Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk

Änderungstext

Der Landtag des Freistaates Bayern hat das folgende Gesetz beschlossen, das hiermit bekannt gemacht wird:

§ 1
Änderung des Bayerischen Digitalgesetzes

Das Bayerische Digitalgesetz ( BayDiG) vom 22. Juli 2022 (GVBl. S. 374, BayRS 206-1-D), das zuletzt durch Art. 10 des Gesetzes vom 21. Juni 2024 (GVBl. S. 114) geändert worden ist, wird wie folgt geändert:

1. Dem Art. 41 wird folgender Satz 3 angefügt:

"Das Landesamt ist zuständige Behörde im Sinne des Art. 8 der Richtlinie (EU) 2022/2555."

2. Art. 42 wird wie folgt geändert:

a) Abs. 1 wird wie folgt geändert:

aa) In Nr. 5 werden nach dem Wort "Informationstechnik" die Wörter ", die Erkennung von Sicherheitsrisiken und die Bewertung von Sicherheitsvorkehrungen" eingefügt und das Wort "und" am Ende wird durch ein Komma ersetzt.

bb) In Nr. 6 wird der Punkt am Ende durch ein Komma ersetzt.

cc) Die folgenden Nrn. 7 bis 10 werden angefügt:

"7. als Computer-Notfallteam (CSIRT) im Sinne von Art. 10 der Richtlinie (EU) 2022/2555 die Aufgaben nach Art. 11 Abs. 3 der Richtlinie (EU) 2022/2555 wahrzunehmen,

8. an Peer Reviews nach Art. 19 der Richtlinie (EU) 2022/2555 mitzuwirken,

9. der Leitungsebene und den Beschäftigten von Behörden Schulungen im Bereich Cybersicherheit anzubieten und

10. Meldungen nach Art. 43 Abs. 3 Satz 3 und Art. 49b Abs. 5 sowie Informationen nach Art. 49a Abs. 3 an die nationale zentrale Anlaufstelle im Sinne des Art. 8 Abs. 3 der Richtlinie (EU) 2022/2555 zu übermitteln."

b) Folgender Abs. 5 wird angefügt:

"(5) Das Landesamt arbeitet mit dem Bundesamt für Sicherheit in der Informationstechnik, den für IT-Sicherheit in den Ländern und in den Mitgliedstaaten zuständigen Stellen, der Agentur der Europäischen Union für Cybersicherheit und den gemäß der Verordnung (EU) 2022/2554 und der Richtlinie (EU) 2022/2557 jeweils zuständigen Behörden zusammen."

3. Art. 43 wird wie folgt geändert:

a) In Abs. 1 Satz 2 wird nach dem Wort "technische" das Wort", operative" eingefügt und die Wörter "im Sinn von Art. 32 DSGVO und Art. 32 des Bayerischen Datenschutzgesetzes" werden gestrichen.

b) Nach Abs. 1 wird folgender Abs. 2 eingefügt:

"(2) Die obersten Dienstbehörden stellen in ihrem Geschäftsbereich sicher, dass die Leitungsebene staatlicher Behörden über ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie zu Risikomanagementpraktiken im Bereich Cybersicherheit verfügt."

c) Der bisherige Abs. 2 wird Abs. 3 und wird wie folgt geändert:

aa) Der Wortlaut wird Satz 1.

bb) Die folgenden Sätze 2 bis 4 werden angefügt:

"Andere Stellen können erhebliche Sicherheitsvorfälle im Sinne des Art. 49b Abs. 2 Satz 2, Cyberbedrohungen im Sinne des Art. 2 Nr. 8 der Verordnung (EU) 2019/881 und Beinahe-Vorfälle im Sinne des Art. 6 Nr. 5 der Richtlinie (EU) 2022/2555 an das Landesamt melden. Soweit erforderlich übermittelt das Landesamt der nationalen zentralen Anlaufstelle im Sinne des Art. 8 Abs. 3 der Richtlinie (EU) 2022/2555 die Informationen über die gemäß diesem Absatz eingegangenen Meldungen, wobei es die Vertraulichkeit und den angemessenen Schutz der von der meldenden Stelle übermittelten Informationen sicherstellt. Unbeschadet der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten dürfen Meldungen nach Satz 2 nicht dazu führen, dass der meldenden Stelle zusätzliche Verpflichtungen auferlegt werden, die nicht für sie gegolten hätten, wenn sie die Meldung nicht übermittelt hätte."

d) Die bisherigen Abs. 3 und 4 werden die Abs. 4 und 5.

4. In Art. 48 Abs. 2 Satz 1 Satzteil vor Nr. 1 wird das Wort "zwölf" durch die Angabe "18" ersetzt.

5. Nach Art. 49 wird folgendes Kapitel 4 eingefügt:

"Kapitel 4
Besondere Vorschriften für Einrichtungen mit Bedeutung für den Binnenmarkt

Art. 49a Einrichtung mit Bedeutung für den Binnenmarkt

(1) In Bezug auf Einrichtungen mit Bedeutung für den Binnenmarkt gelten ergänzend zu den Art. 41 bis 49 die Bestimmungen dieses Kapitels. Die Art. 41 bis 49 bleiben unberührt.

(2) Einrichtungen mit Bedeutung für den Binnenmarkt sind staatliche Behörden, die nach einer risikobasierten Bewertung Dienste erbringen, deren Störung erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Tätigkeiten haben könnte. Satz 1 gilt nicht für den Landtag, den Landesbeauftragten für den Datenschutz, den Obersten Rechnungshof, die Justiz sowie Behörden, die ausschließlich in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, tätig werden. Werden Behörden nur teilweise in den Bereichen des Satzes 2 tätig, finden die Vorschriften dieses Kapitels insoweit keine Anwendung.