Bundesrat Drucksache 324/21
Gesetzesbeschluss
des Deutschen Bundestages
23.04.21
Zweites Gesetz zur Erhöhung der Sicherheit
informationstechnischer Systeme
Der Deutsche Bundestag hat in seiner 225. Sitzung am 23. April 2021 aufgrund
der Beschlussempfehlung und des Berichtes des Ausschusses für
Inneres und Heimat – Drucksache 19/28844 – den von der Bundesregierung
eingebrachten
Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer
Systeme
– Drucksachen 19/26106, 19/26921 –
mit beigefügten Maßgaben, im Übrigen unverändert angenommen.
Fristablauf: 14.05.21
Erster Durchgang: Drs. 16/21
Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln
Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de
ISSN 0720-2946
In
B
R
Fu
ss
Drucksache 324/21 - 2 -
1. Artikel 1 wird wie folgt geändert:
a) Der Nummer 1 wird folgende Nummer 1 vorangestellt:
‚ 1. § 1 wird wie folgt gefasst:
„§ 1
Bundesamt für Sicherheit in der Informationstechnik
Das Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) ist eine
Bundesoberbehörde im Geschäftsbereich des Bundesministeriums des Innern, für Bau
und Heimat. Es ist die zentrale Stelle für Informationssicherheit auf nationaler Ebene.
Aufgaben gegenüber den Bundesministerien führt das Bundesamt auf Grundlage
wissenschaftlich-technischer Erkenntnisse durch.“ ‘
b) Die bisherige Nummer 1 wird Nummer 2 und wird wie folgt geändert:
aa) Dem Buchstaben a wird folgender Buchstabe a vorangestellt:
‚ a) Absatz 2 wird wie folgt geändert:
aa) Die folgenden Sätze werden vorangestellt:
„Informationen sowie informationsverarbeitende Systeme, Komponenten
und Prozesse sind besonders schützenswert. Der Zugriff auf diese darf
ausschließlich durch autorisierte Personen oder Programme erfolgen. Die
Sicherheit in der Informationstechnik und der damit verbundene Schutz von
Informationen und informationsverarbeitenden Systemen vor Angriffen und
unautorisierten Zugriffen im Sinne dieses Gesetzes erfordert die Einhaltung
bestimmter Sicherheitsstandards zur Gewährleistung der
informationstechnischen Grundwerte und Schutzziele.“
bb) In dem neuen Satz 4 wird das Wort „Unversehrtheit“ durch das Wort
„Integrität“ ersetzt.‘
bb) Die bisherigen Buchstaben a und b werden die Buchstaben b und c.
cc) Der bisherige Buchstabe c wird Buchstabe d und Absatz 9a wird wie folgt gefasst:
„(9a) IT-Produkte im Sinne dieses Gesetzes sind Software, Hardware sowie alle
einzelnen oder miteinander verbundenen Komponenten, die Informationen
informationstechnisch verarbeiten.“
dd) Der bisherige Buchstabe d wird Buchstabe e.
ee) Der bisherige Buchstabe e wird Buchstabe f und wird wie folgt geändert:
aaa) In Absatz 13 Satz 1 in dem einleitenden Satzteil wird das Wort „die“
gestrichen.
bbb) In Absatz 13 Satz 1 Nummer 1 wird dem Wort „in“ das Wort „die“
vorangestellt.
ccc) In Absatz 13 Satz 1 Nummer 2 werden die Wörter „von hoher Bedeutung für
das Funktionieren des Gemeinwesens sind, weil“ durch die Wörter „bei
denen“ ersetzt und werden die Wörter „dieser IT-Produkte“ gestrichen.
ddd) Absatz 13 Satz 1 Nummer 3 wird wie folgt gefasst:
„ 3. die auf Grund eines Gesetzes unter Verweis auf diese Vorschrift
- 3 -
a) als kritische Komponente bestimmt werden oder
b) eine auf Grund eines Gesetzes als kritisch bestimmte Funktion
realisieren.“
eee) In Absatz 13 Satz 2 werden nach den Wörtern „eines Gesetzes“ die Wörter
„unter Verweis auf diese Vorschrift“ eingefügt.
