Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 

§ 8a - BSI-Gesetz (BSIG)

Artikel 1 G. v. 14.08.2009 BGBl. I S. 2821 (Nr. 54); zuletzt geändert durch Artikel 12 G. v. 23.06.2021 BGBl. I S. 1982
Geltung ab 20.08.2009; FNA: 206-2 Öffentliche Informationstechnik
13 frühere Fassungen | Drucksachen / Entwurf / Begründung | wird in 80 Vorschriften zitiert

§ 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen



(1) 1Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens bis zum ersten Werktag, der darauf folgt, dass diese erstmalig oder erneut als Betreiber einer Kritischen Infrastruktur nach der Rechtsverordnung nach § 10 Absatz 1 gelten, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. 2Dabei soll der Stand der Technik eingehalten werden. 3Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

(1a) 1Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung. 2Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. 3Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen. 4Absatz 1 Satz 2 und 3 gilt entsprechend.

(2) 1Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach den Absätzen 1 und 1a vorschlagen. 2Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach den Absätzen 1 und 1a zu gewährleisten. 3Die Feststellung erfolgt

1.
im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe,

2.
im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes.

(3) 1Betreiber Kritischer Infrastrukturen haben die Erfüllung der Anforderungen nach den Absätzen 1 und 1a spätestens zwei Jahre nach dem in Absatz 1 genannten Zeitpunkt und anschließend alle zwei Jahre dem Bundesamt nachzuweisen. 2Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. 3Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. 4Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. 5Es kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.

(4) 1Das Bundesamt kann beim Betreiber Kritischer Infrastrukturen die Einhaltung der Anforderungen nach den Absätzen 1 und 1a überprüfen; es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. 2Der Betreiber Kritischer Infrastrukturen hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. 3Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei dem jeweiligen Betreiber Kritischer Infrastrukturen nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen nach den Absätzen 1 und 1a begründeten.

(5) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen.





 

Frühere Fassungen von § 8a BSIG

Die nachfolgende Aufstellung zeigt alle Änderungen dieser Vorschrift. Über die Links aktuell und vorher können Sie jeweils alte Fassung (a.F.) und neue Fassung (n.F.) vergleichen. Beim Änderungsgesetz finden Sie dessen Volltext sowie die Begründung des Gesetzgebers.

vergleichen mitmWv (verkündet)neue Fassung durch
aktuell vorher 28.05.2021Artikel 1 Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
vom 18.05.2021 BGBl. I S. 1122
aktuell vorher 30.06.2017Artikel 1 Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union
vom 23.06.2017 BGBl. I S. 1885
aktuell vorher 25.07.2015Artikel 1 IT-Sicherheitsgesetz
vom 17.07.2015 BGBl. I S. 1324
aktuellvor 25.07.2015Urfassung

Bitte beachten Sie, dass rückwirkende Änderungen - soweit vorhanden - nach dem Verkündungsdatum des Änderungstitels (Datum in Klammern) und nicht nach dem Datum des Inkrafttretens in diese Liste einsortiert sind.



 

Zitierungen von § 8a BSIG

Sie sehen die Vorschriften, die auf § 8a BSIG verweisen. Die Liste ist unterteilt nach Zitaten in BSIG selbst, Ermächtigungsgrundlagen, anderen geltenden Titeln, Änderungsvorschriften und in aufgehobenen Titeln.
 
interne Verweise

§ 3 BSIG Aufgaben des Bundesamtes (vom 28.05.2021)
... unbeschadet besonderer Zuständigkeiten anderer Stellen; 17. Aufgaben nach den §§ 8a bis 8c und 8f als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer ...
§ 8d BSIG Anwendungsbereich (vom 09.06.2021)
... Die §§ 8a und 8b sind nicht anzuwenden auf Kleinstunternehmen im Sinne der Empfehlung 2003/361/EG der ... Artikel 3 Absatz 4 des Anhangs zu der Empfehlung ist nicht anzuwenden. (2) § 8a ist nicht anzuwenden auf 1. Betreiber Kritischer Infrastrukturen, soweit sie ein ... von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8a vergleichbar oder weitergehend sind. (3) § 8b Absatz 4 und 4a ist nicht anzuwenden ...
§ 8e BSIG Auskunftsverlangen (vom 28.05.2021)
... Das Bundesamt kann Dritten auf Antrag Auskunft zu den im Rahmen von § 8a Absatz 2 und 3 , § 8c Absatz 4 und § 8f erhaltenen Informationen sowie zu den Meldungen nach § 8b ... nicht gewährt. (2) Zugang zu den Akten des Bundesamtes in Angelegenheiten nach den §§ 8a bis 8c und 8f wird bei Vorliegen der Voraussetzungen des § 29 des ...
§ 14 BSIG Bußgeldvorschriften (vom 28.05.2021)
... Ordnungswidrig handelt, wer entgegen § 8a Absatz 3 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 einen Nachweis nicht ... 5b Absatz 6, § 7c Absatz 1 Satz 1, auch in Verbindung mit § 7c Absatz 3, § 7d, oder § 8a Absatz 3 Satz 5 , b) § 7a Absatz 2 Satz 1 oder c) § 8b Absatz 6 Satz 1, auch in ... mit Satz 2, oder § 8c Absatz 4 Satz 1 zuwiderhandelt, 2. entgegen § 8a Absatz 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 eine dort genannte ... nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig trifft, 3. entgegen § 8a Absatz 3 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 einen Nachweis nicht oder ... 10 Absatz 1 Satz 1 einen Nachweis nicht oder nicht rechtzeitig erbringt, 4. entgegen § 8a Absatz 4 Satz 2 oder § 8b Absatz 3a das Betreten eines dort genannten Raums nicht gestattet, eine dort ...
 
