Nicht alle Vorschriften des NIS2UmsuCG müssen in die VdS 10100 einfließen, weil sie nicht die Zielgruppe der zu erstellenden Richtlinie betreffen. Alle relevanten Regelungen des NIS2UmsuCG finden sich in Artikel 1 „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz – BSIG“. Alle anderen Artikel ändern nur bestehende Gesetze bzw. Verordnungen ab, so dass sie den Inhalten des „neuen“ BSIG entsprechen. Die nachfolgende Analyse zeigt, welche Paragrafen des BSIG für die VdS 10100 relevant sind. Die Analyse basiert dabei auf dem Referentenentwurf des Bundesministeriums des Innern und für Heimat vom 22.12.2023 09:58 des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes.
Text | Relevant? | Begründung/Anmerkung |
---|---|---|
Teil 1 - Allgemeine Vorschriften | ||
§ 1 Bundesamt für Sicherheit in der Informationstechnik | N | Erläuterung/Vorstellung des BSI → nicht Gegenstand der VdS 10100 |
§ 2 Begriffsbestimmungen | J | Enthält Begriffe, die wir in der VdS 10100 verwenden werden (müssen). Die VdS 10000 verfügt über ein in sich schlüssiges Glossar (Kapitel 3 – „Begriffe“). Sollen wir die Definitionen in das Glossar der VdS 10100 übernehmen oder uns an Kapitel 3 – „Begriffe“ der VdS 10000 orientieren? |
Teil 2 - Das Bundesamt | ||
Kapitel 1 - Aufgaben und Befugnisse | ||
§ 3 Aufgaben des Bundesamtes | N | beschreibt die Aufgaben des BSI |
§ 4 Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes | N | betrifft nicht die Zielgruppe der VdS 10100 |
§ 5 Allgemeine Meldestelle für die Sicherheit in der Informationstechnik | J | muss bei den Meldewegen und bei der Informationsbeschaffung berücksichtigt werden |
§ 6 Informationsaustausch | J | muss bei den Meldewegen und bei der Informationsbeschaffung berücksichtigt werden |
§ 7 Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte | N | betrifft nicht die Zielgruppe der VdS 10100 |
§ 8 Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes | N | betrifft nicht die Zielgruppe der VdS 10100 |
§ 9 Verarbeitung von Protokollierungsdaten der Kommunikationstechnik des Bundes | N | betrifft nicht die Zielgruppe der VdS 10100 |
§ 10 Anordnungen von Maßnahmen zur Abwendung oder Behebung von Sicherheitsvorfällen | N | betrifft nicht die Zielgruppe der VdS 10100 |
§ 11 Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen | J | muss bei der Behebung von Sicherheitsvorfällen berücksichtigt werden |
§ 12 Bestandsdatenauskunft | N | gibt dem BSI das Recht, bestimmte Daten bei TK-Dienstleistern einzusehen |
§ 13 Warnungen | J | muss bei der Informationsbeschaffung berücksichtigt werden |
§ 14 Untersuchung der Sicherheit in der Informationstechnik, Auskunftsverlangen | unklar | betrifft „nur“ Hersteller (Zusammenarbeit mit dem BSI) → Zielgruppe der VdS 10100? |
§ 15 Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden | N | gibt dem BSI das Recht, im Internet exponierte IT-Systeme zu untersuchen buw. Honeypots zu betreiben |
§ 16 Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Telekommunikationsdiensten | N | betrifft nur Anbieter von Telekommunikationsdiensten |
§ 17 Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Telemediendiensten | N | betrifft nur Anbieter von Telemediendiensten |
§ 18 Anordnungen von Maßnahmen des Bundesamtes gegenüber Herstellern von IKT-Produkten | unklar | betrifft nur Herstellern von IKT-Produkten – Zielgruppe der VdS 10100? Ggf. als allgemeine Formulierung aufnehmen? |
