Link zum Rechtstext

BSI-Gesetz

Bezeichnung/Link zum Rechtstext

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik vom 14. August 2009

Kerninhalte

Dieses Gesetz bestimmt, dass der Bund ein Bundesamt für Sicherheit in der Informationstechnik als Bundesoberbehörde unterhält, das für die Informationssicherheit auf nationaler Ebene zuständig ist und dem Bundesministerium des Innern untersteht.

Es regelt unter anderem die Aufgaben des Bundesamts und enthält allgemeine Vorgaben für die Betreiber sog. kritischer Infrastrukturen.

Hinweis: Kritische Infrastrukturen wurden durch die BSI-Kritisverordnung zunächst in den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung bestimmt.

Das BSIG definiert diverse Verpflichtungen für Unternehmen von besonderem öffentlichem Interesse sowie Betreiber kritischer Infrastrukturen. Unter diesen zählen die Genehmigungsanforderungen beim Einsatz kritischer Komponenten, die Meldung von Systemstörungen und die Notwendigkeit einer adäquaten Organisationsstruktur. Weiterhin ist von den Unternehmen eine Selbsterklärung einzureichen und etwaige Beeinträchtigungen ihrer Systeme sind zu melden. Diese Bestimmungen tragen zur Gewährleistung der öffentlichen Sicherheit bei.

Unternehmen im besonderen öffentlichen Interesse sind Firmen, die nicht als Betreiber Kritischer Infrastrukturen gelten UND
-> entweder Güter gemäß § 60 Absatz 1 Nummer 1 (nach Teil I Abschnitt A der Ausfuhrliste) und 3 (Produkte mit IT-Sicherheitsfunktionen für staatliche Verschlusssachen) der Außenwirtschaftsverordnung herstellen oder entwickeln,
-> oder aufgrund ihrer inländischen Wertschöpfung zu den größten Firmen in Deutschland zählen und daher von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind, oder als Zulieferer aufgrund ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind,
-> oder Betreiber eines Betriebsbereichs der oberen Klasse gemäß der Störfall-Verordnung oder diesen gleichgestellt sind.

"Kritische Infrastruktur" im Sinne des Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Auch Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungs- oder Entsorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit eintreten, können als kritische Infrastrukturen eingestuft werden.

Die genannten Sektoren der kritischen Infrastruktur umfassen eine Vielzahl von Unternehmen und Einrichtungen. Hier einige Beispiele:
-> Energie: Energieversorgungsunternehmen wie RWE, E.ON oder EnBW
-> Informationstechnik und Telekommunikation: Telekommunikationsunternehmen wie Deutsche Telekom, Vodafone oder Telefonica
-> Transport und Verkehr: Flughäfen wie der Flughafen Frankfurt, Bahngesellschaften wie die Deutsche Bahn oder Verkehrsverbünde wie der Hamburger Verkehrsverbund
-> Gesundheit: Krankenhäuser wie die Charité in Berlin, Universitätskliniken wie das Universitätsklinikum Heidelberg oder Pharmakonzerne wie Bayer oder Pfizer
-> Wasser: Wasserversorgungsunternehmen wie die Berliner Wasserbetriebe oder die Hamburger Wasserwerke
-> Ernährung: Lebensmittelhersteller wie Nestlé, Unilever oder Danone
-> Finanz- und Versicherungswesen: Banken wie die Deutsche Bank, Sparkassen oder Versicherungen wie die Allianz oder die Axa
-> Siedlungsabfallentsorgung: Entsorgungsunternehmen wie Remondis, Veolia oder Suez

Diese Liste erhebt keinen Anspruch auf Vollständigkeit und es gibt viele weitere Unternehmen und Einrichtungen, die zur kritischen Infrastruktur gehören können.

Review vom 01. Juni 2024
Review vom 01. März 2024 I ; II
Review vom 05. Oktober 2022
Review vom 01. Dezember 2021
Review vom 01. Juli 2021 - Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien
Review vom 01. Juli 2021 - Telekommunikationsmodernisierungsgesetz
Review vom 08. Juni 2021 
Review vom 01. Juni 2021 I ; II
Review vom 1. Juli 2020