Gesetzesbeschluss des Deutschen Bundestages
Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
(IT-Sicherheitsgesetz)

Der Deutsche Bundestag hat in seiner 110. Sitzung am 12. Juni 2015 aufgrund der Beschlussempfehlung und des Berichts des Innenausschusses - Drucksache 18/5121 - den von der Bundesregierung eingebrachten Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) - Drucksache 18/4096 - mit beigefügten Maßgaben, im Übrigen unverändert angenommen.
Fristablauf: 10.07.15
Erster Durchgang: Drucksache. 643/14 (PDF)

1. Artikel 1 wird wie folgt geändert:

• a) Nach Nummer 4 wird folgende Nummer 4a eingefügt:

  "4a. § 5 Absatz 1 wird wie folgt geändert:

  • a) Satz 4 wird wie folgt gefasst:

    "Die Bundesbehörden sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu behördeninternen Protokolldaten nach Satz 1 Nummer 1 sowie Schnittstellendaten nach Satz 1 Nummer 2 sicherzustellen."

  • b) Folgender Satz wird angefügt:

    "Protokolldaten der Bundesgerichte dürfen nur in deren Einvernehmen erhoben werden." "

• b) In Nummer 6 wird Absatz 2 wie folgt gefasst:

  (2) Die aus den Untersuchungen gewonnenen Erkenntnisse dürfen nur zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 14 und 17 genutzt werden. Das Bundesamt darf seine Erkenntnisse weitergeben und veröffentlichen, soweit dies zur Erfüllung dieser Aufgaben erforderlich ist. Zuvor ist dem Hersteller der betroffenen Produkte und Systeme mit angemessener Frist Gelegenheit zur Stellungnahme zu geben."

• c) Nach Nummer 6 wird folgende Nummer 6a eingefügt:

  "6a. § 8 Absatz 1 wird wie folgt gefasst:

  (1) Das Bundesamt erarbeitet Mindeststandards für die Sicherheit der Informationstechnik des Bundes. Das Bundesministerium des Innern kann im Benehmen mit dem IT-Rat diese Mindeststandards ganz oder teilweise als allgemeine Verwaltungsvorschriften für alle Stellen des Bundes erlassen. Das Bundesamt berät die Stellen des Bundes auf Ersuchen bei der Umsetzung und Einhaltung der Mindeststandards. Für die in § 2 Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane haben die Vorschriften nach diesem Absatz empfehlenden Charakter." "

• d) Nummer 7 wird wie folgt geändert:
  • aa) § 8a wird wie folgt geändert:
    • aaa) Absatz 1 Satz 2 wird wie folgt gefasst:

      "Dabei soll der Stand der Technik eingehalten werden."

    • bbb) Absatz 3 Satz 4 wird wie folgt gefasst:

      "Das Bundesamt kann bei Sicherheitsmängeln verlangen:

      • 1. die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und
      • 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel."
    • ccc) Folgender Absatz 4 wird angefügt:

      (4) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen."

  • bb) § 8b wird wie folgt geändert:
    • aaa) Absatz 4 Satz 1 und 2 wird wie folgt gefasst:

      "Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen

      • 1. führen können oder
      • 2. geführt haben,

      über die Kontaktstelle unverzüglich an das Bundesamt zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers enthalten."

    • bbb) Nach Absatz 5 wird folgender Absatz 6 eingefügt:

      (6) Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen. Satz 1 gilt für Störungen bei Betreibern und Genehmigungsinhabern im Sinne von § 8c Absatz 3 entsprechend."

    • ccc) Der bisherige Absatz 6 wird Absatz 7.
  • cc) In § 8c Absatz 2 Nummer 4 werden die Wörter "Betreiber Kritischer Infrastrukturen, die" durch die Wörter "Betreiber Kritischer Infrastrukturen, soweit sie" ersetzt.
• e) In Nummer 8 Buchstabe a wird nach Satz 1 folgender Satz eingefügt:

  "Der nach Satz 1 als bedeutend anzusehende Versorgungsgrad ist anhand von branchenspezifischen Schwellenwerten für jede wegen ihrer Bedeutung als kritisch anzusehende Dienstleistung im jeweiligen Sektor zu bestimmen."

• f) Nummer 9 wird wie folgt geändert:
  • aa) Die Wörter "Folgender § 13 wird" werden durch die Wörter "Die folgenden §§ 13 und 14 werden" ersetzt.
  • bb) Folgender § 14 wird angefügt:

    " § 14 Bußgeldvorschriften

    • (1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
      • 1. entgegen § 8a Absatz 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 eine dort genannte Vorkehrung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig trifft,
      • 2. einer vollziehbaren Anordnung nach § 8a Absatz 3 Satz 4
        • a) Nummer 1 oder
        • b) Nummer 2 zuwiderhandelt,
      • 3. entgegen § 8b Absatz 3 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 eine Kontaktstelle nicht oder nicht rechtzeitig benennt oder
      • 4. entgegen § 8b Absatz 4 Satz 1 Nummer 2 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht.
    • (2) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 1 Nummer 2 Buchstabe b mit einer Geldbuße bis zu hunderttausend Euro, in den übrigen Fällen des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.
    • (3) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist das Bundesamt."

2. In Artikel 2 wird in § 44b Satz 2 die Angabe "6" durch die Angabe "7" ersetzt.

3. In Artikel 5 Nummer 5 werden die Wörter "eine Beeinträchtigung von Telekommunikationsnetzen oder -diensten, die zu einer beträchtlichen Sicherheitsverletzung führt, nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig mitteilt" durch die Wörter "eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht" ersetzt.

4. Nach Artikel 9 wird folgender Artikel 10 eingefügt:

"Artikel 10
Evaluierung

Artikel 1 Nummer 2, 7 und 8 sind vier Jahre nach Inkrafttreten der Rechtsverordnung nach Artikel 1 Nummer 8 unter Einbeziehung eines wissenschaftlichen Sachverständigen, der im Einvernehmen mit dem Deutschen Bundestag bestellt wird, zu evaluieren."

5. Der bisherige Artikel 10 wird Artikel 11.