fff) Absatz 14 wird wie folgt gefasst:
„(14)
Unternehmen im besonderen öffentlichen Interesse sind Unternehmen,
die nicht Betreiber Kritischer Infrastrukturen nach Absatz 10 sind und
1. die Güter nach § 60 Absatz 1 Nummer 1 und 3 der
Außenwirtschaftsverordnung in der jeweils geltenden Fassung herstellen
oder entwickeln,
2. die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen
in Deutschland gehören und daher von erheblicher volkswirtschaftlicher
Bedeutung für die Bundesrepublik Deutschland sind oder die für solche
Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale von
wesentlicher Bedeutung sind oder
3. die Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der
Störfall-Verordnung in der jeweils geltenden Fassung sind oder nach § 1
Absatz 2 der Störfall-Verordnung diesen gleichgestellt sind.
Die Unternehmen im besonderen öffentlichen Interesse nach Satz 1 Nummer 2
werden durch die Rechtsverordnung nach § 10 Absatz 5 bestimmt, in der
festgelegt wird, welche wirtschaftlichen Kennzahlen maßgeblich dafür sind,
dass ein Unternehmen zu den größten Unternehmen in Deutschland im Sinne
der Nummer 2 gehört und welche Alleinstellungsmerkmale maßgeblich dafür
sind, dass Zulieferer für solche Unternehmen von wesentlicher Bedeutung
sind.“
c) Die bisherige Nummer 2 wird Nummer 3 und wird wie folgt geändert:
aa) In dem Änderungsbefehl wird die Angabe „Satz 2“ gestrichen.
bb) Dem Buchstaben a wird folgender Buchstabe a vorangestellt:
‚ a) Satz 1 wird wie folgt gefasst:
Drucksache 324/21
„Das Bundesamt fördert die Sicherheit in der Informationstechnik mit dem Ziel,
die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und deren
Verarbeitung zu gewährleisten.“ ‘
cc) Der bisherige Buchstabe a wird Buchstabe b und nach dem Wort „In“ wird die Angabe
„Satz 2“ eingefügt.
dd) Der bisherige Buchstabe b wird Buchstabe c und nach dem Wort „Nach“ wird die
Angabe „Satz 2“ eingefügt.
ee) Nach dem neuen Buchstaben c wird folgender Buchstabe d eingefügt:
‚ d) Nach Satz 2 Nummer 12 wird folgende Nummer 12a eingefügt:
„12a. Beratung und Unterstützung der Stellen des Bundes in Fragen der
Sicherheit in der Informationstechnik;“.‘
Drucksache 324/21 - 4 -
ff) Der bisherige Buchstabe c wird Buchstabe e und der Angabe „Nummer 14“ wird die
Angabe „Satz 2“ vorangestellt.
gg) Der bisherige Buchstabe d wird Buchstabe f und nach dem Wort „Nach“ wird die
Angabe „Satz 2“ eingefügt.
hh) Der bisherige Buchstabe e wird Buchstabe g und der Angabe „Nummer 17“ wird die
Angabe „Satz 2“ vorangestellt.
ii) Der bisherige Buchstabe f wird Buchstabe h und nach dem Wort „In“ wird die Angabe
„Satz 2“ eingefügt.
jj) Der bisherige Buchstabe g wird Buchstabe i und wird wie folgt gefasst:
‚ i) Dem Satz 2 werden die folgenden Nummern 19 und 20 angefügt:
„ 19. Empfehlungen für Identifizierungs- und Authentisierungsverfahren und
Bewertung dieser Verfahren im Hinblick auf die Informationssicherheit;
20. Beschreibung und Veröffentlichung eines Stands der Technik bei
sicherheitstechnischen Anforderungen an IT-Produkte unter
Berücksichtigung bestehender Normen und Standards sowie Einbeziehung
der betroffenen Wirtschaftsverbände.“ ‘
d) Die bisherige Nummer 3 wird Nummer 4 und wird wie folgt geändert:
aa) § 4a wird wie folgt geändert:
aaa) Absatz 2 Satz 2 wird aufgehoben.
bbb) Die Absätze 5 und 6 werden wie folgt gefasst:
„(5)
Ausgenommen von den Befugnissen nach den Absätzen 1 bis 3 sind
Kontrollen der Auslandsinformations- und -kommunikationstechnik im Sinne
des § 9 Absatz 2 des Gesetzes über den Auswärtigen Dienst, soweit sie
ausschließlich im Ausland belegen ist oder für das Ausland oder für Anwender
im Ausland betrieben wird. Die Bestimmungen für die Schnittstellen der
Kommunikationstechnik des Bundes im Inland bleiben davon unberührt.
