{"id":"bgbl1-2022-2-1","kind":"bgbl1","year":2022,"number":2,"date":"2022-01-19T00:00:00Z","url":"https://offenegesetze.de/veroeffentlichung/bgbl1/2022/2#page=2","api_url":"https://api.offenegesetze.de/v1/veroeffentlichung/bgbl1-2022-2-1/","document_url":"https://media.offenegesetze.de/bgbl1/2022/bgbl1_2022_2.pdf#page=2","order":1,"title":"Verordnung zur Gewährleistung der IT-Sicherheit der im Portalverbund und zur Anbindung an den Portalverbund genutzten IT-Komponenten (IT-Sicherheitsverordnung Portalverbund – ITSiV-PV)","law_date":"2022-01-06T00:00:00Z","page":18,"pdf_page":2,"num_pages":3,"content":["18 Bundesgesetzblatt Jahrgang 2022 Teil I Nr. 2, ausgegeben zu Bonn am 19. Januar 2022\nVerordnung\nzur Gewährleistung der IT-Sicherheit der im Portalverbund\nund zur Anbindung an den Portalverbund genutzten IT-Komponenten\n(IT-Sicherheitsverordnung Portalverbund – ITSiV-PV)\nVom 6. Januar 2022\nAuf Grund des § 5 Satz 1 des Onlinezugangsgeset- eingehalten werden. Die jeweils geltende Fassung der\nzes vom 14. August 2017 (BGBl. I S. 3122, 3138), der Anlage wird im Bundesanzeiger durch Verweis auf die\nzuletzt durch Artikel 77 der Verordnung vom 19. Juni Internetseite des Bundesamtes für Sicherheit in der In-\n2020 (BGBl. I S. 1328) geändert worden ist, in Verbin- formationstechnik bekanntgegeben. Bei Fortschrei-\ndung mit § 1 Absatz 2 des Zuständigkeitsanpassungs- bung einer Technischen Richtlinie gilt die Vermutung\ngesetzes vom 16. August 2002 (BGBl. I S. 3165) und nach Satz 1 für zwei Jahre ab Bekanntgabe der Fort-\ndem Organisationserlass vom 8. Dezember 2021 schreibung im Bundesanzeiger fort, soweit durch das\n(BGBl. I S. 5176) verordnet das Bundesministerium Bundesministerium des Innern und für Heimat keine\ndes Innern und für Heimat: andere Umsetzungsfrist vorgegeben wird.\n(3) Weitere Technische Richtlinien sowie neuere\n§1 Versionen von Technischen Richtlinien nach Absatz 2\nBegriffsbestimmungen werden durch das Bundesamt für Sicherheit in der In-\n(1) Soweit in dieser Verordnung Begriffe Verwen- formationstechnik im Benehmen mit den Ländern erar-\ndung finden, die in § 2 des Onlinezugangsgesetzes de- beitet. Die erarbeiteten Technischen Richtlinien sind\nfiniert werden, finden die dortigen Begriffsbestimmun- dem Bundesministerium des Innern und für Heimat\ngen auch für den Geltungsbereich dieser Verordnung zur Zustimmung vorzulegen. Nach der Zustimmung\nAnwendung. durch das Bundesministerium des Innern und für Hei-\nmat erfolgt eine Bekanntgabe der Technischen Richt-\n(2) Soweit in dieser Verordnung Begriffe Verwen- linien durch das Bundesamt für Sicherheit in der Infor-\ndung finden, die in § 2 des BSI-Gesetzes definiert wer- mationstechnik nach Absatz 2 Satz 2.\nden, finden die dortigen Begriffsbestimmungen auch\nfür den Geltungsbereich dieser Verordnung Anwen- (4) Die genutzten IT-Komponenten müssen einem\ndung. Informationssicherheitsmanagementsystem unterlie-\ngen, welches die Vorgaben der aktuell gültigen Leitlinie\n(3) IT-Sicherheit der IT-Komponenten im Sinne die- für die Informationssicherheit in der öffentlichen Ver-\nser Verordnung bezeichnet die Einhaltung bestimmter waltung des IT-Planungsrates umsetzt.