Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 

Synopse aller Änderungen des BSIG am 01.12.2021

Diese Gegenüberstellung vergleicht die jeweils alte Fassung (linke Spalte) mit der neuen Fassung (rechte Spalte) aller am 1. Dezember 2021 durch Artikel 1 des 2. ITSiG geänderten Einzelnormen. Synopsen für andere Änderungstermine finden Sie in der Änderungshistorie des BSIG.

Hervorhebungen: alter Text, neuer Text

Änderung verpasst?

BSIG a.F. (alte Fassung)
in der vor dem 01.12.2021 geltenden Fassung
BSIG n.F. (neue Fassung)
in der am 01.12.2021 geltenden Fassung
durch Artikel 1 G. v. 18.05.2021 BGBl. I S. 1122, 4304

Gliederung

(Textabschnitt unverändert)

§ 1 Bundesamt für Sicherheit in der Informationstechnik
§ 2 Begriffsbestimmungen
§ 3 Aufgaben des Bundesamtes
§ 3a Verarbeitung personenbezogener Daten
§ 4 Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes
(Text alte Fassung) nächste Änderung

 
(Text neue Fassung)

§ 4a Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte
§ 4b Allgemeine Meldestelle für die Sicherheit in der Informationstechnik
§ 5 Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes
vorherige Änderung nächste Änderung

 


§ 5a Verarbeitung behördeninterner Protokollierungsdaten
§ 5b Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen
§ 5c Bestandsdatenauskunft
§ 6 Beschränkungen der Rechte der betroffenen Person
§ 6a Informationspflicht bei Erhebung von personenbezogenen Daten
§ 6b Auskunftsrecht der betroffenen Person
§ 6c Recht auf Berichtigung
§ 6d Recht auf Löschung
§ 6e Recht auf Einschränkung der Verarbeitung
§ 6f Widerspruchsrecht
§ 7 Warnungen
§ 7a Untersuchung der Sicherheit in der Informationstechnik
§ 7b Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden
§ 7c Anordnungen des Bundesamtes gegenüber Diensteanbietern
§ 7d Anordnungen des Bundesamtes gegenüber Anbietern von Telemediendiensten
§ 8 Vorgaben des Bundesamtes
§ 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen
§ 8b Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen
§ 8c Besondere Anforderungen an Anbieter digitaler Dienste
§ 8d Anwendungsbereich
§ 8e Auskunftsverlangen
§ 8f Sicherheit in der Informationstechnik bei Unternehmen im besonderen öffentlichen Interesse
§ 9 Zertifizierung
§ 9a Nationale Behörde für die Cybersicherheitszertifizierung
§ 9b Untersagung des Einsatzes kritischer Komponenten
§ 9c Freiwilliges IT-Sicherheitskennzeichen
§ 10 Ermächtigung zum Erlass von Rechtsverordnungen
§ 11 Einschränkung von Grundrechten
§ 12 Rat der IT-Beauftragten der Bundesregierung
§ 13 Berichtspflichten
§ 14 Bußgeldvorschriften
§ 14a Institutionen der Sozialen Sicherung
§ 15 Anwendbarkeit der Vorschriften für Anbieter digitaler Dienste
vorherige Änderung nächste Änderung

§ 4a (neu)




§ 4a Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte


vorherige Änderung nächste Änderung

 


(1) 1 Das Bundesamt ist befugt, die Sicherheit der Kommunikationstechnik des Bundes und ihrer Komponenten, einschließlich technischer Infrastrukturen, die zum Betrieb der Kommunikationstechnik des Bundes erforderlich sind, zu kontrollieren. 2 Es kann hierzu die Bereitstellung der zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1 und 14 erforderlichen Informationen, insbesondere zu technischen Details, zu Strategien, Planungen und Regelungen mit Bezug zur Kommunikationstechnik des Bundes einschließlich Aufbau- und Ablauforganisation verlangen sowie Unterlagen und Datenträger des Betreibers der jeweiligen Kommunikationstechnik des Bundes oder eines mit Betriebsleistungen beauftragten Dritten einsehen und die unentgeltliche Herausgabe von Kopien dieser Unterlagen und Dokumente, auch in elektronischer Form, verlangen, soweit nicht Geheimschutzinteressen oder überwiegende Sicherheitsinteressen des Betreibers im Sinne des Satzes 2 entgegenstehen.