Näheres zu Satz 1 regelt eine Verwaltungsvereinbarung zwischen dem
Bundesministerium des Innern, für Bau und Heimat und dem Auswärtigen
Amt.
(6) Die Befugnisse nach den Absätzen 1 bis 3 gelten im Geschäftsbereich
des Bundesministeriums der Verteidigung nicht für die Kontrolle der
Informations- und Kommunikationstechnik, die von den Streitkräften für ihre
Zwecke oder dem Militärischen Abschirmdienst genutzt wird. Nicht
ausgenommen ist die Informations- und Kommunikationstechnik von Dritten,
insbesondere von IT-Dienstleistern, soweit sie nicht ausschließlich für die
Zwecke der Streitkräfte betrieben wird. Die Bestimmungen für die
Schnittstellen der Kommunikationstechnik des Bundes bleiben von den Sätzen
1 und 2 unberührt. Näheres regelt eine Verwaltungsvereinbarung zwischen
dem Bundesministerium des Innern, für Bau und Heimat und dem
Bundesministerium der Verteidigung.“
bb) § 4b wird wie folgt geändert:
aaa) In Absatz 2 Satz 1 wird das Wort „kann“ durch das Wort „nimmt“ und das
Wort „entgegennehmen“ durch das Wort „entgegen“ ersetzt.
bbb) Absatz 3 Nummer 2 wird wie folgt gefasst:
„ 2. die Öffentlichkeit oder betroffene Kreise gemäß § 7 zu warnen und zu
informieren,“.
e) Die bisherige Nummer 4 wird Nummer 5 und Buchstabe a wird wie folgt gefasst:
‚ a) Absatz 2 wird wie folgt gefasst:
- 5 -
„(2)
Protokolldaten nach Absatz 1 Satz 1 Nummer 1 dürfen über den für die
automatisierte Auswertung nach Absatz 1 Satz 1 Nummer 1 erforderlichen Zeitraum
hinaus, längstens jedoch für 18 Monate, gespeichert werden, soweit tatsächliche
Anhaltspunkte dafür bestehen, dass diese im Falle der Bestätigung eines Verdachts
nach Absatz 3 Satz 2 zur Abwehr von Gefahren, die von dem gefundenen
Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer
Schadprogramme erforderlich sein können. Durch organisatorische und technische
Maßnahmen ist sicherzustellen, dass eine Auswertung der nach diesem Absatz
gespeicherten Daten nur automatisiert erfolgt und dass ein Zugriff auf Daten, die
länger als drei Monate gespeichert sind, nur beim Vorliegen tatsächlicher
Erkenntnisse über die Betroffenheit des Bundes mit einem Schadprogramm erfolgt.
Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. Eine
nicht automatisierte Verarbeitung ist nur nach Maßgabe der nachfolgenden Absätze
zulässig. Soweit hierzu die Wiederherstellung pseudonymisierter Protokolldaten
erforderlich ist, muss diese durch die Präsidentin oder den Präsidenten des
Bundesamtes oder die Vertretung im Amt angeordnet werden. Die Entscheidung ist
zu dokumentieren.“ ‘
f) Die bisherigen Nummern 5 und 6 werden die Nummern 6 und 7.
