Teil 2 - Das Bundesamt
Teil 3 - Sicherheit in der Informationstechnik von Einrichtungen

§43 BSIG – Informationssicherheitsmanagement

(1) Die Einrichtungsleitung ist dafür verantwortlich, unter Berücksichtigung der Belange des IT-Betriebs die Voraussetzungen zur Gewährleistung der Informationssicherheit zu schaffen.

Hierfür sind angemessene finanzielle, personelle und Sachmittel einzusetzen.

(2) Die Einrichtungsleitung nimmt regelmäßig an Schulungen teil, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.

(3) Soweit mit Leistungen für Informationstechnik des Bundes privatrechtlich organisierte Stellen beauftragt werden, ist vertraglich sicherzustellen, dass diese sich zur Einhaltung der Voraussetzungen zur Gewährleistung der Informationssicherheit verpflichten.

Dies gilt auch für den Fall, dass Schnittstellen zur Kommunikationstechnik des Bundes eingerichtet werden.

Die Pflichten der Einrichtungsleitung nach Absatz 1 bleiben hiervon unberührt.

(4) Die Registrierung von Einrichtungen der Bundesverwaltung nach § 32 obliegt der Einrichtungsleitung.

Abweichend von § 64 weisen die Einrichtungen der Bundesverwaltung die Erfüllung der Anforderungen nach Absatz 1 spätestens vier Jahre nach Inkrafttreten dieses Gesetzes und anschließend regelmäßig dem Bundesamt nach dessen Vorgaben nach.

(5) Werden, über die sich aus § 32 ergebenden Meldepflichten hinaus, Einrichtungen der Bundesverwaltung Informationen nach § 4 Absatz 2 Nummer 1 bekannt, die für die Erfüllung von Aufgaben oder die Sicherheit der Kommunikationstechnik des Bundes von Bedeutung sind, unterrichten diese das Bundesamt hierüber unverzüglich, soweit andere Vorschriften dem nicht entgegenstehen.

Ausgenommen von den Pflichten nach Satz 1 sind Informationen, die aufgrund von Regelungen zum Geheimschutz oder Vereinbarungen mit Dritten nicht weitergegeben werden dürfen oder deren Weitergabe im Widerspruch zu der verfassungsrechtlichen Stellung eines Abgeordneten des Bundestages oder eines Verfassungsorgans oder der gesetzlich geregelten Unabhängigkeit einzelner Stellen stünde.

Die Einrichtungen der Bundesverwaltung melden dem Bundesamt kalenderjährlich jeweils bis zum 31. Januar eines Jahres die Gesamtzahl der nach Satz 2 nicht übermittelten Informationen.

(6) Das Bundesministerium des Innern und für Heimat erlässt nach Zustimmung durch die Ressorts allgemeine Verwaltungsvorschriften zur Durchführung des Absatzes 5.

Stand: 22.12.2023

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!