(2) Dem Bundesamt ist in den Zeiten, zu denen die Räume normalerweise für die jeweilige geschäftliche oder betriebliche Nutzung zur Verfügung stehen, zu den Grundstücken und Betriebsräumen, einschließlich Datenverarbeitungsanlagen und -geräten, die für die Kommunikationstechnik des Bundes verwendet werden, Zugang zu gewähren, soweit dies zur Erfüllung der Zwecke nach Absatz 1 erforderlich ist.

(3) 1 Bei Einrichtungen eines Dritten, bei dem eine Schnittstelle zur Kommunikationstechnik des Bundes besteht, kann das Bundesamt auf der Schnittstellenseite der Einrichtung nur mit Zustimmung des Dritten die Sicherheit der Schnittstelle kontrollieren. 2 Es kann hierzu mit Zustimmung des Dritten die zur Aufgabenerfüllung erforderlichen Informationen, insbesondere zu technischen Details, zu Strategien, Planungen und Regelungen sowie Unterlagen und Datenträger des Betreibers einsehen und unentgeltlich Kopien, auch in elektronischer Form, anfertigen.

(4) 1 Das Bundesamt teilt das Ergebnis seiner Kontrolle nach den Absätzen 1 bis 3 dem jeweiligen überprüften Betreiber sowie im Falle einer öffentlichen Stelle des Bundes der zuständigen Rechts- und Fachaufsicht mit. 2 Mit der Mitteilung soll es Vorschläge zur Verbesserung der Informationssicherheit, insbesondere zur Beseitigung der festgestellten Mängel, verbinden.

(5) 1 Ausgenommen von den Befugnissen nach den Absätzen 1 bis 3 sind Kontrollen der Auslandsinformations- und -kommunikationstechnik im Sinne des § 9 Absatz 2 des Gesetzes über den Auswärtigen Dienst, soweit sie ausschließlich im Ausland belegen ist oder für das Ausland oder für Anwender im Ausland betrieben wird. 2 Die Bestimmungen für die Schnittstellen der Kommunikationstechnik des Bundes im Inland bleiben davon unberührt. 3 Näheres zu Satz 1 regelt eine Verwaltungsvereinbarung zwischen dem Bundesministerium des Innern, für Bau und Heimat und dem Auswärtigen Amt.

(6) 1 Die Befugnisse nach den Absätzen 1 bis 3 gelten im Geschäftsbereich des Bundesministeriums der Verteidigung nicht für die Kontrolle der Informations- und Kommunikationstechnik, die von den Streitkräften für ihre Zwecke oder dem Militärischen Abschirmdienst genutzt wird. 2 Nicht ausgenommen ist die Informations- und Kommunikationstechnik von Dritten, insbesondere von IT-Dienstleistern, soweit sie nicht ausschließlich für die Zwecke der Streitkräfte betrieben wird. 3 Die Bestimmungen für die Schnittstellen der Kommunikationstechnik des Bundes bleiben von den Sätzen 1 und 2 unberührt. 4 Näheres regelt eine Verwaltungsvereinbarung zwischen dem Bundesministerium des Innern, für Bau und Heimat und dem Bundesministerium der Verteidigung.

vorherige Änderung nächste Änderung

§ 4b (neu)




§ 4b Allgemeine Meldestelle für die Sicherheit in der Informationstechnik


vorherige Änderung nächste Änderung

 


(1) Zur Wahrnehmung der Aufgaben nach § 3 nimmt das Bundesamt als zentrale Stelle für Meldungen von Dritten Informationen über Sicherheitsrisiken in der Informationstechnik entgegen und wertet diese Informationen aus.

(2) 1 Das Bundesamt nimmt zur Wahrnehmung der Aufgaben nach Absatz 1 Informationen zu Sicherheitslücken, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweisen entgegen. 2 Das Bundesamt richtet hierzu geeignete Meldemöglichkeiten ein. 3 Die Meldungen können anonym erfolgen. 4 Soweit die Meldung nicht anonym erfolgt, kann der Meldende mit der Meldung oder später verlangen, dass seine personenbezogenen Daten nur anonymisiert weitergegeben werden dürfen. 5 Dies gilt nicht in den Fällen des § 5 Absatz 5 und 6 Satz 1. 6 Eine Übermittlung der personenbezogenen Daten in den Fällen von § 5 Absatz 5 und 6 Satz 1 hat zu unterbleiben, wenn für das Bundesamt erkennbar ist, dass die schutzwürdigen Interessen des Meldenden das Allgemeininteresse an der Übermittlung überwiegen. 7 Zu berücksichtigen ist dabei auch die Art und Weise, mittels derer der Meldende die Erkenntnisse gewonnen hat. 8 Die Entscheidung nach Satz 6 muss dem oder der behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem oder einer weiteren Bediensteten des Bundesamtes, der oder die die Befähigung zum Richteramt hat, zur vorherigen Prüfung vorgelegt werden.

