§ 16 Nachweise und behördliche Anordnungen zu Resilienzpflichten
(1) Zum Zwecke der Überprüfung der Einhaltung der Verpflichtungen nach § 13 Absatz 1 kann die zuständige Behörde über das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe vom Bundesamt für Sicherheit in der Informationstechnik die Übersendung der erforderlichen Bestandteile des Nachweises der Einhaltung der Verpflichtungen nach § 39 Absatz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit der Informationstechnik von Einrichtungen verlangen.
(2) Sofern die nach Absatz 1 übermittelten Informationen zur Feststellung der Einhaltung der Verpflichtungen nach § 13 Absatz 1 nicht ausreichen, kann die zuständige Behörde den Betreiber kritischer Anlagen zur Vorlage weiterer Informationen und geeigneter Nachweise auffordern. Insbesondere kann sie die Vorlage des Resilienzplans verlangen.
(3) Ein Nachweis zur Einhaltung der Verpflichtung nach § 13 Absatz 1 kann durch Audits erfolgen. Der Betreiber kritischer Anlagen übermittelt der zuständigen Behörde auf deren Verlangen die Ergebnisse der Audits einschließlich der dabei aufgedeckten Mängel. Die zuständige Behörde kann die Vorlage der Dokumentation, die der Überprüfung durch ein Audit oder auf andere Weise zugrunde gelegt wurde, verlangen.
(4) Bei erheblichen Zweifeln an der Einhaltung der Verpflichtungen nach § 13 Absatz 1 kann die zuständige Behörde die Einhaltung der Verpflichtungen überprüfen. Bei der Durchführung der Überprüfung kann die zuständige Behörde sich eines qualifizierten unabhängigen Dritten bedienen. Der Betreiber kritischer Anlagen hat der zuständigen Behörde und den in ihrem Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume sowie Zugang zu Informationen, Systemen und Anlagen im Zusammenhang mit der Erbringung ihrer kritischen Dienstleistung während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren.
(5) Die zuständige Behörde kann bei Mängeln die Vorlage eines geeigneten Mängelbeseitigungsplans und Maßnahmen zur Beseitigung der Mängel innerhalb einer angemessenen Frist anordnen. Sie kann die Vorlage eines geeigneten Nachweises der Mängelbeseitigung verlangen. Absatz 3 gilt entsprechend.
(6) § 8 Absatz 2 Satz 2 gilt für die Absätze 2 bis 5 sinngemäß.
(7) Die Absätze 1 bis 6 gelten nicht für die Betreiber kritischer Anlagen, die für die Aufrechterhaltung kritischer Dienstleistungen in einem der Bereiche des § 3 Absatz 3 Nummer 1, 2 und 4 erheblich sind. Stattdessen ist § 5d Energiewirtschaftsgesetz anzuwenden.
(8) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe kann zur Ausgestaltung des Verfahrens der Erbringung des Nachweises und der Audits nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die Geeignetheit der zu erbringenden Nachweise sowie fachliche und organisatorische Anforderungen an die Prüfer und die prüfende Stelle nach Anhörung der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festlegen. Die Festlegung nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der Internetseite des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe.
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!