g) Die bisherige Nummer 7 wird Nummer 8 und Absatz 1 wird wie folgt gefasst:
„(1)
Das Bundesamt darf zur Erfüllung seiner gesetzlichen Aufgabe nach § 3 Absatz 1
Satz 1 Nummer 1, 2, 14, 17 oder 18 von demjenigen, der geschäftsmäßig
Telekommunikationsdienste erbringt oder daran mitwirkt, über die nach den §§ 95 und
111 des Telekommunikationsgesetzes erhobenen Daten (§ 113 Absatz 1 Satz 1 des
Telekommunikationsgesetzes) Auskunft verlangen. Die Auskunft nach Satz 1 darf nur
verlangt werden zum Schutz der Versorgung der Bevölkerung in den Bereichen des § 2
Absatz 10 Satz 1 Nummer 1 oder der öffentlichen Sicherheit, um damit eine
Beeinträchtigung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme
1. einer Kritischen Infrastruktur oder
2. eines Unternehmens von besonderem öffentlichem Interesse
abzuwenden, wenn Tatsachen den Schluss auf ein wenigstens seiner Art nach
konkretisiertes und zeitlich absehbares Geschehen zulassen, das auf die
informationstechnischen Systeme bestimmbarer Infrastrukturen oder Unternehmen
abzielen wird, und die in die Auskunft aufzunehmenden Daten im Einzelfall erforderlich
sind, um die Betroffenen nach Absatz 4 vor dieser Beeinträchtigung zu warnen, über diese
zu informieren oder sie bei deren Beseitigung zu beraten oder zu unterstützen.“
h) Die bisherige Nummer 8 wird Nummer 9 und in Buchstabe b wird in Satz 4 die Angabe
„Satz 4“ durch die Angabe „Satz 3“ ersetzt.
i) Die bisherige Nummer 9 wird Nummer 10.
Drucksache 324/21
Drucksache 324/21 - 6 -
j) Die bisherige Nummer 10 wird Nummer 11 und wird wie folgt geändert:
aa) § 7b Absatz 3 wird wie folgt geändert:
aaa) In Satz 1 werden die Wörter „und stehen überwiegende Sicherheitsinteressen
nicht entgegen“ gestrichen und wird nach dem Wort „Verantwortlichen“ das
Wort „unverzüglich“ eingefügt.
bbb) Folgender Satz 5 wird angefügt:
„Das Bundesamt legt die Weiße Liste nach Absatz 1 Satz 3 der
Bundesbeauftragten oder dem Bundesbeauftragten für den Datenschutz und die
Informationsfreiheit vierteljährlich zur Kontrolle vor.“
k) Die bisherige Nummer 11 wird Nummer 12 und Buchstabe a wird wie folgt geändert:
aa) Absatz 1 wird wie folgt geändert:
aaa) In Satz 1 wird das Wort „Einvernehmen“ durch das Wort „Benehmen“ ersetzt.
bbb) Die folgenden Sätze werden angefügt:
„Das Bundesamt berät die in Satz 1 genannten Stellen auf Ersuchen bei der
Umsetzung und Einhaltung der Mindeststandards. Für die in § 2 Absatz 3
Satz 2 genannten Gerichte und Verfassungsorgane haben die Vorschriften nach
Satz 1 empfehlenden Charakter. Für die Verpflichtung nach Satz 1 gilt die
Ausnahme nach § 4a Absatz 6 entsprechend.“
bb) In Absatz 1a werden die Sätze 5 bis 7 aufgehoben.
l) Die bisherige Nummer 12 wird Nummer 13 und wird wie folgt geändert:
aa) In Buchstabe b wird das Wort „zwölften“ durch die Angabe „24.“ ersetzt.
bb) Nach Buchstabe c wird folgender Buchstabe d eingefügt:
‚ d) In Absatz 2 Satz 3 Nummer 2 werden die Wörter „oder im Benehmen mit der
sonst zuständigen Aufsichtsbehörde“ gestrichen.‘
cc) Die bisherigen Buchstaben d und e werden die Buchstaben e und f.
m) Die bisherigen Nummern 13 und 14 werden die Nummern 14 und 15.
n) Die bisherige Nummer 15 wird Nummer 16 und wird wie folgt gefasst:
‚ 16. § 8d wird wie folgt geändert:
a) In Absatz 1 Satz 1 wird die Angabe „2003/361/EC“ durch die Angabe
„2003/361/EG“ ersetzt.
