine Entschädigung zu ge-\nheitslücken in informationstechnischen Produk-\nwähren. Der Umfang der Entschädigung bemisst\nten und Diensten und vor Schadprogrammen\nsich nach § 23 und Anlage 3 des Justizvergütungs-\nwarnen, wenn hinreichende Anhaltspunkte dafür\nund -entschädigungsgesetzes; die Vorschriften\nvorliegen, dass Gefahren für die Sicherheit in\nüber die Verjährung in § 2 Absatz 1 und 4 des Jus-\nder Informationstechnik hiervon ausgehen, oder\ntizvergütungs- und -entschädigungsgesetzes fin-\nSicherheitsmaßnahmen sowie den Einsatz be-\nden entsprechende Anwendung.“\nstimmter informationstechnischer Produkte und\n9. § 7 wird wie folgt geändert: Dienste empfehlen.“\na) Absatz 1 wird wie folgt geändert: 10. § 7a wird wie folgt gefasst:\naa) Satz 1 wird wie folgt geändert: „§ 7a\naaa) In dem Wortlaut vor Nummer 1 werden Untersuchung der\nnach den Wörtern „§ 3 Absatz 1 Satz 2 Sicherheit in der Informationstechnik\nNummer 14“ die Wörter „und 14a“ ein- (1) Das Bundesamt kann zur Erfüllung seiner\ngefügt. Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1,","Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 25, ausgegeben zu Bonn am 27. Mai 2021 1127\n14, 14a, 17 oder 18 auf dem Markt bereitgestellte ungeschützt im Sinne des Absatzes 2 sein können\noder zur Bereitstellung auf dem Markt vorgesehene und dadurch in ihrer Sicherheit oder Funktionsfä-\ninformationstechnische Produkte und Systeme un- higkeit gefährdet sein können. Die Maßnahmen\ntersuchen. Es kann sich hierbei der Unterstützung müssen sich auf einen vorher bestimmten Bereich\nDritter bedienen, soweit berechtigte Interessen des von Internet-Protokolladressen, die regelmäßig\nHerstellers der betroffenen Produkte und Systeme den informationstechnischen Systemen\ndem nicht entgegenstehen. 1. des Bundes oder\n(2) Soweit erforderlich, kann das Bundesamt für 2. Kritischer Infrastrukturen, digitaler Dienste und\nUntersuchungen nach Absatz 1 von Herstellern in- der Unternehmen im besonderen öffentlichen\nformationstechnischer Produkte und Systeme alle Interesse\nnotwendigen Auskünfte, insbesondere auch zu\ntechnischen Details, verlangen. In dem Auskunfts- zugeordnet sind (Weiße Liste), beschränken. Die\nverlangen gibt das Bundesamt die Rechtsgrundla- Weiße Liste ist stetig durch geeignete Überprüfun-\nge, den Zweck des Auskunftsverlangens und die gen anzupassen, um Änderungen bei der Zuord-\nbenötigten Auskünfte an und legt eine angemes- nung von Internetprotokoll-Adressen zu den in\nsene Frist für die Übermittlung der Auskünfte fest. den Nummern 1 und 2 bezeichneten Stellen zu be-\nDas Auskunftsverlangen enthält ferner einen Hin- rücksichtigen. Erlangt das Bundesamt dabei Infor-\nweis auf die in § 14 vorgesehenen Sanktionen. mationen, die durch Artikel 10 des Grundgesetzes\ngeschützt sind, darf es diese nur zum Zwecke der\n(3) Das Bundesamt gibt Auskünfte sowie die Übermittlung nach § 5 Absatz 5 und 6 verarbeiten.\naus den Untersuchungen gewonnen Erkenntnisse Sofern die Voraussetzungen des § 5 Absatz 5 und 6\nunverzüglich an die zuständigen Aufsichtsbehör- nicht vorliegen, sind Informationen, die nach Ar-\nden des Bundes oder, sofern keine Aufsichts- tikel 10 des Grundgesetzes geschützt sind, un-\nbehörde vorhanden ist, an das jeweilige Ressort verzüglich zu löschen. Maßnahmen nach Satz 1\nweiter, wenn Anhaltspunkte bestehen, dass diese dürfen nur durch eine Bedienstete oder einen Be-\nsie zur Erfüllung ihrer Aufgaben benötigen. diensteten des Bundesamtes mit der Befähigung\n(4) Die Auskünfte und die aus den Untersuchun- zum Richteramt angeordnet werden.\ngen gewonnenen Erkenntnisse dürfen nur zur Erfül- (2) Ein informationstechnisches System ist un-\nlung der Aufgaben nach § 3 Absatz 1 Satz 2 Num- geschützt im Sinne des Absatzes 1, wenn in die-\nmer 1, 14, 14a, 17 und 18 genutzt werden. Das sem öffentlich bekannte Sicherheitslücken beste-\nBundesamt darf seine Erkenntnisse weitergeben hen oder wenn auf Grund sonstiger offensichtlich\nund veröffentlichen, soweit dies zur Erfüllung der unzureichender Sicherheitsvorkehrungen unbefugt\nAufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, von Dritten auf das System zugegriffen werden\n14, 14a, 17 und 18 erforderlich ist. Zuvor ist dem kann.\nHersteller der betroffenen Produkte und Systeme\nmit angemessener Frist Gelegenheit zur Stellung- (3) Wird durch Maßnahmen gemäß Absatz 1\nnahme zu geben. eine Sicherheitslücke oder ein anderes Sicherheits-\nrisiko eines informationstechnischen Systems er-\n(5) Kommt ein Hersteller der Aufforderung des kannt, sind die für das informationstechnische Sys-\nBundesamtes nach Absatz 2 Satz 1 nicht oder nur tem Verantwortlichen unverzüglich darüber zu\nunzureichend nach, kann das Bundesamt hierüber informieren. Das Bundesamt soll dabei auf beste-\ndie Öffentlichkeit informieren. Es kann hierbei den hende Abhilfemöglichkeiten hinweisen. Sind dem\nNamen des Herstellers sowie die Bezeichnung des Bundesamt die Verantwortlichen nicht bekannt\nbetroffenen Produkts oder Systems angeben und oder ist ihre Identifikation nur mit unverhältnismä-\ndarlegen, inwieweit der Hersteller seiner Aus- ßigem Aufwand oder über eine Bestandsdatenab-\nkunftspflicht nicht nachgekommen ist. Zuvor ist frage nach § 5c möglich, ist hilfsweise der betrei-\ndem Hersteller mit angemessener Frist Gelegenheit bende Dienstleister des jeweiligen Netzes oder\nzur Stellungnahme zu gewähren. § 7 Absatz 2 Systems unverzüglich zu benachrichtigen, wenn\nSatz 2 gilt entsprechend.“ überwiegende Sicherheitsinteressen nicht entge-\n11. Nach § 7a werden die folgenden §§ 7b bis 7d ein- genstehen. Das Bundesamt unterrichtet die Bun-\ngefügt: desbeauftragte oder den Bundesbeauftragten für\nden Datenschutz und die Informationsfreiheit je-\n„§ 7b\nweils bis zum 30. Juni des Folgejahres über die\nDetektion von Anzahl der gemäß Absatz 1 ergriffenen Maßnah-\nSicherheitsrisiken für die Netz- men. Das Bundesamt legt die Weiße Liste nach\nund IT-Sicherheit und von Angriffsmethoden Absatz 1 Satz 3 der Bundesbeauftragten oder\n(1) Das Bundesamt kann im Rahmen seiner Auf- dem Bundesbeauftragten für den Datenschutz\ngaben nach § 3 Absatz 1 Satz 2 Nummer 1, 2, 14 und die Informationsfreiheit vierteljährlich zur Kon-\noder 17 zur Detektion von Sicherheitslücken und trolle vor.\nanderen Sicherheitsrisiken bei Einrichtungen des (4) Das Bundesamt darf zur Erfüllung seiner Auf-\nBundes oder der in § 2 Absatz 10, 11 und 14 gaben Systeme und Verfahren einsetzen, welche\ngenannten Unternehmen Maßnahmen an den einem Angreifer einen erfolgreichen Angriff vortäu-\nSchnittstellen öffentlich erreichbarer informations- schen, um den Einsatz von Schadprogrammen\ntechnischer Systeme zu öffentlichen Telekommu- oder andere Angriffsmethoden zu erheben und\nnikationsnetzen (Portscans) durchführen, wenn auszuwerten. Das Bundesamt darf dabei die zur\nTatsachen die Annahme rechtfertigen, dass diese Auswertung der Funktionsweise der Schadpro-","1128 Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 25, ausgegeben zu Bonn am 27. Mai 2021\ngramme und Angriffsmethoden erforderlichen Da- sprechend. Das Bundesamt unterrichtet die Bun-\nten verarbeiten. desbeauftragte oder den Bundesbeauftragten für\nden Datenschutz und die Informationsfreiheit je-\n§ 7c weils bis zum 30. Juni des Folgejahres über die\nAnordnungen des Gesamtzahl der angeordneten Datenumleitungen.