buzer.de
Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
nach oben nach unten
 
Start
Suchen
Sachgebiete
Aktuell
Verkündet
Über buzer.de
Qualität
Kontakt
Datenschutz Impressum

Tools:
Blog-Plugin
Mobilversion

Update via:
Web-Widget
Feed
Rechtskataster


Werben auf buzer.de
Sie sind hier: Start > Inhaltsverzeichnis BSIG > § 30
Mail bei Änderungen attention

§ 30 - BSI-Gesetz (BSIG)

Artikel 1 G. v. 02.12.2025 BGBl. 2025 I Nr. 301, S. 2
Geltung ab 06.12.2025; FNA: 206-9 Öffentliche Informationstechnik
1 weitere Fassung
|
Drucksachen / Entwurf / Begründung
|
wird in 87 Vorschriften zitiert
Teil 3 Sicherheit in der Informationstechnik von Einrichtungen
Kapitel 2 Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten
§ 29
§ 31

§ 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen


§ 30 wird in 21 Vorschriften zitiert

(1) 1Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, die in Absatz 2 konkretisiert werden, zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. 2Bei der Bewertung der Verhältnismäßigkeit der Maßnahmen nach Satz 1 sind das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen. 3Die Einhaltung der Verpflichtung nach Satz 1 ist durch die Einrichtungen zu dokumentieren.

(2) 1Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. 2Die Maßnahmen müssen zumindest Folgendes umfassen:

1.
Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,

2.
Bewältigung von Sicherheitsvorfällen,

3.
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,

4.
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern,

5.
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,

6.
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,

7.
grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik,

8.
Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren,

9.
Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen,

10.
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

(3) Der von der Europäischen Kommission gemäß Artikel 21 Absatz 5 Unterabsatz 1 der NIS-2-Richtlinie erlassene Durchführungsrechtsakt zur Festlegung der technischen und methodischen Anforderungen an die in Absatz 1 genannten Maßnahmen in Bezug auf DNS-Diensteanbieter, Top Level Domain Name Registries, Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Betreiber von Content Delivery Networks, Managed Service Provider, Managed Security Service Provider, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter hat für die vorgenannten Einrichtungsarten Vorrang.

(4) Sofern die Europäische Kommission einen Durchführungsrechtsakt gemäß Artikel 21 Absatz 5 Unterabsatz 2 der NIS-2-Richtlinie erlässt, in dem die technischen und methodischen Anforderungen sowie erforderlichenfalls die sektoralen Anforderungen der in Absatz 2 genannten Maßnahmen festgelegt werden, so gehen diese Anforderungen den in Absatz 2 genannten Maßnahmen vor, soweit sie diesen entgegenstehen.

(5) Sofern die Durchführungsrechtsakte der Europäischen Kommission nach Artikel 21 Absatz 5 der NIS-2-Richtlinie keine abschließenden Bestimmungen über die technischen und methodischen Anforderungen sowie erforderlichenfalls über die sektoralen Anforderungen an die in Absatz 2 genannten Maßnahmen in Bezug auf besonders wichtige Einrichtungen und wichtige Einrichtungen enthalten, können diese Bestimmungen vom Bundesministerium des Innern im Benehmen mit den jeweils betroffenen Ressorts durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, unter Berücksichtigung der möglichen Folgen unzureichender Maßnahmen sowie der Bedeutung bestimmter Einrichtungen präzisiert und erweitert werden.

(6) Besonders wichtige Einrichtungen und wichtige Einrichtungen dürfen durch Rechtsverordnung nach § 56 Absatz 3 bestimmte IKT-Produkte, IKT-Dienste und IKT-Prozesse nur verwenden, wenn diese über eine Cybersicherheitszertifizierung gemäß europäischer Schemata nach Artikel 49 der Verordnung (EU) 2019/881 verfügen.

(7) Unbeschadet der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten dürfen der Austausch von Informationen nach § 6 oder die freiwillige Meldung nach § 5 nicht dazu führen, dass der meldenden Einrichtung zusätzliche Verpflichtungen auferlegt werden, die nicht für sie gegolten hätten, wenn sie die Meldung nicht übermittelt hätte.