(3) Das Bundesamt soll die gemäß Absatz 2 gemeldeten Informationen nutzen, um

1. Dritte über bekannt gewordene Sicherheitslücken, Schadprogramme, erfolgte oder versuchte Angriffe auf die Sicherheit in der Informationstechnik zu informieren, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist,

2. die Öffentlichkeit oder betroffene Kreise gemäß § 7 zu warnen und zu informieren,

3. Bundesbehörden gemäß § 4 Absatz 2 Nummer 2 über die sie betreffenden Informationen zu unterrichten,

4. Betreiber Kritischer Infrastrukturen und Unternehmen im öffentlichen Interesse gemäß § 8b Absatz 2 Nummer 4 Buchstabe a über die sie betreffenden Informationen zu unterrichten.

(4) Eine Weitergabe nach Absatz 3 Nummer 1, 2 oder 4 erfolgt nicht, soweit die gemäß Absatz 2 gemeldeten Informationen

1. Betriebs- und Geschäftsgeheimnisse von Dritten beinhalten und die Maßnahmen nach Absatz 3 nicht ohne Bekanntgabe dieser Betriebs- und Geschäftsgeheimnisse durchgeführt werden können oder

2. auf Grund von Vereinbarungen des Bundesamtes mit Dritten nicht übermittelt werden dürfen.

(5) Sonstige gesetzliche Meldepflichten, Regelungen zum Geheimschutz, gesetzliche Übermittlungshindernisse und Übermittlungsregelungen bleiben unberührt.

vorherige Änderung nächste Änderung

§ 5a (neu)




§ 5a Verarbeitung behördeninterner Protokollierungsdaten


vorherige Änderung nächste Änderung

 


1 Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes und ihrer Komponenten, einschließlich technischer Infrastrukturen, die zum Betrieb der Kommunikationstechnik des Bundes erforderlich sind, Protokollierungsdaten, die durch den Betrieb von Kommunikationstechnik des Bundes anfallen, verarbeiten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen, Fehlern oder Sicherheitsvorfällen in der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist und Geheimschutzinteressen oder überwiegende Sicherheitsinteressen der betroffenen Stellen nicht entgegenstehen. 2 Die Bundesbehörden sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu behördeninternen Protokollierungsdaten nach Satz 1 sicherzustellen. 3 Hierzu dürfen sie dem Bundesamt die entsprechenden Protokollierungsdaten übermitteln. 4 § 5 Absatz 1 Satz 5, Absatz 2 bis 4, 8 und 9 gilt entsprechend. 5 § 4a Absatz 6 gilt für die Verpflichtung nach Satz 2 entsprechend.

(heute geltende Fassung) 

§ 8 Vorgaben des Bundesamtes


vorherige Änderung nächste Änderung

(1) 1 Das Bundesamt erarbeitet Mindeststandards für die Sicherheit der Informationstechnik des Bundes. 2 Das Bundesministerium des Innern, für Bau und Heimat kann im Benehmen mit dem IT-Rat diese Mindeststandards ganz oder teilweise als allgemeine Verwaltungsvorschriften für alle Stellen des Bundes erlassen. 3 Das Bundesamt berät die Stellen des Bundes auf Ersuchen bei der Umsetzung und Einhaltung der Mindeststandards. 4 Für die in § 2 Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane haben die Vorschriften nach diesem Absatz empfehlenden Charakter.



(1) 1 Das Bundesamt legt im Benehmen mit den Ressorts Mindeststandards für die Sicherheit der Informationstechnik des Bundes fest, die von

1. Stellen
des Bundes,

2. Körperschaften, Anstalten
und Stiftungen des öffentlichen Rechts sowie ihren Vereinigungen ungeachtet ihrer Rechtsform auf Bundesebene, soweit von der jeweils zuständigen obersten Bundesbehörde angeordnet, sowie

3. öffentlichen Unternehmen, die mehrheitlich
im Eigentum des Bundes stehen und die IT-Dienstleistungen für die Bundesverwaltung erbringen,

umzusetzen sind. 2 Abweichungen von den Mindeststandards sind nur in sachlich gerechtfertigten Fällen zulässig und sind zu dokumentieren und zu begründen.
3 Das Bundesamt berät die in Satz 1 genannten Stellen auf Ersuchen bei der Umsetzung und Einhaltung der Mindeststandards. 4 Für die in § 2 Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane haben die Vorschriften nach Satz 1 empfehlenden Charakter. 5 Für die Verpflichtung nach Satz 1 gilt die Ausnahme nach § 4a Absatz 6 entsprechend.

