BSI-Gesetz
Das deutsche BSI-Gesetz (BSIG) enthält Regelungen in Bezug auf das Bundesamt für Sicherheit in der Informationstechnik.
Basisdaten | |
---|---|
Titel: | Gesetz über das Bundesamt für Sicherheit in der Informationstechnik |
Kurztitel: | BSI-Gesetz |
Früherer Titel: | Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Errichtungsgesetz) |
Abkürzung: | BSIG |
Art: | Bundesgesetz |
Geltungsbereich: | Bundesrepublik Deutschland |
Rechtsmaterie: | Polizei- und Ordnungsrecht |
Fundstellennachweis: | 206-2 |
Ursprüngliche Fassung vom: | 17. Dezember 1990 (BGBl. 1990 I S. 2834) |
Inkrafttreten am: | 1. Januar 1991 |
Letzte Neufassung vom: | 14. August 2009 (BGBl. 2009 I S. 2821) |
Inkrafttreten der Neufassung am: |
20. August 2009 |
Letzte Änderung durch: | Art. 12 G vom 23. Juni 2021 (BGBl. I S. 1982, 2001) |
Inkrafttreten der letzten Änderung: |
1. Dezember 2021 (Art. 14 G vom 23. Juni 2021) |
GESTA: | E062 |
Weblink: | Text des BSIG |
Bitte den Hinweis zur geltenden Gesetzesfassung beachten. |
Gliederung
Das Gesetz hat folgende Gliederung:
- § 1 Bundesamt für Sicherheit in der Informationstechnik
- § 2 Begriffsbestimmungen
- § 3 Aufgaben des Bundesamtes
- § 4 Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes
- § 5 Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes
- § 5a Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen
- § 6 Löschung
- § 7 Warnungen
- § 7a Untersuchung der Sicherheit in der Informationstechnik
- § 8 Vorgaben des Bundesamtes
- § 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen
- § 8b Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen
- § 8c Besondere Anforderungen an Anbieter digitaler Dienste
- § 8d Anwendungsbereich
- § 8e Auskunftsverlangen
- § 9 Zertifizierung
- § 10 Ermächtigung zum Erlass von Rechtsverordnungen
- § 11 Einschränkung von Grundrechten
- § 12 Rat der IT-Beauftragten der Bundesregierung
- § 13 Berichtspflichten
- § 14 Bußgeldvorschriften
- § 15 Anwendbarkeit der Vorschriften für Anbieter digitaler Dienste
Inhalt
Gemäß § 1 unterhält der Bund ein Bundesamt für Sicherheit in der Informationstechnik als Bundesoberbehörde. Es ist zuständig für die Informationssicherheit auf nationaler Ebene. Es untersteht dem Bundesministerium des Innern, für Bau und Heimat (BMI).
Mit der Neufassung des Gesetzes 2009 wurde der Aufgabenkatalog des BSI erheblich erweitert und dem BSI eigene Befugnisse eingeräumt, ohne auf Amtshilfeersuchen angewiesen zu sein. Vorrangige Aufgabe des BSI ist die Förderung der Sicherheit in der Informationstechnik (§ 3 Abs. 1 BSIG), wobei letzteres alle technischen Mittel zur Verarbeitung und Übertragung von Informationen sind (§ 2 Abs. 1 BSIG).
Zu den Aufgaben zählen im Einzelnen z. B.
- Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes
- Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen
- Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen
- Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen
- Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen
- Herstellung von Schlüsseldaten und Betrieb von Krypto- und Sicherheitsmanagementsystemen für informationssichernde Systeme des Bundes
Das BSI kann die Länder auf Ersuchen bei der Sicherung ihrer Informationstechnik unterstützen (§ 3 Abs. 2 BSIG). Soweit es personenbezogene Daten erhoben hat, sind diese unverzüglich zu löschen, wenn diese nicht mehr benötigt werden (§ 6 Abs. 1 BSIG). Das BSI kann vor Sicherheitslücken und Schadprogrammen warnen und den Einsatz bestimmter Sicherheitsprodukte empfehlen (§ 7 Abs. 1 BSIG). Es erarbeitet ferner Mindeststandards für die Sicherheit der Informationstechnik des Bundes (§ 8 Abs. 1 BSIG). Das BSI ist die nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit. Das Bundesamt unterrichtet das BMI über seine Tätigkeit (§ 13 Abs. 1 BSIG).
Schutz kritischer Infrastrukturen
Das BMI bestimmt durch Rechtsverordnung, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen gelten (§ 10 Abs. 1 Satz 1 BSIG). Deren Betreiber sind verpflichtet, unter Berücksichtigung des Standes der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen (§ 8 Abs. 1 Satz 1, 2 BSIG). Wer vorsätzlich oder fahrlässig solche Vorkehrungen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig trifft, handelt ordnungswidrig. Die Geldbuße kann bis zu 50.000 Euro betragen (§ 14 BSIG).
Einschränkung von Grundrechten
Nach dem Zitiergebot legt § 11 BSIG fest, dass durch die §§ 5 und 5a BSIG das Fernmeldegeheimnis (Artikel 10 des Grundgesetzes) eingeschränkt wird.
Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik
Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten (§ 5 Abs. 1 Satz 1 BSIG). Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines informationstechnischen Systems einer Stelle des Bundes oder eines Betreibers einer Kritischen Infrastruktur um einen herausgehobenen Fall, so kann das Bundesamt die Maßnahmen treffen, die zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich sind (§ 5a Abs. 1 Satz 1 BSIG). Dazu darf es personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten erheben und verarbeiten (§ 5a Abs. 3 Satz 1 BSIG).
Zusammenarbeit mit Sicherheitsbehörden
Das BSI unterstützt Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben. Es unterstützt ferner das Bundesamt für Verfassungsschutz (BfV), den Militärischen Abschirmdienst (MAD) und die Landesbehörden für Verfassungsschutz bei der Auswertung und Bewertung von Informationen, die bei der Beobachtung terroristischer Bestrebungen oder nachrichtendienstlicher Tätigkeiten anfallen, sowie den Bundesnachrichtendienst bei der Wahrnehmung seiner gesetzlichen Aufgaben. Die Unterstützung darf nur gewährt werden, soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen (§ 3 Abs. 1 Satz 2 Nr. 13 BSIG). Es darf personenbezogene Daten unter den Voraussetzungen des § 5 BSIG an diese Behörden übermitteln.
Literatur
- Wolf-Rüdiger Schenke, Kurt Graulich, Josef Ruthig: Sicherheitsrecht des Bundes – BPolG, BKAG, ATDG, BVerfSchG, BNDG, VereinsG. 2. Auflage. C.H. Beck, München 2019, ISBN 978-3-406-71602-7, S. 1733–1788.
Weblinks
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG). In: https://www.bsi.bund.de/. BSI, abgerufen am 13. Januar 2019.