§ 16 Nachweise und behördliche Anordnungen zu Resilienzpflichten

(1) Um die Einhaltung der Verpflichtungen nach § 13 Absatz 1 zu überprüfen, kann die zuständige Behörde über das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe das Bundesamt für Sicherheit in der Informationstechnik um die Übersendung der nach [§ 39 des BSI-Gesetzes in der Fassung des NIS2UmsuCG] vorgelegten Nachweise ersuchen.

(2) Sofern die nach Absatz 1 übermittelten Informationen zur Feststellung der Einhaltung der Verpflichtungen nach § 13 Absatz 1 nicht ausreichen, kann die zuständige Behörde einzelne Betreiber kritischer Anlagen zur Vorlage weiterer Informationen und geeigneter Nachweise auffordern. Insbesondere kann sie die Vorlage des Resilienzplans verlangen. Bei der Auswahl, von welchen Betreibern kritischer Anlagen Nachweise nach Satz 1 angefordert werden, verfolgt die zuständige Behörde einen risikobasierten Ansatz. Sie wählt die zu kontrollierenden Betreiber kritischer Anlagen anhand des Ausmaßes der Risikoexposition, der Größe des Betreibers kritischer Anlagen und der Eintrittswahrscheinlichkeit und Schwere von möglichen Vorfällen sowie deren möglichen gesellschaftlichen und wirtschaftlichen Auswirkungen aus. Der Grundsatz der Wirtschaftlichkeit der Verwaltung soll dabei berücksichtigt werden.

(3) Ein Nachweis zur Einhaltung der Verpflichtung nach § 13 Absatz 1 kann durch Audits erfolgen. Der Betreiber kritischer Anlagen übermittelt der zuständigen Behörde auf deren Verlangen die Ergebnisse des Audits einschließlich der dabei aufgedeckten Mängel. Die zuständige Behörde kann die Vorlage der Dokumentation, die der Überprüfung durch ein Audit oder auf andere Weise zugrunde gelegt wurde, verlangen.

(4) Die zuständige Behörde kann die Einhaltung der Verpflichtungen nach § 13 Absatz 1 bei den nach Absatz 2 Satz 3 ausgewählten Betreibern kritischer Anlagen überprüfen. Bei der Durchführung der Überprüfung kann die zuständige Behörde sich eines qualifizierten unabhängigen Dritten bedienen. Der Betreiber kritischer Anlagen hat der zuständigen Behörde und den in ihrem Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume sowie Zugang zu Informationen, Systemen und Anlagen im Zusammenhang mit der Erbringung ihrer kritischen Dienstleistung während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren.

(5) Die zuständige Behörde kann bei Mängeln die Vorlage eines geeigneten Mängelbeseitigungsplans und Maßnahmen zur Beseitigung der Mängel innerhalb einer angemessenen Frist anordnen. Sie kann die Vorlage eines geeigneten Nachweises der Mängelbeseitigung verlangen. Absatz 3 gilt entsprechend.

(6) § 8 Absatz 2 Satz 2 gilt für die Absätze 2 bis 5 sinngemäß

(7) Die Absätze 1 bis 6 gelten nicht für die Betreiber kritischer Anlagen, die für die Erbringung kritischer Dienstleistungen in einem der Bereiche des § 3 Absatz 2 Nummer 2 Buchstabe a bis c erheblich sind. Stattdessen ist § 5d des Energiewirtschaftsgesetzes anzuwenden.

(8) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe kann zur Ausgestaltung des Verfahrens der Erbringung des Nachweises und der Audits nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die Geeignetheit der zu erbringenden Nachweise sowie fachliche und organisatorische Anforderungen an die Prüfer und die prüfende Stelle im Einvernehmen mit dem fachlich zuständigen Bundesministerium sowie dem Bundesamt für Sicherheit in der Informationstechnik festlegen. § 4 Absatz 4 gilt entsprechend. Die Festlegung nach Satz 1 wird durch eine öffentliche Mitteilung auf der Internetseite des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe veröffentlicht.