1122
Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 25, ausgegeben zu Bonn am 27. Mai 2021
Zweites Gesetz
zur Erhöhung der Sicherheit informationstechnischer Systeme*
Vom 18. Mai 2021
Der Bundestag hat das folgende Gesetz beschlossen:
Artikel 1
Änderung
des BSI-Gesetzes
Das BSI-Gesetz vom 14. August 2009 (BGBl. I
S. 2821), das zuletzt durch Artikel 73 der Verordnung
vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden
ist, wird wie folgt geändert:
1. § 1 wird wie folgt gefasst:
㤠1
Bundesamt für Sicherheit
in der Informationstechnik
Das Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) ist eine Bundesoberbehörde im Geschäftsbereich des Bundesministeriums des Innern, für Bau und Heimat. Es ist die
zentrale Stelle für Informationssicherheit auf nationaler Ebene. Aufgaben gegenüber den Bundesministerien führt das Bundesamt auf Grundlage
wissenschaftlich-technischer Erkenntnisse durch.“
2. § 2 wird wie folgt geändert:
a) Absatz 2 wird wie folgt geändert:
aa) Die folgenden Sätze werden vorangestellt:
austausch innerhalb einer Bundesbehörde,
der Bundesbehörden untereinander oder
der Bundesbehörden mit Dritten dient.“
bb) In Satz 2 werden vor den Wörtern „der Bundesgerichte“ die Wörter „des Bundesverfassungsgerichts“ und ein Komma eingefügt.
c) Nach Absatz 8 wird folgender Absatz 8a eingefügt:
„(8a) Protokollierungsdaten im Sinne dieses
Gesetzes sind Aufzeichnungen über technische
Ereignisse oder Zustände innerhalb informationstechnischer Systeme.“
d) Nach Absatz 9 werden die folgenden Absätze 9a
und 9b eingefügt:
„(9a) IT-Produkte im Sinne dieses Gesetzes
sind Software, Hardware sowie alle einzelnen
oder miteinander verbundenen Komponenten,
die Informationen informationstechnisch verarbeiten.
(9b) Systeme zur Angriffserkennung im Sinne
dieses Gesetzes sind durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen
auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich
der in einem informationstechnischen System
verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten.“
„Informationen sowie informationsverarbeitende Systeme, Komponenten und Prozesse sind besonders schützenswert. Der
Zugriff auf diese darf ausschließlich durch
autorisierte Personen oder Programme erfolgen. Die Sicherheit in der Informationstechnik und der damit verbundene Schutz
von Informationen und informationsverarbeitenden Systemen vor Angriffen und unautorisierten Zugriffen im Sinne dieses Gesetzes erfordert die Einhaltung bestimmter
Sicherheitsstandards zur Gewährleistung
der informationstechnischen Grundwerte
und Schutzziele.“
e) In Absatz 10 Satz 1 Nummer 1 wird das Wort
„sowie“ durch ein Komma ersetzt und werden
nach dem Wort „Versicherungswesen“ die Wörter „sowie Siedlungsabfallentsorgung“ eingefügt.
bb) In dem neuen Satz 4 wird das Wort „Unversehrtheit“ durch das Wort „Integrität“ ersetzt.
1. die in Kritischen Infrastrukturen eingesetzt
werden,
b) Absatz 3 wird wie folgt geändert:
aa) Satz 1 wird wie folgt gefasst:
„Kommunikationstechnik des Bundes im
Sinne dieses Gesetzes ist die Informationstechnik, die von einer oder mehreren Bundesbehörden oder im Auftrag einer oder
mehrerer Bundesbehörden betrieben wird
und der Kommunikation oder dem Daten* Notifiziert gemäß der Richtlinie (EU) 2015/1535 des Europäischen
Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der
Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241
vom 17.9.2015, S. 1).
f) Die folgenden Absätze 13 und 14 werden angefügt:
„(13) Kritische Komponenten im Sinne dieses
Gesetzes sind IT-Produkte,
2. bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu
einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit Kritischer Infrastrukturen oder zu Gefährdungen
für die öffentliche Sicherheit führen können
und
3. die auf Grund eines Gesetzes unter Verweis
auf diese Vorschrift
a) als kritische Komponente bestimmt werden oder
b) eine auf Grund eines Gesetzes als kritisch
bestimmte Funktion realisieren.
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de