Entwurf einesGesetzes zur Stärkung der Sicherheit in der Informationstechnik desBundes

Vom [Datum der Ausfertigung]

Der Bundestag hat das folgende Gesetz beschlossen:

Artikel 1Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG)

§ 1Bundesamt für Sicherheit in der InformationstechnikDer Bund unterhält ein Bundesamt für Sicherheit in der Informationstechnik als Bun-desoberbehörde. Es untersteht dem Bundesministerium des Innern.§ 2Begriffsbestimmungen(1) Die Informationstechnik im Sinne dieses Gesetzes umfasst alle technischen Mittelzur Verarbeitung oder Übertragung von Informationen.(2) Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Ein-haltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheitoder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen1. in informationstechnischen Systemen, Komponenten oder Prozessen oder2. bei der Anwendung von informationstechnischen Systemen, Komponenten o-der Prozessen.(3) Kommunikationstechnik des Bundes im Sinne dieses Gesetzes ist die Informati-onstechnik, die von einer oder mehreren Bundesbehörden oder im Auftrag eineroder mehrerer Bundesbehörden betrieben wird und der Kommunikation oder demDatenaustausch der Bundesbehörden untereinander oder mit Dritten dient. Kom-munikationstechnik der Bundesgerichte, soweit sie nicht öffentlich-rechtliche Ver-waltungsaufgaben wahrnehmen, des Bundestags, des Bundesrats, des Bundes-präsidenten und des Bundesrechnungshofs ist nicht Kommunikationstechnik desBundes, soweit sie ausschließlich in deren eigener Zuständigkeit betrieben wird.(4) Schnittstellen der Kommunikationstechnik des Bundes im Sinne dieses Gesetzessind sicherheitsrelevante Netzwerk-Übergänge innerhalb der Kommunikations-

Die Verpflichtungen aus der Richtlinie 98/34/EG des Europäischen Parlaments und des Ratesvom 22. Juni 1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischenVorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. EG Nr. L 204 S.37), zuletzt geändert durch die Richtlinie 2006/96/EG vom 20. November 2006 (ABl. EU Nr. L 363S. 81) sind beachtet worden.

2technik des Bundes sowie zwischen dieser und der Informationstechnik der ein-zelnen Bundesbehörden, Gruppen von Bundesbehörden oder Dritter. Dies giltnicht für die Komponenten an den Netzwerk-Übergängen, die in eigener Zustän-digkeit der in Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane betrie-ben werden.(5) Schadprogramme im Sinne dieses Gesetzes sind Programme und sonstige infor-mationstechnische Routinen und Verfahren, die dem Zweck dienen, unbefugt Da-ten zu nutzen oder zu löschen oder die dem Zweck dienen, unbefugt auf sonstigeinformationstechnische Abläufe einzuwirken.(6) Sicherheitslücken im Sinne dieses Gesetzes sind Eigenschaften von Programmenoder sonstigen informationstechnischen Systemen, durch deren Ausnutzung esmöglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang zu frem-den informationstechnischen Systemen verschaffen oder die Funktion der informa-tionstechnischen Systeme beeinflussen können.(7) Zertifizierung im Sinne dieses Gesetzes ist die Feststellung durch eine Zertifizie-rungsstelle, dass ein Produkt, ein Prozess, ein System, ein Schutzprofil (Sicher-heitszertifizierung), eine Person (Personenzertifizierung) oder ein IT-Sicherheitsdienstleister bestimmte Anforderungen erfüllt.(8) Protokolldaten im Sinne dieses Gesetzes sind Steuerdaten eines informations-technischen Protokolls zur Datenübertragung, die unabhängig vom Inhalt einesKommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgangbeteiligten Servern gespeichert werden und zur Gewährleistung der Kommunikati-on zwischen Empfänger und Sender notwendig sind. Protokolldaten können Ver-kehrsdaten gemäß § 3 Nummer 30 des Telekommunikationsgesetzes und Nut-zungsdaten nach § 15 Absatz 1 des Telemediengesetzes enthalten.(9) Datenverkehr im Sinne dieses Gesetzes sind die mittels technischer Protokolle ü-bertragenen Daten. Der Datenverkehr kann Telekommunikationsinhalte nach § 88Absatz 1 des Telekommunikationsgesetzes und Nutzungsdaten nach § 15 Absatz1 des Telemediengesetzes enthalten.§ 3Aufgaben des Bundesamtes(1) Das Bundesamt fördert die Sicherheit in der Informationstechnik. Hierzu nimmt esfolgende Aufgaben wahr:1. Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes,2. Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Si-cherheitsvorkehrungen und Zurverfügungstellung der gewonnenen Erkenntnis-se für andere Stellen, soweit dies zur Erfüllung ihrer Aufgaben oder zur Wah-rung ihrer Sicherheitsinteressen erforderlich ist,3. Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechniksowie Entwicklung von Sicherheitsvorkehrungen, insbesondere von informati-onstechnischen Verfahren und Geräten für die Sicherheit in der Informations-technik (IT-Sicherheitsprodukte), soweit dies zur Erfüllung von Aufgaben desBundes erforderlich ist, einschließlich der Forschung im Rahmen seiner ge-setzlichen Aufgaben,

34. Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Be-wertung der Sicherheit von informationstechnischen Systemen oder Kompo-nenten und für die Prüfung und Bewertung der Konformität im Bereich der IT-Sicherheit,5. Prüfung und Bewertung der Sicherheit von informationstechnischen Systemenoder Komponenten und Erteilung von Sicherheitszertifikaten,6. Prüfung und Bestätigung der Konformität im Bereich der IT-Sicherheit von in-formationstechnischen Systemen und Komponenten mit technischen Richtli-nien des Bundesamtes,7. Prüfung, Bewertung und Zulassung von informationstechnischen Systemen o-der Komponenten, die für die Verarbeitung oder Übertragung amtlich geheimgehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes imBereich des Bundes oder bei Unternehmen im Rahmen von Aufträgen desBundes eingesetzt werden sollen,8. Herstellung von Schlüsseldaten und Betrieb von Krypto- und Sicherheitsmana-gementsystemen für informationssichernde Systeme des Bundes, die im Be-reich des staatlichen Geheimschutzes oder auf Anforderung der betroffenenBehörde auch in anderen Bereichen eingesetzt werden,9. Unterstützung und Beratung bei organisatorischen und technischen Sicher-heitsmaßnahmen sowie Durchführung von technischen Prüfungen zum Schutzamtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprü-fungsgesetzes gegen die Kenntnisnahme durch Unbefugte,10. Entwicklung von sicherheitstechnischen Anforderungen an die einzusetzendeInformationstechnik des Bundes und an die Eignung von Auftragnehmern imBereich von Informationstechnik mit besonderem Schutzbedarf,11. Bereitstellung von IT-Sicherheitsprodukten für Stellen des Bundes,12. Unterstützung der für Sicherheit in der Informationstechnik zuständigen Stellendes Bundes, insbesondere soweit sie Beratungs- oder Kontrollaufgaben wahr-nehmen; dies gilt vorrangig für den Bundesbeauftragten für den Datenschutz,dessen Unterstützung im Rahmen der Unabhängigkeit erfolgt, die ihm bei derErfüllung seiner Aufgaben nach dem Bundesdatenschutzgesetz zusteht,13. Unterstützunga) der Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer ge-setzlichen Aufgaben,b) der Verfassungsschutzbehörden bei der Auswertung und Bewertung von In-formationen, die bei der Beobachtung terroristischer Bestrebungen odernachrichtendienstlicher Tätigkeiten im Rahmen der gesetzlichen Befugnissenach den Verfassungsschutzgesetzen des Bundes und der Länder anfallen,c) des Bundesnachrichtendienstes bei der Wahrnehmung seiner gesetzlichenAufgaben.Die Unterstützung darf nur gewährt werden, soweit sie erforderlich ist, um Tä-tigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der In-formationstechnik gerichtet sind oder unter Nutzung der Informationstechnik