Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 

§ 8b - BSI-Gesetz (BSIG)

Artikel 1 G. v. 14.08.2009 BGBl. I S. 2821 (Nr. 54); zuletzt geändert durch Artikel 12 G. v. 23.06.2021 BGBl. I S. 1982
Geltung ab 20.08.2009; FNA: 206-2 Öffentliche Informationstechnik
| |

§ 8b Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen



(1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik.

(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe

1.
die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentlichen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Sicherheitslücken, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und zu der dabei beobachteten Vorgehensweise,

2.
deren potentielle Auswirkungen auf die Verfügbarkeit der Kritischen Infrastrukturen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu analysieren,

3.
das Lagebild bezüglich der Sicherheit in der Informationstechnik der Kritischen Infrastrukturen oder der Unternehmen im besonderen öffentlichen Interesse kontinuierlich zu aktualisieren und

4.
unverzüglich

a)
die Betreiber Kritischer Infrastrukturen und die Unternehmen im besonderen öffentlichen Interesse über sie betreffende Informationen nach den Nummern 1 bis 3,

b)
die zuständigen Aufsichtsbehörden und die sonst zuständigen Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3,

c)
die zuständigen Aufsichtsbehörden der Länder oder die zu diesem Zweck dem Bundesamt von den Ländern als zentrale Kontaktstellen benannten Behörden über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3 sowie

d)
die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 4 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben,

zu unterrichten.

(3) 1Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens bis zum ersten Werktag, der darauf folgt, dass diese erstmalig oder erneut als Betreiber einer Kritischen Infrastruktur nach der Rechtsverordnung nach § 10 Absatz 1 gelten, die von ihnen betriebenen Kritischen Infrastrukturen beim Bundesamt zu registrieren und eine Kontaktstelle zu benennen. 2Die Registrierung eines Betreibers einer Kritischen Infrastruktur kann das Bundesamt auch selbst vornehmen, wenn der Betreiber seine Pflicht zur Registrierung nicht erfüllt. 3Nimmt das Bundesamt eine solche Registrierung selbst vor, informiert es die zuständige Aufsichtsbehörde des Bundes darüber. 4Die Betreiber haben sicherzustellen, dass sie über die benannte oder durch das Bundesamt festgelegte Kontaktstelle jederzeit erreichbar sind. 5Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle.

(3a) Rechtfertigen Tatsachen die Annahme, dass ein Betreiber seine Pflicht zur Registrierung nach Absatz 3 nicht erfüllt, so hat der Betreiber dem Bundesamt auf Verlangen die für die Bewertung aus Sicht des Bundesamtes erforderlichen Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen und Auskunft zu erteilen, soweit nicht Geheimschutzinteressen oder überwiegende Sicherheitsinteressen entgegenstehen.

(4) 1Betreiber Kritischer Infrastrukturen haben die folgenden Störungen unverzüglich über die Kontaktstelle an das Bundesamt zu melden:

1.
Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben,

2.
erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.

2Die Meldung muss Angaben zu der Störung, zu möglichen grenzübergreifenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur erbrachten kritischen Dienstleistung und zu den Auswirkungen der Störung auf diese Dienstleistung enthalten. 3Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

(4a) 1Während einer erheblichen Störung gemäß Absatz 4 Satz 1 Nummer 2, § 8f Absatz 7 Satz 1 Nummer 2 oder Absatz 8 Satz 1 Nummer 2 kann das Bundesamt im Einvernehmen mit der jeweils zuständigen Aufsichtsbehörde des Bundes von den betroffenen Betreibern Kritischer Infrastrukturen oder den Unternehmen im besonderen öffentlichen Interesse die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen. 2Betreiber Kritischer Infrastrukturen und Unternehmen im besonderen öffentlichen Interesse sind befugt, dem Bundesamt auf Verlangen die zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten zu übermitteln, soweit dies zur Bewältigung einer erheblichen Störung gemäß Absatz 4 Satz 1 Nummer 2, § 8f Absatz 7 Satz 1 Nummer 2 oder Absatz 8 Satz 1 Nummer 2 erforderlich ist.

(5) 1Zusätzlich zu ihrer Kontaktstelle nach Absatz 3 können Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, eine gemeinsame übergeordnete Ansprechstelle benennen. 2Wurde eine solche benannt, erfolgt der Informationsaustausch zwischen den Kontaktstellen und dem Bundesamt in der Regel über die gemeinsame Ansprechstelle.

(6) 1Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4, oder § 8f Absatz 7 oder 8 verlangen. 2Satz 1 gilt für Störungen bei Betreibern und Genehmigungsinhabern im Sinne von § 8d Absatz 3 entsprechend.