\nBundesamtes gegenüber Diensteanbietern\n§ 7d\n(1) Zur Abwehr konkreter erheblicher Gefahren\nfür die in Absatz 2 genannten Schutzziele kann Anordnungen des\ndas Bundesamt gegenüber einem Anbieter von Bundesamtes gegenüber\nTelekommunikationsdiensten im Sinne des Tele- Anbietern von Telemediendiensten\nkommunikationsgesetzes (Diensteanbieter) mit mehr Das Bundesamt kann in begründeten Einzelfäl-\nals 100 000 Kunden anordnen, dass er len zur Abwehr konkreter, erheblicher Gefahren für\n1. die in § 109a Absatz 5 oder 6 des Telekommu- informationstechnische Systeme einer Vielzahl von\nnikationsgesetzes bezeichneten Maßnahmen Nutzern, die von Telemedienangeboten von Diens-\ntrifft oder teanbietern im Sinne des § 2 Satz 1 Nummer 1 des\n2. technische Befehle zur Bereinigung von einem Telemediengesetzes ausgehen, die durch ungenü-\nkonkret benannten Schadprogramm an betrof- gende technische und organisatorische Vorkehrun-\nfene informationstechnische Systeme verteilt, gen im Sinne des § 13 Absatz 7 des Telemedien-\ngesetzes unzureichend gesichert sind und dadurch\nsofern und soweit der Diensteanbieter dazu tech-\nkeinen hinreichenden Schutz bieten vor\nnisch in der Lage ist und es ihm wirtschaftlich zu-\nmutbar ist. Vor der Anordnung der Maßnahmen 1. unerlaubten Zugriffen auf die für diese Teleme-\nnach Satz 1 Nummer 1 oder 2 durch das Bundes- dienangebote genutzten technischen Einrich-\namt ist Einvernehmen mit der Bundesnetzagentur tungen oder\nherzustellen. Vor der Anordnung der Maßnahme 2. Störungen, auch soweit sie durch äußere An-\nnach Satz 1 Nummer 2 durch das Bundesamt ist griffe bedingt sind,\nzusätzlich Einvernehmen mit der oder dem Bun-\ndesbeauftragten für den Datenschutz und die Infor- gegenüber dem jeweiligen Diensteanbieter im Sinne\nmationsfreiheit herzustellen. Die Daten, auf die mit des § 2 Satz 1 Nummer 1 des Telemediengesetzes\nder Maßnahme nach Satz 1 Nummer 2 zugegriffen anordnen, dass dieser die jeweils zur Herstellung\nwerden soll, sind in der Anordnung zu benennen. des ordnungsgemäßen Zustands seiner Telemedien-\n§ 5 Absatz 7 Satz 2 bis 8 gilt entsprechend. Wider- angebote erforderlichen technischen und organisa-\nspruch und Anfechtungsklage gegen die Anord- torischen Maßnahmen ergreift, um den ordnungs-\nnungen nach Satz 1 haben keine aufschiebende gemäßen Zustand seiner Telemedienangebote\nWirkung. herzustellen. Die Zuständigkeit der Aufsichtsbehör-\nden der Länder bleibt im Übrigen unberührt.“\n(2) Schutzziele gemäß Absatz 1 Satz 1 sind die\nVerfügbarkeit, Unversehrtheit oder Vertraulichkeit 12. § 8 wird wie folgt geändert:\n1. der Kommunikationstechnik des Bundes, eines a) Absatz 1 wird durch die folgenden Absätze 1\nBetreibers Kritischer Infrastrukturen, eines Un- und 1a ersetzt:\nternehmens im besonderen öffentlichen Inte-\n„(1) Das Bundesamt legt im Benehmen mit\nresse oder eines Anbieters digitaler Dienste,\nden Ressorts Mindeststandards für die Sicher-\n2. von Informations- oder Kommunikationsdiens- heit der Informationstechnik des Bundes fest,\nten oder die von\n3. von Informationen, sofern deren Verfügbarkeit, 1. Stellen des Bundes,\nUnversehrtheit oder Vertraulichkeit durch uner-\nlaubte Zugriffe auf eine erhebliche Anzahl von 2. Körperschaften, Anstalten und Stiftungen des\ntelekommunikations- oder informationstechni- öffentlichen Rechts sowie ihren Vereinigungen\nschen Systemen von Nutzern eingeschränkt ungeachtet ihrer Rechtsform auf Bundesebe-\nwird. ne, soweit von der jeweils zuständigen obers-\nten Bundesbehörde angeordnet, sowie\n(3) Ordnet das Bundesamt eine Maßnahme\nnach Absatz 1 Satz 1 Nummer 1 an, so kann es 3. öffentlichen Unternehmen, die mehrheitlich\ngegenüber dem Diensteanbieter auch anordnen, im Eigentum des Bundes stehen und die IT-\nden Datenverkehr an eine vom Bundesamt be- Dienstleistungen für die Bundesverwaltung\nnannte Anschlusskennung umzuleiten. erbringen,\n(4) Das Bundesamt darf Daten, die von einem umzusetzen sind. Abweichungen von den Min-\nDiensteanbieter nach Absatz 1 Satz 1 Nummer 1 deststandards sind nur in sachlich gerechtfer-\nund Absatz 3 umgeleitet wurden, verarbeiten, um tigten Fällen zulässig und sind zu dokumentie-\nInformationen über Schadprogramme oder andere ren und zu begründen. Das Bundesamt berät\nSicherheitsrisiken in informationstechnischen Sys- die in Satz 1 genannten Stellen auf Ersuchen\ntemen zu erlangen. Die übermittelten Daten dürfen bei der Umsetzung und Einhaltung der Mindest-\ndurch das Bundesamt so lange gespeichert wer- standards. Für die in § 2 Absatz 3 Satz 2 ge-\nden, wie dies für die Erfüllung des in Satz 1 ge- nannten Gerichte und Verfassungsorgane ha-\nnannten Zwecks erforderlich ist, längstens jedoch ben die Vorschriften nach Satz 1 empfehlenden\nfür drei Monate. § 5 Absatz 7 Satz 2 bis 8 gilt ent- Charakter. Für die Verpflichtung nach Satz 1 gilt","Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 25, ausgegeben zu Bonn am 27. Mai 2021 1129\ndie Ausnahme nach § 4a Absatz 6 entspre- d) In Absatz 2 Satz 3 Nummer 2 werden die Wörter\nchend. „oder im Benehmen mit der sonst zuständigen\nAufsichtsbehörde“ gestrichen.\n(1a) Das Bundesministerium des Innern, für\nBau und Heimat kann im Benehmen mit der e) Absatz 3 Satz 1 wird wie folgt gefasst:\nKonferenz der IT-Beauftragten der Ressorts bei\n„Betreiber Kritischer Infrastrukturen haben die\nbedeutenden Mindeststandards die Überwa-\nErfüllung der Anforderungen nach den Absät-\nchung und Kontrolle ihrer Einhaltung durch das\nzen 1 und 1a spätestens zwei Jahre nach dem\nBundesamt anordnen. Das Bundesamt teilt das\nin Absatz 1 genannten Zeitpunkt und anschlie-\nErgebnis seiner Kontrolle der jeweiligen über-\nßend alle zwei Jahre dem Bundesamt nachzu-\nprüften Stelle, deren zuständiger Aufsichtsbe-\nweisen.“\nhörde sowie der Konferenz der IT-Beauftragten\nder Ressorts mit. Für andere öffentlich-rechtlich f) In Absatz 4 Satz 1 und 3 wird jeweils die Angabe\noder privatrechtlich organisierte Stellen dürfen „Absatz 1“ durch die Wörter „den Absätzen 1\nnur dann Schnittstellen zur Kommunikations- und 1a“ ersetzt.\ntechnik des Bundes eingerichtet werden, soweit\ndie für die Einrichtung verantwortliche Stelle 14. § 8b wird wie folgt geändert:\nvertraglich sicherstellt, dass die öffentlich- oder a) Absatz 2 wird wie folgt geändert:\nprivatrechtlich organisierte Stelle sich zur Ein-\nhaltung der Mindeststandards verpflichtet. Das aa) In Nummer 3 werden nach den Wörtern\nBundesamt kann im Einvernehmen mit dem „Kritischen Infrastrukturen“ die Wörter „oder\nDritten die Einhaltung der Mindeststandards der Unternehmen im besonderen öffent-\nüberprüfen und kontrollieren.“ lichen Interesse“ eingefügt.\nb) In Absatz 3 Satz 4 wird das Wort „Bundesbehör- bb) Nummer 4 Buchstabe a wird wie folgt ge-\nden“ durch die Wörter „Stellen des Bundes oder fasst:\nvon ihnen beauftragte Dritte“ ersetzt.\n„a) die Betreiber Kritischer Infrastrukturen\nc) Folgender Absatz 4 wird angefügt: und die Unternehmen im besonderen\nöffentlichen Interesse über sie betref-\n„(4) Zur Gewährleistung der Sicherheit in der fende Informationen nach den Num-\nInformationstechnik bei der Planung und Um- mern 1 bis 3,“.\nsetzung von wesentlichen Digitalisierungsvorha-\nben des Bundes soll die jeweils verantwortliche b) Absatz 3 wird wie folgt gefasst:\nStelle das Bundesamt frühzeitig beteiligen und „(3) Betreiber Kritischer Infrastrukturen sind\ndem Bundesamt Gelegenheit zur Stellungnahme verpflichtet, spätestens bis zum ersten Werktag,\ngeben.“ der darauf folgt, dass diese erstmalig oder er-\n13. § 8a wird wie folgt geändert: neut als Betreiber einer Kritischen Infrastruktur\nnach der Rechtsverordnung nach § 10 Absatz 1\na) In Absatz 1 Satz 1 werden die Wörter „spätes- gelten, die von ihnen betriebenen Kritischen In-\ntens zwei Jahre nach Inkrafttreten der Rechts- frastrukturen beim Bundesamt zu registrieren\nverordnung nach § 10 Absatz 1“ durch die Wör- und eine Kontaktstelle zu benennen. Die Regis-\nter „spätestens bis zum ersten Werktag, der trierung eines Betreibers einer Kritischen Infra-\ndarauf folgt, dass diese erstmalig oder erneut struktur kann das Bundesamt auch selbst vor-\nals Betreiber einer Kritischen Infrastruktur nach nehmen, wenn der Betreiber seine Pflicht zur\nder Rechtsverordnung nach § 10 Absatz 1 gel- Registrierung nicht erfüllt. Nimmt das Bundes-\nten,“ ersetzt. amt eine solche Registrierung selbst vor, infor-\nmiert es die zuständige Aufsichtsbehörde des\nb) Nach Absatz 1 wird folgender Absatz 1a einge- Bundes darüber. Die Betreiber haben sicherzu-\nfügt: stellen, dass sie über die benannte oder durch\ndas Bundesamt festgelegte Kontaktstelle jeder-\n„(1a) Die Verpflichtung nach Absatz 1 Satz 1,\nzeit erreichbar sind. Die Übermittlung von Infor-\nangemessene organisatorische und technische\nmationen durch das Bundesamt nach Absatz 2\nVorkehrungen zu treffen, umfasst ab dem 1. Mai\nNummer 4 erfolgt an diese Kontaktstelle.