(8) 1Besonders wichtige Einrichtungen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. 2Diese vorgeschlagenen Sicherheitsstandards müssen Durchführungsrechtsakte der Europäischen Kommission so berücksichtigen, dass sie nicht im Widerspruch zu den dort genannten Anforderungen stehen sowie darin enthaltene Vorgaben nicht unterschritten werden. 3Das Bundesamt stellt auf Antrag fest, ob die vorgeschlagenen Sicherheitsstandards branchenspezifisch und geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten und veröffentlicht diese auf seiner Internetseite. 4Die Feststellung erfolgt

1.
im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe;

2.
im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes.

5Im Sektor Gesundheitswesen ist, soweit keine zuständige Aufsichtsbehörde des Bundes besteht, abweichend von Satz 4 Nummer 2 das Benehmen mit dem Bundesministerium für Gesundheit herzustellen. 6Aus Gründen des öffentlichen Interesses werden für die Feststellung keine Gebühren oder Auslagen für die Tätigkeit des Bundesamtes erhoben.

(9) 1Betreiber kritischer Anlagen können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen in Bezug auf kritische Anlagen nach § 30 Absatz 1 Satz 1 in Verbindung mit § 31 Absatz 1 und 2 Satz 1 vorschlagen. 2Absatz 8 Satz 2 bis 6 gilt entsprechend.

§ 29
§ 31


 
Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Zitierungen von § 30 BSIG

Sie sehen die Vorschriften, die auf § 30 BSIG verweisen. Die Liste ist unterteilt nach Zitaten in BSIG selbst, Ermächtigungsgrundlagen, anderen geltenden Titeln, Änderungsvorschriften und in aufgehobenen Titeln.
 
interne Verweise

§ 3 BSIG Aufgaben des Bundesamtes
... Umsetzung von Informationssicherheitsvorgaben, insbesondere zur Umsetzung der Vorgaben nach den §§ 30 und 44, bereitstellen; 18. Unterstützung a) der Polizeien und ...
§ 28 BSIG Besonders wichtige Einrichtungen und wichtige Einrichtungen
... unabhängig von seinen Partner- oder verbundenen Unternehmen ist. (5) Die §§ 30 , 31, 32, 35, 36, 38, 39, 61 und 62 gelten nicht für besonders wichtige Einrichtungen und ... eine Nebentätigkeit darstellt, findet dieser Absatz keine Anwendung. (6) Die §§ 30 , 31, 32, 35, 36, 38 und 39 gelten nicht für 1. Finanzunternehmen nach Artikel 2 ...
§ 29 BSIG Einrichtungen der Bundesverwaltung
... § 7 Absatz 5 Satz 4, der §§ 10, 13 Absatz 1 Satz 1 Nummer 1 Buchstabe e sowie der §§ 30 , 33 und 35 ausgenommen. Das Auswärtige Amt erlässt im Einvernehmen mit dem ...
§ 30 BSIG Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen
... Sicherheitsstandards zur Gewährleistung der Anforderungen in Bezug auf kritische Anlagen nach § 30 Absatz 1 Satz 1 in Verbindung mit § 31 Absatz 1 und 2 Satz 1 vorschlagen. Absatz 8 Satz 2 bis 6 ...
§ 31 BSIG Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen
... auch über das Schutzniveau dieser Einrichtungen hinausgehende Maßnahmen nach § 30 Absatz 1 Satz 1 als verhältnismäßig, wenn der dafür erforderliche Aufwand nicht außer ...
§ 37 BSIG Ausnahmebescheid
... für diese Tätigkeiten oder Dienste von den Risikomanagementmaßnahmen nach § 30 und den Meldepflichten nach § 32 befreit werden. Die Sicherheit in der ...
§ 38 BSIG Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen
... Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu ...
§ 39 BSIG Nachweispflichten für Betreiber kritischer Anlagen
... kritischer Anlagen haben die Umsetzung der Maßnahmen in Bezug auf kritische Anlagen nach § 30 Absatz 1 Satz 1 in Verbindung mit § 31 Absatz 1 und 2 Satz 1 zu einem vom Bundesamt im Benehmen mit dem ...
§ 44 BSIG Vorgaben des Bundesamtes
... Umsetzung der Mindestanforderungen nach Absatz 1 Satz 1 ist die Erfüllung der Vorgaben nach § 30 gewährleistet, soweit nicht die Europäische Kommission einen Durchführungsrechtsakt ... ist und die Anforderungen des IT-Grundschutzes und der Mindeststandards den Anforderungen nach § 30 Absatz 9 und § 31 widersprechen, genießen Letztere Vorrang. (3) Das Bundesamt ...
§ 56 BSIG Ermächtigung zum Erlass von Rechtsverordnungen
... oder eine wichtige Einrichtung eingesetzten Produkte, Dienste oder Prozesse gemäß § 30 Absatz 6 über eine Cybersicherheitszertifizierung verfügen müssen, da sie für die ...
§ 61 BSIG Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen
... von unabhängigen Stellen zur Prüfung der Erfüllung der Verpflichtungen nach § 30 Absatz 1 Satz 1 , auch in Verbindung mit § 31 Absatz 1 und 2 Satz 1 und § 32 Absatz 1 bis 3 sowie § ... tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen nach § 30 Absatz 1 begründeten. (6) Das Bundesamt kann gegenüber besonders wichtigen ... oder Behebung eines Sicherheitsvorfalls oder eines Mangels erforderliche Maßnahmen nach § 30 Absatz 1 Satz 1 sowie die Vorlage eines geeigneten Mängelbeseitigungsplanes und eines geeigneten Nachweises ...
§ 62 BSIG Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen
... Tatsachen die Annahme, dass eine wichtige Einrichtung Verpflichtungen nach § 30 Absatz 1 Satz 1 , § 32 Absatz 1 bis 3 und § 38 Absatz 3 nicht oder nicht richtig umsetzt, so kann das ...
§ 65 BSIG Bußgeldvorschriften
... § 35 Absatz 1 Satz 1 oder § 36 Absatz 2 Satz 1 zuwiderhandelt, 2. entgegen § 30 Absatz 1 Satz 1 eine dort genannte Maßnahme nicht, nicht richtig, nicht vollständig oder nicht ... nicht richtig, nicht vollständig oder nicht rechtzeitig ergreift, 3. entgegen § 30 Absatz 1 Satz 3 die Einhaltung der Verpflichtung nicht, nicht richtig oder nicht vollständig dokumentiert, ...
 