b) Nach Absatz 1 wird folgender Absatz 1a eingefügt:
„(1a) § 8f ist nicht anzuwenden auf Kleinstunternehmen und kleine
Unternehmen im Sinne der Empfehlung 2003/361/EG. Artikel 3 Absatz 4 des
Anhangs zu der Empfehlung ist nicht anzuwenden.“
c) In Absatz 3 in dem einleitenden Satzteil wird die Angabe „§ 8b Absatz 4“ durch
die Wörter „§ 8b Absatz 4 und 4a“ ersetzt.‘
o) Die bisherigen Nummern 16 bis 18 werden die Nummern 17 bis 19.
p) Die bisherige Nummer 19 wird Nummer 20 und wird wie folgt geändert:
aa) In § 9a Absatz 2 werden die Wörter „Das Bundesamt erteilt auf Antrag
Konformitätsbewertungsstellen, die im Anwendungsbereich der Verordnung (EU)
2019/881 sowie des § 9 dieses Gesetzes tätig werden, eine Befugnis“ durch die Wörter
„Das Bundesamt kann auf Antrag Konformitätsbewertungsstellen, die im
Anwendungsbereich der Verordnung (EU) 2019/881 sowie des § 9 dieses Gesetzes
tätig werden, eine Befugnis erteilen“ ersetzt.
bb) § 9b wird wie folgt gefasst:
- 7 -
„§ 9b
Drucksache 324/21
Untersagung des Einsatzes kritischer Komponenten
(1) Der Betreiber einer Kritischen Infrastruktur hat den geplanten erstmaligen
Einsatz einer kritischen Komponente gemäß § 2 Absatz 13 dem Bundesministerium
des Innern, für Bau und Heimat vor ihrem Einsatz anzuzeigen. In der Anzeige sind die
kritische Komponente und die geplante Art ihres Einsatzes anzugeben. Satz 1 gilt für
einen Betreiber einer Kritischen Infrastruktur nicht, wenn dieser den Einsatz einer
anderen kritischen Komponente desselben Typs für dieselbe Art des Einsatzes bereits
nach Satz 1 angezeigt hat und ihm dieser nicht untersagt wurde.
(2) Das Bundesministerium des Innern, für Bau und Heimat kann den geplanten
erstmaligen Einsatz einer kritischen Komponente gegenüber dem Betreiber der
Kritischen Infrastruktur im Benehmen mit den in § 10 Absatz 1 aufgeführten jeweils
betroffenen Ressorts sowie dem Auswärtigen Amt bis zum Ablauf von zwei Monaten
nach Eingang der Anzeige nach Absatz 1 untersagen oder Anordnungen erlassen,
wenn der Einsatz die öffentliche Ordnung oder Sicherheit der Bundesrepublik
Deutschland voraussichtlich beeinträchtigt. Bei der Prüfung einer voraussichtlichen
Beeinträchtigung der öffentlichen Ordnung oder Sicherheit kann insbesondere
berücksichtigt werden, ob
1. der Hersteller unmittelbar oder mittelbar von der Regierung, einschließlich
sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert wird,
2. der Hersteller bereits an Aktivitäten beteiligt war oder ist, die nachteilige
Auswirkungen auf die öffentliche Ordnung oder Sicherheit der Bundesrepublik
Deutschland oder eines anderen Mitgliedstaates der Europäischen Union, der
Europäischen Freihandelsassoziation oder des Nordatlantikvertrages oder auf
deren Einrichtungen hatten, oder
3. der Einsatz der kritischen Komponente im Einklang mit den
sicherheitspolitischen Zielen der Bundesrepublik Deutschland, der Europäischen
Union oder des Nordatlantikvertrages steht.
Vor Ablauf der Frist von zwei Monaten nach Anzeige nach Absatz 1 ist der Einsatz
nicht gestattet. Das Bundesministerium des Innern, für Bau und Heimat kann die Frist
gegenüber dem Betreiber um weitere zwei Monate verlängern, wenn die Prüfung
besondere Schwierigkeiten tatsächlicher oder rechtlicher Art aufweist.