\nSicherheitsstandards, welche die Verfügbarkeit, Inte-\ngrität oder Vertraulichkeit von Informationen sicherstel- (5) Die für die genutzten IT-Komponenten verant-\nlen, die durch IT-Komponenten im Portalverbund und wortlichen Stellen erstellen und setzen ein IT-Sicher-\nin IT-Komponenten zur Anbindung an den Portalver- heitskonzept um, das den Standards 200-1, 200-2\nbund verarbeitet werden. und 200-3 des Bundesamtes für Sicherheit in der\nInformationstechnik oder den Vorgaben der\n(4) IT-Komponenten zur Anbindung an den Portal-\nISO/IEC 27001 in der jeweils geltenden Fassung ent-\nverbund im Sinne dieser Verordnung sind\nspricht. Mindestanforderung ist die Umsetzung der\n1. die von Bund und Ländern betriebenen informa- Standard-Absicherung nach BSI Standard 200-2.\ntionstechnischen Systeme, die unmittelbar Daten\nmit dem Portalverbund austauschen, und (6) IT-Komponenten, die über eine technische\nSchnittstelle unmittelbar mit dem Internet verbunden\n2. mittelbar an den Portalverbund angebundene infor- sind, und alle sonstigen IT-Komponenten mit einem\nmationstechnische Systeme öffentlicher Stellen, die nach BSI IT-Grundschutz hohen oder sehr hohen\nsich für die Anbindung der Dienste der in Nummer 1 Schutzbedarf in mindestens einem der Schutzziele\ngenannten Stellen bedienen. Vertraulichkeit, Integrität oder Verfügbarkeit sind vor\nAnbindung an den Portalverbund einem Penetrations-\n§2 test und einem Webcheck nach den Vorgaben des\nPortalverbund und Bundesamtes für Sicherheit in der Informationstechnik\nunmittelbar angebundene IT-Komponenten zu unterziehen. Zu den IT-Komponenten nach Satz 1\nzählen insbesondere Nutzerkonto, elektronischer Be-\n(1) Für den Portalverbund und für IT-Komponenten\nzahldienst, Postfach und Datensafe.\nnach § 1 Absatz 4 Nummer 1 sind zur Gewährleistung\nder IT-Sicherheit Maßnahmen nach dem Stand der (7) Penetrationstests und Webchecks sind spätes-\nTechnik zu treffen. tens nach drei Jahren oder bei größeren Änderungen\nder in Absatz 6 genannten IT-Komponenten zu wieder-\n(2) Die Einhaltung des Standes der Technik im Sinne\nholen.\nvon Absatz 1 wird vermutet, wenn die in der Anlage\naufgeführten Standards in Form von Technischen (8) Penetrationstests und Webchecks für IT-Systeme\nRichtlinien des Bundesamtes für Sicherheit in der In- der Bundesverwaltung werden vom Bundesamt für\nformationstechnik in der jeweils geltenden Fassung Sicherheit in der Informationstechnik oder durch vom","Bundesgesetzblatt Jahrgang 2022 Teil I Nr. 2, ausgegeben zu Bonn am 19. Januar 2022 19\nBundesamt für Sicherheit in der Informationstechnik Stellen in den Ländern hinterlegen die Erklärung bis\nzertifizierte IT-Sicherheitsdienstleister durchgeführt. zum 1. Januar eines Kalenderjahres bei der jeweiligen\nIT-Systeme der Länder werden durch Fachbehörden zentralen Stelle des Landes. Die zentrale Stelle für den\nfür Informationssicherheit der Länder oder durch vom Bund und das Verfahren zur Abgabe der Erklärungen\nBundesamt für Sicherheit in der Informationstechnik im Bund werden durch das Bundesministerium des In-\nzertifizierte IT-Sicherheitsdienstleister einem Penetrati- nern und für Heimat bestimmt. Die Länder legen die für\nonstest und einem Webcheck unterzogen. ihren jeweiligen Zuständigkeitsbereich zentrale Stelle\n(9) IT-Sicherheitsdienstleister, die über keine Zertifi- und das Verfahren zur Abgabe der Erklärungen fest.