Inhaltsverzeichnis | Ausdrucken/PDF | nach oben
Zitat in folgenden Normen

Krankenhausstrukturfonds-Verordnung (KHSFV)
V. v. 17.12.2015 BGBl. I S. 2350; zuletzt geändert durch Artikel 26 G. v. 02.12.2025 BGBl. 2025 I Nr. 301
§ 11 KHSFV Förderungsfähige Vorhaben (vom 06.12.2025)
... 2023 (BGBl. 2023 I Nr. 339) geändert worden ist, erfüllen, an die Anforderungen der §§ 30 , 31 und 39 des BSI-Gesetzes anzupassen oder b) telemedizinische Netzwerkstrukturen ...
§ 14 KHSFV Antragstellung (vom 06.12.2025)
... erforderlich sind, um die Informationstechnik des Krankenhauses an die Anforderungen der §§ 30 , 31 und 39 des BSI-Gesetzes anzupassen, 9. bei Vorhaben nach § 11 Absatz 1 Nummer ...

Sozialgesetzbuch (SGB) Elftes Buch (XI) - Soziale Pflegeversicherung - (SGB XI)
Artikel 1 G.v. 26.05.1994 BGBl. I S. 1014, 1015; zuletzt geändert durch Artikel 2 G. v. 22.12.2025 BGBl. 2025 I Nr. 371
§ 103a SGB XI IT-Sicherheit der Pflegekassen (vom 06.12.2025)
... Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 30 Absatz 8 des BSI-Gesetzes festgestellt wurde. (4) Die Pflegekassen sind verpflichtet, ... alle Pflegekassen, soweit sie nicht ohnehin als Betreiber kritischer Anlagen gemäß den §§ 30 , 31 und 39 des BSI-Gesetzes angemessene organisatorische und technische Vorkehrungen zu treffen ...

Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung - (SGB V)
Artikel 1 G. v. 20.12.1988 BGBl. I S. 2477, 2482; zuletzt geändert durch Artikel 3a G. v. 22.12.2025 BGBl. 2025 I Nr. 371
§ 391 SGB V IT-Sicherheit in Krankenhäusern (vom 06.12.2025)
... Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 30 Absatz 8 des BSI-Gesetzes festgestellt wurde. (5) Die Verpflichtung nach Absatz 1 gilt für alle ... Krankenhäuser, soweit sie nicht ohnehin als Betreiber kritischer Anlagen gemäß den §§ 30 , 31 und 39 des BSI-Gesetzes angemessene organisatorische und technische Vorkehrungen zu treffen ...
§ 392 SGB V IT-Sicherheit der gesetzlichen Krankenkassen (vom 06.12.2025)
... Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 30 Absatz 8 des BSI-Gesetzes festgestellt wurde. (4) Die Krankenkassen sind verpflichtet, ... alle Krankenkassen, soweit sie nicht ohnehin als Betreiber kritischer Anlagen gemäß den §§ 30 , 31 und 39 des BSI-Gesetzes angemessene organisatorische und technische Vorkehrungen zu treffen ...
 
Inhaltsverzeichnis | Ausdrucken/PDF | nach oben
Zitate in Änderungsvorschriften

Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
G. v. 02.12.2025 BGBl. 2025 I Nr. 301
Artikel 21 NIS2-RLUG Änderung des Fünften Buches Sozialgesetzbuch
... Absatz 4 wird die Angabe „§ 8a Absatz 2 des BSI-Gesetzes" durch die Angabe „ § 30 Absatz 8 des BSI-Gesetzes " ersetzt. b) In Absatz 5 wird die Angabe „Kritischer Infrastrukturen" ... Anlagen" und die Angabe „§ 8a des BSI-Gesetzes" durch die Angabe „den §§ 30 , 31 und 39 des BSI-Gesetzes" ersetzt. 2. § 392 wird wie folgt ... Absatz 3 wird die Angabe „§ 8a Absatz 2 des BSI-Gesetzes" durch die Angabe „ § 30 Absatz 8 des BSI-Gesetzes " ersetzt. b) In Absatz 5 wird die Angabe „Kritischer Infrastrukturen" ... Anlagen" und die Angabe „§ 8a des BSI-Gesetzes" durch die Angabe „den §§ 30 , 31 und 39 des BSI-Gesetzes" ...
Artikel 24 NIS2-RLUG Änderung des Elften Buches Sozialgesetzbuch
... Absatz 3 wird die Angabe „§ 8a Absatz 2 des BSI-Gesetzes" durch die Angabe „ § 30 Absatz 8 des BSI-Gesetzes " ersetzt. 2. In Absatz 5 wird die Angabe „Kritischer Infrastrukturen" ... Anlagen" und die Angabe „§ 8a des BSI-Gesetzes" durch die Angabe „den §§ 30 , 31 und 39 des BSI-Gesetzes" ...
Artikel 26 NIS2-RLUG Änderung der Krankenhausstrukturfonds-Verordnung
... die Vorgaben von § 8a des BSI-Gesetzes" durch die Angabe „an die Anforderungen der §§ 30 , 31 und 39 des BSI-Gesetzes" ersetzt. 2. In § 14 Absatz 2 Nummer 8 wird die ... die Vorgaben von § 8a des BSI-Gesetzes" durch die Angabe „an die Anforderungen der §§ 30 , 31 und 39 des BSI-Gesetzes" ...
Link zu dieser Seite: https://www.buzer.de/30_BSIG.htm   
Inhaltsverzeichnis | Ausdrucken/PDF | nach oben
 

BSIG
Rechtskataster

Änderungen
überwachen

Sie werden über jede verkündete oder in Kraft tretende Änderung per Mail informiert, sofort, wöchentlich oder in dem Intervall, das Sie gewählt haben.

Stellen Sie Ihr Paket zu überwachender Vorschriften beliebig zusammen.

Jetzt anmelden!

Weitere Vorteile:

Konsolidierte Vorschriften selbst bei Inkrafttreten "am Tage nach der Verkündung", Synopse zu jeder Änderungen, Begründungen des Gesetzgebers



Für Ihr Blog oder Forum - Gesetze verknüpfen


Für Ihre Internetseite -
Ticker aktuellste Gesetzesänderungen