(3) Kritische Komponenten gemäß § 2 Absatz 13 dürfen nur eingesetzt werden,
wenn der Hersteller eine Erklärung über seine Vertrauenswürdigkeit
(Garantieerklärung) gegenüber dem Betreiber der Kritischen Infrastruktur abgeben hat.
Die Garantieerklärung ist der Anzeige nach Absatz 1 beizufügen. Aus der
Garantieerklärung muss hervorgehen, wie der Hersteller sicherstellt, dass die kritische
Komponente nicht über technische Eigenschaften verfügt, die spezifisch geeignet sind,
missbräuchlich, insbesondere zum Zwecke von Sabotage, Spionage oder Terrorismus
auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit
Drucksache 324/21 - 8 -
der Kritischen Infrastruktur einwirken zu können. Das Bundesministerium des Innern,
für Bau und Heimat legt die Einzelheiten der Mindestanforderungen an die
Garantieerklärung im Einvernehmen mit den in § 10 Absatz 1 aufgeführten jeweils
betroffenen Ressorts sowie dem Auswärtigen Amt durch Allgemeinverfügung fest, die
im Bundesanzeiger bekannt zu machen ist. Die Einzelheiten der
Mindestanforderungen an die Garantieerklärung müssen aus den Schutzzielen der
Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der
Kritischen Infrastruktur folgen und die Vermeidung von Gefahren für die öffentliche
Sicherheit und Ordnung, insbesondere im Sinne von Absatz 2 Satz 2, adressieren, die
aus der Sphäre des Herstellers der kritischen Komponente, insbesondere dessen
Organisationsstruktur, stammen. Die Sätze 1 und 2 gelten erst ab der Bekanntmachung
der Allgemeinverfügung nach Satz 5 und nicht für bereits vor diesem Zeitpunkt
eingesetzte kritische Komponenten. Soweit Änderungen der Allgemeinverfügung
erfolgen, sind diese für bereits nach diesem Absatz abgegebene Garantieerklärungen
unbeachtlich.
(4) Das Bundesministerium des Innern, für Bau und Heimat kann den weiteren
Einsatz einer kritischen Komponente gegenüber dem Betreiber der Kritischen
Infrastruktur im Einvernehmen mit den in § 10 Absatz 1 aufgeführten jeweils
betroffenen Ressorts sowie dem Auswärtigen Amt untersagen oder Anordnungen
erlassen, wenn der weitere Einsatz die öffentliche Ordnung oder Sicherheit der
Bundesrepublik Deutschland voraussichtlich beeinträchtigt, insbesondere, wenn der
Hersteller der kritischen Komponente nicht vertrauenswürdig ist. Absatz 2 Satz 2 gilt
entsprechend.
(5) Ein Hersteller einer kritischen Komponente kann insbesondere dann nicht
vertrauenswürdig sein, wenn hinreichende Anhaltspunkte dafür bestehen, dass
1. er gegen die in der Garantieerklärung eingegangen Verpflichtungen verstoßen hat,
2. in der Garantieerklärung angegebene Tatsachenbehauptungen unwahr sind,
3. er Sicherheitsüberprüfungen und Penetrationsanalysen an seinem Produkt und in
der Produktionsumgebung nicht im erforderlichen Umfang in angemessener
Weise unterstützt,
4. Schwachstellen oder Manipulationen nicht unverzüglich, nachdem er davon
Kenntnis erlangt, beseitigt und dem Betreiber der Kritischen Infrastruktur meldet,
5. die kritische Komponente auf Grund von Mängeln ein erhöhtes
Gefährdungspotenzial aufweist oder aufgewiesen hat, missbräuchlich auf die
Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der
Kritischen Infrastruktur einwirken zu können oder
6. die kritische Komponente über technische Eigenschaften verfügt oder verfügt hat,
die spezifisch geeignet sind oder waren, missbräuchlich auf die Sicherheit,
Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen
Infrastruktur einwirken zu können.
(6) Wurde nach Absatz 4 der weitere Einsatz einer kritischen Komponente
untersagt, kann das Bundesministerium des Innern, für Bau und Heimat im
Einvernehmen mit den in § 10 Absatz 1 aufgeführten jeweils betroffenen Ressorts
sowie dem Auswärtigen Amt
1. den geplanten Einsatz weiterer kritischer Komponenten desselben Typs und
desselben Herstellers untersagen und
- 9 -
2. den weiteren Einsatz kritischer Komponenten desselben Typs und desselben
Herstellers unter Einräumung einer angemessenen Frist untersagen.