(7) 1Soweit im Rahmen dieser Vorschrift personenbezogene Daten verarbeitet werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung zu anderen Zwecken unzulässig. 2§ 5 Absatz 7 Satz 3 bis 8 ist entsprechend anzuwenden.





 

Frühere Fassungen von § 8b BSIG

Die nachfolgende Aufstellung zeigt alle Änderungen dieser Vorschrift. Über die Links aktuell und vorher können Sie jeweils alte Fassung (a.F.) und neue Fassung (n.F.) vergleichen. Beim Änderungsgesetz finden Sie dessen Volltext sowie die Begründung des Gesetzgebers.

vergleichen mitmWv (verkündet)neue Fassung durch
aktuell vorher 28.05.2021Artikel 1 Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
vom 18.05.2021 BGBl. I S. 1122
aktuell vorher 26.11.2019Artikel 13 Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU)
vom 20.11.2019 BGBl. I S. 1626
aktuell vorher 30.06.2017Artikel 1 Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union
vom 23.06.2017 BGBl. I S. 1885
aktuell vorher 25.07.2015Artikel 1 IT-Sicherheitsgesetz
vom 17.07.2015 BGBl. I S. 1324
aktuellvor 25.07.2015Urfassung

Bitte beachten Sie, dass rückwirkende Änderungen - soweit vorhanden - nach dem Verkündungsdatum des Änderungstitels (Datum in Klammern) und nicht nach dem Datum des Inkrafttretens in diese Liste einsortiert sind.



 

Zitierungen von § 8b BSIG

Sie sehen die Vorschriften, die auf § 8b BSIG verweisen. Die Liste ist unterteilt nach Zitaten in BSIG selbst, Ermächtigungsgrundlagen, anderen geltenden Titeln, Änderungsvorschriften und in aufgehobenen Titeln.
 
interne Verweise

§ 3 BSIG Aufgaben des Bundesamtes (vom 28.05.2021)
... besonderer Zuständigkeiten anderer Stellen; 17. Aufgaben nach den §§ 8a bis 8c und 8f als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer ...
§ 4b BSIG Allgemeine Meldestelle für die Sicherheit in der Informationstechnik (vom 01.12.2021)
... Kritischer Infrastrukturen und Unternehmen im öffentlichen Interesse gemäß § 8b Absatz 2 Nummer 4 Buchstabe a über die sie betreffenden Informationen zu unterrichten. (4) Eine Weitergabe nach ...
§ 8c BSIG Besondere Anforderungen an Anbieter digitaler Dienste (vom 28.05.2021)
... an den Parametern nach Satz 2 zu bewerten. Für den Inhalt der Meldungen gilt § 8b Absatz 4 entsprechend, soweit nicht Durchführungsakte der Kommission nach Artikel 16 Absatz 9 der ...
§ 8d BSIG Anwendungsbereich (vom 09.06.2021)
... Die §§ 8a und 8b sind nicht anzuwenden auf Kleinstunternehmen im Sinne der Empfehlung 2003/361/EG der Kommission ... die mit den Anforderungen nach § 8a vergleichbar oder weitergehend sind. (3) § 8b Absatz 4 und 4a ist nicht anzuwenden auf 1. Betreiber Kritischer Infrastrukturen, soweit sie ein ... von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8b Absatz 4 vergleichbar oder weitergehend sind. (4) § 8c Absatz 1 bis 3 gilt nicht ...
§ 8e BSIG Auskunftsverlangen (vom 28.05.2021)
... 2 und 3, § 8c Absatz 4 und § 8f erhaltenen Informationen sowie zu den Meldungen nach § 8b Absatz 4, 4a und 4b sowie § 8c Absatz 4 nur erteilen, wenn 1. schutzwürdige Interessen des ... (2) Zugang zu den Akten des Bundesamtes in Angelegenheiten nach den §§ 8a bis 8c und 8f wird bei Vorliegen der Voraussetzungen des § 29 des ...
§ 8f BSIG Sicherheit in der Informationstechnik bei Unternehmen im besonderen öffentlichen Interesse (vom 28.05.2021)
... Stelle zu benennen. Die Übermittlung von Informationen durch das Bundesamt nach § 8b Absatz 2 Nummer 4 erfolgt an diese Stelle. (6) Unternehmen im besonderen öffentlichen ... Stelle vornehmen. Die Übermittlung von Informationen durch das Bundesamt nach § 8b Absatz 2 Nummer 4 erfolgt an diese Stelle. (7) Unternehmen im besonderen öffentlichen ...
§ 14 BSIG Bußgeldvorschriften (vom 28.05.2021)
... 7d, oder § 8a Absatz 3 Satz 5, b) § 7a Absatz 2 Satz 1 oder c) § 8b Absatz 6 Satz 1 , auch in Verbindung mit Satz 2, oder § 8c Absatz 4 Satz 1 zuwiderhandelt, ... nicht oder nicht rechtzeitig erbringt, 4. entgegen § 8a Absatz 4 Satz 2 oder § 8b Absatz 3a das Betreten eines dort genannten Raums nicht gestattet, eine dort genannte Unterlage nicht oder ... erteilt oder Unterstützung nicht oder nicht rechtzeitig gewährt, 5. entgegen § 8b Absatz 3 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 oder entgegen § 8f ... oder eine dort genannte Stelle nicht oder nicht rechtzeitig benennt, 6. entgegen § 8b Absatz 3 Satz 4 nicht sicherstellt, dass er erreichbar ist, 7. entgegen § 8b Absatz 4 Satz 1, ... § 8b Absatz 3 Satz 4 nicht sicherstellt, dass er erreichbar ist, 7. entgegen § 8b Absatz 4 Satz 1 , § 8c Absatz 3 Satz 1 oder § 8f Absatz 7 Satz 1 oder Absatz 8 Satz 1 eine Meldung nicht, ...
 
