§ 8b BSIG, Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen

§ 8b BSIG
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)
Bundesrecht
Titel: Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)
Normgeber: Bund
Amtliche Abkürzung: BSIG
Gliederungs-Nr.: 206-2
Normtyp: Gesetz

(1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik.

(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe

  1. 1.

    die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentlichen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Sicherheitslücken, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und zu der dabei beobachteten Vorgehensweise,

  2. 2.

    deren potentielle Auswirkungen auf die Verfügbarkeit der Kritischen Infrastrukturen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu analysieren,

  3. 3.

    das Lagebild bezüglich der Sicherheit in der Informationstechnik der Kritischen Infrastrukturen kontinuierlich zu aktualisieren und

  4. 4.

    unverzüglich

    1. a)

      die Betreiber Kritischer Infrastrukturen über sie betreffende Informationen nach den Nummern 1 bis 3,

    2. b)

      die zuständigen Aufsichtsbehörden und die sonst zuständigen Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3 sowie

    3. c)

      die zuständigen Aufsichtsbehörden der Länder oder die zu diesem Zweck dem Bundesamt von den Ländern als zentrale Kontaktstellen benannten Behörden über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3

    zu unterrichten.

(3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 eine Kontaktstelle für die Kommunikationsstrukturen nach § 3 Absatz 1 Satz 2 Nummer 15 zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle.

(4) Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen

  1. 1.

    führen können oder

  2. 2.

    geführt haben,

über die Kontaktstelle unverzüglich an das Bundesamt zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

(5) Zusätzlich zu ihrer Kontaktstelle nach Absatz 3 können Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, eine gemeinsame übergeordnete Ansprechstelle benennen. Wurde eine solche benannt, erfolgt der Informationsaustausch zwischen den Kontaktstellen und dem Bundesamt in der Regel über die gemeinsame Ansprechstelle.

(6) Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen. Satz 1 gilt für Störungen bei Betreibern und Genehmigungsinhabern im Sinne von § 8c Absatz 3 entsprechend.

(7) Soweit im Rahmen dieser Vorschrift personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung und Nutzung zu anderen Zwecken unzulässig. § 5 Absatz 7 Satz 3 bis 8 ist entsprechend anzuwenden. Im Übrigen sind die Regelungen des Bundesdatenschutzgesetzes anzuwenden.

Diese Artikel im Bereich Internet, IT und Telekommunikation könnten Sie interessieren

Phishing – Vorsicht vor Mail der „Staatsanwaltschaft Nürnberg-Fürth“

Phishing – Vorsicht vor Mail der „Staatsanwaltschaft Nürnberg-Fürth“

Wer von der „Staatsanwaltschaft Nürnberg-Fürth“ eine „Vorladung“ per Mail erhält, sollte aufpassen. Es handelt sich um eine Phishing Falle. mehr

Netzagentur verbietet Spielzeugpuppe Cayla - getarnte Abhöranlage

Netzagentur verbietet Spielzeugpuppe Cayla - getarnte Abhöranlage

Eltern werden aufgefordert, in ihrem Besitz befindliche Cayla-Puppen zu zerstören. mehr

Wie gestalte ich meinen Internetauftritt B2B-fest? Zugleich eine Besprechung des OLG Hamm-Urteils vom 16. November 2016 (AZ 1-12 U 52/16)

Wie gestalte ich meinen Internetauftritt B2B-fest?  Zugleich eine Besprechung des OLG Hamm-Urteils vom 16. November 2016  (AZ 1-12 U 52/16)

B2B-Unternehmen müssen weniger Informationspflichten genügen als B2C-Unternehmen. Aber anhand welcher Kriterien entscheidet sich, ob ein Gericht eine Webseite als nur auf Unternehmer oder auch auf… mehr