(7) Bei schwerwiegenden Fällen nicht vorliegender Vertrauenswürdigkeit nach
Absatz 5 kann das Bundesministerium des Innern, für Bau und Heimat den Einsatz
aller kritischen Komponenten des Herstellers im Einvernehmen mit den in § 10
Absatz 1 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt
untersagen.“
cc) § 9c Absatz 3 wird wie folgt gefasst:
„(3)
Die IT-Sicherheitsanforderungen, auf die sich die Herstellererklärung bezieht,
ergeben sich aus einer Norm oder einem Standard oder aus einer
branchenabgestimmten IT-Sicherheitsvorgabe, die die jeweilige Produktkategorie
umfasst, sofern das Bundesamt in einem Verfahren, das durch Rechtsverordnung nach
§ 10 Absatz 3 geregelt wird, festgestellt hat, dass die Norm oder der Standard oder die
branchenabgestimmte IT-Sicherheitsvorgabe geeignet ist, ausreichende IT-
Sicherheitsanforderungen für die Produktkategorie abzubilden. Ein Anspruch auf
diese Feststellung besteht nicht. Liegt keine Feststellung nach Satz 1 vor, ergeben sich
die IT-Sicherheitsvorgaben aus einer vom Bundesamt veröffentlichten Technischen
Richtlinie, die die jeweilige Produktkategorie umfasst, sofern das Bundesamt eine
solche Richtlinie bereits veröffentlicht hat. Wird ein Produkt von mehr als einer oder
einem bestehenden, als geeignet festgestellten Norm, Standard,
branchenabgestimmten IT-Sicherheitsvorgabe oder Technischen Richtlinie umfasst,
richten sich die Anforderungen nach der oder dem jeweils spezielleren bestehenden,
als geeignet festgestellten Norm, Standard, branchenabgestimmten IT-
Sicherheitsvorgabe oder Technischen Richtlinie.“
q) Die bisherige Nummer 20 wird Nummer 21 und wird wie folgt geändert:
aa) In Buchstabe a werden die Wörter „§ 9a Absatz 1 Satz 1“ durch die Angabe „§ 9c“
ersetzt und werden das Komma und die Wörter „der beizufügenden Unterlagen und
der Verwaltungsgebühren“ durch die Wörter „und der beizufügenden Unterlagen“
ersetzt.
bb) Buchstabe b wird wie folgt geändert:
aaa) Im Änderungsbefehl werden die Wörter „Die folgenden Absätze 5 und 6
werden“ durch die Wörter „Folgender Absatz 5 wird“ ersetzt.
bbb) In Absatz 5 wird das Wort „Betreiber“ durch das Wort „Unternehmen“ ersetzt.
ccc) Dem Absatz 5 werden die folgenden Sätze angefügt:
„Unter den Voraussetzungen nach Satz 1 kann das Bundesministerium des
Innern, für Bau und Heimat durch Rechtsverordnung bestimmen, welche
Alleinstellungsmerkmale maßgeblich dafür sind, dass Zulieferer für
Unternehmen, die nach ihrer inländischen Wertschöpfung zu den größten
Unternehmen in Deutschland gehören, von wesentlicher Bedeutung im Sinne
des § 2 Absatz 14 Satz 1 Nummer 2 sind.“
ddd) § 10 Absatz 6 wird aufgehoben.
r) Die bisherige Nummer 21 wird Nummer 22.
Drucksache 324/21
Drucksache 324/21 - 10 -
s) Nach der neuen Nummer 22 wird folgende Nummer 23 eingefügt:
‚23. § 13 wird wie folgt geändert:
aa) Absatz 2 Satz 2 wird wie folgt gefasst:
„§ 7 Absatz 1a ist entsprechend anzuwenden.“
bb) Nach Absatz 2 wird folgender Absatz 3 eingefügt:
„(3) Das Bundesministerium des Innern, für Bau und Heimat unterrichtet
kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden
Jahres den Ausschuss für Inneres und Heimat des Deutschen Bundestages
über die Anwendung dieses Gesetzes. Es geht dabei auch auf die
Fortentwicklung des maßgeblichen Unionsrechts ein.“
cc) Die bisherigen Absätze 3 bis 5 werden die Absätze 4 bis 6.‘
t) Die bisherigen Nummern 22 und 23 werden die Nummern 24 und 25.