“\n2023 auch den Einsatz von Systemen zur An-\ngriffserkennung. Die eingesetzten Systeme zur c) Nach Absatz 3 wird folgender Absatz 3a einge-\nAngriffserkennung müssen geeignete Parameter fügt:\nund Merkmale aus dem laufenden Betrieb kon-\ntinuierlich und automatisch erfassen und aus- „(3a) Rechtfertigen Tatsachen die Annahme,\nwerten. Sie sollten dazu in der Lage sein, fort- dass ein Betreiber seine Pflicht zur Registrie-\nwährend Bedrohungen zu identifizieren und zu rung nach Absatz 3 nicht erfüllt, so hat der\nvermeiden sowie für eingetretene Störungen ge- Betreiber dem Bundesamt auf Verlangen die\neignete Beseitigungsmaßnahmen vorzusehen. für die Bewertung aus Sicht des Bundesamtes\nAbsatz 1 Satz 2 und 3 gilt entsprechend.“ erforderlichen Aufzeichnungen, Schriftstücke\nund sonstigen Unterlagen in geeigneter Weise\nc) In Absatz 2 Satz 1 und 2 wird jeweils die Angabe vorzulegen und Auskunft zu erteilen, soweit\n„Absatz 1“ durch die Wörter „den Absätzen 1 nicht Geheimschutzinteressen oder überwie-\nund 1a“ ersetzt. gende Sicherheitsinteressen entgegenstehen.“","1130 Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 25, ausgegeben zu Bonn am 27. Mai 2021\nd) Nach Absatz 4 wird folgender Absatz 4a einge- (2) Zugang zu den Akten des Bundesamtes in\nfügt: Angelegenheiten nach den §§ 8a bis 8c und 8f\n„(4a) Während einer erheblichen Störung ge- wird bei Vorliegen der Voraussetzungen des\nmäß Absatz 4 Satz 1 Nummer 2, § 8f Absatz 7 § 29 des Verwaltungsverfahrensgesetzes nur\nSatz 1 Nummer 2 oder Absatz 8 Satz 1 Num- gewährt, wenn\nmer 2 kann das Bundesamt im Einvernehmen 1. schutzwürdige Interessen des betroffenen\nmit der jeweils zuständigen Aufsichtsbehörde Betreibers einer Kritischen Infrastruktur, des\ndes Bundes von den betroffenen Betreibern Unternehmens im besonderen öffentlichen\nKritischer Infrastrukturen oder den Unterneh- Interesse oder des Anbieters digitaler\nmen im besonderen öffentlichen Interesse die Dienste dem nicht entgegenstehen und\nHerausgabe der zur Bewältigung der Störung\n2. durch den Zugang zu den Akten keine Beein-\nnotwendigen Informationen einschließlich per-\nträchtigung von Sicherheitsinteressen eintre-\nsonenbezogener Daten verlangen. Betreiber\nten kann.“\nKritischer Infrastrukturen und Unternehmen im\nbesonderen öffentlichen Interesse sind befugt, b) Folgender Absatz 4 wird angefügt:\ndem Bundesamt auf Verlangen die zur Bewäl-\n„(4) Informationsansprüche nach dem Um-\ntigung der Störung notwendigen Informationen\nweltinformationsgesetz bleiben von dieser Vor-\neinschließlich personenbezogener Daten zu\nschrift unberührt.“\nübermitteln, soweit dies zur Bewältigung einer\nerheblichen Störung gemäß Absatz 4 Satz 1 18. Nach § 8e wird folgender § 8f eingefügt:\nNummer 2, § 8f Absatz 7 Satz 1 Nummer 2 oder „§ 8f\nAbsatz 8 Satz 1 Nummer 2 erforderlich ist.“\nSicherheit in der\ne) Absatz 6 wird wie folgt geändert:\nInformationstechnik bei Unternehmen\naa) In Satz 1 werden nach den Wörtern „Stö- im besonderen öffentlichen Interesse\nrung nach Absatz 4“ ein Komma und die\n(1) Unternehmen im besonderen öffentlichen In-\nWörter „oder § 8f Absatz 7 oder 8“ einge-\nteresse nach § 2 Absatz 14 Satz 1 Nummer 1 und 2\nfügt.\nsind verpflichtet, spätestens bis zum ersten Werk-\nbb) In Satz 2 wird die Angabe „§ 8c Absatz 3“ tag, der darauf folgt, dass diese erstmalig oder er-\ndurch die Angabe „§ 8d Absatz 3“ ersetzt. neut als Unternehmen im besonderen öffentlichen\n15. In § 8c Absatz 3 Satz 4 wird die Angabe „Absatz 3“ Interesse nach § 2 Absatz 14 Satz 1 Nummer 1\ndurch die Angabe „Absatz 4“ ersetzt. oder 2 gelten, und danach mindestens alle zwei\n16. § 8d wird wie folgt geändert: Jahre eine Selbsterklärung zur IT-Sicherheit beim\nBundesamt vorzulegen, aus der hervorgeht,\na) In Absatz 1 Satz 1 wird die Angabe „2003/361/EC“\ndurch die Angabe „2003/361/EG“ ersetzt. 1. welche Zertifizierungen im Bereich der IT-Si-\ncherheit in den letzten zwei Jahren durchge-\nb) Nach Absatz 1 wird folgender Absatz 1a einge- führt, welche Prüfgrundlage und welcher Gel-\nfügt: tungsbereich hierfür festgelegt wurden,\n„(1a) § 8f ist nicht anzuwenden auf Kleinstun-\n2. welche sonstigen Sicherheitsaudits oder Prü-\nternehmen und kleine Unternehmen im Sinne\nfungen im Bereich der IT-Sicherheit in den letz-\nder Empfehlung 2003/361/EG. Artikel 3 Absatz 4\nten zwei Jahren durchgeführt, welche Prüf-\ndes Anhangs zu der Empfehlung ist nicht anzu-\ngrundlage und welcher Geltungsbereich hierfür\nwenden.“\nfestgelegt wurden oder\nc) In Absatz 3 in dem einleitenden Satzteil wird die\nAngabe „§ 8b Absatz 4“ durch die Wörter „§ 8b 3. wie sichergestellt wird, dass die für das Unter-\nAbsatz 4 und 4a“ ersetzt. nehmen besonders schützenswerten informa-\ntionstechnischen Systeme, Komponenten und\n17. § 8e wird wie folgt geändert: Prozesse angemessen geschützt werden, und\na) Die Absätze 1 und 2 werden wie folgt gefasst: ob dabei der Stand der Technik eingehalten\n„(1) Das Bundesamt kann Dritten auf Antrag wird.\nAuskunft zu den im Rahmen von § 8a Absatz 2 (2) Das Bundesamt kann für die Selbsterklärung\nund 3, § 8c Absatz 4 und § 8f erhaltenen Infor- nach Absatz 1 zu verwendende Formulare einfüh-\nmationen sowie zu den Meldungen nach § 8b ren.\nAbsatz 4, 4a und 4b sowie § 8c Absatz 4 nur\n(3) Das Bundesamt kann auf Grundlage der\nerteilen, wenn\nSelbsterklärung nach Absatz 1 Hinweise zu ange-\n1. schutzwürdige Interessen des betroffenen messenen organisatorischen und technischen Vor-\nBetreibers einer Kritischen Infrastruktur, des kehrungen nach Absatz 1 Nummer 3 zur Einhaltung\nUnternehmens im besonderen öffentlichen In- des Stands der Technik geben.\nteresse oder des Anbieters digitaler Dienste\ndem nicht entgegenstehen und (4) Für Unternehmen im besonderen öffent-\nlichen Interesse nach § 2 Absatz 14 Satz 1 Num-\n2. durch die Auskunft keine Beeinträchtigung mer 1 gilt die Pflicht nach Absatz 1 nicht vor dem\nvon Sicherheitsinteressen eintreten kann. 1. Mai 2023. Für Unternehmen im besonderen\nZugang zu personenbezogenen Daten wird öffentlichen Interesse nach § 2 Absatz 14 Num-\nnicht gewährt. mer 2 gilt diese Pflicht frühestens zwei Jahre nach","Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 25, ausgegeben zu Bonn am 27. Mai 2021 1131\nInkrafttreten der Rechtsverordnung nach § 10 Die Meldung muss Angaben zu der Störung, zu den\nAbsatz 5. technischen Rahmenbedingungen, insbesondere\nzu der vermuteten oder tatsächlichen Ursache, der\n(5) Unternehmen im besonderen öffentlichen In- betroffenen Informationstechnik und der Art der be-\nteresse nach § 2 Absatz 14 Satz 1 Nummer 1 und 2 troffenen Einrichtung oder Anlage enthalten.\nsind verpflichtet, sich gleichzeitig mit der Vorlage\nder ersten Selbsterklärung zur IT-Sicherheit nach (9) Rechtfertigen Tatsachen die Annahme, dass\nAbsatz 1 beim Bundesamt zu registrieren und eine ein Unternehmen ein Unternehmen im besonderen\nzu den üblichen Geschäftszeiten erreichbare Stelle öffentlichen Interesse nach § 2 Absatz 14 Satz 1\nzu benennen. Die Übermittlung von Informationen Nummer 2 ist, aber seine Pflichten nach Absatz 5\ndurch das Bundesamt nach § 8b Absatz 2 Num- nicht erfüllt, so kann das Bundesamt verlangen:\nmer 4 erfolgt an diese Stelle. 1. eine rechnerische Darlegung, wie hoch die vom\nUnternehmen erbrachte inländische Wertschöp-\n(6) Unternehmen im besonderen öffentlichen In-\nfung nach der in der Rechtsverordnung nach\nteresse nach § 2 Absatz 14 Satz 1 Nummer 3 kön-\n§ 10 Absatz 5 festgelegten Berechnungsme-\nnen eine freiwillige Registrierung beim Bundesamt\nthode ist, oder\nund die Benennung einer zu den üblichen Ge-\nschäftszeiten erreichbaren Stelle vornehmen. Die 2. eine Bestätigung einer anerkannten Wirtschafts-\nÜbermittlung von Informationen durch das Bun- prüfungsgesellschaft, dass das Unternehmen\ndesamt nach § 8b Absatz 2 Nummer 4 erfolgt an nach der in der Rechtsverordnung nach § 10\ndiese Stelle. Absatz 5 festgelegten Berechnungsmethode\nkein Unternehmen im besonderen öffentlichen\n(7) Unternehmen im besonderen öffentlichen In- Interesse nach § 2 Absatz 14 Satz 1 Nummer 2\nteresse nach § 2 Absatz 14 Satz 1 Nummer 1 und 2 ist.