(1a) 1 Das Bundesministerium des Innern, für Bau und Heimat kann im Benehmen mit der Konferenz der IT-Beauftragten der Ressorts bei bedeutenden Mindeststandards die Überwachung und Kontrolle ihrer Einhaltung durch das Bundesamt anordnen. 2 Das Bundesamt teilt das Ergebnis seiner Kontrolle der jeweiligen überprüften Stelle, deren zuständiger Aufsichtsbehörde sowie der Konferenz der IT-Beauftragten der Ressorts mit. 3 Für andere öffentlich-rechtlich oder privatrechtlich organisierte Stellen dürfen nur dann Schnittstellen zur Kommunikationstechnik des Bundes eingerichtet werden, soweit die für die Einrichtung verantwortliche Stelle vertraglich sicherstellt, dass die öffentlich- oder privatrechtlich organisierte Stelle sich zur Einhaltung der Mindeststandards verpflichtet. 4 Das Bundesamt kann im Einvernehmen mit dem Dritten die Einhaltung der Mindeststandards überprüfen und kontrollieren.


(2) 1 Das Bundesamt stellt im Rahmen seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 10 technische Richtlinien bereit, die von den Stellen des Bundes als Rahmen für die Entwicklung sachgerechter Anforderungen an Auftragnehmer (Eignung) und IT-Produkte (Spezifikation) für die Durchführung von Vergabeverfahren berücksichtigt werden. 2 Die Vorschriften des Vergaberechts und des Geheimschutzes bleiben unberührt.

vorherige Änderung

(3) 1 Die Bereitstellung von IT-Sicherheitsprodukten durch das Bundesamt nach § 3 Absatz 1 Satz 2 Nummer 11 erfolgt durch Eigenentwicklung oder nach Durchführung von Vergabeverfahren aufgrund einer entsprechenden Bedarfsfeststellung. 2 IT-Sicherheitsprodukte können nur in begründeten Ausnahmefällen durch eine Eigenentwicklung des Bundesamtes zur Verfügung gestellt werden. 3 Die Vorschriften des Vergaberechts bleiben unberührt. 4 Wenn das Bundesamt IT-Sicherheitsprodukte bereitstellt, können die Bundesbehörden diese Produkte beim Bundesamt abrufen. 5 Durch Beschluss des Rats der IT-Beauftragten der Bundesregierung kann festgelegt werden, dass die Bundesbehörden verpflichtet sind, diese Produkte beim Bundesamt abzurufen. 6 Eigenbeschaffungen anderer Bundesbehörden sind in diesem Fall nur zulässig, wenn das spezifische Anforderungsprofil den Einsatz abweichender Produkte erfordert. 7 Die Sätze 5 und 6 gelten nicht für die in § 2 Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane.



(3) 1 Die Bereitstellung von IT-Sicherheitsprodukten durch das Bundesamt nach § 3 Absatz 1 Satz 2 Nummer 11 erfolgt durch Eigenentwicklung oder nach Durchführung von Vergabeverfahren aufgrund einer entsprechenden Bedarfsfeststellung. 2 IT-Sicherheitsprodukte können nur in begründeten Ausnahmefällen durch eine Eigenentwicklung des Bundesamtes zur Verfügung gestellt werden. 3 Die Vorschriften des Vergaberechts bleiben unberührt. 4 Wenn das Bundesamt IT-Sicherheitsprodukte bereitstellt, können die Stellen des Bundes oder von ihnen beauftragte Dritte diese Produkte beim Bundesamt abrufen. 5 Durch Beschluss des Rats der IT-Beauftragten der Bundesregierung kann festgelegt werden, dass die Bundesbehörden verpflichtet sind, diese Produkte beim Bundesamt abzurufen. 6 Eigenbeschaffungen anderer Bundesbehörden sind in diesem Fall nur zulässig, wenn das spezifische Anforderungsprofil den Einsatz abweichender Produkte erfordert. 7 Die Sätze 5 und 6 gelten nicht für die in § 2 Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane.

(4) Zur Gewährleistung der Sicherheit in der Informationstechnik bei der Planung und Umsetzung von wesentlichen Digitalisierungsvorhaben des Bundes soll die jeweils verantwortliche Stelle das Bundesamt frühzeitig beteiligen und dem Bundesamt Gelegenheit zur Stellungnahme geben.