2. Artikel 2 wird wie folgt geändert:
a) Nummer 2 Buchstabe b Doppelbuchstabe bb wird wie folgt gefasst:
‚ bb) Nach Satz 3 wird folgender Satz eingefügt:
„Kritische Komponenten im Sinne von § 2 Absatz 13 des BSI-Gesetzes dürfen von
einem Betreiber öffentlicher Telekommunikationsnetze mit erhöhtem
Gefährdungspotential nur eingesetzt werden, wenn sie vor dem erstmaligen Einsatz
von einer anerkannten Zertifizierungsstelle überprüft und zertifiziert wurden.“ ‘
b) In Nummer 3 Buchstabe a wird die Angabe „Nummer 8“ durch die Angabe „Nummer 7“
ersetzt.
c) Nummer 3 Buchstabe b wird wie folgt gefasst:
‚b) Folgende Nummer 8 wird angefügt:
„ 8. an das Bundesamt für Sicherheit in der Informationstechnik zum Schutz der
Versorgung der Bevölkerung in den Bereichen des § 2 Absatz 10 Satz 1 Nummer
1 des BSI-Gesetzes oder der öffentlichen Sicherheit, um damit eine
Beeinträchtigung der Sicherheit oder Funktionsfähigkeit
informationstechnischer Systeme einer Kritischen Infrastruktur oder eines
Unternehmens im besonderen öffentlichen Interesse abzuwenden, wenn
Tatsachen den Schluss auf ein wenigstens seiner Art nach konkretisiertes und
zeitlich absehbares Geschehen zulassen, das auf die informationstechnischen
Systeme bestimmbarer Infrastrukturen oder Unternehmen abzielen wird, und
die in die Auskunft aufzunehmenden Daten im Einzelfall erforderlich sind, um
den Betreiber der betroffenen Kritischen Infrastruktur oder das betroffene
Unternehmen im besonderen öffentlichen Interesse vor dieser Beeinträchtigung
zu warnen, über diese zu informieren oder bei deren Beseitigung zu beraten oder
zu unterstützen.“ ‘
d) Folgende Nummer 4 wird angefügt:
‚ 4. § 113 Absatz 5 wird wie folgt geändert:
a) In Nummer 8 wird der Punkt am Ende durch ein Komma ersetzt.
- 11 -
b) Folgende Nummer 9 wird angefügt:
Drucksache 324/21
„ 9. das Bundesamt für Sicherheit in der Informationstechnik zum Schutz der
Versorgung der Bevölkerung in den Bereichen des § 2 Absatz 10 Satz 1
Nummer 1 des BSI-Gesetzes oder der öffentlichen Sicherheit, um damit eine
Beeinträchtigung der Sicherheit oder Funktionsfähigkeit
informationstechnischer Systeme einer Kritischen Infrastruktur oder eines
Unternehmens im besonderen öffentlichen Interesse abzuwenden, wenn
Tatsachen den Schluss auf ein wenigstens seiner Art nach konkretisiertes
und zeitlich absehbares Geschehen zulassen, das auf die
informationstechnischen Systeme bestimmbarer Infrastrukturen oder
Unternehmen abzielen wird, und die in die Auskunft aufzunehmenden
Daten im Einzelfall erforderlich sind, um den Betreiber der betroffenen
Kritischen Infrastruktur oder das betroffene Unternehmen im besonderen
öffentlichen Interesse vor dieser Beeinträchtigung zu warnen, über diese zu
informieren oder bei deren Beseitigung zu beraten oder zu unterstützen.“ ‘
3. In Artikel 3 § 11 Absatz 1d und 1e wird jeweils das Wort „zwölften“ durch die Angabe „24.“
ersetzt.