§ 19 Bereitstellung von IT-Sicherheitsprodukten | N | gibt dem BSI das Recht, Sicherheitsprodukte zu erstellen → nicht Gegenstand der VdS 10100 |
Kapitel 2 - Datenverarbeitung | ||
§ 20 Verarbeitung personenbezogener Daten | N | definiert, wie das BSI mit personenbez. Daten umgehen darf → nicht Gegenstand der VdS 10100 |
§ 21 Beschränkungen der Rechte der betroffenen Person | N | definiert, wie das BSI mit personenbez. Daten umgehen darf → nicht Gegenstand der VdS 10100 |
§ 22 Informationspflicht bei Erhebung von personenbezogenen Daten | N | definiert, wie das BSI mit personenbez. Daten umgehen darf → nicht Gegenstand der VdS 10100 |
§ 23 Auskunftsrecht der betroffenen Person | N | definiert, wie das BSI mit personenbez. Daten umgehen darf → nicht Gegenstand der VdS 10100 |
§ 24 Recht auf Berichtigung | N | definiert, wie das BSI mit personenbez. Daten umgehen darf → nicht Gegenstand der VdS 10100 |
§ 25 Recht auf Löschung | N | definiert, wie das BSI mit personenbez. Daten umgehen darf → nicht Gegenstand der VdS 10100 |
§ 26 Recht auf Einschränkung der Verarbeitung | N | definiert, wie das BSI mit personenbez. Daten umgehen darf → nicht Gegenstand der VdS 10100 |
§ 27 Widerspruchsrecht | N | definiert, wie das BSI mit personenbez. Daten umgehen darf → nicht Gegenstand der VdS 10100 |
Teil 3 - Sicherheit in der Informationstechnik von Einrichtungen | ||
Kapitel 1 - Anwendungsbereich | ||
§ 28 Besonders wichtige Einrichtungen und wichtige Einrichtungen | J | Kapitel „Analyse“ |
§ 29 Einrichtungen der Bundesverwaltung | N | betrifft nicht die Zielgruppe der VdS 10100 |
Kapitel 2 - Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten | ||
§ 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | J | Kernthema |
§ 31 Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen | unklar | Zielgruppe?! |
§ 32 Meldepflichten | J | Melden von Sicherheitsvorfällen an BSI und Bundesamt f. Bevölkerungsschutz |
§ 33 Registrierungspflicht | J | Betroffene Einrichtung müssen sich registrieren. |
§ 34 Besondere Registrierungspflicht für bestimmte Einrichtungsarten | J | Besondere Einrichtungen müssen sich zusätzlich registrieren. |
§ 35 Unterrichtungspflichten | J | Einrichtungen müssen u. U. Betroffene informieren. |
§ 36 Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen | N | Feedback des BSI bei einer Meldung von Betreibern kritischer Anlagen (§ 31) → nicht in der Zielgruppe der VdS 10100 |
§ 37 Ausnahmebescheid | unklar | Möglichkeit der teilweisen oder vollständigen Befreiung von Pflichten. Ggf. in die Formulierungen verschiedener Bereiche aufnehmen? Tendenz: nein. |
§ 38 Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | J | Billigung → an verschiedenen Stellen, Überwachen → neu, Schulungspflicht → Wissen |
§ 39 Nachweispflichten für Betreiber kritischer Anlagen | N | betrifft Betreiber kritischer Anlagen → nicht die Zielgruppe der VdS 10100 |
§ 40 Nationale Verbindungsstelle sowie zentrale Melde- und Anlaufstelle für besonders wichtige und wichtige Einrichtungen | N | Verpflichtung des BSI → nicht Gegenstand der VdS 10100 |
§ 41 Untersagung des Einsatzes kritischer Komponenten | N | betrifft Betreiber kritischer Anlagen → nicht die Zielgruppe der VdS 10100 |
§ 42 Auskunftsverlangen | N | |
Kapitel 3 - Informationssicherheit der Einrichtungen der Bundesverwaltung | ||