Zitat in folgenden Normen

Besondere Gebührenverordnung BMI (BMIBGebV)
V. v. 02.09.2019 BGBl. I S. 1359; zuletzt geändert durch Artikel 2 V. v. 11.02.2021 BGBl. I S. 204
Anlage BMIBGebV (zu § 2 Absatz 1) Gebühren- und Auslagenverzeichnis
... Sicherheitsstandards nach § 3 Ab- satz 1 Satz 2 Nummer 17 in Verbindung mit § 8a Absatz 2 BSIG nach Zeitaufwand 7 Bewertung von ... von Sicherheitsmängeln nach § 3 Absatz 1 Satz 2 Nummer 17 in Verbindung mit § 8a Absatz 3 Satz 4 BSIG nach Zeitaufwand 8 Unterstützung bei der ...

Krankenhausstrukturfonds-Verordnung (KHSFV)
V. v. 17.12.2015 BGBl. I S. 2350; zuletzt geändert durch Artikel 2b G. v. 22.12.2020 BGBl. I S. 3299
§ 11 KHSFV Förderungsfähige Vorhaben (vom 29.10.2020)
... Voraussetzungen des Anhangs 5 Teil 3 der BSI-Kritisverordnung erfüllen, an die Vorgaben von § 8a des BSI-Gesetzes anzupassen oder b) telemedizinische Netzwerkstrukturen insbesondere zwischen ...
§ 14 KHSFV Antragstellung (vom 29.10.2020)
... erforderlich sind, um die Informationstechnik des Krankenhauses an die Vorgaben von § 8a des BSI-Gesetzes anzupassen, 9. bei Vorhaben nach § 11 Absatz 1 Nummer 4 Buchstabe b die ...

Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung - (SGB V)
Artikel 1 G. v. 20.12.1988 BGBl. I S. 2477, 2482; zuletzt geändert durch Artikel 1 G. v. 11.07.2021 BGBl. I S. 2754
§ 75b SGB V Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung (vom 20.10.2020)
... von Satz 2 gelten als getroffen, wenn die organisatorischen und technischen Vorkehrungen nach § 8a Absatz 1 des BSI-Gesetzes oder entsprechende branchenspezifische Sicherheitsstandards umgesetzt wurden. (5) ...
§ 75c SGB V IT-Sicherheit in Krankenhäusern (vom 20.10.2020)
... Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde. (3) Die Verpflichtung nach Absatz 1 gilt für alle ... soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen ...
 
Zitate in Änderungsvorschriften

Digitale-Versorgung-Gesetz (DVG)
G. v. 09.12.2019 BGBl. I S. 2562
Artikel 1 DVG Änderung des Fünften Buches Sozialgesetzbuch
... Versorgung im Krankenhaus, soweit dort bereits angemessene Vorkehrungen nach § 8a Absatz 1 des BSI-Gesetzes getroffen werden. (5) Die Kassenärztlichen Bundesvereinigungen müssen ab dem ...

Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union
G. v. 23.06.2017 BGBl. I S. 1885
Artikel 1 BSIGuaÄndG Änderung des BSI-Gesetzes
... 14 und 17" durch die Wörter „Nummer 1, 14, 17 und 18" ersetzt. 6. § 8a wird wie folgt geändert: a) Absatz 3 wird wie folgt geändert:  ... a) Absatz 1 Satz 1 wird wie folgt geändert: aa) Nach den Wörtern „ § 8a Absatz 2 und 3 " werden die Wörter „und § 8c Absatz 4" und nach den Wörtern ... gefasst: „(2) Zugang zu den Akten des Bundesamtes in Angelegenheiten nach den §§ 8a bis 8c wird bei Vorliegen der Voraussetzungen des § 29 des Verwaltungsverfahrensgesetzes nur ...

