Aktuelle Fassung

BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert worden ist.

BSI-Gesetz in der aktuellen Fassung

Historie des BSI-Gesetzes

Das BSI-Errichtungsgesetz

Erste gesetzliche Grundlage für das BSI war das Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik, das vom 01.01.1991 bis 19. August 2009 gültig war.

Die Anfänge des heutigen BSI-Gesetzes

Mit dem Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes, das am 20. August 2009 in Kraft getreten ist, wurde der Grundstein für das aktuell geltende BSI-Gesetz gelegt.

Um die neuen Bedrohungen zu bekämpfen und der zunehmenden Bedeutung der Informations- und Kommunikationstechnologie Rechnung zu tragen, wurden dem BSI weitergehende Aufgaben und Befugnisse eingeräumt:

• Gemäß § 4 wird das BSI als zentrale Meldestelle für IT-Sicherheit Informationen über Sicherheitslücken und neue Angriffsmuster auf die Sicherheit der Informationstechnik sammeln und auswerten. Hierdurch können ein verlässliches Lagebild erstellt, Angriffe frühzeitig erkannt und Gegenmaßnahmen ergriffen werden.
• Darüber hinaus erhielt das BSI gemäß § 5 BSIG die Befugnis, Protokolldaten sowie Daten, die an den Schnittstellen der Kommunikationstechnik des Bundes anfallen, zu erheben, auszuwerten, zu speichern, zu verwenden und zu verarbeiten. Hierdurch können Anzeichen für IT-Angriffe erkannt und gezielt bekämpft werden.
• Nach § 7 BSIG darf das BSI Informationen und Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten sowie vor Schadprogrammen an die betroffenen Stellen oder die Öffentlichkeit weitergeben. Zunächst besteht dabei grundsätzlich die Pflicht, den Hersteller vorab zu informieren; erst im Anschluss daran wendet sich das BSI an die Öffentlichkeit.
• Das BSI ist zudem befugt, einheitliche und strenge Sicherheitsstandards für die Bundesverwaltung zu definieren und bei Bedarf geeignete Produkte entwickeln zu lassen beziehungsweise auszuschreiben und bereitzustellen (§ 8 BSIG). So kann verhindert werden, dass ungeeignete Produkte mit Schwachstellen oder manipulierte IT-Komponenten in der Bundesverwaltung und in den Regierungsnetzen zum Einsatz kommen.

Weiterentwicklung des BSI-Gesetzes durch das erste IT-Sicherheitsgesetz

Nach zwischenzeitlich nur kleineren Änderungen im Gebührenrecht wurde das BSI-Gesetz mit dem am 25.07.2015 in Kraft getretenen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in größerem Umfang ergänzt.

Um Defiziten im Bereich der IT-Sicherheit insbesondere auch außerhalb der Bundesverwaltung wirksam zu begegnen, wurde das BSI mit neuen Aufgaben und Befugnissen ausgestattet:

• Nach § 8a BSIG, müssen Betreiber Kritischer Infrastrukturen die Einhaltung von IT-Sicherheit nach dem Stand der Technik regelmäßig gegenüber dem BSI nachweisen. Sofern Sicherheitsmängel aufgedeckt werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen.
• Das BSI wird nach § 8b BSIG die zentrale Meldestelle für die IT-Sicherheit Kritischer Infrastrukturen. Diese müssen dem BSI erhebliche Störungen ihrer IT melden, sofern sie Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können. Umgekehrt hat das BSI sämtliche für Abwehr von Angriffen auf die IT-Sicherheit Kritischer Infrastrukturen relevanten Informationen zu sammeln, zu bewerten und an die Betreiber sowie die zuständigen (Aufsichts-)Behörden weiterzuleiten.
• Sofern bei einem Betreiber Kritischer Infrastrukturen meldepflichtige Störungen der IT auftreten, darf das BSI erforderlichenfalls auch die Hersteller der entsprechenden IT-Produkte und -systeme gemäß § 8b BSIG zur Mitwirkung verpflichten.
• Dem BSI wird die Befugnis eingeräumt, zur Wahrnehmung seiner Aufgaben nach § 3 Abs. 1 S. 2 Nr. 1, 14 und 17 BSIG, IT-Produkte auf ihre Sicherheit hin zu untersuchen.
• Die Befugnis des BSI aus § 5 BSIG zur Analyse von Schnittstellen- und Protokolldaten in den Netzen der Bundesverwaltung wird dahingehend erweitert, dass die Bundesbehörden das BSI nunmehr bei dieser Tätigkeit unterstützen müssen.
• Zur Stärkung der IT-Sicherheit der Bundesverwaltung wird das BSI verpflichtet, Mindeststandards für die IT der Bundesverwaltung zu erarbeiten. Die Möglichkeit des BMI, diese Mindeststandards für alle Behörden als verbindlich zu erklären, wird erleichtert, da nur noch das Benehmen (statt des Einvernehmens) mit dem IT-Rat hergestellt werden muss.

Ergänzung des BSI-Gesetzes im Jahr 2021 durch das IT-Sicherheitsgesetz 2.0

Weitere Informationen zum IT-Sicherheitsgesetz hat das BSI im Rahmen einer Liste häufiger Fragen (FAQ) zusammengestellt.