§ 43 Informationssicherheitsmanagement | N | betrifft Einrichtungen der Bundesverwaltung → nicht die Zielgruppe der VdS 10100 |
§ 44 Vorgaben des Bundesamtes | N | betrifft Einrichtungen der Bundesverwaltung → nicht die Zielgruppe der VdS 10100 |
§ 45 Informationssicherheitsbeauftragte der Einrichtungen der Bundesverwaltung | N | betrifft Einrichtungen der Bundesverwaltung → nicht die Zielgruppe der VdS 10100 |
§ 46 Informationssicherheitsbeauftragte der Ressorts | N | betrifft Einrichtungen der Bundesverwaltung → nicht die Zielgruppe der VdS 10100 |
§ 47 Wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes | N | betrifft Einrichtungen der Bundesverwaltung → nicht die Zielgruppe der VdS 10100 |
§ 48 Amt des Koordinators für Informationssicherheit | N | betrifft Einrichtungen der Bundesverwaltung → nicht die Zielgruppe der VdS 10100 |
§ 49 Aufgaben des Koordinators | N | betrifft Einrichtungen der Bundesverwaltung → nicht die Zielgruppe der VdS 10100 |
§ 50 Befugnisse des Koordinators | N | betrifft Einrichtungen der Bundesverwaltung → nicht die Zielgruppe der VdS 10100 |
Teil 4 - Datenbanken der Domain-Name-Registrierungsdaten | ||
§ 51 Pflicht zum Führen einer Datenbank | unklar | Zu klären: Sind DNS-Registrare eine Zielgruppe der VdS 10100? |
§ 52 Verpflichtung zur Zugangsgewährung | unklar | Zu klären: Sind DNS-Registrare eine Zielgruppe der VdS 10100? |
§ 53 Kooperationspflicht | unklar | Zu klären: Sind DNS-Registrare eine Zielgruppe der VdS 10100? |
Teil 5 - Zertifizierung und Kennzeichen | ||
§ 54 Zertifizierung | N | betrifft Zertifizierung von Produkten und Leistungen → nicht Gegenstand der VdS 10100 |
§ 55 Nationale Behörde für die Cybersicherheitszertifizierung | N | betrifft Zertifizierung von Produkten und Leistungen → nicht Gegenstand der VdS 10100 |
§ 56 Freiwilliges IT-Sicherheitskennzeichen | N | betrifft Zertifizierung von Produkten und Leistungen → nicht Gegenstand der VdS 10100 |
Teil 6 - Verordnungsermächtigungen, Grundrechtseinschränkungen und Berichtspflichten | ||
§ 57 Ermächtigung zum Erlass von Rechtsverordnungen | N | juristische Einbettung des BSIG → nicht Gegenstand der VdS 10100 |
§ 58 Einschränkung von Grundrechten | N | juristische Einbettung des BSIG → nicht Gegenstand der VdS 10100 |
§ 59 Berichtspflichten des Bundesamtes | N | juristische Einbettung des BSIG → nicht Gegenstand der VdS 10100 |
Teil 7 - Sanktionsvorschriften und Aufsicht | ||
§ 60 Bußgeldvorschriften | N | Folgen der Nichteinhaltung → nicht Gegenstand der VdS 10100 |
§ 61 Zuwiderhandlungen durch Institutionen der sozialen Sicherung | N | Folgen der Nichteinhaltung → nicht Gegenstand der VdS 10100 |
§ 62 Zuständigkeit des Bundesamtes | N | Folgen der Nichteinhaltung → nicht Gegenstand der VdS 10100 |
§ 63 Zentrale Zuständigkeit in der Europäischen Union für bestimmte Einrichtungsarten | N | Folgen der Nichteinhaltung → nicht Gegenstand der VdS 10100 |
§ 64 Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen | N | Folgen der Nichteinhaltung → nicht Gegenstand der VdS 10100 |
§ 65 Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen | N | Folgen der Nichteinhaltung → nicht Gegenstand der VdS 10100 |
§ 66 Verwaltungszwang | N | Folgen der Nichteinhaltung → nicht Gegenstand der VdS 10100 |
Anlagen | ||
Anlage 1 Sektoren besonders wichtiger und wichtiger Einrichtungen | J | Kapitel „Analyse“ |
Anlage 2 Sektoren wichtiger Einrichtungen | J | Kapitel „Analyse“ |