Teil 2 - Das Bundesamt
Teil 3 - Sicherheit in der Informationstechnik von Einrichtungen

§64 BSIG – Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen

(1) Das Bundesamt kann einzelne besonders wichtige Einrichtungen verpflichten, Au- dits, Prüfungen oder Zertifizierungen von unabhängigen Stellen zur Prüfung der Erfüllung der Anforderungen nach den §§ 30, 31 und 32 durchführen zu lassen.

(2) Das Bundesamt kann nach Anhörung der betroffenen Einrichtungen und Wirt- schaftsverbände fachliche und organisatorische Anforderungen für die prüfenden Stellen festlegen. Die Festlegung nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der Inter- netseite des Bundesamtes.

(3) Das Bundesamt kann, neben der nach § 39 für Betreiber einer kritischen Anlage bestimmten Frist, auch gegenüber anderen besonders wichtigen Einrichtungen frühestens drei Jahre nach Inkrafttreten dieses Gesetzes die Vorlage von Nachweisen über die Erfül- lung einzelner oder aller Anforderungen nach den §§ 30, 31 und 32anordnen. Soweit das Bundesamt von seinem Recht nach Absatz 1 Gebrauch gemacht hat, kann es hierbei auch die Übermittlung der Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierun- gen einschließlich der dabei aufgedeckten Sicherheitsmängel sowie die Vorlage der

– 66 – Bearbeitungsstand: 22.12.2023 09:58

Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Si- cherheitsmängeln die Vorlage eines geeigneten Mängelbeseitigungsplans im Einverneh- men mit der zuständigen Aufsichtsbehörde des Bundes oder der sonst zuständigen Auf- sichtsbehörde verlangen. Das Bundesamt kann die Vorlage eines geeigneten Nachweises über die erfolgte Mängelbeseitigung verlangen.

(4) Bei der Auswahl, von welchen Einrichtungen das Bundesamt nach Absatz 3 Nach- weise anfordert, berücksichtigt das Bundesamt das Ausmaß der Risikoexposition, die Größe der Einrichtung sowie die Eintrittswahrscheinlichkeit und Schwere von möglichen Sicherheitsvorfällen sowie ihre möglichen gesellschaftlichen und wirtschaftlichen Auswir- kungen.

(5) Das Bundesamt kann bei besonders wichtigen Einrichtungen die Einhaltung der Anforderungen nach diesem Gesetz überprüfen. Es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. Die besonders wichtige Einrichtung hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der übli- chen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeich- nungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei der jeweiligen besonders wichtigen Einrich- tung nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die be- rechtigte Zweifel an der Einhaltung der Anforderungen nach § 30 Absatz 1 begründeten.

(6) Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen Maßnahmen anordnen, die zur Verhütung oder Behebung eines Sicherheitsvorfalls oder eines Mangels erforderlich sind. Ferner kann das Bundesamt die Berichterstattung zu den nach Satz 1 angeordneten Maßnahmen verlangen.

(7) Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen verbindliche Anordnungen zur Umsetzung der Verpflichtungen nach diesem Gesetz erlassen. Es kann die Umsetzung von im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen inner- halb einer angemessenen Frist anordnen.

(8) Das Bundesamt kann gegenüber besonders wichtigen Einrichtungen anordnen,

  1. die natürlichen oder juristischen Personen, für die sie Dienste erbringen oder Tätigkei- ten ausüben und die potenziell von einer erheblichen Cyberbedrohung betroffen sind, über die Art der Bedrohung und mögliche Abwehr- oder Abhilfemaßnahmen zu unter- richten, die diese Personen als Reaktion auf die Bedrohung ergreifen können, und
  2. Informationen zu Verstößen gegen Verpflichtungen nach diesem Gesetz nach durch das Bundesamt bestimmten Vorgaben öffentlich bekannt zu machen.

(9) Das Bundesamt kann für besonders wichtige Einrichtungen einen Überwachungs- beauftragten benennen, der die Einhaltung der Verpflichtungen nach den §§ 28, 29 und 37 überwacht. Die Benennung erfolgt für einen bestimmten Zeitraum. In der Benennung müs- sen die Aufgaben des Überwachungsbeauftragten genau festgelegt sein.

(10)Sofern besonders wichtige Einrichtungen den Anordnungen des Bundesamtes nach diesem Gesetz trotz Fristsetzung nicht nachkommen, kann das Bundesamt dies der jeweils zuständigen Aufsichtsbehörde mitteilen.

1. Die Genehmigung für einen Teil oder alle Dienste oder Tätigkeiten dieser Einrichtung ist vorübergehend auszusetzen und

– 67 – Bearbeitungsstand: 22.12.2023 09:58

2. den natürlichen Personen, die als Geschäftsführung oder gesetzliche Vertreter für Lei- tungsaufgaben in der besonders wichtigen Einrichtung zuständig sind, ist die Wahr- nehmung der Leitungsaufgaben vorübergehend zu untersagen.

Die Aussetzung nach Ziffer 1 und die Untersagung nach Ziffer 2 sind nur solange zulässig, bis die besonders wichtige Einrichtung den Anordnungen des Bundesamtes nachkommt, wegen deren Nichtbefolgung sie ausgesprochen wurden.

(11)Soweit das Bundesamt Aufsichtsmaßnahmen gegenüber besonders wichtigen Einrichtungen durchführt, die gleichzeitig Betreiber kritischer Anlagen sind, informiert es die zuständige Aufsichtsbehörde des Bundes darüber.

(12) Stellt das Bundesamt im Zuge der Beaufsichtigung einer Einrichtung oder Durch- setzung einer Maßnahme fest, dass der Verstoß einer besonders wichtigen Einrichtung ge- gen Verpflichtungen aus § 30 oder 31 eine Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4 Nummer 12 der Verordnung (EU) 2016/679 zur Folge haben kann, die gemäß Artikel 33 der vorgenannten Verordnung zu melden ist, unterrichtet das Bundesamt unverzüglich die in Artikel 55 oder 56 der Verordnung (EU) 2016/679 genann- ten Aufsichtsbehörden.

(13)Bei Einrichtungen, die in anderen Mitgliedsstaaten der Europäischen Union Dienste erbringen, kann das Bundesamt auch auf Ersuchen der jeweils zuständigen Auf- sichtsbehörden des Mitgliedsstaats Maßnahmen nach den Absätzen 1 bis 12 ergreifen.

Stand: 22.12.2023

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!