IT-Sicherheitsgesetz
G. v. 17.07.2015 BGBl. I S. 1324; zuletzt geändert durch Artikel 6 Abs. 2 G. v. 18.05.2021 BGBl. I S. 1122
Artikel 1 ITSiG Änderung des BSI-Gesetzes
... besonderer Zuständigkeiten anderer Stellen; 17. Aufgaben nach den §§ 8a und 8b als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer ... Absatz empfehlenden Charakter." 7. Nach § 8 werden die folgenden §§ 8a bis 8d eingefügt: „§ 8a Sicherheit in der Informationstechnik ... § 8 werden die folgenden §§ 8a bis 8d eingefügt: „§ 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen (1) Betreiber ... anzuwenden. § 8c Anwendungsbereich (1) Die §§ 8a und 8b sind nicht anzuwenden auf Kleinstunternehmen im Sinne der Empfehlung 2003/361/EC der ... 20.5.2003, S. 36). Artikel 3 Absatz 4 der Empfehlung ist nicht anzuwenden. (2) § 8a ist nicht anzuwenden auf 1. Betreiber Kritischer Infrastrukturen, soweit sie ein ... Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8a vergleichbar oder weitergehend sind. (3) § 8b Absatz 3 bis 5 ist nicht anzuwenden ... (1) Das Bundesamt kann Dritten auf Antrag Auskunft zu den im Rahmen von § 8a Absatz 2 und 3 erhaltenen Informationen sowie zu den Meldungen nach § 8b Absatz 4 nur ... (2) Zugang zu den Akten des Bundesamtes in Angelegenheiten nach den §§ 8a und 8b wird nur Verfahrensbeteiligten gewährt und dies nach Maßgabe von § 29 des ... Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 1. entgegen § 8a Absatz 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 eine dort ... oder nicht rechtzeitig trifft, 2. einer vollziehbaren Anordnung nach § 8a Absatz 3 Satz 4 a) Nummer 1 oder b) Nummer 2  ...

Patientendaten-Schutz-Gesetz (PDSG)
G. v. 14.10.2020 BGBl. I S. 2115
Artikel 1 PDSG Änderung des Fünften Buches Sozialgesetzbuch
... 4 wird wie folgt geändert: aa) In Satz 2 werden die Wörter „nach § 8a Absatz 1 des BSI-Gesetzes " gestrichen. bb) Folgender Satz wird angefügt:  ... von Satz 2 gelten als getroffen, wenn die organisatorischen und technischen Vorkehrungen nach § 8a Absatz 1 des BSI-Gesetzes oder entsprechende branchenspezifische Sicherheitsstandards umgesetzt wurden." c) ... Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde. (3) Die Verpflichtung nach Absatz 1 gilt für alle ... soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen haben." 9. In § 82 Absatz 3 ...

Pflegepersonal-Stärkungsgesetz (PpSG)
G. v. 11.12.2018 BGBl. I S. 2394
Artikel 5 PpSG Änderung der Krankenhausstrukturfonds-Verordnung
... Voraussetzungen des Anhangs 5 Teil 3 der BSI-Kritisverordnung erfüllen, an die Vorgaben von § 8a des BSI-Gesetzes anzupassen oder b) telemedizinische Netzwerkstrukturen insbesondere zwischen ... erforderlich sind, um die Informationstechnik des Krankenhauses an die Vorgaben von § 8a des BSI-Gesetzes anzupassen, 9. bei Vorhaben nach § 11 Absatz 1 Nummer 4 Buchstabe b die ...

Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
G. v. 18.05.2021 BGBl. I S. 1122
Artikel 1 2. ITSiG Änderung des BSI-Gesetzes
...  g) Satz 2 Nummer 17 wird wie folgt gefasst: „17. Aufgaben nach den §§ 8a bis 8c und 8f als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer ... Bundesamt Gelegenheit zur Stellungnahme geben." 13. § 8a wird wie folgt geändert: a) In Absatz 1 Satz 1 werden die Wörter ... „(1) Das Bundesamt kann Dritten auf Antrag Auskunft zu den im Rahmen von § 8a Absatz 2 und 3 , § 8c Absatz 4 und § 8f erhaltenen Informationen sowie zu den Meldungen nach § 8b ... gewährt. (2) Zugang zu den Akten des Bundesamtes in Angelegenheiten nach den §§ 8a bis 8c und 8f wird bei Vorliegen der Voraussetzungen des § 29 des ... „§ 14 Bußgeldvorschriften (1) Ordnungswidrig handelt, wer entgegen § 8a Absatz 3 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 einen Nachweis nicht ... 5b Absatz 6, § 7c Absatz 1 Satz 1, auch in Verbindung mit § 7c Absatz 3, § 7d, oder § 8a Absatz 3 Satz 5 , b) § 7a Absatz 2 Satz 1 oder c) § 8b Absatz 6 Satz 1, auch in ... mit Satz 2, oder § 8c Absatz 4 Satz 1 zuwiderhandelt, 2. entgegen § 8a Absatz 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 eine dort genannte ... nicht richtig, nicht vollständig oder nicht rechtzeitig trifft, 3. entgegen § 8a Absatz 3 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 einen Nachweis nicht oder ... 10 Absatz 1 Satz 1 einen Nachweis nicht oder nicht rechtzeitig erbringt, 4. entgegen § 8a Absatz 4 Satz 2 oder § 8b Absatz 3a das Betreten eines dort genannten Raums nicht gestattet, eine dort ...
Artikel 6 2. ITSiG Evaluierung
... Gesetz verfolgten Ziele 1. bis zum 1. Mai 2023 hinsichtlich des § 2 Absatz 10, der §§ 8a , 8b, 8d und 8e sowie § 10 Absatz 1 des BSI-Gesetzes (Artikel 1) und 2. bis zum 1. ...