“\nhaben ab dem Zeitpunkt, zu dem eine Pflicht zur\nVorlage der Selbsterklärung zur IT-Sicherheit nach 19. § 9 Absatz 4 wird durch die folgenden Absätze 4\nAbsatz 1 besteht, die folgenden Störungen unver- und 4a ersetzt:\nzüglich über die nach Absatz 5 benannte Stelle an „(4) Das Sicherheitszertifikat wird erteilt, wenn\ndas Bundesamt zu melden:\n1. informationstechnische Systeme, Komponen-\n1. Störungen der Verfügbarkeit, der Integrität, der ten, Produkte oder Schutzprofile den vom Bun-\nAuthentizität und der Vertraulichkeit ihrer in- desamt festgelegten Kriterien entsprechen und\nformationstechnischen Systeme, Komponenten 2. das Bundesministerium des Innern, für Bau und\noder Prozesse, die zu einem Ausfall oder zu Heimat die Erteilung des Zertifikats nicht nach\neiner erheblichen Beeinträchtigung der Erbrin- Absatz 4a untersagt hat.\ngung der Wertschöpfung geführt haben,\nVor Erteilung des Sicherheitszertifikats legt das\n2. erhebliche Störungen der Verfügbarkeit, der In- Bundesamt den Vorgang dem Bundesministerium\ntegrität, der Authentizität und der Vertraulichkeit des Innern, für Bau und Heimat zur Prüfung nach\nihrer informationstechnischen Systeme, Kom- Absatz 4a vor.\nponenten oder Prozesse, die zu einem Ausfall\n(4a) Das Bundesministerium des Innern, für Bau\noder zu einer erheblichen Beeinträchtigung der\nund Heimat kann eine Zertifikatserteilung nach Ab-\nErbringung der Wertschöpfung führen können.\nsatz 4 im Einzelfall untersagen, wenn überwiegende\nDie Meldung muss Angaben zu der Störung, zu öffentliche Interessen, insbesondere sicherheits-\nden technischen Rahmenbedingungen, insbeson- politische Belange der Bundesrepublik Deutsch-\ndere zu der vermuteten oder tatsächlichen Ursa- land, der Erteilung entgegenstehen.“\nche, der betroffenen Informationstechnik und der 20. Nach § 9 werden die folgenden §§ 9a bis 9c ein-\nArt der betroffenen Einrichtung oder Anlage enthal- gefügt:\nten.\n„§ 9a\n(8) Unternehmen im besonderen öffentlichen In-\nNationale Behörde für\nteresse nach § 2 Absatz 14 Satz 1 Nummer 3 ha-\ndie Cybersicherheitszertifizierung\nben spätestens ab dem 1. November 2021 die fol-\ngenden Störungen unverzüglich an das Bundesamt (1) Das Bundesamt ist die nationale Behörde für\nzu melden: die Cybersicherheitszertifizierung im Sinne des Ar-\ntikels 58 Absatz 1 der Verordnung (EU) 2019/881.\n1. Störungen der Verfügbarkeit, der Integrität, der\nAuthentizität und der Vertraulichkeit ihrer infor- (2) Das Bundesamt kann auf Antrag Konformi-\nmationstechnischen Systeme, Komponenten tätsbewertungsstellen, die im Anwendungsbereich\noder Prozesse, die zu einem Störfall nach der der Verordnung (EU) 2019/881 sowie des § 9 die-\nStörfall-Verordnung in der jeweils geltenden ses Gesetzes tätig werden, eine Befugnis erteilen,\nFassung geführt haben, als solche tätig zu werden, wenn die Voraussetzun-\ngen des maßgeblichen europäischen Schemas für\n2. erhebliche Störungen der Verfügbarkeit, der In- die Cybersicherheitszertifizierung nach Artikel 54\ntegrität, der Authentizität und der Vertraulichkeit der Verordnung (EU) 2019/881 oder des § 9 dieses\nihrer informationstechnischen Systeme, Kom- Gesetzes erfüllt sind. Ohne eine Befugniserteilung\nponenten oder Prozesse, die zu einem Störfall durch das Bundesamt dürfen Konformitätsbewer-\nnach der Störfall-Verordnung in der jeweils gel- tungsstellen im Anwendungsbereich der Verord-\ntenden Fassung führen können. nung (EU) 2019/881 nicht tätig werden.","1132 Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 25, ausgegeben zu Bonn am 27. Mai 2021\n(3) Soweit dies zur Erfüllung seiner Aufgaben (7) Das Bundesamt kann von ihm erteilte Befug-\nnach Artikel 58 Absatz 7 der Verordnung (EU) nisse nach Absatz 2 widerrufen,\n2019/881 und nach § 9 dieses Gesetzes erforder- 1. sofern die Voraussetzungen des maßgeblichen\nlich ist, kann das Bundesamt von Konformitäts- europäischen Schemas für die Cybersicher-\nbewertungsstellen, denen eine Befugnis nach heitszertifizierung nach Artikel 54 Verordnung\nAbsatz 2 erteilt wurde, von Inhabern europäischer (EU) 2019/881 oder des § 9 dieses Gesetzes\nCybersicherheitszertifikate und von Ausstellern von nicht erfüllt sind oder\nEU-Konformitätserklärungen im Sinne von Arti-\nkel 56 Absatz 8 der Verordnung (EU) 2019/881 die 2. wenn das Bundesamt die Erfüllung dieser\nerforderlichen Auskünfte und sonstige Unterstüt- Voraussetzungen nicht feststellen kann, weil\nzung, insbesondere die Vorlage von Unterlagen die Konformitätsbewertungsstelle ihren Mitwir-\noder Mustern, verlangen. § 3 Absatz 1 Satz 1 und 3 kungspflichten nach Absatz 3 nicht nachgekom-\ndes Akkreditierungsstellengesetzes gilt entspre- men ist oder weil diese das Bundesamt bei der\nchend. Wahrnehmung seiner Befugnisse nach den Ab-\nsätzen 4 und 5 behindert hat.\n(4) Das Bundesamt kann Untersuchungen in\nForm von Auditierungen nach Artikel 58 Absatz 8 § 9b\nBuchstabe b der Verordnung (EU) 2019/881 bei\nKonformitätsbewertungsstellen, denen eine Befug- Untersagung des\nnis nach Absatz 2 erteilt wurde, bei Inhabern euro- Einsatzes kritischer Komponenten\npäischer Cybersicherheitszertifikate und bei Ausstel- (1) Der Betreiber einer Kritischen Infrastruktur\nlern von EU-Konformitätserklärungen im Sinne von hat den geplanten erstmaligen Einsatz einer kriti-\nArtikel 56 Absatz 8 der Verordnung (EU) 2019/881 schen Komponente gemäß § 2 Absatz 13 dem\ndurchführen, um die Einhaltung der Bestimmungen Bundesministerium des Innern, für Bau und Heimat\ndes Titels III der Verordnung (EU) 2019/881 zu vor ihrem Einsatz anzuzeigen. In der Anzeige sind\nüberprüfen. § 3 Absatz 1 Satz 1 bis 3 des Akkre- die kritische Komponente und die geplante Art\nditierungsstellengesetzes gilt entsprechend. ihres Einsatzes anzugeben. Satz 1 gilt für einen Be-\n(5) Das Bundesamt ist befugt, Betriebsstätten, treiber einer Kritischen Infrastruktur nicht, wenn\nGeschäfts- und Betriebsräume von Konformitäts- dieser den Einsatz einer anderen kritischen Kom-\nbewertungsstellen, denen eine Befugnis nach Ab- ponente desselben Typs für dieselbe Art des Ein-\nsatz 2 erteilt wurde, und von Inhabern europäischer satzes bereits nach Satz 1 angezeigt hat und ihm\nCybersicherheitszertifikate im Sinne von Artikel 56 dieser nicht untersagt wurde.\nAbsatz 8 der Verordnung (EU) 2019/881 in den (2) Das Bundesministerium des Innern, für Bau\nZeiten, zu denen die Räume normalerweise für die und Heimat kann den geplanten erstmaligen Ein-\njeweilige geschäftliche oder betriebliche Nutzung satz einer kritischen Komponente gegenüber dem\nzur Verfügung stehen, zu betreten, zu besichtigen Betreiber der Kritischen Infrastruktur im Benehmen\nund zu prüfen, soweit dies zur Erfüllung seiner Auf- mit den in § 10 Absatz 1 aufgeführten jeweils be-\ngaben nach Artikel 58 Absatz 7 der Verordnung troffenen Ressorts sowie dem Auswärtigen Amt bis\n(EU) 2019/881 sowie nach § 9 dieses Gesetzes er- zum Ablauf von zwei Monaten nach Eingang der\nforderlich ist. § 3 Absatz 1 Satz 1 bis 3 des Akkre- Anzeige nach Absatz 1 untersagen oder Anordnun-\nditierungsstellengesetzes gilt entsprechend. gen erlassen, wenn der Einsatz die öffentliche Ord-\nnung oder Sicherheit der Bundesrepublik Deutsch-\n(6) Das Bundesamt kann von ihm ausgestellte\nland voraussichtlich beeinträchtigt. Bei der Prüfung\nCybersicherheitszertifikate oder durch eine Konfor-\neiner voraussichtlichen Beeinträchtigung der öf-\nmitätsbewertungsstelle, der eine Befugnis nach\nfentlichen Ordnung oder Sicherheit kann insbeson-\nAbsatz 2 erteilt wurde, nach Artikel 56 Absatz 6\ndere berücksichtigt werden, ob\nder Verordnung (EU) 2019/881 ausgestellte Cyber-\nsicherheitszertifikate widerrufen oder EU-Konfor- 1. der Hersteller unmittelbar oder mittelbar von der\nmitätserklärungen im Sinne der Verordnung (EU) Regierung, einschließlich sonstiger