Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk

I.

Kritische Komponenten im Sinne von § 2 Absatz 13 des BSI-Gesetzes (BSIG) sind in der Branche Telekommunikation solche, die gemäß § 109 Absatz 6 Satz 1 Nummer 2 des Telekommunikationsgesetzes festgelegte kritische Funktionen erfüllen. Die bei der Anzeige des geplanten Einsatzes einer solchen kritischen Komponente nach § 9b Absatz 1 Satz 1 und 2 BSIG beizufügende Garantieerklärung muss neben den gesetzlich geforderten Inhalten nach § 9b Absatz 3 Satz 3 BSIG die folgenden Erklärungen des Herstellers in deutscher Sprache enthalten:

1. Verpflichtung, für die Dauer des Einsatzes der kritischen Komponente mit dem Betreiber der Kritischen Infrastruktur, dem Bundesamt für Sicherheit in der Informationstechnik sowie der Bundesnetzagentur in Hinblick auf die Sicherheit der kritischen Komponente zu kooperieren, Auskünfte im Zusammenhang mit der Herstellung oder dem Betrieb der kritischen Komponente zu erteilen und die dafür erforderliche Unterstützung zu gewähren sowie dem Betreiber der Kritischen Infrastruktur Audits bezüglich des Informationssicherheitsmanagementsystems der kritischen Komponente zu ermöglichen.

2. Verpflichtung, den Betreiber der Kritischen Infrastruktur bei der Durchführung von Sicherheitsüberprüfungen und Penetrationsanalysen an den kritischen Komponenten im erforderlichen Umfang und in angemessener Weise zu unterstützen.

3. Verpflichtung, beabsichtigte Änderungen an Prozessen zur Herstellung und Bereitstellung sicherheitsrelevanter Systemanteile rechtzeitig vor deren Umsetzung gegenüber dem Betreiber der Kritischen Infrastruktur anzuzeigen sowie auf Anfrage des Betreibers der Kritischen Infrastruktur konkrete Angaben über die Produktentwicklung der sicherheitsrelevanten Systemanteile der eingesetzten kritischen Komponenten zu machen.

4. Verpflichtung, Schwachstellen der kritischen Komponente unverzüglich nach Kenntniserlangung dem Betreiber der Kritischen Infrastruktur zu melden. Die Meldung muss in ausreichend detaillierter Weise erfolgen, so dass der Betreiber grundsätzlich in die Lage versetzt wird, Maßnahmen zur Eingrenzung und Beseitigung möglicher schädlicher Folgewirkungen zu ergreifen.

5. Verpflichtung, für die kritischen Komponenten ein geeignetes Informationssicherheitsmanagementsystem einzusetzen. Dieses muss es ermöglichen, die jeweils eingesetzten Firmware- und Softwareversionen der kritischen Komponenten durch eine manipulationssichere Archivierung in geeigneter Weise nachprüfbar vorzuhalten und Verpflichtung, bei Sicherheitsvorfällen in geeigneter Weise Einsicht in diese zu gewähren. Dies umfasst insbesondere alle relevanten produkt- und prozessbezogenen Informationen einschließlich der eingesetzten Firmware- und Softwareversionen und Informationen externer Herkunft (z.B. Datenblätter) zu dokumentieren, vor unbeabsichtigten Änderungen nach dem Stand der Technik zu schützen, Änderungen zu überwachen und mindestens für die Dauer des Einsatzes der kritischen Komponenten lesbar vorzuhalten.

6. Erklärung, ob und wenn ja in welcher Art und Weise auf Grund der bestehenden Unternehmensstruktur (Gesellschafterstruktur, Beteiligungsverhältnisse), für das Unternehmen geltender Gesetze oder faktisch eine den Schutzzielen der Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur zuwiderlaufende Einflussnahme einer Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaats möglich ist.

7. Angabe des Unternehmenssitzes (inklusive der vollständigen Geschäftsanschrift), der Unternehmensstruktur, soweit vorhanden der Handels-/Gewerberegisternummer, der Steuernummer, der EORI-Nummer sowie der Mitglieder der Geschäftsführung und der sonstigen vertretungsberechtigten Personen mit vollständigem Namen, Meldeanschrift und Geburtsdatum, Firmennamen sind auch mit den am Sitz des jeweiligen Unternehmens üblichen Schriftzeichen anzugeben.

8. Versicherung, rechtlich und tatsächlich in der Lage zu sein, eine Weitergabe von vertraulichen Informationen über den Betrieb, vertraulichen Informationen, von denen im Rahmen des Betriebs Kenntnis erlangt wurde, oder solchen über den Betreiber der Kritischen Infrastruktur abzulehnen. Dies umfasst insbesondere die Versicherung, dass zum Zeitpunkt der Abgabe der Erklärung keine Verpflichtungen bestehen, Dritten solche Informationen zu offenbaren oder in anderer Weise zugänglich zu machen. Die Versicherung erstreckt sich nicht auf gesetzliche Offenlegungspflichten gegenüber deutschen Strafverfolgungsbehörden. Offenlegungspflichten gegenüber ausländischen Nachrichtendiensten, Strafverfolgungs- oder Sicherheitsbehörden oder sonstigen staatlichen oder nichtstaatlichen ausländischen Stellen sind von der Versicherung umfasst und auch in Zweifelsfällen anzugeben.

9. Verpflichtung, das Bundesministerium des Innern, für Bau und Heimat und den Betreiber der Kritischen Infrastruktur unverzüglich in Kenntnis zu setzen, wenn die Einhaltung der Garantieerklärung durch Änderung der äußeren Umstände oder auf Grund sonstiger Erkenntnisse des Herstellers nicht mehr gewährleistet werden kann.

II.

Gegen diese Allgemeinverfügung kann innerhalb eines Monats nach Bekanntgabe Klage bei dem Verwaltungsgericht Berlin erhoben werden.

III.

Diese Allgemeinverfügung wird hiermit gemäß § 41 Absatz 3 Satz 1 des Verwaltungsverfahrensgesetzes in Verbindung mit § 9b