\nzierung durch das Bundesamt für Sicherheit in der\nInformationstechnik verfügen, können von der für die §3\nIT-Komponente verantwortlichen Stelle ersatzweise Mittelbar angebundene IT-Komponenten\nmit der Prüfung beauftragt werden, sofern zertifizierte\nIT-Sicherheitsdienstleister nicht zur Verfügung stehen Stellen nach § 1 Absatz 4 Nummer 2 sind auf der\nund der Penetrationstest und der Webcheck nach Grundlage angemessener Nutzungsbedingungen an-\nden Vorgaben des Bundesamtes für Sicherheit in der zubinden. Sie erstellen und setzen für die zum Daten-\nInformationstechnik durchgeführt werden. austausch mit dem Portalverbund eingesetzten\nIT-Komponenten ein Sicherheitskonzept um, das den\n(10) Das Bundesamt für Sicherheit in der Informa-\nStandards 200-1, 200-2 und 200-3 des Bundesamtes\ntionstechnik, die Fachbehörden für Informationssicher-\nfür Sicherheit in der Informationstechnik in der jeweils\nheit der Länder oder die beauftragten IT-Sicherheits-\ngeltenden Fassung oder einem vergleichbaren vom\ndienstleister haben die Prüfberichte spätestens sechs\nLand anerkannten Standard entspricht. Mindestanfor-\nWochen nach Durchführung des Penetrationstests\nderung ist die Umsetzung der Basis-Absicherung nach\noder Webchecks der jeweiligen verantwortlichen Stelle\nBSI Standard 200-2.\nzur Kenntnis zu bringen.\n(11) Die genutzten IT-Komponenten müssen einem §4\nIT-Notfallmanagement unterliegen, das die Anforde-\nrungen der Leitlinie für die Informationssicherheit in Übergangsregelung\nder öffentlichen Verwaltung des IT-Planungsrates in (1) Für IT-Komponenten im Portalverbund und für\nder jeweils geltenden Fassung erfüllt. IT-Komponenten zur unmittelbaren Anbindung an den\n(12) Die Umsetzung der Vorgaben der Absätze 1 Portalverbund nach § 1 Absatz 4 Nummer 1, die zum\nbis 11 obliegt der für die jeweilige IT-Komponente ver- Zeitpunkt des Inkrafttretens dieser Verordnung in Be-\nantwortlichen Stelle. Werden IT-Komponenten von trieb sind oder bis zum 30. Juni 2022 in Betrieb ge-\nDienstleistern betrieben, bleibt die auslagernde Stelle nommen werden,\nverantwortlich für die Erfüllung der Anforderungen die- 1. kann bis zum 31. Dezember 2022 von den Vorgaben\nser Verordnung. Die Umsetzung der Maßnahmen ist für des § 2 Absatz 6 abgewichen werden,\ndie IT-Komponenten im Portalverbund durch eine jähr-\nliche Eigenerklärung der für die jeweilige IT-Kompo- 2. kann in begründeten Fällen bis zu zwei Jahre nach\nnente verantwortlichen Stelle zu dokumentieren. Ein Inkrafttreten dieser Verordnung von den Regelun-\nverbindliches Erklärungsmuster wird durch das Bun- gen der in der Anlage zu dieser Verordnung genann-\ndesministerium des Innern und für Heimat bereitge- ten Technischen Richtlinien abgewichen werden.\nstellt. Die jeweils geltende Fassung des Erklärungs- (2) Die Abweichungen sind zu dokumentieren.\nmusters wird im Bundesanzeiger durch Verweis auf\ndie Internetseite des Bundesamtes für Sicherheit in §5\nder Informationstechnik bekanntgegeben.\nInkrafttreten\n(13) Verantwortliche Stellen des Bundes übermitteln\ndie Eigenerklärung bis zum 1. Januar eines Kalender- Diese Verordnung tritt am Tag nach der Verkündung\njahres der zentralen Stelle des Bundes. Verantwortliche in Kraft.\nBerlin, den 6. Januar 2022\nDie Bundesministerin\ndes Innern und für Heimat\nNancy Faeser","20 Bundesgesetzblatt Jahrgang 2022 Teil I Nr. 2, ausgegeben zu Bonn am 19. Januar 2022\nAnlage\n(zu § 2 Absatz 2)\n1. BSI TR-03160 Servicekonten\n2. BSI TR-03107-1 Elektronische Identitäten und Vertrauensdienste im\nE-Government Teil 1\n3. BSI TR-03147 Vertrauensniveaubewertung von Verfahren zur Identitätsprü-\nfung natürlicher Personen\n4. BSI TR-03116-4 Kryptographische Vorgaben für Projekte der Bundesregie-\nrung Teil 4"]}