staatlicher\n2019/881 für ungültig erklären, Stellen oder Streitkräfte, eines Drittstaates kon-\ntrolliert wird,\n1. sofern diese Zertifikate oder EU-Konformitätser-\nklärungen die Anforderungen nach der Verord- 2. der Hersteller bereits an Aktivitäten beteiligt war\nnung (EU) 2019/881 oder eines europäischen oder ist, die nachteilige Auswirkungen auf die\nSchemas für die Cybersicherheitszertifizierung öffentliche Ordnung oder Sicherheit der Bun-\nnach Artikel 54 der Verordnung (EU) 2019/881 desrepublik Deutschland oder eines anderen\nnicht erfüllen oder Mitgliedstaates der Europäischen Union, der\nEuropäischen Freihandelsassoziation oder des\n2. wenn das Bundesamt die Erfüllung nach Num- Nordatlantikvertrages oder auf deren Einrich-\nmer 1 nicht feststellen kann, weil der Inhaber tungen hatten, oder\ndes europäischen Cybersicherheitszertifikats\noder der Aussteller der EU-Konformitätserklä- 3. der Einsatz der kritischen Komponente im Ein-\nrung seinen Mitwirkungspflichten nach Absatz 3 klang mit den sicherheitspolitischen Zielen der\nnicht nachgekommen ist oder weil dieser das Bundesrepublik Deutschland, der Europäischen\nBundesamt bei der Wahrnehmung seiner Befug- Union oder des Nordatlantikvertrages steht.\nnisse nach Absatz 4 oder im Falle eines Inha- Vor Ablauf der Frist von zwei Monaten nach An-\nbers eines europäischen Cybersicherheitszertifi- zeige nach Absatz 1 ist der Einsatz nicht gestattet.\nkats auch nach Absatz 5 behindert hat. Das Bundesministerium des Innern, für Bau und","Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 25, ausgegeben zu Bonn am 27. Mai 2021 1133\nHeimat kann die Frist gegenüber dem Betreiber um tionsumgebung nicht im erforderlichen Umfang\nweitere zwei Monate verlängern, wenn die Prüfung in angemessener Weise unterstützt,\nbesondere Schwierigkeiten tatsächlicher oder 4. Schwachstellen oder Manipulationen nicht un-\nrechtlicher Art aufweist. verzüglich, nachdem er davon Kenntnis erlangt,\n(3) Kritische Komponenten gemäß § 2 Absatz 13 beseitigt und dem Betreiber der Kritischen Infra-\ndürfen nur eingesetzt werden, wenn der Hersteller struktur meldet,\neine Erklärung über seine Vertrauenswürdigkeit 5. die kritische Komponente auf Grund von Män-\n(Garantieerklärung) gegenüber dem Betreiber der geln ein erhöhtes Gefährdungspotenzial auf-\nKritischen Infrastruktur abgeben hat. Die Garantie- weist oder aufgewiesen hat, missbräuchlich auf\nerklärung ist der Anzeige nach Absatz 1 beizufü- die Sicherheit, Vertraulichkeit, Integrität, Verfüg-\ngen. Aus der Garantieerklärung muss hervorgehen, barkeit oder Funktionsfähigkeit der Kritischen\nwie der Hersteller sicherstellt, dass die kritische Infrastruktur einwirken zu können oder\nKomponente nicht über technische Eigenschaften\n6. die kritische Komponente über technische Eigen-\nverfügt, die spezifisch geeignet sind, missbräuch-\nschaften verfügt oder verfügt hat, die spezifisch\nlich, insbesondere zum Zwecke von Sabotage,\ngeeignet sind oder waren, missbräuchlich auf\nSpionage oder Terrorismus auf die Sicherheit, Ver-\ndie Sicherheit, Vertraulichkeit, Integrität, Verfüg-\ntraulichkeit, Integrität, Verfügbarkeit oder Funk-\nbarkeit oder Funktionsfähigkeit der Kritischen\ntionsfähigkeit der Kritischen Infrastruktur einwirken\nInfrastruktur einwirken zu können.\nzu können. Das Bundesministerium des Innern, für\nBau und Heimat legt die Einzelheiten der Mindest- (6) Wurde nach Absatz 4 der weitere Einsatz\nanforderungen an die Garantieerklärung im Einver- einer kritischen Komponente untersagt, kann das\nnehmen mit den in § 10 Absatz 1 aufgeführten je- Bundesministerium des Innern, für Bau und Heimat\nweils betroffenen Ressorts sowie dem Auswärtigen im Einvernehmen mit den in § 10 Absatz 1 aufge-\nAmt durch Allgemeinverfügung fest, die im Bun- führten jeweils betroffenen Ressorts sowie dem\ndesanzeiger bekannt zu machen ist. Die Einzel- Auswärtigen Amt\nheiten der Mindestanforderungen an die Garantie- 1. den geplanten Einsatz weiterer kritischer Kom-\nerklärung müssen aus den Schutzzielen der ponenten desselben Typs und desselben Her-\nSicherheit, Vertraulichkeit, Integrität, Verfügbarkeit stellers untersagen und\noder Funktionsfähigkeit der Kritischen Infrastruktur\n2. den weiteren Einsatz kritischer Komponenten\nfolgen und die Vermeidung von Gefahren für die\ndesselben Typs und desselben Herstellers unter\nöffentliche Sicherheit und Ordnung, insbesondere\nEinräumung einer angemessenen Frist unter-\nim Sinne von Absatz 2 Satz 2, adressieren, die aus\nsagen.\nder Sphäre des Herstellers der kritischen Kompo-\nnente, insbesondere dessen Organisationsstruktur, (7) Bei schwerwiegenden Fällen nicht vorliegen-\nstammen. Die Sätze 1 und 2 gelten erst ab der Be- der Vertrauenswürdigkeit nach Absatz 5 kann das\nkanntmachung der Allgemeinverfügung nach Satz 5 Bundesministerium des Innern, für Bau und Heimat\nund nicht für bereits vor diesem Zeitpunkt einge- den Einsatz aller kritischen Komponenten des Her-\nsetzte kritische Komponenten. Soweit Änderungen stellers im Einvernehmen mit den in § 10 Absatz 1\nder Allgemeinverfügung erfolgen, sind diese für be- aufgeführten jeweils betroffenen Ressorts sowie\nreits nach diesem Absatz abgegebene Garantie- dem Auswärtigen Amt untersagen.\nerklärungen unbeachtlich.\n§ 9c\n(4) Das Bundesministerium des Innern, für Bau\nFreiwilliges IT-Sicherheitskennzeichen\nund Heimat kann den weiteren Einsatz einer kriti-\nschen Komponente gegenüber dem Betreiber der (1) Das Bundesamt führt zur Information von\nKritischen Infrastruktur im Einvernehmen mit den in Verbrauchern über die IT-Sicherheit von Produkten\n§ 10 Absatz 1 aufgeführten jeweils betroffenen bestimmter vom Bundesamt festgelegter Produkt-\nRessorts sowie dem Auswärtigen Amt untersagen kategorien ein einheitliches IT-Sicherheitskenn-\noder Anordnungen erlassen, wenn der weitere Ein- zeichen ein. Das IT-Sicherheitskennzeichen trifft\nsatz die öffentliche Ordnung oder Sicherheit der keine Aussage über die den Datenschutz betreffen-\nBundesrepublik Deutschland voraussichtlich be- den Eigenschaften eines Produktes.\neinträchtigt, insbesondere, wenn der Hersteller (2) Das IT-Sicherheitskennzeichen besteht aus\nder kritischen Komponente nicht vertrauenswürdig\n1. einer Zusicherung des Herstellers oder Dienste-\nist. Absatz 2 Satz 2 gilt entsprechend.\nanbieters, dass das Produkt für eine festgelegte\n(5) Ein Hersteller einer kritischen Komponente Dauer bestimmte IT-Sicherheitsanforderungen\nkann insbesondere dann nicht vertrauenswürdig erfüllt (Herstellererklärung), und\nsein, wenn hinreichende Anhaltspunkte dafür be- 2. einer Information des Bundesamtes über sicher-\nstehen, dass heitsrelevante IT-Eigenschaften des Produktes\n1. er gegen die in der Garantieerklärung eingegan- (Sicherheitsinformation).\ngen Verpflichtungen verstoßen hat, (3) Die IT-Sicherheitsanforderungen, auf die sich\ndie Herstellererklärung bezieht, ergeben sich aus\n2. in der Garantieerklärung angegebene Tatsa-\neiner Norm oder einem Standard oder aus einer\nchenbehauptungen unwahr sind,\nbranchenabgestimmten IT-Sicherheitsvorgabe, die\n3. er Sicherheitsüberprüfungen und Penetrations- die jeweilige Produktkategorie umfasst, sofern das\nanalysen an seinem Produkt und in der Produk- Bundesamt in einem Verfahren, das durch Rechts-","1134 Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 25, ausgegeben zu Bonn am 27. Mai 2021\nverordnung nach § 10 Absatz 3 geregelt wird, fest- des IT-Sicherheitskennzeichens verweist auf eine\ngestellt hat, dass die Norm oder der Standard oder Internetseite des Bundesamtes, auf der die Her-\ndie branchenabgestimmte IT-Sicherheitsvorgabe stellererklärung und die Sicherheitsinformationen\ngeeignet ist, ausreichende IT-Sicherheitsanforde- abrufbar sind. Das genaue Verfahren und die Ge-\nrungen für die Produktkategorie abzubilden. Ein staltung des Verweises sind in der Rechtsverord-\nAnspruch auf diese Feststellung besteht nicht. nung nach § 10 Absatz 3 festzulegen.