Bundesamt für Sicherheit in der Informationstechnik

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG)

Geltung ab: 20. August 2009
Erschienen im: Bundesgesetzblatt Jahrgang 2009 Teil I Nr. 54, ausgegeben zu Bonn am 19. August 2009

Konsolidierte Fassung des geltenden BSI-Gesetzes.

Gesetzeshistorie des BSI-Gesetzes

Das BSI-Errichtungsgesetz

Erste gesetzliche Grundlage für das BSI war das Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (PDF, 31KB, Datei ist nicht barrierefrei), das vom 01.01.1991 bis 19. August 2009 gültig war.

Die Anfänge des heutigen BSI-Gesetzes

Mit dem Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes (PDF, 78KB, Datei ist nicht barrierefrei), das am 20. August 2009 in Kraft getreten ist, wurde der Grundstein für das noch heute geltende BSI-Gesetz gelegt.

Um die neuen Bedrohungen zu bekämpfen und der zunehmenden Bedeutung der Informations- und Kommunikationstechnologie Rechnung zu tragen, wurden dem BSI weitergehende Aufgaben und Befugnisse eingeräumt:

  • Gemäß § 4 wird das BSI als zentrale Meldestelle für IT-Sicherheit Informationen über Sicherheitslücken und neue Angriffsmuster auf die Sicherheit der Informationstechnik sammeln und auswerten. Hierdurch können ein verlässliches Lagebild erstellt, Angriffe frühzeitig erkannt und Gegenmaßnahmen ergriffen werden.
  • Darüber hinaus erhielt das BSI gemäß § 5 BSIG die Befugnis, Protokolldaten sowie Daten, die an den Schnittstellen der Kommunikationstechnik des Bundes anfallen, zu erheben, auszuwerten, zu speichern, zu verwenden und zu verarbeiten. Hierdurch können Anzeichen für IT-Angriffe erkannt und gezielt bekämpft werden.
  • Nach § 7 BSIG darf das BSI Informationen und Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten sowie vor Schadprogrammen an die betroffenen Stellen oder die Öffentlichkeit weitergeben. Zunächst besteht dabei grundsätzlich die Pflicht, den Hersteller vorab zu informieren; erst im Anschluss daran wendet sich das BSI an die Öffentlichkeit.
  • Das BSI ist zudem befugt, einheitliche und strenge Sicherheitsstandards für die Bundesverwaltung zu definieren und bei Bedarf geeignete Produkte entwickeln zu lassen beziehungsweise auszuschreiben und bereitzustellen (§ 8 BSIG). So kann verhindert werden, dass ungeeignete Produkte mit Schwachstellen oder manipulierte IT-Komponenten in der Bundesverwaltung und in den Regierungsnetzen zum Einsatz kommen.

Das BSI-Gesetz in der heutigen Fassung

Nach zwischenzeitlich nur kleineren Änderungen im Gebührenrecht, wurde das BSI-Gesetz mit dem am 25.07.2015 in Kraft getretenen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) das erste Mal wieder in größerem Umfang ergänzt.

Um Defiziten im Bereich der IT-Sicherheit insbesondere auch außerhalb der Bundesverwaltung wirksam zu begegnen, wurde das BSI mit neuen Aufgaben und Befugnissen ausgestattet:

  • Nach § 8a BSIG, müssen Betreiber Kritischer Infrastrukturen die Einhaltung von IT-Sicherheit nach dem Stand der Technik regelmäßig gegenüber dem BSI nachweisen. Sofern Sicherheitsmängel aufgedeckt werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen.
  • Das BSI wird nach § 8b BSIG die zentrale Meldestelle für die IT-Sicherheit Kritischer Infrastrukturen. Diese müssen dem BSI erhebliche Störungen ihrer IT melden, sofern sie Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können. Umgekehrt hat das BSI sämtliche für Abwehr von Angriffen auf die IT-Sicherheit Kritischer Infrastrukturen relevanten Informationen zu sammeln, zu bewerten und an die Betreiber sowie die zuständigen (Aufsichts-)Behörden weiterzuleiten.
  • Sofern bei einem Betreiber Kritischer Infrastrukturen meldepflichtige Störungen der IT auftreten, darf das BSI erforderlichenfalls auch die Hersteller der entsprechenden IT-Produkte und -systeme gemäß § 8b BSIG zur Mitwirkung verpflichten.
  • Dem BSI wird die Befugnis eingeräumt, zur Wahrnehmung seiner Aufgaben nach § 3 Abs. 1 S. 2 Nr. 1, 14 und 17 BSIG, IT-Produkte auf ihre Sicherheit hin zu untersuchen.
  • Die Befugnis des BSI aus § 5 BSIG zur Analyse von Schnittstellen- und Protokolldaten in den Netzen der Bundesverwaltung wird dahingehend erweitert, dass die Bundesbehörden das BSI nunmehr bei dieser Tätigkeit unterstützen müssen.
  • Zur Stärkung der IT-Sicherheit der Bundesverwaltung wird das BSI verpflichtet, Mindeststandards für die IT der Bundesverwaltung zu erarbeiten. Die Möglichkeit des BMI, diese Mindeststandards für alle Behörden als verbindlich zu erklären, wird erleichtert, da nur noch das Benehmen (statt des Einvernehmens) mit dem IT-Rat hergestellt werden muss.

Weitere Informationen zum IT-Sicherheitsgesetz hat das BSI im Rahmen einer Liste häufiger Fragen (FAQ) zusammengestellt.