Teil 2 - Das Bundesamt
Teil 3 - Sicherheit in der Informationstechnik von Einrichtungen

§59 BSIG – Berichtspflichten des Bundesamtes

(1) Das Bundesamt unterrichtet das Bundesministerium des Innern und für Heimat über seine Tätigkeit.

(2) Die Unterrichtung nach Absatz 1 dient auch der Aufklärung der Öffentlichkeit durch das Bundesministerium des Innern und für Heimat über Gefahren für die Sicherheit in der Informationstechnik, die mindestens einmal jährlich in einem zusammenfassenden Bericht erfolgt. § 13 Absatz 2 ist entsprechend anzuwenden.

(3) Das Bundesministerium des Innern und für Heimat unterrichtet kalenderjährlich je- weils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Ausschuss für Inneres und Heimat des Deutschen Bundestages über die Anwendung dieses Gesetzes. Es geht dabei auch auf die Fortentwicklung des maßgeblichen Unionsrechts ein.

(4) Das Bundesamt übermittelt bis zum 9. November 2018 und danach alle zwei Jahre bis zum 17. Oktober 2024 die folgenden Informationen an die Europäische Kommission:

1. die nationalen Maßnahmen zur Ermittlung der Betreiber kritischer Anlagen;

– 61 – Bearbeitungsstand: 22.12.2023 09:58

  1. eine Aufstellung der im in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren, die in der Rechtsverordnung nach § 57 Absatz 4 wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versor- gungsgrad;
  2. eine zahlenmäßige Aufstellung der Einrichtungen der in Nummer 2 genannten Sekto- ren, die in den in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren ermittelt werden, einschließlich eines Hinweises auf ihre Bedeutung für den jeweiligen Sektor.

Die Übermittlung darf keine Informationen enthalten, die zu einer Identifizierung einzelner Betreiber führen können. Das Bundesamt übermittelt die nach Satz 1 übermittelten Infor- mationen unverzüglich dem Bundesministerium des Innern und für Heimat, dem Bundes- kanzleramt, dem Bundesministerium für Wirtschaft und Klimaschutz, dem Bundesministe- rium der Finanzen, dem Bundesministerium der Justiz, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium der Verteidigung, dem Bundesministerium für Er- nährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministe- rium für Digitales und Verkehr und dem Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit und Verbraucherschutz.

(5) Sobald bekannt wird, dass eine Einrichtung oder Anlage nach § 2 Absatz 1 Nummer 19 oder Teile einer Einrichtung oder Anlage eine wegen ihrer Bedeu- tung als kritisch anzusehenden Dienstleistung in einem der in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren in einem anderen Mitgliedstaat der Europäischen Union bereitstellt, nimmt das Bundesamt zum Zweck der gemeinsamen Ermittlung der Einrichtun- gen, die kritische Dienstleistungen in den in Anhang II der Richtlinie (EU) 2016/1148 ge- nannten Teilsektoren erbringen, mit der zuständigen Behörde dieses Mitgliedstaats Kon- sultationen auf.

(6) Das Bundesamt übermittelt bis zum 9. August 2018 und danach jährlich bis zum Berichtszeitraum Kalenderjahr 2023 an die Kooperationsgruppe nach Artikel 11 der Richt- linie (EU) 2016/1148 einen zusammenfassenden Bericht zu den Meldungen, die die in An- hang II der Richtlinie (EU) 2016/1148 genannten Sektoren oder digitale Dienste betreffen. Der Bericht enthält auch die Zahl der Meldungen und die Art der gemeldeten Sicherheits- vorfälle sowie die ergriffenen Maßnahmen. Der Bericht darf keine Informationen enthalten, die zu einer Identifizierung einzelner Meldungen oder einzelner Einrichtungen führen kön- nen.

(7) Das Bundesamt legt der ENISA erstmalig zum 18. Januar 2025 und in der Folge alle drei Monate einen zusammenfassenden Bericht vor, der anonymisierte und aggregierte Daten zu erheblichen Sicherheitsvorfällen, erheblichen Cyberbedrohungen und Beinahe- vorfällen enthält, die gemäß § 31 und § 5 Absatz 2 gemeldet wurden. Der erstmalige Be- richt nach Satz 1 enthält auch die Daten, die für das Jahr 2024 gemäß Absatz 6 übermitteln zu gewesen wären.

(8) Das Bundesamt übermittelt erstmalig zum 17. April 2025 und in der Folge alle zwei Jahre

  1. der Europäischen Kommission und der Kooperationsgruppe nach Artikel 14 der NIS-2- Richtlinie für jeden Sektor und Teilsektor gemäß Anhang I oder II der NIS-2-Richtlinie die Anzahl der besonders wichtigen Einrichtungen und wichtigen Einrichtungen, die gemäß § 32 Absatz 1 registriert wurden, und
  2. der Europäischen Kommission sachdienliche Informationen über die Anzahl der kriti- schen Anlagen, über den Sektor und den Teilsektor gemäß Anhang I oder II der NIS- 2-Richtlinie, zu dem sie gehören, über die Art der von ihnen erbrachten Dienste und über die Bestimmungen, auf deren Grundlage sie ermittelt wurden.
Stand: 22.12.2023

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!