\nLiegt keine Feststellung nach Satz 1 vor, ergeben\nsich die IT-Sicherheitsvorgaben aus einer vom (7) Nach Ablauf der festgelegten Dauer nach\nBundesamt veröffentlichten Technischen Richt- Absatz 3 Satz 5 oder 6 oder nach Rücknahme-\nlinie, die die jeweilige Produktkategorie umfasst, erklärung des Herstellers oder Diensteanbieters\nsofern das Bundesamt eine solche Richtlinie be- gegenüber dem Bundesamt erlischt die Freigabe.\nreits veröffentlicht hat. Wird ein Produkt von mehr Das Bundesamt nimmt einen Hinweis auf das Er-\nals einer oder einem bestehenden, als geeignet löschen der Freigabe in die Sicherheitsinformation\nfestgestellten Norm, Standard, branchenabge- auf.\nstimmten IT-Sicherheitsvorgabe oder Technischen (8) Das Bundesamt kann prüfen, ob die An-\nRichtlinie umfasst, richten sich die Anforderungen forderungen an die Freigabe des IT-Sicherheits-\nnach der oder dem jeweils spezielleren bestehen- kennzeichens für ein Produkt eingehalten werden.\nden, als geeignet festgestellten Norm, Standard, Werden bei der Prüfung Abweichungen von der\nbranchenabgestimmten IT-Sicherheitsvorgabe abgegebenen Herstellererklärung oder Sicherheits-\noder Technischen Richtlinie. lücken festgestellt, kann das Bundesamt die geeig-\n(4) Das IT-Sicherheitskennzeichen darf nur dann neten Maßnahmen zum Schutz des Vertrauens der\nfür ein Produkt verwendet werden, wenn das Bun- Verbraucher in das IT-Sicherheitskennzeichen tref-\ndesamt das IT-Sicherheitskennzeichen für dieses fen, insbesondere\nProdukt freigegeben hat. Das Bundesamt prüft\n1. Informationen über die Abweichungen oder\ndie Freigabe des IT-Sicherheitskennzeichens für\nSicherheitslücken in geeigneter Weise in der\nein Produkt auf Antrag des Herstellers oder Diens-\nSicherheitsinformation veröffentlichen oder\nteanbieters. Dem Antrag sind die Herstellererklä-\nrung zu dem Produkt sowie alle Unterlagen beizu- 2. die Freigabe des IT-Sicherheitskennzeichens\nfügen, die die Angaben in der Herstellererklärung widerrufen.\nbelegen. Das Bundesamt bestätigt den Eingang\ndes Antrags und prüft die Plausibilität der Herstel- Absatz 7 Satz 2 gilt entsprechend.\nlererklärung anhand der beigefügten Unterlagen. (9) Bevor das Bundesamt eine Maßnahme nach\nDie Plausibilitätsprüfung kann auch durch einen Absatz 8 trifft, räumt es dem Hersteller oder Diens-\nvom Bundesamt beauftragten qualifizierten Dritten teanbieter Gelegenheit ein, die festgestellten\nerfolgen. Für die Antragsbearbeitung kann das Abweichungen oder Sicherheitslücken innerhalb\nBundesamt eine Verwaltungsgebühr erheben. eines angemessenen Zeitraumes zu beseitigen, es\n(5) Das Bundesamt erteilt die Freigabe des IT- sei denn, gewichtige Gründe der Sicherheit der\nSicherheitskennzeichens für das jeweilige Produkt, Produkte erfordern eine sofortige Maßnahme. Die\nwenn Befugnis des Bundesamtes zur Warnung nach § 7\nbleibt davon unberührt.“\n1. das Produkt zu einer der Produktkategorien\ngehört, die das Bundesamt durch im Bundes- 21. § 10 wird wie folgt geändert:\nanzeiger veröffentlichte Allgemeinverfügung be-\nkannt gegeben hat, a) Nach Absatz 2 wird folgender Absatz 3 einge-\nfügt:\n2. die Herstellererklärung plausibel und durch die\nbeigefügten Unterlagen ausreichend belegt ist „(3) Das Bundesministerium des Innern, für\nund Bau und Heimat bestimmt durch Rechtsverord-\n3. die gegebenenfalls erhobene Verwaltungsge- nung, die nicht der Zustimmung des Bundes-\nbühr beglichen wurde. rates bedarf, nach Anhörung der betroffenen\nWirtschaftsverbände im Einvernehmen mit dem\nDie Erteilung der Freigabe erfolgt schriftlich und in- Bundesministerium für Wirtschaft und Energie\nnerhalb einer angemessenen Frist, die in der und dem Bundesministerium der Justiz und für\nRechtsverordnung nach § 10 Absatz 3 bestimmt Verbraucherschutz die Einzelheiten der Gestal-\nwird. Den genauen Ablauf des Antragsverfahrens tung, des Inhalts und der Verwendung des IT-\nund die beizufügenden Unterlagen regelt die Sicherheitskennzeichens nach § 9c, um eine\nRechtsverordnung nach § 10 Absatz 3. einheitliche Gestaltung des Kennzeichens und\n(6) Hat das Bundesamt die Freigabe erteilt, ist eine eindeutige Erkennbarkeit der gekennzeich-\ndas Etikett des IT-Sicherheitskennzeichens auf neten informationstechnischen Produkte zu\ndem jeweiligen Produkt oder auf dessen Umver- gewährleisten, sowie die Einzelheiten des Ver-\npackung anzubringen, sofern dies nach der fahrens zur Feststellung der Eignung branchen-\nBeschaffenheit des Produktes möglich ist. Das IT- abgestimmter IT-Sicherheitsvorgaben und des\nSicherheitskennzeichen kann auch elektronisch Antragsverfahrens auf Freigabe einschließlich\nveröffentlicht werden. Wenn nach der Beschaffen- der diesbezüglichen Fristen und der beizufügen-\nheit des Produktes das Anbringen nicht möglich den Unterlagen sowie das Verfahren und die\nist, muss die Veröffentlichung des IT-Sicherheits- Gestaltung des Verweises auf Sicherheitsinfor-\nkennzeichens elektronisch erfolgen. Das Etikett mationen.“","Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 25, ausgegeben zu Bonn am 27. Mai 2021 1135\nb) Folgender Absatz 5 wird angefügt: (2) Ordnungswidrig handelt, wer vorsätzlich oder\n„(5) Das Bundesministerium des Innern, für fahrlässig\nBau und Heimat bestimmt durch Rechtsverord- 1. einer vollziehbaren Anordnung nach\nnung, die nicht der Zustimmung des Bundes-\na) § 5b Absatz 6, § 7c Absatz 1 Satz 1, auch in\nrates bedarf, nach Anhörung von Vertretern der\nVerbindung mit § 7c Absatz 3, § 7d, oder\nWissenschaft, der betroffenen Unternehmen\n§ 8a Absatz 3 Satz 5,\nund der betroffenen Wirtschaftsverbände im\nEinvernehmen mit dem Bundesministerium für b) § 7a Absatz 2 Satz 1 oder\nWirtschaft und Energie, dem Bundesministerium c) § 8b Absatz 6 Satz 1, auch in Verbindung\nder Justiz und für Verbraucherschutz, dem Bun- mit Satz 2, oder § 8c Absatz 4 Satz 1\ndesministerium für Gesundheit, dem Bundes-\nministerium für Verkehr und digitale Infrastruk- zuwiderhandelt,\ntur, dem Bundesministerium der Verteidigung 2. entgegen § 8a Absatz 1 Satz 1 in Verbindung\nund dem Bundesministerium für Umwelt, Natur- mit einer Rechtsverordnung nach § 10 Absatz 1\nschutz und nukleare Sicherheit, welche wirt- Satz 1 eine dort genannte Vorkehrung nicht,\nschaftlichen Kennzahlen bei der Berechnung nicht richtig, nicht vollständig oder nicht recht-\nder inländischen Wertschöpfung heranzuziehen zeitig trifft,\nsind, wie die Berechnung mit Hilfe der Methodik\n3. entgegen § 8a Absatz 3 Satz 1 in Verbindung\nder direkten Wertschöpfungsstaffel zu erfolgen\nmit einer Rechtsverordnung nach § 10 Absatz 1\nhat und welche Schwellenwerte maßgeblich da-\nSatz 1 einen Nachweis nicht oder nicht recht-\nfür sind, dass ein Unternehmen zu den größten\nzeitig erbringt,\nUnternehmen in Deutschland im Sinne des § 2\nAbsatz 14 Satz 1 Nummer 2 gehört. Unter den 4. entgegen § 8a Absatz 4 Satz 2 oder § 8b Ab-\nVoraussetzungen nach Satz 1 kann das Bun- satz 3a das Betreten eines dort genannten\ndesministerium des Innern, für Bau und Heimat Raums nicht gestattet, eine dort genannte Un-\ndurch Rechtsverordnung bestimmen, welche terlage nicht oder nicht rechtzeitig vorlegt, eine\nAlleinstellungsmerkmale maßgeblich dafür sind, Auskunft nicht, nicht richtig, nicht vollständig\ndass Zulieferer für Unternehmen, die nach ihrer oder nicht rechtzeitig erteilt oder Unterstützung\ninländischen Wertschöpfung zu den größten Un- nicht oder nicht rechtzeitig gewährt,\nternehmen in Deutschland gehören, von we- 5. entgegen § 8b Absatz 3 Satz 1 in Verbindung\nsentlicher Bedeutung im Sinne des § 2 Absatz 14 mit einer Rechtsverordnung nach § 10 Absatz 1\nSatz 1 Nummer 2 sind.“ Satz 1 oder entgegen § 8f Absatz 5 Satz 1 eine\n22. § 11 wird wie folgt gefasst: Registrierung nicht oder nicht rechtzeitig vor-\nnimmt oder eine dort genannte Stelle nicht\n„§ 11\noder nicht rechtzeitig benennt,\nEinschränkung von Grundrechten\n6. entgegen § 8b Absatz 3 Satz 4 nicht sicher-\nDas Fernmeldegeheimnis (Artikel 10 des Grund- stellt, dass er erreichbar ist,\ngesetzes) wird durch die §§ 4a, 5 bis 5c, 7b und 7c\neingeschränkt.