Zitat in folgenden Normen

Atomgesetz
neugefasst durch B. v. 15.07.1985 BGBl. I S. 1565; zuletzt geändert durch Artikel 1 G. v. 10.08.2021 BGBl. I S. 3530
§ 44b AtG Meldewesen für die Sicherheit in der Informationstechnik (vom 30.06.2017)
... für Sicherheit in der Informationstechnik als zentrale Meldestelle zu melden. § 8b Absatz 1, 2 Nummer 1 bis 3, Nummer 4 Buchstabe a bis c und Absatz 7 des BSI-Gesetzes *) sind entsprechend anzuwenden. Die Meldung muss Angaben zu der Störung sowie zu ...
 
Zitate in Änderungsvorschriften

Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union
G. v. 23.06.2017 BGBl. I S. 1885
Artikel 1 BSIGuaÄndG Änderung des BSI-Gesetzes
... 1 begründeten." c) Der bisherige Absatz 4 wird Absatz 5. 7. § 8b wird wie folgt geändert: a) Absatz 2 Nummer 4 wird wie folgt geändert: ... zu den Auswirkungen der Störung auf diese Dienstleistung" ersetzt. 8. Nach § 8b wird folgender § 8c eingefügt: „§ 8c Besondere Anforderungen an ... gemessen an den Parametern nach Satz 2 zu bewerten. Für den Inhalt der Meldungen gilt § 8b Absatz 3 entsprechend, soweit nicht Durchführungsakte der Kommission nach Artikel 16 Absatz 9 der ... werden die Wörter „und § 8c Absatz 4" und nach den Wörtern „ § 8b Absatz 4 " werden die Wörter „und § 8c Absatz 4" eingefügt. bb) ... „(2) Zugang zu den Akten des Bundesamtes in Angelegenheiten nach den §§ 8a bis 8c wird bei Vorliegen der Voraussetzungen des § 29 des Verwaltungsverfahrensgesetzes nur ...

IT-Sicherheitsgesetz
G. v. 17.07.2015 BGBl. I S. 1324; zuletzt geändert durch Artikel 6 Abs. 2 G. v. 18.05.2021 BGBl. I S. 1122
Artikel 1 ITSiG Änderung des BSI-Gesetzes
... Zuständigkeiten anderer Stellen; 17. Aufgaben nach den §§ 8a und 8b als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer ... empfehlenden Charakter." 7. Nach § 8 werden die folgenden §§ 8a bis 8d eingefügt: „§ 8a Sicherheit in der Informationstechnik ... betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen. § 8b Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen ... anzuwenden. § 8c Anwendungsbereich (1) Die §§ 8a und 8b sind nicht anzuwenden auf Kleinstunternehmen im Sinne der Empfehlung 2003/361/EC der Kommission ... mit den Anforderungen nach § 8a vergleichbar oder weitergehend sind. (3) § 8b Absatz 3 bis 5 ist nicht anzuwenden auf 1. Betreiber Kritischer Infrastrukturen, ... Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8b Absatz 3 bis 5 vergleichbar oder weitergehend sind. § 8d Auskunftsverlangen ... im Rahmen von § 8a Absatz 2 und 3 erhaltenen Informationen sowie zu den Meldungen nach § 8b Absatz 4 nur erteilen, wenn schutzwürdige Interessen des betroffenen Betreibers Kritischer ... (2) Zugang zu den Akten des Bundesamtes in Angelegenheiten nach den §§ 8a und 8b wird nur Verfahrensbeteiligten gewährt und dies nach Maßgabe von § 29 des ... Nummer 1 oder b) Nummer 2 zuwiderhandelt, 3. entgegen § 8b Absatz 3 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 eine ... Satz 1 eine Kontaktstelle nicht oder nicht rechtzeitig benennt oder 4. entgegen § 8b Absatz 4 Satz 1 Nummer 2 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht ...
Artikel 2 ITSiG Änderung des Atomgesetzes
... für Sicherheit in der Informationstechnik als zentrale Meldestelle zu melden. § 8b Absatz 1, 2 und 7 des BSI-Gesetzes sind entsprechend anzuwenden. Die Meldung muss Angaben zu der ...

Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU)
G. v. 20.11.2019 BGBl. I S. 1626
Artikel 13 2. DSAnpUG-EU Änderung des BSI-Gesetzes
... die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen." 8. § 8b Absatz 7 wird wie folgt geändert: a) Satz 1 wird wie folgt geändert: aa) ...

Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
G. v. 18.05.2021 BGBl. I S. 1122, 4304
Artikel 1 2. ITSiG Änderung des BSI-Gesetzes
... Satz 2 Nummer 17 wird wie folgt gefasst: „17. Aufgaben nach den §§ 8a bis 8c und 8f als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer ... Kritischer Infrastrukturen und Unternehmen im öffentlichen Interesse gemäß § 8b Absatz 2 Nummer 4 Buchstabe a über die sie betreffenden Informationen zu unterrichten. (4) Eine Weitergabe nach ... 1" durch die Wörter „den Absätzen 1 und 1a" ersetzt. 14. § 8b wird wie folgt geändert: a) Absatz 2 wird wie folgt geändert:  ... anzuwenden." c) In Absatz 3 in dem einleitenden Satzteil wird die Angabe „ § 8b Absatz 4" durch die Wörter „§ 8b Absatz 4 und 4a" ersetzt.  ... einleitenden Satzteil wird die Angabe „§ 8b Absatz 4" durch die Wörter „ § 8b Absatz 4 und 4a" ersetzt. 17. § 8e wird wie folgt geändert: a) Die ... 2 und 3, § 8c Absatz 4 und § 8f erhaltenen Informationen sowie zu den Meldungen nach § 8b Absatz 4, 4a und 4b sowie § 8c Absatz 4 nur erteilen, wenn 1. schutzwürdige Interessen des ... (2) Zugang zu den Akten des Bundesamtes in Angelegenheiten nach den §§ 8a bis 8c und 8f wird bei Vorliegen der Voraussetzungen des § 29 des ... erreichbare Stelle zu benennen. Die Übermittlung von Informationen durch das Bundesamt nach § 8b Absatz 2 Nummer 4 erfolgt an diese Stelle. (6) Unternehmen im besonderen öffentlichen Interesse ... erreichbaren Stelle vornehmen. Die Übermittlung von Informationen durch das Bundesamt nach § 8b Absatz 2 Nummer 4 erfolgt an diese Stelle. (7) Unternehmen im besonderen öffentlichen Interesse ... 7d, oder § 8a Absatz 3 Satz 5, b) § 7a Absatz 2 Satz 1 oder c) § 8b Absatz 6 Satz 1 , auch in Verbindung mit Satz 2, oder § 8c Absatz 4 Satz 1 zuwiderhandelt, ... nicht oder nicht rechtzeitig erbringt, 4. entgegen § 8a Absatz 4 Satz 2 oder § 8b Absatz 3a das Betreten eines dort genannten Raums nicht gestattet, eine dort genannte Unterlage nicht oder ... erteilt oder Unterstützung nicht oder nicht rechtzeitig gewährt, 5. entgegen § 8b Absatz 3 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 oder entgegen § 8f ... oder eine dort genannte Stelle nicht oder nicht rechtzeitig benennt, 6. entgegen § 8b Absatz 3 Satz 4 nicht sicherstellt, dass er erreichbar ist, 7. entgegen § 8b Absatz 4 Satz 1, ... § 8b Absatz 3 Satz 4 nicht sicherstellt, dass er erreichbar ist, 7. entgegen § 8b Absatz 4 Satz 1 , § 8c Absatz 3 Satz 1 oder § 8f Absatz 7 Satz 1 oder Absatz 8 Satz 1 eine Meldung nicht, ...
Artikel 6 2. ITSiG Evaluierung
... Ziele 1. bis zum 1. Mai 2023 hinsichtlich des § 2 Absatz 10, der §§ 8a, 8b , 8d und 8e sowie § 10 Absatz 1 des BSI-Gesetzes (Artikel 1) und 2. bis zum 1. Mai ...