“ 7. entgegen § 8b Absatz 4 Satz 1, § 8c Absatz 3\nSatz 1 oder § 8f Absatz 7 Satz 1 oder Absatz 8\n23. § 13 wird wie folgt geändert: Satz 1 eine Meldung nicht, nicht richtig, nicht\na) Absatz 2 Satz 2 wird wie folgt gefasst: vollständig oder nicht rechtzeitig macht,\n„§ 7 Absatz 1a ist entsprechend anzuwenden.“ 8. entgegen § 8c Absatz 1 Satz 1 eine dort ge-\nnannte Maßnahme nicht trifft,\nb) Nach Absatz 2 wird folgender Absatz 3 einge-\nfügt: 9. entgegen § 8f Absatz 1 eine Selbsterklärung\nnicht, nicht richtig, nicht vollständig oder nicht\n„(3) Das Bundesministerium des Innern, für rechtzeitig vorlegt,\nBau und Heimat unterrichtet kalenderjährlich je-\nweils bis zum 30. Juni des dem Berichtsjahr fol- 10. entgegen § 9a Absatz 2 Satz 2 als Konfor-\ngenden Jahres den Ausschuss für Inneres und mitätsbewertungsstelle tätig wird oder\nHeimat des Deutschen Bundestages über die 11. entgegen § 9c Absatz 4 Satz 1 das IT-Sicher-\nAnwendung dieses Gesetzes. Es geht dabei heitskennzeichen verwendet.\nauch auf die Fortentwicklung des maßgeblichen\nUnionsrechts ein.“ (3) Ordnungswidrig handelt, wer eine in Absatz 1\nbezeichnete Handlung fahrlässig begeht.\nc) Die bisherigen Absätze 3 bis 5 werden die Ab-\nsätze 4 bis 6. (4) Ordnungswidrig handelt, wer gegen die Ver-\nordnung (EU) 2019/881 des Europäischen Parla-\n24. § 14 wird wie folgt gefasst: ments und des Rates vom 17. April 2019 über die\n„§ 14 ENISA (Agentur der Europäischen Union für Cyber-\nsicherheit) und über die Zertifizierung der Cyber-\nBußgeldvorschriften sicherheit von Informations- und Kommunikations-\n(1) Ordnungswidrig handelt, wer entgegen § 8a technik und zur Aufhebung der Verordnung (EU)\nAbsatz 3 Satz 1 in Verbindung mit einer Rechtsver- Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl.\nordnung nach § 10 Absatz 1 Satz 1 einen Nachweis L 151 vom 7.6.2019, S. 15) verstößt, indem er vor-\nnicht richtig oder nicht vollständig erbringt. sätzlich oder fahrlässig","1136 Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 25, ausgegeben zu Bonn am 27. Mai 2021\n1. entgegen Artikel 55 Absatz 1 eine dort genannte 2. § 109 wird wie folgt geändert:\nAngabe nicht, nicht richtig, nicht vollständig a) In der Überschrift werden nach dem Wort „Tech-\noder nicht binnen eines Monats nach Ausstel- nische“ die Wörter „und organisatorische“ einge-\nlung zugänglich macht oder fügt.\n2. entgegen Artikel 56 Absatz 8 Satz 1 eine Infor- b) Absatz 2 wird wie folgt geändert:\nmation nicht, nicht richtig, nicht vollständig oder\nnicht unverzüglich nach Feststellung einer aa) In Satz 2 werden nach dem Wort „Nutzer“ ein\nSicherheitslücke oder Unregelmäßigkeit gibt. Komma und die Wörter „für Dienste“ einge-\nfügt.\n(5) Die Ordnungswidrigkeit kann in den Fällen\ndes Absatzes 2 Nummer 1 Buchstabe a mit einer bb) Nach Satz 3 wird folgender Satz eingefügt:\nGeldbuße bis zu zwei Millionen Euro sowie in den „Kritische Komponenten im Sinne von § 2\nFällen der Absätze 1, 2 Nummer 2 und 3 mit einer Absatz 13 des BSI-Gesetzes dürfen von\nGeldbuße bis zu einer Million Euro geahndet wer- einem Betreiber öffentlicher Telekommunika-\nden. Die Ordnungswidrigkeit kann in den Fällen tionsnetze mit erhöhtem Gefährdungspoten-\ndes Absatzes 2 Nummer 1 Buchstabe c, Nummer 5 tial nur eingesetzt werden, wenn sie vor dem\nund 7 bis 11 und des Absatzes 4 mit einer Geld- erstmaligen Einsatz von einer anerkannten\nbuße bis zu fünfhunderttausend Euro sowie in den Zertifizierungsstelle überprüft und zertifiziert\nFällen des Absatzes 2 Nummer 1 Buchstabe b, wurden.“\nNummer 4 und 6 und des Absatzes 3 mit einer cc) In dem neuen Satz 7 wird die Angabe „§ 11“\nGeldbuße bis zu einhunderttausend Euro geahndet durch die Angabe „§ 62“ ersetzt.\nwerden. In den Fällen des Satzes 1 ist § 30 Absatz 2\nSatz 3 des Gesetzes über Ordnungswidrigkeiten c) Absatz 4 Satz 1 Nummer 3 wird wie folgt gefasst:\nanzuwenden. „3. welche technischen Vorkehrungen oder sons-\n(6) Verwaltungsbehörde im Sinne des § 36 Ab- tigen Schutzmaßnahmen zur Erfüllung der\nsatz 1 Nummer 1 des Gesetzes über Ordnungswid- durch die Vorgaben des Katalogs von Sicher-\nrigkeiten ist das Bundesamt.“ heitsanforderungen nach Absatz 6 konkre-\ntisierten Verpflichtungen aus den Absätzen 1\n25. Nach § 14 wird folgender § 14a eingefügt: und 2 getroffen oder geplant sind; sofern der\n„§ 14a Katalog lediglich Sicherheitsziele vorgibt, ist\nInstitutionen der Sozialen Sicherung darzulegen, dass mit den ergriffenen Maß-\nnahmen das jeweilige Sicherheitsziel vollum-\nBei Zuwiderhandlungen gegen eine in § 14 Ab- fänglich erreicht wird.“\nsatz 1 bis 4 genannte Vorschrift, die von Körper-\nschaften gemäß § 29 des Vierten Buches Sozialge- d) Absatz 5 wird wie folgt geändert:\nsetzbuch, Arbeitsgemeinschaften gemäß § 94 des aa) In Satz 5 werden die Wörter „Europäische\nZehnten Buches Sozialgesetzbuch sowie der Deut- Agentur für Netz- und Informationssicher-\nschen Post AG, soweit sie mit der Berechnung heit“ durch die Wörter „Agentur der Euro-\noder Auszahlung von Sozialleistungen betraut ist päischen Union für Cybersicherheit“ ersetzt.\n(Institutionen der Sozialen Sicherung), begangen bb) In Satz 8 werden die Wörter „Europäische\nwerden, finden die Sätze 2 bis 4 Anwendung. Bei Agentur für Netz- und Informationssicher-\neiner in Satz 1 genannten Zuwiderhandlung von In- heit“ durch die Wörter „Agentur der Euro-\nstitutionen der Sozialen Sicherung in Trägerschaft päischen Union für Cybersicherheit“ ersetzt.\ndes Bundes stellt das Bundesamt das Einverneh-\nmen über die zu ergreifenden Maßnahmen mit der e) Absatz 6 wird wie folgt geändert:\nfür die Institution der Sozialen Sicherung zuständi- aa) Satz 1 wird wie folgt gefasst:\ngen Aufsichtsbehörde her. Bei einer in Satz 1 ge- „Die Bundesnetzagentur legt im Einverneh-\nnannten Zuwiderhandlung von Institutionen der men mit dem Bundesamt für Sicherheit in\nSozialen Sicherung in Trägerschaft der Länder in- der Informationstechnik und der oder dem\nformiert das Bundesamt die zuständige Aufsichts- Bundesbeauftragten für den Datenschutz\nbehörde und schlägt geeignete Maßnahmen vor. und die Informationsfreiheit durch Verfügung\nDie jeweils zuständige Aufsichtsbehörde informiert in einem Katalog von Sicherheitsanforderun-\ndas Bundesamt über die Einleitung und Umsetzung gen für das Betreiben von Telekommunika-\nvon Aufsichtsmitteln und sorgt für deren Durchset- tions- und Datenverarbeitungssystemen so-\nzung.“ wie für die Verarbeitung personenbezogener\nDaten fest:\nArtikel 2\n1. Einzelheiten der nach den Absätzen 1\nÄnderung des und 2 zu treffenden technischen Vorkeh-\nTelekommunikationsgesetzes rungen und sonstigen Maßnahmen unter\nDas Telekommunikationsgesetz vom 22. Juni 2004 Beachtung der verschiedenen Gefähr-\n(BGBl. I S. 1190), das zuletzt durch Artikel 6 des Ge- dungspotenziale der öffentlichen Tele-\nsetzes vom 19. April 2021 (BGBl. I S. 771) geändert kommunikationsnetze und öffentlich zu-\nworden ist, wird wie folgt geändert: gänglichen Telekommunikationsdienste,\n1. In der Inhaltsübersicht werden in der Angabe zu 2. welche Funktionen kritische Funktionen im\n§ 109 nach dem Wort „Technische“ die Wörter „und Sinne von § 2 Absatz 13 Satz 1 Nummer 3\norganisatorische“ eingefügt. Buchstabe b des BSI-Gesetzes sind, die","Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 25, ausgegeben zu Bonn am 27. Mai 2021 1137\nvon kritischen Komponenten im Sinne von frastruktur oder das betroffene Unternehmen\n§ 2 Absatz 13 des BSI-Gesetzes realisiert im besonderen öffentlichen Interesse vor\nwerden, und dieser Beeinträchtigung zu warnen, über\n3. wer als Betreiber öffentlicher Telekommu- diese zu informieren oder bei deren Beseiti-\nnikationsnetze mit erhöhtem Gefähr- gung zu beraten oder zu unterstützen.“\ndungspotenzial einzustufen ist.“ 4. § 113 Absatz 5 wird wie folgt geändert:\nbb) Nach Satz 2 wird folgender Satz eingefügt: a) In Nummer 8 wird der Punkt am Ende durch ein\n„Die nach den Absätzen 1, 2 und 4 Verpflich- Komma ersetzt.\nteten haben die Vorgaben des Katalogs spä- b) Folgende Nummer 9 wird angefügt:\ntestens ein Jahr nach dessen Inkrafttreten zu „9. das Bundesamt für Sicherheit in der Informa-\nerfüllen, es sei denn, in dem Katalog ist eine tionstechnik zum Schutz der Versorgung der\ndavon abweichende Umsetzungsfrist festge- Bevölkerung in den Bereichen des § 2 Ab-\nlegt worden.“ satz 10 Satz 1 Nummer 1 des BSI-Gesetzes\nf) Absatz 7 wird wie folgt geändert: oder der öffentlichen Sicherheit, um damit\naa) Nach Satz 1 werden die folgenden Sätze ein- eine Beeinträchtigung der Sicherheit oder\ngefügt: Funktionsfähigkeit informationstechnischer\nSysteme einer Kritischen Infrastruktur oder\n„Unbeschadet von Satz 1 haben sich Be- eines Unternehmens im besonderen öffent-\ntreiber öffentlicher Telekommunikationsnetze lichen Interesse abzuwenden, wenn Tatsa-\nmit erhöhtem Gefährdungspotenzial alle zwei chen den Schluss auf ein wenigstens seiner\nJahre einer Überprüfung durch eine qualifi- Art nach konkretisiertes und zeitlich abseh-\nzierte unabhängige Stelle oder eine zustän- bares Geschehen zulassen, das auf die infor-\ndige nationale Behörde zu unterziehen, in mationstechnischen Systeme bestimmbarer\nder festgestellt wird, ob die Anforderungen Infrastrukturen oder Unternehmen abzielen\nnach den Absätzen 1 bis 3 erfüllt sind. Die wird, und die in die Auskunft aufzunehmen-\nBundesnetzagentur legt den Zeitpunkt der den Daten im Einzelfall erforderlich sind, um\nerstmaligen Überprüfung nach Satz 2 fest.“ den Betreiber der betroffenen Kritischen In-\nbb) In dem neuen Satz 4 wird die Angabe „Satz 1“ frastruktur oder das betroffene Unternehmen\ndurch die Wörter „den Sätzen 1 und 2“ er- im besonderen öffentlichen Interesse vor\nsetzt und werden nach dem Wort „Bundes- dieser Beeinträchtigung zu warnen, über\nnetzagentur“ die Wörter „und an das Bun- diese zu informieren oder bei deren Beseiti-\ndesamt für Sicherheit in der Informations- gung zu beraten oder zu unterstützen.“\ntechnik, sofern dieses die Überprüfung nicht\nvorgenommen hat,“ eingefügt. Artikel 3\ncc) Folgender Satz wird angefügt: Änderung des\n„Die Bewertung der Überprüfung sowie eine Energiewirtschaftsgesetzes\ndiesbezügliche Feststellung von Sicherheits- In § 11 des Energiewirtschaftsgesetzes vom 7. Juli\nmängeln im Sicherheitskonzept erfolgt durch 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 2\ndie Bundesnetzagentur im Einvernehmen mit des Gesetzes vom 25. Februar 2021 (BGBl. I S. 298)\ndem Bundesamt für Sicherheit in der Infor- geändert worden ist, werden nach Absatz 1c die fol-\nmationstechnik.“ genden Absätze 1d und 1e eingefügt:\n3. § 113 Absatz 3 wird wie folgt geändert: „(1d) Betreiber von Energieversorgungsnetzen und\na) In Nummer 7 wird der Punkt am Ende durch ein von solchen Energieanlagen, die durch Inkrafttreten\nKomma ersetzt. der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-\nGesetzes als Kritische Infrastruktur bestimmt wurden,\nb) Folgende Nummer 8 wird angefügt: haben spätestens ab dem 1. Mai 2023 in ihren infor-\n„8. an das Bundesamt für Sicherheit in der Infor- mationstechnischen Systemen, Komponenten oder\nmationstechnik zum Schutz der Versorgung Prozessen, die für die Funktionsfähigkeit der von ihnen\nder Bevölkerung in den Bereichen des § 2 betriebenen Energieversorgungsnetze oder Energie-\nAbsatz 10 Satz 1 Nummer 1 des BSI-Geset- anlagen maßgeblich sind, in angemessener Weise Sys-\nzes oder der öffentlichen Sicherheit, um da- teme zur Angriffserkennung einzusetzen. Die einge-\nmit eine Beeinträchtigung der Sicherheit oder setzten Systeme zur Angriffserkennung müssen ge-\nFunktionsfähigkeit informationstechnischer eignete Parameter und Merkmale aus dem laufenden\nSysteme einer Kritischen Infrastruktur oder Betrieb kontinuierlich und automatisch erfassen und\neines Unternehmens im besonderen öffent- auswerten. Sie sollten dazu in der Lage sein, fortwäh-\nlichen Interesse abzuwenden, wenn Tatsa- rend Bedrohungen zu identifizieren und zu vermeiden\nchen den Schluss auf ein wenigstens seiner sowie für eingetretene Störungen geeignete Besei-\nArt nach konkretisiertes und zeitlich abseh- tigungsmaßnahmen vorsehen. Dabei soll der Stand\nbares Geschehen zulassen, das auf die infor- der Technik eingehalten werden. Der Einsatz von Sys-\nmationstechnischen Systeme bestimmbarer temen zur Angriffserkennung ist angemessen, wenn\nInfrastrukturen oder Unternehmen abzielen der dafür erforderliche Aufwand nicht außer Verhältnis\nwird, und die in die Auskunft aufzunehmen- zu den möglichen Folgen eines Ausfalls oder einer\nden Daten im Einzelfall erforderlich sind, um Beeinträchtigung des betroffenen Energieversorgungs-\nden Betreiber der betroffenen Kritischen In- netzes oder der betroffenen Energieanlage steht.","1138 Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 25, ausgegeben zu Bonn am 27. Mai 2021\n(1e) Betreiber von Energieversorgungsnetzen und datenschutz – in der Fassung der Bekanntmachung\nEnergieanlagen, die nach der Rechtsverordnung ge- vom 18. Januar 2001 (BGBl. I S. 130), das zuletzt durch\nmäß § 10 Absatz 1 des BSI-Gesetzes als Kritische In- Artikel 14 des Gesetzes vom 4. Mai 2021 (BGBl. I\nfrastruktur gelten, haben dem Bundesamt für Sicher- S. 882) geändert worden ist, werden nach dem Wort\nheit in der Informationstechnik erstmalig am 1. Mai „Verantwortlichen“ die Wörter „oder für die Wahrung\n2023 und danach alle zwei Jahre die Erfüllung der oder Wiederherstellung der Sicherheit und Funktions-\nAnforderungen nach Absatz 1d nachzuweisen. Das fähigkeit eines informationstechnischen Systems\nBundesamt für Sicherheit in der Informationstechnik durch das Bundesamt für Sicherheit in der Informati-\nhat die hierfür eingereichten Nachweisdokumente un- onstechnik“ eingefügt.\nverzüglich an die Bundesnetzagentur weiterzuleiten.\nDas Bundesamt für Sicherheit in der Informationstech-\nArtikel 6\nnik und die Bundesnetzagentur haben sicherzustellen,\ndass die unbefugte Offenbarung der ihnen nach Satz 1 Evaluierung\nzur Kenntnis gelangten Angaben ausgeschlossen\nwird. Das Bundesamt für Sicherheit in der Informa- (1) Das Bundesministerium des Innern, für Bau und\ntionstechnik kann bei Mängeln in der Umsetzung der Heimat berichtet dem Deutschen Bundestag unter Ein-\nAnforderungen nach Absatz 1d oder in den Nachweis- beziehung von wissenschaftlichem Sachverstand über\ndokumenten nach Satz 1 im Einvernehmen mit der die Wirksamkeit der in diesem Gesetz enthaltenen\nBundesnetzagentur die Beseitigung der Mängel ver- Maßnahmen für die Erreichung der mit diesem Gesetz\nlangen.“ verfolgten Ziele\nArtikel 4 1. bis zum 1. Mai 2023 hinsichtlich des § 2 Absatz 10,\nder §§ 8a, 8b, 8d und 8e sowie § 10 Absatz 1 des\nÄnderung der\nAußenwirtschaftsverordnung BSI-Gesetzes (Artikel 1) und\n§ 55 Absatz 1 Satz 2 Nummer 2 der Außenwirt- 2. bis zum 1. Mai 2025 hinsichtlich des Gesetzes im\nschaftsverordnung vom 2. August 2013 (BGBl. I Übrigen.\nS. 2865), die zuletzt durch Artikel 7 Absatz 19 des Ge-\nsetzes vom 12. Mai 2021 (BGBl. I S. 990) geändert (2) Artikel 10 des IT-Sicherheitsgesetzes vom\nworden ist, wird wie folgt gefasst: 17. Juli 2015 (BGBl. I S. 1324), das durch Artikel 5 Ab-\n„2. kritische Komponenten im Sinne des § 2 Absatz 13 satz 8 des Gesetzes vom 18. Juli 2016 (BGBl. I S. 1666)\ndes BSI-Gesetzes entwickelt oder herstellt oder geändert worden ist, wird aufgehoben.\nSoftware, die branchenspezifisch zum Betrieb von\nKritischen Infrastrukturen im Sinne des BSI-Geset- Artikel 7\nzes dient, besonders entwickelt oder herstellt,“.\nInkrafttreten\nArtikel 5\n(1) Dieses Gesetz tritt vorbehaltlich des Absatzes 2\nÄnderung des\nam Tag nach der Verkündung in Kraft.\nZehnten Buches Sozialgesetzbuch\nIn § 67c Absatz 3 Satz 1 des Zehnten Buches Sozial- (2) Artikel 1 Nummer 4, 6 und 12 tritt am 1. Dezem-\ngesetzbuch – Sozialverwaltungsverfahren und Sozial- ber 2021 in Kraft.\nDie verfassungsmäßigen Rechte des Bundesrates\nsind gewahrt.\nDas vorstehende Gesetz wird hiermit ausgefertigt.\nEs ist im Bundesgesetzblatt zu verkünden.\nBerlin, den 18. Mai 2021\nDer Bundespräsident\nSteinmeier\nDie Bundeskanzlerin\nDr. A n g e l a M e r k e l\nDer Bundesminister\ndes Innern, für Bau und Heimat\nHorst Seehofer"]}